Endpoint Detection and Response: wat is het en heb je het nodig?

Cybercriminelen gaan steeds geavanceerder te werk. Zo gebruiken ze onder meer kunstmatige intelligentie en geavanceerde methodes als fileless malware, man-in-the-middle, cross-site scripting en spoofing van IP-adressen om bij bedrijven binnen te komen. Zakelijke endpoints als servers, laptops, desktops, mobiele telefoons, tablets, routers, switches en printers zijn daarbij een zwak punt: ze zijn niet altijd even goed beschermd en kunnen als opstapje naar toegang tot het hele bedrijfsnetwerk worden gebruikt. Het (thuiswerken en) hybride werken heeft dit probleem verergerd, zo zijn thuisnetwerken meestal minder goed beveiligd. Endpoint Detection and Response biedt hulp.

Antivirus: nooit real-time en volledig

Antivirussoftware bestaat al sinds de jaren tachtig. De oplossing werkt op basis van een steeds bijgewerkte lijst die stukjes code van alle virussen, wormen, spyware, ransomware en andere malware-vormen bevat. Bij het scannen worden nieuwe en bestaande bestanden vergeleken met kwaadaardige code die dus al bekend is.

Het probleem met deze aanpak: het is nooit real-time en volledig, aangezien er dagelijkse nieuwe cyberdreigingen bijkomen. En die moeten eerst opgenomen worden in de lijst voordat ze gedetecteerd kunnen worden. Ook al kan antivirus door kunstmatige intelligentie steeds beter voorspellen welke bestanden kwaadaardig zijn, door nieuwe ontwikkelingen tast traditionele antivirus nogal eens in het duister. Hackers hebben namelijk manieren gevonden om dit soort antivirus-software te omzeilen. Denk aan fileless malware, waarbij de kwaadaardige code bijvoorbeeld in zogeheten macro’s van documenten kan worden verstopt.

EDR: continue monitoring op verdachte activiteiten

Endpoint Detection and Response (EDR), een term die bedacht is door Gartner, werkt niet op basis van lijsten maar met continue monitoring van verdachte activiteiten. Het netwerk wordt 24/7 gescand op het niveau van endpoints. Het systeem is daarbij steeds op zoek naar afwijkingen. Dat hoeft niet alleen op technologisch vlak te zijn, maar het kan ook gaan om processen en mensen. Denk aan inlogpogingen op ongewone tijdstippen, gebruikers die meerdere verzoeken tegelijk indienen of een ongebruikelijke hoeveelheid downloads in korte tijd.

Wordt er een afwijking gedetecteerd, dan wordt het endpoint meteen buitengesloten van de rest van het netwerk. Op deze manier krijgt malware of een hacker niet de kans om het endpoint te gebruiken om de rest van het netwerk binnen te dringen. Bijkomende voordelen van EDR zijn dat ook onwelkome gasten die al binnen zijn kunnen worden opgemerkt en dat de oplossing zelflerend vermogen heeft.

Zo werkt Endpoint Detection and Response

Tools voor EDR focussen op continue online én offline monitoring, waarbij alle verzamelde gegevens worden opgeslagen in een centrale database en worden geanalyseerd op verdachte activiteiten en andere problemen.

Wordt er een dreiging gedetecteerd? Dan wordt deze automatisch geblokkeerd. Of de eindgebruiker wordt meteen gevraagd om (preventieve) actie te ondernemen.

Endpoint protection bij KPN

Met Endpoint Protection van KPN zijn al je endpoints beschermd tegen bekende malware-varianten en zeroday-malware. Er is ook een speciale variant voor servers.

Daarnaast bieden we andere vormen van bescherming voor endpoints aan. Enterprise Mobility Management (EMM) centraliseert de configuratie, de beveiliging en het beheer van alle smartphones en tablets binnen de organisatie. Mobile Threat Defense (MTD) is een beveiligingsapp voor mobiele apparaten die malafide applicaties, netwerkaanvallen en afwijkend gedrag detecteert via geavanceerde analyses.