Endpointbeveiliging: detectie is niet genoeg, preventie is essentieel
Door de steeds grotere impact van cyberaanvallen, met name ransomware, is cybersecurity terecht aan de orde van de dag. Waar het jarenlang door management als bijzaak of ‘een IT-ding’ werd beschouwd, maken de gevolgen van een ransomware-aanval de hele organisatie bewust van het belang van sterke beveiligingsmaatregelen. Maar juist omdat security momenteel zo’n sterke focus is, laten bedrijven zich vaak teveel leiden door markttrends - ten koste van hun daadwerkelijke beveiligingsniveau.
Een van de technologieën die meer dan ooit in opkomst is, is EDR – Endpoint Detection and Response. Maar wat is het, waarom is het belangrijk – en waarom is het niet de heilige graal waar organisaties deze technologie momenteel voor aanzien?
Wat is EDR?
EDR is een beveiligingsoplossing voor endpoints (de apparaten die worden gebruikt om toegang te krijgen tot een netwerk), waarbij ook de servers in het netwerk zelf worden meegenomen. Dit zorgt voor brede en voortdurende monitoring en verzameling van netwerkgegevens, gecombineerd met geautomatiseerde respons- en analysemogelijkheden.
Deze realtime datavergaring helpt securityprofessionals om gevoelige data te beschermen en beveiligingsincidenten, zoals gerichte aanvallen of ongewoon gedrag op endpoint-apparaten, te identificeren en onderzoeken. De gegevens worden getoetst aan intelligente regels en algoritmes om verdachte activiteiten automatisch te detecteren. Dit helpt securityprofessionals om efficiënter naar ongebruikelijke en verdachte activiteiten te zoeken en maakt een nauwkeurige reactie op incidenten, beheer en rapportage mogelijk.
Je kunt EDR eigenlijk zien als een camerasysteem dat je binnenshuis ophangt, waarbij de beelden continu worden geanalyseerd. Zo kun je alle kamers in je huis goed in de gaten houden. Stel je gaat op vakantie en dit camerasysteem staat aan: dan kan iemand je huis evenwel binnenkomen, maar een inbreker die je huis overhoop haalt zal door het camerasysteem worden opgepikt als ongewenst gedrag en je een seintje geven. Vervolgens kun jij controleren wat er aan de hand is.
Een goed voorbeeld is de aanval op de Universiteit Maastricht eind 2019: criminelen hadden maandenlang toegang tot het netwerk, waardoor ze rustig konden rondkijken ter voorbereiding van hun aanval. Een EDR-oplossing had in die vier maanden de binnendringers kunnen identificeren. Maar dan had een securityprofessional wel regelmatig naar de alarmmeldingen moeten kijken om deze vervolgens te onderzoeken. Ook dit kan uitdagend zijn: wanneer een EDR-oplossing teveel bewegingen signaleert, kunnen securitymedewerkers al snel “alarm-moe” worden, wat kan leiden tot fouten of laksheid.
De ontbrekende factor
Wanneer criminelen (meerdere malen) binnendringen, dan is EDR een goede oplossing. Je krijgt inzicht in wat er op je netwerk gebeurt en je kunt binnendringers die zich ogenschijnlijk goed gedragen vroegtijdig identificeren. Maar dat betekent nog niet dat je het per se nodig hebt. Toch springen organisaties en masse op EDR als dé oplossing voor hun securityproblemen. Ze laten zich daarbij alleen iets teveel leiden door de hype in de markt, en daarmee zien ze een kritiek onderdeel van hun security over het hoofd.
Ja, een camerasysteem in je huis is nuttig – wanneer er al iemand is binnengedrongen. Maar het is véél beter om er eerst voor te zorgen dat je alle mogelijke maatregelen treft om criminelen buiten te houden. Kortgezegd, voorkomen is beter dan genezen.
Met gedegen preventie-oplossingen kun je 99% van alle bedreigingen voorkomen. Dat gaat verder dan een security awareness-training, want hoeveel trainingen je ook geeft, iemand klikt op een gegeven moment bijvoorbeeld per ongeluk op een kwaadaardige link in een phishing-mail. Maar een goed preventiesysteem kan die kliks onderscheppen en de actie preventief verplaatsen naar een afgescheiden sandbox-omgeving die het daadwerkelijke gebruikersgedrag en netwerk nabootst. Daar kan de verdachte link (of bijlage) worden geanalyseerd, voordat deze het daadwerkelijke systeem op mag.
Een ander goed voorbeeld van preventie is het inrichten van slimme firewall-profielen op alle endpoints naar gelang de behoeften van een organisatie. Endpoints hoeven bijvoorbeeld niet altijd open en bloot te liggen voor het internet. Zo kun je firewalls inrichten zodat endpoints niet met (bepaalde) IoT-apparaten zoals speakers kunnen koppelen. Je kunt zelfs een volledig endpoint afsluiten van een onbekend netwerk voordat de verbinding met de VPN is gelegd. Een soortgelijke oplossing is de activatie van secure browsers voor gevoelige websites: denk aan de beveiligde modus die automatisch aangaat wanneer je op de website van een bank komt.
Geen Endpoint Detection and Response zonder preventieHet is duidelijk dat er nog veel te winnen valt buiten EDR, dat ogenschijnlijk ‘the next big thing’ is. Alleen een focus op detectie en respons is onvoldoende voor het beveiligen van alle endpoints. Preventie moet hier altijd aan worden toegevoegd en heeft in onze ogen prioriteit. De weg naar een beter beveiligd netwerk gaat dus via EPDR: Endpoint Prevention, Detection and Response. Door preventie samen met detectie en respons te implementeren verkrijg je een totaalbeeld van een bedrijfsnetwerk, waarmee je tijdig dreigingen kunt voorkomen of mitigeren.
Door: Michael van der Vaart, Chief Experience Officer bij ESET Nederland