Eindpunten op het netwerk, computer, laptops, mobieltjes e.d.( of endpoints in IT-jargon), zijn altijd een gemakkelijk punt geweest om een netwerk binnen te komen. Eenmaal binnen op het netwerk, kunnen hackers of andere kwaadwillenden malware uitvoeren, belangrijke gegevens stelen of de controle over netwerkbronnen overnemen of zelfs kritische bedrijfsprocessen onderbreken.
Binnenkomen in een netwerk, via een kwetsbaar device, is niet de enige weg. Het kan namelijk nog veel simpeler. Want waarom zou je als cybercrimineel proberen te zoeken naar kwetsbare devices of proberen een firewall te omzeilen, als je ook eenvoudig, via social engineering, goedgelovige en onvoorzichtige gebruikers kunt uitbuiten? In deze blogpost vertellen we jullie waarom de beveiliging op een Endpoint zo belangrijk is.
Back to the Future
Lang geleden, en nog voordat computernetwerken met het internet waren verbonden, maakten kwaadwillenden gebruik van diskettes/floppy disks om malware te verspreiden. Deze diskette werd in een computer gestoken, waarna de computer geïnfecteerd raakte. Later kwamen daar andere verwisselbare opslagmedia bij, zoals cd’s, dvd’s en draagbare drives met USB-aansluiting. Zoals je je kunt voorstellen was deze manier van aanvallen nog vrij beperkt, als dit je enige uitgangspositie is om een computer te besmetten.
De eerste beveiligingsproducten voor endpoints kwamen in gebruik: toen de traditionele antivirussoftware oplossingen of afgekort AV genoemd. AV-software is software, die apparaten op de harde schijf scande op malware (kwaadaardige software). In die tijd moesten viruscheckers hoofdzakelijk uitvoerbare bestanden en de bootsectoren van diskettes en harde schijven controleren. De virussen waren gebaseerd op digitale handtekeningen, ook wel signatures genoemd. Dit betekende dat de antivirussoftware enkel en alleen maar kon zoeken op ingestelde specifieke kenmerken van het bekende virus. Als het iets vond, dat deze kenmerken had, kon het het programma in quarantaine plaatsen of verwijderen. Toen het gebruik van internet echter algemeen werd, begonnen virussen zich ook online te verspreiden.
Er kwamen veel meer aanvalsvectoren beschikbaar voor de cybercrimineel, zoals phishing via e-mail, geïnfecteerde websites, bring-your-own-device (BYOD) en ook de komst van sociale media. Door deze nieuwe mogelijkheden nam de groei van malware in rap tempo toe. Daarbij werd er ook actief door cybercriminelen gezocht naar kwetsbaarheden in systemen en toepassingen, die vervolgens konden worden uitgebuit.
Het paard van Troje nog steeds actueel
Het probleem, van een steeds groter aanvalsoppervlak, werd nog verergerd doordat malware ook beter werd. Hierdoor kon het langs de anti-virus oplossing komen, zonder opgemerkt te worden. Hiermee kwamen de Trojaanse Paarden: ziet eruit als een benodigd stukje software voor de gebruiker, maar wat eenmaal geïnstalleerd, verschillende schadelijke acties kon ondernemen, afhankelijk van het motief van deze malware-vorm. Dit betekende dat op handtekeningen gebaseerde antivirussoftware, niet langer volledig effectief was om directe bescherming te bieden.
Toen was daar Endpoint Protection, ook wel afgekort EPP: een verzamelnaam van verschillende systeembeveilingfuncties, waaronder in de meest gevallen een anti-virus, geïntegreerde firewall voor het apparaat, webfiltering om de verdachte websites te blokkeren, en device controle (bijvoorbeeld niet-geautoriseerde USB sticks weigeren). Het doel was bestandsgebaseerde malware-aanvallen te voorkomen en andere preventieve controles uit te voeren, om de malware te kunnen stoppen, voordat het het Endpoint infecteerde.
Helaas biedt geen van deze technieken de ultieme oplossing om infecties op de endpoints tegen te gaan. Destijds werd ook gedacht dat webfiltering ‘the way to go’ was, omdat werd aangenomen dat webgebasseerde malware alleen afkomstig waren van de niet legtieme websites. De mogelijkheid bleef daarmee echter wel bestaan, dat malware zich biv. kon voordoen als een advertentie op een legitieme website. Gezien de zich steeds verder ontwikkelende complexiteit van aanvalsmethoden en het groeiende aanvalsoppervlak, realiseerden beveiligingsprofessionals zich dat het onmogelijk was om alle malware-infecties te voorkomen. Parallel aan de ontwikkeling van EPP, moest er worden gekeken naar een nieuwe strategie om het endpoint nog beter te beschermen, want enkel een bescherming, die kijkt naar ‘datgene’ wat herkenbaar is, is niet meer voldoende.
Deze nieuwe strategie wordt ook wel Endpoint Detection and Response genoemd, afgekort EDR waar ik jullie in de volgende blogpost meer over ga vertellen!
In een reeks van 3 artikelen leggen we uit waarom we EDR nodig hebben, wat de voordelen zijn en welke oplossingen SoldiBE heeft op het gebied van Endpoint Detection and Response (EDR).
