Betekenis en definitie van EDR
Endpoint detection and response (EDR) verwijst naar een categorie hulpmiddelen die continu bedreigingsgerelateerde informatie op computerwerkstations en andere endpoints bewaken. Het doel van EDR is inbreuken op de beveiliging in real time te identificeren en een snelle reactie op potentiële bedreigingen te ontwikkelen. Endpoint detection and response - soms bekend als endpoint threat detection and response (ETDR) - beschrijft de mogelijkheden van een reeks tools, waarvan de details kunnen variëren afhankelijk van de implementatie.
De term werd in 2013 voor het eerst door Gartner bedacht om aan te geven wat toen als een nieuwe categorie cyberbeveiligingssoftware werd beschouwd.
Hoe werkt EDR?
EDR richt zich op endpoints, wat elk computersysteem in een netwerk kan zijn, zoals werkstations van eindgebruikers of servers. EDR-beveiligingsoplossingen bieden real-time zichtbaarheid en proactieve detectie en respons. Zij bereiken dit door een verscheidenheid aan methoden, waaronder:
Gegevens verzamelen van eindpunten:
Gegevens worden gegenereerd op eindpuntniveau, inclusief communicatie, procesuitvoering en gebruikersaanmeldingen. Deze gegevens zijn geanonimiseerd.
Verzending van gegevens naar het EDR-platform:
De geanonimiseerde gegevens worden vervolgens van alle eindpunten naar een centrale locatie gestuurd, meestal een cloud-gebaseerd EDR-platform. Het kan ook op locatie of als hybride cloud werken, afhankelijk van de behoeften van een bepaalde organisatie.
Analyse van de gegevens:
De oplossing maakt gebruik van machine learning om gegevens te analyseren en gedragsanalyses uit te voeren. Inzichten worden gebruikt om een basislijn van normale activiteit vast te stellen, zodat anomalieën die een verdachte activiteit vertegenwoordigen, kunnen worden geïdentificeerd. Sommige EDR-oplossingen omvatten informatie over bedreigingen om context te bieden aan de hand van echte voorbeelden van cyberaanvallen. De technologie vergelijkt netwerk- en endpointactiviteiten met deze voorbeelden om aanvallen op te sporen.
Signaleren van en reageren op verdachte activiteiten:
De oplossing signaleert verdachte activiteiten en stuurt waarschuwingen naar beveiligingsteams en relevante belanghebbenden. Het initieert ook automatische reacties volgens vooraf bepaalde triggers. Een voorbeeld hiervan is het tijdelijk isoleren van een eindpunt om te voorkomen dat malware zich over het netwerk verspreidt.
Gegevens bewaren voor toekomstig gebruik:
EDR-oplossingen bewaren gegevens ter ondersteuning van toekomstige onderzoeken en proactieve jacht op bedreigingen. Analisten en hulpmiddelen gebruiken deze gegevens om bestaande verlengde aanvallen of eerder onopgemerkte aanvallen te onderzoeken.
Het gebruik van EDR neemt toe - deels door de toename van het aantal endpoints in netwerken en deels door de toegenomen geavanceerdheid van cyberaanvallen, die vaak gericht zijn op endpoints als gemakkelijkere doelwitten om een netwerk te infiltreren.
Wat te zoeken in een EDR-oplossing
De EDR-mogelijkheden variëren van leverancier tot leverancier, dus voordat u een EDR-oplossing voor uw organisatie kiest, is het belangrijk de mogelijkheden van elk voorgesteld systeem te onderzoeken en na te gaan hoe goed het kan integreren met uw bestaande algemene beveiligingsmogelijkheden. De ideale EDR-oplossing is er een die het hoogste niveau van bescherming biedt en tegelijkertijd de minste inspanning en investering vergt - waardoor uw beveiligingsteam meerwaarde krijgt zonder dat de middelen uitgeput raken. Hier zijn de belangrijkste kenmerken waarop je moet letten:
Zichtbaarheid op endpoints:
Met zichtbaarheid op al uw endpoints kunt u potentiële bedreigingen in realtime bekijken, zodat u ze onmiddellijk kunt stoppen.
Bedreigingsdatabase:
Voor effectieve EDR zijn belangrijke gegevens nodig die van endpoints worden verzameld en die worden verrijkt met context, zodat analyses tekenen van aanvallen kunnen identificeren.
Gedragsbescherming:
EDR omvat gedragsbenaderingen die zoeken naar aanvalsindicatoren (IOA's) en relevante belanghebbenden waarschuwen voor verdachte activiteiten voordat een inbreuk plaatsvindt.
Inzicht en informatie:
EDR-oplossingen die informatie over bedreigingen integreren, kunnen context bieden, zoals informatie over de vermoedelijke aanvaller of andere details over de aanval.
Snelle reactie:
EDR die een snelle reactie op incidenten mogelijk maakt, kan een aanval voorkomen voordat het een inbreuk wordt, zodat uw organisatie normaal kan blijven functioneren.
Cloudgebaseerde oplossing:
Een cloudgebaseerde oplossing voor endpointdetectie en -respons zorgt ervoor dat endpoints niet worden belast, terwijl de zoek-, analyse- en onderzoeksmogelijkheden nauwkeurig en in realtime kunnen worden voortgezet.
De precieze details en mogelijkheden van een EDR-systeem kunnen variëren, afhankelijk van de uitvoering. Een EDR-implementatie kan inhouden:
- Een specifiek doelgericht instrument;
- Een klein onderdeel van een breder instrument voor beveiligingsbewaking; of
- Een losse verzameling instrumenten die in combinatie met elkaar worden gebruikt.
Aangezien aanvallers hun methoden voortdurend ontwikkelen, kunnen traditionele beschermingssystemen tekortschieten. Cyberbeveiligingsdeskundigen beschouwen EDR als een vorm van geavanceerde bescherming tegen bedreigingen.
Waarom EDR essentieel is voor bedrijvenVoeg een plaatshouder in
De meeste organisaties staan bloot aan een breed scala van cyberaanvallen. Deze variëren van eenvoudige, opportunistische aanvallen, zoals een dreigingsactor die een e-mailbijlage met bekende ransomware verstuurt, tot meer geavanceerde aanvallen waarbij dreigingsactoren bekende exploits of aanvalsmethoden kunnen gebruiken en deze proberen te verbergen met behulp van ontwijkingstechnieken zoals het uitvoeren van malware in het geheugen.
Daarom is endpointbeveiliging een essentieel aspect van de cyberbeveiligingsstrategie van een organisatie. Hoewel een groot deel van de cyberaanvallen met netwerkbescherming doeltreffend wordt geblokkeerd, glippen sommige aanvallen er doorheen en kunnen andere - zoals malware op verwisselbare media - deze bescherming volledig omzeilen. Een verdedigingsoplossing op basis van endpoints stelt een organisatie in staat een betere beveiliging te implementeren en vergroot de kans om deze bedreigingen te identificeren en erop te reageren.
Nu organisaties over de hele wereld steeds vaker op afstand gaan werken, is het belang van robuuste endpointbescherming toegenomen. Werknemers die thuis werken zijn mogelijk niet in dezelfde mate beschermd tegen cyberdreigingen als werknemers op locatie en gebruiken mogelijk persoonlijke apparaten zonder de laatste updates en beveiligingspatches. Werknemers die op afstand werken, zijn wellicht minder alert op hun cyberbeveiliging dan wanneer zij in een traditionele kantooromgeving zouden werken.
Als gevolg daarvan staan organisaties en hun werknemers bloot aan extra risico's op het gebied van cyberbeveiliging. Sterke endpointbeveiliging is essentieel omdat het de werknemer beschermt tegen bedreigingen en kan voorkomen dat criminelen de computer van een werknemer op afstand gebruiken om het netwerk van de organisatie aan te vallen.
Het herstellen van een inbreuk kan moeilijk en duur zijn, en dat is misschien wel de belangrijkste reden waarom EDR nodig is. Zonder een EDR-oplossing kunnen organisaties wekenlang proberen te beslissen welke maatregelen ze moeten nemen - en vaak is hun enige oplossing het opnieuw maken van een image van machines, wat zeer storend kan zijn, waardoor de productiviteit daalt en er financieel verlies ontstaat.
EDR versus antivirus
EDR is geen antivirussoftware, hoewel het antivirusmogelijkheden kan hebben of gegevens van een antivirusproduct kan gebruiken. Antivirussoftware is verantwoordelijk voor de bescherming tegen bekende cyberdreigingen, terwijl een EDR-programma nieuwe exploits identificeert terwijl ze worden uitgevoerd en verdachte activiteiten van een aanvaller kan detecteren tijdens een actief incident. EDR-software maakt echter deel uit van de nieuwste generatie cyberbeveiligingsproducten.
EDR beste praktijk
Er zijn verschillende best practices om te overwegen bij het implementeren van EDR in uw organisatie:
Vergeet de gebruikers niet
Gebruikers vormen een van de grootste risico's voor elk systeem, aangezien zij schade kunnen veroorzaken, hetzij met kwade bedoelingen, hetzij door menselijke fouten. Geef uw gebruikers voorlichting over cyberdreigingen en risicovol gedrag om hun veiligheidsbewustzijn te vergroten en de risico's van tactieken als phishing of social engineering tot een minimum te beperken. Regelmatige training of nepdreigingsscenario's zullen de gebruikers bewuster maken van cyberbeveiligingskwesties en de reactietijd versnellen wanneer zich een incident voordoet.
Sommige gebruikers vinden misschien workarounds als een EDR-oplossing de gebruikerservaring verstoort. Dit kan bijvoorbeeld inhouden dat defensiefunctionaliteit wordt uitgeschakeld om hun ervaring te verbeteren. Als een oplossing echter te flexibel is voor verzoeken van gebruikers, kunnen aanvallers deze gemakkelijk manipuleren. Het kan helpen om zo transparant mogelijk te zijn voor een eindgebruiker, zodat deze begrijpt waarom deze oplossingen er zijn. Waar gebruikersinteracties nodig zijn, moet de communicatie duidelijk en direct zijn. Het systeem mag geen onnodige systeeminformatie vrijgeven, zoals persoonsgegevens of IP-architecturen.
Integreren met andere tools
EDR-oplossingen zijn ontworpen om endpoints te beschermen, maar bieden geen volledige beveiligingsdekking voor alle digitale middelen binnen je organisatie. EDR should operate as one aspect of your overall information security strategy, alongside other tools such as antivirus, patch management, firewalls, encryption, and DNS protection.
Gebruik netwerksegmentatie
Hoewel sommige EDR-oplossingen endpoints isoleren bij het reageren op bedreigingen, vervangen zij niet de netwerksegmentatie. Bijvoorbeeld:
- Met een gesegmenteerd netwerk kun je eindpunten beperken tot specifieke diensten en gegevensopslagplaatsen. Dit kan het risico van gegevensverlies en de omvang van de schade die een succesvolle aanval kan veroorzaken, aanzienlijk beperken.
- Ethernet Switch Paths (ESP's) kunnen extra netwerkbeveiliging bieden. Met ESP's kunt u de structuur van het netwerk verbergen, zodat aanvallers zich niet gemakkelijk tussen segmenten van het netwerk kunnen bewegen.
Neem preventieve maatregelen
Je moet nooit alleen vertrouwen op actieve reacties op bedreigingen, maar in plaats daarvan actieve reacties combineren met preventieve maatregelen. Door ervoor te zorgen dat systemen up-to-date en gepatcht blijven, met uitgebreide protocollen en afhankelijkheidslijsten, verminder je het aantal bedreigingen waartegen je je moet beschermen.
Controleer regelmatig uw systemen om na te gaan of de tools en protocollen nog correct zijn geconfigureerd en worden toegepast. De functionaliteit van systemen en instrumenten testen door voortdurend dreigingsmodellen en penetratietests uit te voeren.
Idealiter beschikt je organisatie over een uitgebreid incidentenbestrijdingsplan waarin is vastgelegd wie zal reageren en hoe zij zullen reageren in geval van een aanval. Met een plan kun je sneller op een incident reageren en heb je een structuur voor het analyseren van gegevens die na de gebeurtenis worden verzameld.
Gebruik beschikbare hulpmiddelen
Als je hulpmiddelen van derden gebruikt, maak dan gebruik van alle educatieve hulpmiddelen die door je EDR-leverancier worden verstrekt. Veel leveranciers bieden trainingen of webinars aan om klanten op de hoogte te houden van de nieuwste functies en beste praktijken. Sommige bedrijven bieden voor weinig of geen geld korte cursussen aan over uiteenlopende beveiligingsonderwerpen.
U kunt nuttige hulpmiddelen en hulpbronnen vinden over gemeenschapsmiddelen en organisaties voor informatie-uitwisseling en -analyse (ISAO's). Bekende maatschappelijke organisaties waarvan de websites nuttige gegevens en inzichten over cyberbeveiliging bevatten, zijn onder meer de National Vulnerability Database (NVD) en het Open Web Application Security Project (OWASP).
EDR versus XDR
Traditionele EDR-tools richten zich alleen op endpointgegevens en bieden zicht op vermoedelijke bedreigingen. Naarmate de uitdagingen waarmee beveiligingsteams worden geconfronteerd - zoals een overvloed aan gebeurtenissen, beperkt gerichte tools, een gebrek aan integratie, een tekort aan vaardigheden en te weinig tijd - zich verder ontwikkelen, veranderen ook de EDR-oplossingen.
XDR, of extended detection and response, is een meer recente benadering van het opsporen van en reageren op bedreigingen van endpoints. De "X" staat voor "uitgebreid" en staat voor elke gegevensbron, zoals netwerk-, cloud-, derde partij- en endpointgegevens, waarbij de beperkingen van het onderzoeken van bedreigingen in geïsoleerde silo's worden erkend. XDR-systemen maken gebruik van een combinatie van analyses, heuristiek en automatisering om inzicht te genereren uit deze bronnen, waardoor de beveiliging wordt verbeterd ten opzichte van silo-beveiligingsinstrumenten. Het resultaat is vereenvoudigd onderzoek bij alle beveiligingsactiviteiten, waardoor het minder tijd kost om bedreigingen te ontdekken, te onderzoeken en erop te reageren.
Gerelateerde producten:
- Kaspersky Endpoint Detection and Response Expert
- Kaspersky Endpoint Detection and Response Optimum
- Kaspersky Endpoint Security Zakelijk
Verder lezen: