Hoewel technologieën voor endpoint security dichter bij elkaar komen te liggen, kunnen we deze nog steeds grofweg in twee categorieën indelen: endpoint protection platforms (EPP) en endpoint detectie en respons-oplossingen (EDR).
De afbakening tussen de twee is voor de meeste IT-specialisten heel duidelijk. Simpel gezegd: EPP is preventieve beveiliging en EDR maakt detectie en respons mogelijk. Over het algemeen wordt de meeste bedrijven aangeraden om gebruik te maken van zowel EPP als EDR, zodat zij goed voorbereid zijn op aanvallen van tegenwoordig.
Er is echter vaak verwarring over de specifieke rollen van deze oplossingen bij het uitwerken van moderne cyberbeveiligingsstrategieën. Verkies je EPP boven EDR of vice versa? Naar welke mogelijkheden moet je kijken bij elke oplossing? Wat is de beste manier om geavanceerde aanvallen tegen te gaan? Wat voor hulpmiddelen zijn er nodig om op incidenten te reageren?
We nemen een aantal basiselementen door om antwoord te geven op deze vragen.
EPP voorkomt de meest gangbare cyberaanvallen
In feite is EPP bedoeld om aanvallen te voorkomen, vooral wanneer het aankomt op de zogenoemde commodity threats: bulk malware, niet-gerichte phishing en standaard internetoplichting.
Dit is de white noise op het gebied van bedreigingen. De meeste IT-beveiligingsteams kunnen effectief genoeg omgaan met deze bedreigingen, zolang ze beschikken over degelijke hulpmiddelen.
Hoewel commodity threats redelijk duidelijk zijn, vormen ze voor veel bedrijven nog steeds een prioriteit. Dit is te wijten aan hun grote omvang en enorme vermogen om bedrijfsactiviteiten te verstoren. Zo kunnen grootschalige ransomware-infecties een bedrijf bijvoorbeeld tot stilstand brengen. Tegelijkertijd wilt je de IT-afdeling niet continu lastigvallen met verzoeken om malware te verwijderen of zakelijke laptops volledig te herstellen.
Naast het voorkomen van deze gangbare bedreigingen, kan EPP ook beschermen tegen geavanceerdere aanvallen. Door preventieve beveiliging moeten hackers harder werken, waardoor de kostenstructuur vaak omhooggaat. Hierdoor zullen de gelegenheidsaanvallers hoogstwaarschijnlijk jouw bedrijf links laten liggen en op zoek gaan naar een gemakkelijker doelwit. EPP kan ook detectie-, en responsprocessen soepeler laten verlopen door waarschuwingen te verminderen, wat de werkdruk van het IT-beveiligingsteam verlaagt.
Ondanks dat we het hier over endpoint protection hebben, is het belangrijk om te weten dat endpoints zelf niet alles omvatten. Om de capaciteit te optimaliseren om zowel bedreigingen te voorkomen als gegevens te verzamelen voor forensische doeleinden, heb je waarschijnlijk een goed netwerkbeveiligingspakket nodig dat aansluit op jouw EPP. Het is veel lastiger beveiligingsincidenten te behandelen wanneer je geen gegevens uit deze twee bronnen hebt of wanneer je deze gegevens niet effectief in verband kunt brengen.
Met dit in het achterhoofd, vind je hieronder enkele standaard mogelijkheden waar je bij een EPP op moet letten wat betreft prevention en incident response:
- Bewezen percentages van malwaredetectie door een onafhankelijke beoordelaar zoals AV-TEST
- De preventie van veelvoorkomende exploits, met inbegrip van ransomware
- De detectie en het voorkomen van code-injectie
- De integratie met een host-based firewall
- De controle van de inhoud van browsergegevens
- Toepassing whitelisting met afstelbare configuratie
Omdat EPP een goede kosten-batenverhouding heeft, verkiezen veel bedrijven deze oplossing boven andere beveiligingsoplossingen. Hier is niets mis mee, zolang het een bewuste keuze is aan de hand van dreigingsanalyses en risicobeoordelingen. Indien je echter vertrouwt op EPP omdat deze oplossing simpelweg in het verleden goed werkte, is het hoog tijd om de beveiligingsstrategie eens onder de loep te nemen.
EDR ontdekt aanvallen die EPP hebben omzeild
Endpoint Protection Platforms zijn van onschatbare waarde in het voorkomen van bedreigingen. Maar ze zijn niet ontworpen voor beveiliging nadat er een aanval heeft plaatsgevonden. Indien een aanval de firewall en EPP omzeilt, kun je deze in principe niet detecteren zonder extra hulpmiddelen.
Hier komt endpoint detectie en respons om de hoek kijken. EDR stelt IT-beveiligingsteams in staat schadelijke activiteiten te identificeren bij normaal gebruikersgedrag. Dit is mogelijk omdat er gedragsgegevens worden verzameld die vervolgens naar een centrale database worden gestuurd ter analyse. Omdat EDR-oplossingen gebruikmaken van AI-gestuurde analyse-instrumenten, zijn zij in staat patronen te identificeren en afwijkingen te detecteren, die vervolgens voor verder onderzoek of herstel kunnen worden aangemeld.
EDR wordt steeds waardevoller in het moderne dreigingslandschap, omdat bedrijven steeds vaker het doelwit zijn van gerichte aanvallen die niet met traditionele veiligheidsmaatregelen kunnen worden tegengehouden. Het spel is definitief veranderd. Het gaat niet langer om het bouwen van muren rond bedrijfsmiddelen. In plaats daarvan moet je sensoren installeren die indringers kunnen detecteren wanneer ze onvermijdelijk manieren vinden om de beveiliging te omzeilen.
Hieronder vind je enkele standaard mogelijkheden waarnaar je moet kijken bij een EDR-oplossing wat betreft de detectie van bedreigingen en de respons op incidenten:
- Kan potentieel schadelijk gedrag detecteren, zoals het bewerken van registersleutels en het op gang brengen van processen
- Kan de opsporingen in een context plaatsen en de aanval bij alle getroffen hosts visueel presenteren
- Omvat informatie over bedreigingen met betrekking tot het heersende dreigingslandschap
- Kan advies geven over hoe je het beste kunt handelen in plaats van alleen maar basisinformatie over de gebeurtenissen te tonen
- Heeft de mogelijkheid om aanvallen op afstand te stoppen door alle getroffen hosts te isoleren van het netwerk
EDR is een degelijke manier om jouw beveiliging op het gebied van detectie en respons te verbeteren. Het is echter geen wondermiddel: je hebt nog steeds iemand nodig om ervoor te zorgen dat het goed werkt en die handelt bij waarschuwingen. Beheerders die de context van verschillende bedreigingen begrijpen, kennis hebben van de basismethoden voor aanvallen en over het vermogen beschikken om op bedreigingen te reageren, zijn niet gemakkelijk te vinden. Veel branche-analisten voorspellen zelfs een groot tekort aan bekwame arbeidskrachten in de nabije toekomst.
Hierdoor is het belangrijk dat je een realistische inschatting maakt van de huidige capaciteiten. Beschik je over een toegewijd IT-beveiligingsteam? Zo niet, moet je dan meer mensen in dienst nemen of kijken naar de mogelijkheid deze werkzaamheden uit te besteden? Hebben zij de vaardigheden om EDR optimaal te benutten? Kunnen zij op incidenten reageren met de mogelijkheden van EDR of andere hulpmiddelen?
Automatisering en uitbestede ondersteuning zijn grote aanwinsten wanneer je dit soort competentiekwesties aanpakt. De EDR-oplossing van F-Secure is ontworpen met dit in het achterhoofd. Zo kun je geautomatiseerde responsacties uitvoeren en heb je de mogelijkheid om lastige zaken rechtstreeks naar onze experts te escaleren.
Waar gaat het om bij EPP en EDR?
Kortom, de meeste organisaties zouden er goed aan doen zowel EPP als EDR te overwegen om zich voldoende te beveiligen tegen moderne cyberaanvallen. Afhankelijk van de specifieke behoeften van jouw bedrijf kun je de ene verkiezen boven de andere, maar in het moderne bedreigingslandschap zijn zowel effectieve preventie als respons noodzakelijk.
Is het belangrijker voor jouw bedrijf om: een grotere kans te hebben om aanvallen bij het endpoint te voorkomen of om deze snel te detecteren als ze eenmaal de preventieve middelen hebben omzeild? Uiteindelijk is dit een vraag voor het topmanagement, waarbij het antwoord een afspiegeling moet zijn van de branche, netwerkstructuur, organisatiecultuur en de capaciteiten van het beveiligingsteam.
Categorieën