Het laatste wat een IT-directeur, IT-manager of Security & Risk manager wil, is dat er onder hun toezicht een beveiligingsinbreuk plaatsvindt. Je wilt niet in de positie komen dat je aan het bestuur moet uitleggen hoe het komt dat de aanvallers hebben kunnen inbreken. En waarom je ze niet op tijd hebt kunnen opsporen. Helaas ondervinden bedrijven steeds meer aanvallen op endpoints, waaronder aanvallen die gericht zijn op smart devices. De meeste organisaties hebben gewoonweg niet het benodigde personeel voor cybersecurity om deze bedreigingen aan te pakken.
Veel organisaties onderkennen de noodzaak van Endpoint Detection & Response (EDR). Naar verwachting groeit de wereldwijde markt voor EDR tot 3.443,64 miljoen dollar tegen 2024. Maar hoe weet je welke EDR-leverancier geschikt is voor jouw organisatie?
Soms is het kiezen van de juiste oplossing slechts een kwestie van de juiste vragen stellen. Wanneer je in gesprek gaat met leveranciers over hun EDR-oplossingen, stel dan in elk geval de volgende vijf vragen.
1. Hoe detecteert het product van de EDR-leverancier feitelijk bedreigingen?
Bij het beoordelen van verschillende EDR-leveranciers is de keus veel overzichtelijker dan wanneer je op zoek bent naar een leverancier van traditionele antivirusprogramma’s. De gouden standaard is een programma ontwikkeld door de Amerikaanse non-profit organisatie, MITRE. Het beoordeelt EDR-oplossingen door deze af te zetten tegen het eigen “ATT&CK-raamwerk” van de organisatie, een verzameling tactieken, technieken en procedures die door cybercriminelen worden gebruikt en die voortdurend worden bijgewerkt. Dit raamwerk biedt bedrijven onpartijdige resultaten om de prestaties van verschillende EDR-leveranciers mee te vergelijken, samen met inzichten in de soorten telemetrie, waarschuwingen, interface en output die je van elk van deze leveranciers kunt verwachten. De evaluaties van MITRE worden op grote schaal gebruikt door verschillende gezaghebbende bedrijven in de sector, zoals Gartner en Forrester.
Elke EDR-oplossing beschikt over een eigen aanpak voor het opsporen van bedreigingen en de aanpak kan bepalen welke soorten aanvallen het meest effectief zullen worden opgespoord. Vraag je leverancier een gedetailleerd overzicht te geven van de detectietechnieken waarmee hun EDR-oplossing is uitgerust en hoe deze met elkaar samenwerken om een context te bieden voor elke detectie.
- Is hun oplossing in staat om aanvallen met behulp van populaire bestandstypen zoals Word en PDF te detecteren?
- Kan deze misbruik van PowerShell en andere legitieme toepassingen detecteren?
- Kan deze verdacht gedrag van applicaties of gebruikers detecteren?
- Kan deze opzettelijke of onopzettelijke interne bedreigingen detecteren?
- Kan hun oplossing het risiconiveau van een detectie, het belang van de getroffen host en de plaats van de detectie in het heersende dreigingslandschap inschatten?
Het vermogen van een EDR-oplossing om bedreigingen op te sporen is altijd de belangrijkste factor. Hoewel dit tot nu toe een moeilijke vraag was om te beoordelen, vormen de testresultaten van MITRE nu de standaard die je kunt gebruiken om te zien hoe de verschillende EDR-technologieën presteren. Vraag je leverancier hoe hun EDR-oplossing bedreigingen detecteert en vergelijk de resultaten met andere oplossingen in de tests van MITRE.
2. Hoe ingewikkeld en tijdrovend is het om hun EDR-oplossing te gebruiken?
De evaluatie van MITRE is een goed uitgangspunt, maar je moet ook rekening houden met andere factoren dan alleen de prestaties op het vlak van detectie. Een EDR-oplossing is niet voldoende om je organisatie te voorzien van een volledige EDR-capaciteit, hoewel het ontwikkelen van een dergelijke capaciteit een aantal uitdagingen met zich mee kan brengen. Je EDR-oplossing moet worden geïntegreerd met je andere beveiligingssystemen, beheerd door je IT-team, geanalyseerd door experts op het gebied van incident-respons en opgevolgd door veiligheidsonderzoeken en dreigingsanalyses.
Een product dat alleen effectief kan worden gebruikt door een volledig gecertificeerde expert op het gebied van incident response is alleen nuttig als je zo’n expert ter beschikking hebt. In de meeste bedrijven zijn de eigen experts op het gebied van incident response niet voortdurend beschikbaar, dus je hebt een EDR-oplossing nodig die zelfs door een junior IT-medewerker kan worden ingezet. Een duidelijke gebruikersinterface en dashboard zijn een must en het is ook nuttig om een oplossing te hebben die alle activiteiten op je endpoints in kaart brengt. Dat maakt het voor je team veel gemakkelijker om inzicht te krijgen in wanneer en hoe een aanval plaatsvindt. Met geautomatiseerde response acties en geïntegreerde begeleiding kun je reageren op aanvallen zonder dat je zelf een expert bent.
Zo bevat onze EDR-oplossing duidelijke aanbevelingen voor het aanpakken van de mogelijke incidenten die op je dashboard verschijnen. Bovendien heb je direct vanuit de interface van het product toegang tot onze getrainde experts op het gebied van incident response, voor het geval je in een situatie terechtkomen die boven het deskundigheidsniveau van je team uitstijgt.
3. Kan de oplossing van de EDR-leverancier worden geïntegreerd met je andere security-producten?
EDR staat los van de traditionele endpoint security, hoewel beide nodig zijn voor een volledige beveiliging. Platforms voor endpoint security zijn voorzien van antivirus- en antimalware-oplossingen die zijn ontworpen om bekende bedreigingen te herkennen en tegen te houden. EDR is gericht op het opsporen van geavanceerde en specifieke bedreigingen die bedoeld zijn om endpoint security te omzeilen. Hieronder vallen ook geavanceerde acties waarbij een aantal verschillende endpoints betrokken kunnen zijn. Als je EDR-oplossing niet geïntegreerd is met je platform voor endpoint security, kun je de informatie uit beide bronnen niet tegelijkertijd onderzoeken.
De ideale situatie is een situatie waarin je niet alleen alle bedreigingen kunt voorkomen, opsporen en er effectief op kunt reageren, maar waarin je ook beide oplossingen binnen hetzelfde gebruikersportaal kunt beheren. Daarom kan het nuttig zijn om EDR-leveranciers te overwegen die ook een krachtig product voor endpoint security aanbieden.
4. Wat is de impact van de oplossing op de prestaties van je endpoints?
Een EDR-oplossing die het netwerkverkeer vertraagt en de prestaties van je endpoints beïnvloedt, leidt waarschijnlijk tot frustratie bij de gebruikers en vermindert de efficiëntie van alle activiteiten binnen je organisatie. De beste keuze is een EDR-leverancier die een oplossing biedt met lichte en discrete sensoren voor endpoints die nagenoeg onzichtbaar zijn voor de eindgebruiker. Dit zou het doel moeten zijn van iedere oplossing voor cybersecurity, dus het is belangrijk om na te gaan of een potentiële leverancier deze prioriteit deelt.
5. Welke ondersteuning biedt de EDR-leverancier?
Ondersteuning kan, en moet, vele vormen aannemen en moet aansluiten op jouw behoeften. Deze vraag is daarom complexer dan je in eerste instantie zou veronderstellen en is in het algemeen op te splitsen in verschillende deelvragen.
- Als je bedrijf te maken krijgt met een aanval of de detectie van een complexe dreiging, staat de leverancier dan klaar om je te helpen met de dreiging?
- Omvat de EDR-oplossing van de leverancier toegang tot getrainde deskundigen op het gebied van incident-respons met praktijkervaring in de aanpak van een breed scala aan cyberaanvallen?
- Biedt je leverancier de mogelijkheid om een beheerde dienst aan te schaffen, zodat jij je kunt richten op je kerntaken op het gebied van IT, terwijl je beveiliging wordt verzorgd door experts?
- Als je een grote organisatie bent die een specifiek risico loopt om doelwit te worden van een inbreuk, biedt je leverancier je dan binnen slechts enkele minuten toegang tot een volledig beheerde dienst voor de detectie van en respons op zelfs de meest complexe aanvallen?
- Biedt je leverancier 24 uur per dag, 7 dagen per week ondersteuning van experts op het gebied van bedreigingsanalyse en incident-respons?
Wil je onze antwoorden op bovenstaande vragen graag horen of heb je andere vragen? Neem dan contact met ons op.
Is het nog steeds niet helemaal duidelijk wat EDR nu eigenlijk is en hoe het werkt? Download dan ons gratis e-book ‘Waarom je EDR nodig hebt’ voor een snel en uitgebreid overzicht van Endpoint Detection & Response.
Categorieën