Next-Gen EDR

Endpoint Detection and Response: what's next?

"Next-Gen" EDR

What's next: "Next-Gen" Endpoint Detection and Response?

In mijn vorige blog - Kennis is macht, inzicht met Endpoint Detection and Response geeft kracht - heb ik uitgelegd wat EDR is en waarom het naar mijn mening een essentieel onderdeel moet zijn in de set van cybersecurity-oplossingen binnen iedere organisatie. Naast een beschrijving van de kracht en mogelijkheden heb ik de nieuwe ontwikkelingen besproken waar organisaties naar toe zullen moeten gaan om maximaal inzicht en grip te krijgen en te houden op de IT-assets binnen (en buiten) de organisatie.

In dit artikel, bedoelt voor iedereen actief in de IT-Security geef ik een verdere verdieping van de specifieke verschillen met Endpoint security (Antivirus/Endpoint protectie), de uitdagingen met standalone EDR-oplossingen en de verschillen met een SIEM.

 

In het derde en laatste deel van deze serie artikelen over security, Meerlagen EDR of XDR, ga ik in op de trend richting Managed Detection and Response, Cross Layer Detection and Response- en SOAR-oplossingen.

EDR versus Antivirus / Endpoint Protection

Wat zijn de specifieke verschillen? In het verleden was een traditionele antivirusoplossing vaak voldoende om een solide bescherming van de endpoints te bieden. Echter, naarmate malware evolueerde naar de meer geavanceerde hedendaagse vormen, bleek dat dit niet langer voldoende was en dat preventie- en detectiemechanismen nodig waren om het steeds evoluerende dreigingslandschap bij te houden. EDR-oplossingen hebben verschillende unieke kenmerken en voordelen die lange tijd niet geboden werden door de bekende traditionele securityspelers in de markt. De klassieke oplossingen zijn eenvoudiger van aard en moeten gezien worden als een belangrijk onderdeel van EDR. Normaal gesproken voeren ze basistaken uit, zoals het scannen, detecteren en verwijderen van malware.

EDR-tools zijn veel breder van opzet en moeten meerdere beveiligingscomponenten bevatten, zoals het blokkeren van aanvallen en misbruiken van legitieme applicaties, het blokkeren van exploits, bescherming bieden tegen intelligente fileless malware en tevens tegen diefstal van credentials van gebruikers om een aantal aandachtsgebieden te noemen. Daarnaast bieden ze uitgebreide mogelijkheden om inzicht in de threats te bieden met uitgebreide analyses van de oorzaak van de dreiging met aangeraakte bestanden, registry settings en netwerkconnecties (Root Cause Analysis). Blijkt er ondanks alle beschermingsmaatregelen toch een incident geconstateerd te zijn dan is het belangrijk om razendsnel te kunnen zoeken (“threat hunten”) binnen de complete omgeving of hetzelfde kwaadaardige gedrag inmiddels ook op andere plekken aanwezig is waarbij het nu preventief en proactief geneutraliseerd kan worden en verdere schade voorkomen.

De uitdagingen met standalone EDR-oplossingen

Organisaties beginnen nu al te worstelen met bestaande Endpoint Detectie and Response tooling op de volgende gebieden:

  • Zichtbaarheid en detectie: blinde vlekken maken het moeilijk om te begrijpen wat er gebeurt.
  • Analyse en onderzoek: security-teams lijden aan een gebrek aan data of worden overspoeld met grote hoeveelheden aan data.
  • Incident response: meer en meer resources – en bijbehorende uren zijn nodig om accuraat te reageren op incidenten.

Daarnaast hebben klassieke EDR-oplossingen de volgende nadelen:

  • Moeilijk te gebruiken: EDR kan complex zijn in gebruik en is sterk afhankelijk van deskundige en beschikbare security-analisten.
  • Ze bieden gelimiteerde toegevoegde waarde: het gebrek aan proactieve bescherming en automatische response leidt tot overbelaste security-teams.
  • Ze zijn resource-intensief: ze zijn duur, tijdrovend en vereisen toegewijd (gespecialiseerd) personeel.

Het resultaat hiervan is dat klanten overweldigd worden en achterblijven met vragen als: is de dreiging ondertussen voorbij of ben ik nu onder aanval? Heeft de bedreiging zich verspreid, zijn we out-of -compliance? Wat moet ik prioriteren, hoe moet ik reageren en waar bevindt de dreiging zich nog meer? En misschien nog wel als belangrijkste: hoe voorkom ik dit voor de toekomst?

Om bovenstaande te adresseren is het raadzaam om te kijken naar een oplossing met intelligente EDR. Alle expertise wordt dan van binnenuit geboden. Hiermee worden de belangrijkste drie aspecten in een oplossing geboden:

  • Inzicht: in begrijpbare menselijke taal weergegeven, geprioriteerd en gericht op automatische acties.
  • Onderzoek: het zoeken en onderzoeken van en “jagen” door het hele bedrijfsdomein op bedreigen.
  • Gegevens: deze zijn gecorreleerd, automatisch in juiste context geplaatst en ordentelijk georganiseerd.

EDR begint met het bieden van de meest krachtige bescherming. Het stoppen van uitbraken voordat ze kunnen starten draagt fors bij aan de effectiviteit. De expertise moet zoveel mogelijk uit de oplossing zelf vandaan komen in plaats van door het zelf toevoegen van resources. De incident response moet zo veel mogelijk aangereikt worden en automatisch zijn.

Het stoppen van de aanvallen voor ze kunnen starten moet binnen de Endpoint-oplossing geboden worden waardoor dreigingen proactief voorkomen worden. Hierdoor wordt de werkdruk op EDR al fors verlaagd. Door effectieve bescherming wordt zo veel mogelijk ruis voorkomen en worden resources optimaal benut. 

De verschillen met een SIEM

Om duidelijkheid te scheppen in de verschillen tussen EDR en een SIEM zal ik een korte beschrijving geven van een SIEM en waarom organisaties hier een noodzaak voor hebben. Een SIEM, Security Incident en Event Management-oplossing vormt een belangrijk onderdeel in het totale landschap van gegevensbescherming. Deze verzamelt realtime gegevens van meerdere systemen en analyseert deze om abnormaal, afwijkend gedrag of potentiële cyberaanvallen te constateren. Een SIEM-tool biedt dus een centrale plaats voor het verzamelen van security-events en alerts van Endpoints, netwerkcomponenten, verschillende soorten software en appliances.

De reden dat veel organisaties een noodzaak voor een SIEM-systeem hebben om logs te monitoren en verdachte gebeurtenissen te melden, is dat de meeste organisaties met al hun security-systemen veel te veel data met events genereren om er voor een IT-Security medewerker nog iets van te kunnen begrijpen. Karakteristiek is dat ze duur en arbeidsintensief kunnen zijn en onze klanten geven vaak aan dat het moeilijk is om problemen met SIEM-data op te lossen.

Een SIEM heeft een brede focus die zich ook richt op netwerkcomponenten (waaronder IDS/IPS, switch en firewall) en databases. Hiermee wordt dus een breder scala van detecties en analyse geboden. Om vanuit dit inzicht tot een actie te komen is aanvullende tooling nodig. De tijdsspanne dat er teruggegaan kan worden in logs is fors langer vergeleken met EDR-oplossingen en door de brede dekking zullen er veel minder blinde vlekken zijn.

De pure-play EDR-vendoren zoals die de afgelopen jaren opgekomen zijn hebben zich geconcentreerd op de gaten die de traditionele securitypartijen op dat moment op de werkpleksecurity lieten liggen. Deze focussen vooral op de Endpoint met “Next-Gen” detectietechnieken, betere en completere analyse op de endpoints en mogelijkheden tot remediaton (opschoning) op de werkplekken. Echter de periode dat er voor analyse teruggegaan kan worden in tijd is vaak beperkt tot een aantal maanden en er blijven blinde vlekken over.

"De beste resultaten en het meest complete inzicht wordt verkregen als een SIEM en een EDR-oplossing samenwerken."

William Jansen

What's next?

In mijn volgende blog ga ik in op de trend richting Managed Detection and Response, Cross Layer Detection and Response- en SOAR-oplossingen en adviseer ik waar je naar moet kijken bij de selectie en evaluatie van EDR-tooling.

Over William Jansen

Zelf ben ik al meer dan 10 jaar actief in het speelveld van IT-security waarbij we keer op keer zien dat zowel door IT-trends als evolutie van het dreigingslandschap er de noodzaak blijft om maximaal inzicht te hebben en zo veel mogelijk pro-actief nieuwe bedreigingen te voorkomen. Door gebruik te maken van de next-generation EDR tooling wordt de algehele security posture vergroot zonder daarbij een explosie aan security resources of budgetoverschrijdingen tot gevolg te hebben. Daarom is het een topic dat ik graag met onze klanten in een complete security dialoog bespreek.

Wat kan SoftwareONE voor jou betekenen?

Ons Securityteam adviseert over passende security-oplossingen voor organisaties. Samen brengen wij de huidige situatie in kaart en ontwikkelen vanaf hier een roadmap die leidt tot nog meer volwassenheid en inzicht in de security-omgeving. Wil je eens met ons sparren, neem dan contact op met mij of met een van mijn collega’s Eric Bruseker, Wouter Poppenk of Tim Jonker.

Neem contact op
William Jansen

William Jansen

Senior Solution Specialist Security

 william.jansen@softwareone.com

 +31 6 5778 2516

 LinkedIn

Eric Bruseker

Eric Bruseker

Senior Solution Specialist Security

 eric.bruseker@softwareone.com

 +31 6 3199 6550

 LinkedIn

Wouter Poppenk

Wouter Poppenk

Inside Solution Specialist Security

 wouter.poppenk@softwareone.com

 +31 6 5362 6539

 LinkedIn

Tim Jonker

Tim Jonker

Solution Specialist Security

 tim.jonker@softwareone.com

 +31 6 3437 0658

 LinkedIn

Reageer op dit artikel

Laat een reactie achter om ons te laten weten wat je van dit onderwerp vindt!

Laat een bericht achter

Auteur

William Jansen

William Jansen

Senior Solution Advisor Security

 

 william.jansen@softwareone.com

 +31 6 5778 2516

 LinkedIn

Gerelateerde blogs

Vulnerability Management
  • 16 juni 2020
  • Wouter Poppenk
  • Cybersecurity
  • Security, Vulnerability Management

Vulnerability Management: Volledig inzicht belangrijk, prioriteren cruciaal!

Criminelen maken actief misbruik van organisaties met phishing-aanvallen en malicious websites. Veel aanvallers maken daarbij gebruik van vulnerabilities. Wouter Poppenk beschrijft hoe je het risico kunt verkleinen.

Endpoint Detection and Response (EDR)
  • 12 juni 2020
  • William Jansen
  • Cybersecurity, Managed Security
  • Security, Cyber-Threats, Cyber Security, Endpoint Management

Kennis is macht, inzicht met Endpoint Detection and Response geeft kracht.

Vaak is een endpoint device de belangrijkste ingang die gebruikt wordt door cyberaanvallers. Endpoint Detection and Response is een toolset voor opsporen, voorkomen en detecteren van bedreigingen. Lees meer hierover in de blog van William Jansen.

windows-7-extended-support

Windows 7 Extended Support: Now Is the Time to Take Action!

Microsoft ended support for Windows 7. Find out which far-reaching impact this will have on your environment.