1 mei 2023 -
Helaas maken nog steeds veel organisaties gebruik van traditionele signature-based antivirusoplossingen met een focus op protectie, terwijl al jaren bekend is dat dit soort oplossingen niet langer toereikend is, merkt André Noordam, AVP Solutions Engineering North EMEA bij SentinelOne. De realiteit is dat 100 procent protectie een mythe is. Cyberdreigingen worden steeds geavanceerder en nemen exponentieel toe.
Daarnaast heeft de gemiddelde organisatie slechts beperkte budgetten ter beschikking en is er een gebrek aan specialistische kennis en mensen. Dit zorgt voor een grote druk op bestaande IT- en SOC-teams. In dit artikel leg hij uit hoe een EDR-oplossing kan helpen die druk te verlichten, door sneller en beter inzicht te bieden in de (mogelijke) cyberdreigingen binnen een IT-omgeving.
Snelle incident response is het verschil tussen veilig en geïnfecteerd zijn
Doorgaans begint een cyberaanval op een vrijdagavond. Dat is niet voor niks, want in het weekend vindt er minder monitoring plaats, waardoor de kans op het slagen van een aanval aanzienlijk toeneemt. Wanneer de aanval wordt opgemerkt, onderzoeken IT- of SOC-teams wat de impact ervan is geweest en waar de dreiging zich nog bevindt in het bedrijfsnetwerk. Om dit te doen is beschikking over telemetriedata cruciaal.
Telemetriedata bestaat uit verzamelde data van een netwerkomgeving die wordt geanalyseerd om de status van het netwerk en zijn componenten te bewaken, zodat netwerkbeheerders snel kunnen reageren en problemen in real time kunnen oplossen. Zonder die data is het vaak moeilijk om een waardige incident response op te zetten. Heeft er een succesvolle aanval plaatsgevonden, dan moeten er images van systemen worden genomen, moet er beoordeeld worden of die systemen nog oude logfiles bevatten van specifieke applicaties, moeten die gegevens moeten gecorreleerd worden en het netwerk eventueel worden losgekoppeld van de routers, switches en firewalls.
Om een goede analyse te kunnen maken, moet vaak veel data worden doorgespit. Als je als analist uit al die data zelf de juiste onderdelen aan elkaar moet knopen, dan ben je - afhankelijk van hoe snel en handig je bent - daar best een tijd mee bezig. Dat kan zomaar een paar uur duren. En die paar uur kunnen het verschil zijn tussen veilig en geïnfecteerd.
Zien wat er gebeurt met EDR
Een EDR-oplossing kan helpen de incident response aanzienlijk te versnellen. Zoals een flight data recorder alle essentiële vluchtgegevens bijhoudt in een vliegtuig, doet een goede EDR-oplossing eigenlijk hetzelfde op een endpoint: er wordt continu gemonitord. Elk event wordt vastgelegd en idealiter wordt meteen een ‘voorcorrelatie’ gedaan. Dit zorgt ervoor dat relevante telemetriedata meteen beschikbaar en inzichtelijk wordt gemaakt voor IT- en SOC-analisten.
De EDR-oplossing creëert inzicht in de hele keten van gebeurtenissen doordat hij precies weet wat bij elkaar hoort: denk bijvoorbeeld aan een Word-sessie en een geopende webbrowser op een endpoint. Deze sessies worden voorzien van een uniek nummer: een storyline identifier. Op die manier correleert de EDR-oplossing alle zaken die met elkaar te maken hebben en is binnen twee klikken een grafisch overzicht beschikbaar van wie welk Word-document waar heeft geopend. Zo zijn alle gebeurtenissen terug te zien of is een endpoint zelfs met één druk op de knop te herstellen naar de staat van voor de aanval. Dat betekent ook dat je een endpoint niet opnieuw hoeft in te spoolen, inclusief bijbehorend verlies van data.
Nooit te laat
Overstappen op EDR is overigens nooit te laat. Een overstap ten tijde van een incident lijkt wellicht mosterd na de maaltijd. Niets is minder waar: je mist informatie over het begin van de aanval, maar hebt na installatie van de EDR-oplossing wel inzicht in de activiteiten die op dat moment plaatsvinden. En dat is belangrijk, want vaak zijn er nog sessies of processen actief. Een EDR-oplossing biedt daar meteen inzicht in en heeft dus wel degelijk nut.
EDR maakt met een central management console gedetailleerde, gerichte controle en beheer van endpoints mogelijk via beleid of groepen en/of individuele apparaatcontrole. Met EDR is protectie op een veel slimmere manier ingeregeld en daarmee wordt een ongelofelijke efficiëntieslag geleverd voor IT-bedrijven.
Evolutie van EDR
Tegenwoordig is ook XDR al voorhanden, de evolutie van EDR. Terwijl EDR activiteiten verzamelt en correleert over meerdere endpoints, verzamelt en correleert XDR automatisch gegevens over meerdere beveiligingsvectoren. Ook deze gegevens worden gepresenteerd in een overzicht. Dit maakt nog snellere detectie van dreigingen mogelijk, zodat beveiligingsanalisten kunnen reageren voordat de impact van de dreiging groter wordt. Kant-en-klare integraties en vooraf afgestemde detectiemechanismen voor meerdere verschillende producten en platforms helpen de productiviteit, detectie van dreigingen en forensisch onderzoek nog verder te verbeteren - en dat is geen overbodige luxe in deze tijden van schaarste en exponentiële toename van cyberdreigingen.
