Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

De opkomst van endpoint detection en response

 

Computable Expert

Judith Veenhouwer
Marketing Manager, SENTINELONE. Expert van Computable voor het topic Security.

Endpoint detection en response, ofwel EDR, is ontstaan omdat antivirus-oplossingen en endpoint protection platformen niet voldoende bescherming meer konden bieden. Hoe is dat zo gekomen?

Vanaf 2010 werd duidelijk dat kwaadaardige code ook geïnjecteerd kon worden zonder software te moeten installeren. Door een uitvoeringsbestand te gebruiken werden netwerk- en legacy antivirus-software volledig omzeild. Twee belangrijke voorbeelden hiervan zijn phishing en laterale aanvallen van hackers.

Kwaadaardige documenten

"Malware-makers ontdekten al snel manieren (zoals macros) om documenten te gebruiken"

De meeste mensen weten wel het verschil tussen een applicatie en een MS Word, Excel of pdf-bestand. Het eerste doet iets, het andere kun je lezen of bewerken. Hoewel dit niet helemaal klopt, openen mensen makkelijk een document dat van een goed uitgevoerde phishing-actie afkomstig is. Dit is veel eenvoudiger dan iemand een executable laten downloaden en draaien, hoewel dat ook nog steeds gebeurt. Malware-makers ontdekten al snel manieren (zoals macros) om ook documenten te gebruiken.

Macros uitzetten is niet voldoende, want het is voor veel organisaties een middel om de productiviteit te vergroten. Dat zullen ze niet snel willen opgeven, en dus blijven infecties via macros bestaan. Daarnaast is zo’n besmet document dus veel makkelijker op een systeem te krijgen dan code of een applicatie. De kansen op een klik liggen vrij hoog, en dus is de kans op succes aantrekkelijk. Voorlopig zijn we er dus nog niet vanaf.

Laterale aanvallen

Laterale bewegingen zijn voor hackers manieren om in een netwerk commando’s uit te voeren en code te laten draaien en verspreiden. Dit is niet nieuw, maar dankzij een lek van NSA hacking tool bleek dat sommige besturingssystemen kwetsbaarheden bevatten die jarenlang hackers de gelegenheid boden om ongezien te werk te gaan. Een bekend voorbeeld is EternalBlue, een aanvalsmethode waarbij het SMB-protocol (server message block) voor het delen van bestanden werd misbruikt. EternalBlue werd gebruikt bij onder andere de WannaCry ransomware-aanval en de NotPetya-aanval die wereldwijd effect hadden. Geen enkele antivirus of next gen EPP (extensible provisioning protocol) kan EternalBlue tegenhouden.

Bestandsloze malware en systeemkwetsbaarheden zijn twee van de meest voorkomende aanvalsmanieren die traditionele antivirus en veel next-gen endpoint oplossingen weten te omzeilen. Detectie is het nieuwe antwoord.

Voorheen (en soms nog steeds) werden Incident Response-teams ingevlogen om een hack te onderzoeken en uit te zoeken wat er precies was gebeurd. De wat meer technisch onderlegde bedrijven investeerden in visibility tools om inzicht te krijgen in netwerken. Het zorgde voor een nieuwe categorie in de toch al druk bezette security-markt. Gartner’s Anton Chuvakin gebruikte de term EDR (endpoint detection en response) om deze nieuwe tools aan te duiden.

EDR kwam echter wel met wat uitdagingen. Ten eerste had je een team zeer kundige mensen nodig om de oplossingen te beheren en om uit de grote hoeveelheid data de juiste informatie te halen. Hoewel deze mensen volop werden aangenomen, zien we de laatste paar jaar toch weer de succesvolle aanvallen toenemen. Daarnaast is ‘dwell time’ een probleem. Dit staat voor de tijd die tussen infectie tot detectie van kwaadaardige code zit. Sommige hadden een dwell time van gemiddeld negentig dagen, inmiddels is dat naar eigen zeggen teruggebracht tot minuten. Los van of dit waar is of niet, zelfs tien seconden is al te veel. Een aanvaller kan een hoop doen in enkele seconden. Detectie in realtime is de enige echte oplossing. Daar zijn verschillende aanpakken voor.

Aanpakken

"Extra data zonder context vergroot de kans op 'alert-moeheid', waar het security-team niet gelukkiger van wordt"

Om het werk van de security-analist makkelijker te maken, is de inzet van een chatbot bedacht om samen te werken met die getrainde professional. Uitleggen aan een chatbot wat je precies bedoelt kan echter moeilijker zijn dan een van de dagelijkse SQL-queries schrijven, zeker voor een ervaren threat hunter.

Een SOC (security operations center) geeft veel inzicht en helpt bij het vasthouden van een hoog security-niveau. Extra data zonder context vergroot echter wel de kans op 'alert-moeheid', waar het security-team niet gelukkiger van wordt. SOC-analisten hebben specialistische kennis en moeten werk doen dat bij hun kunde past. Liever werken ze met gestructureerde data om een aanvalsplan te analyseren en daarop tegenmaatregelen te ontwerpen, dan een lastige puzzel van allerlei stukjes in elkaar proberen te zetten om überhaupt een eerste plaatje te krijgen.

Een derde aanpak is het uitbesteden van security, met name als een bedrijf niet zelf de mankracht of kennis heeft om het eigen netwerk in de gaten te houden. Dit kan waardevol zijn, maar nog steeds moeten sommige taken geautomatiseerd worden, zoals realtime respons. Wachten op menselijke actie duurt simpelweg te lang; de dwell-time is te groot.

ActiveEDR

Eigenlijk heeft ieder endpoint een SOC-analist nodig, waarbij heel veel data wordt omgezet in inzicht in aanvalsplannen met alleen kwalitatieve alerts die daadwerkelijk een risico betekenen. Dat is wat ActiveEDR inhoudt. ActiveEDR weerhoudt, detecteert en reageert op aanvallen met machinesnelheid. Bovendien gebeurt dit onafhankelijk van bestandsformaten en of het endpoint in verbinding staat met de cloud of niet. ActiveEDR kan middels visuele overzichten veel inzicht bieden, ook aan teamleden die minder uitgebreid zijn getraind. Het maakt snel duidelijk waar het probleem zit, en hoe het weer terug te draaien. Bovendien heeft het systeem zelf dan al ergere schade voorkomen.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6792978). © Jaarbeurs IT Media.

?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.