Kennis is macht, inzicht met Endpoint Detection and Response geeft kracht.

Vaak is een endpoint device de belangrijkste ingang die gebruikt wordt door cyberaanvallers. Met de evolutie van werkplekmobiliteit en werknemers die verbinding maken vanaf hun werkplek onderweg, op kantoor of thuis – vooral nu tijdens COVID-19 - is het geen verrassing dat deze devices steeds kwetsbaarder worden. Zonder de juiste maatregelen voor cybersecurity kunnen kwaadwillende hackers gemakkelijk profiteren van alle bestaande en nieuwe kwetsbaarheden. Daarom is er de laatste jaren behoefte gekomen aan verbeterde beveiligingstools die de traditionele firewalls en antivirusoplossingen overtreffen. Voor zowel grote en kleine organisaties is dit een onmiskenbare prioriteit geworden. EDR (afkorting van Endpoint Detection and Response) is de term voor een toolset ten behoeve van het opsporen, voorkomen en detecteren van bedreigingen en wordt steeds vaker de standaard in cybersecurity.

In dit artikel leg ik uit wat EDR is en waarom het naar mijn mening een essentieel onderdeel moet zijn in de set van cybersecurity-oplossingen binnen iedere organisatie. Dit is bedoeld om een goed overzicht te bieden voor iedereen actief in de IT-security en een beschrijving te geven van mogelijkheden en nieuwe ontwikkelingen waar organisaties naar toe zullen moeten gaan om maximaal inzicht en grip te krijgen en te houden op de IT-assets binnen (en buiten) de organisatie. In de volgende twee artikelen in deze serie van drie security-blogs, ga ik in op EDR versus Antivirus/Endpoint protection en de verschillen met een SIEM en de trend richting Managed Detection and Response, Cross Layer Detection and Response- en SOAR-oplossingen.

Ook dit jaar zien we dat cybercriminelen om verschillende redenen maximale energie stoppen om succesvol endpoints van organisaties te targeten en aan te vallen. Dit om gegevens te stelen of ze in gijzeling te nemen voor losgeld (ransomware), te proberen ze offline te brengen, ze in een botnet te misbruiken of om DDoS-aanvallen en cryptomining uit te voeren.

Wat betekent EDR?

De term EDR staat voor Endpoint Detection and Response (of Endpoint Threat Detection & Response) en werd voor het eerst geïntroduceerd door Gartner in 2013. De originele definitie vanuit Gartner is: tools die voornamelijk zijn gericht op het detecteren en onderzoeken van verdachte activiteiten (en sporen hiervan) en andere problemen op hosts / endpoints: Endpoint Threat Detection & Response. EDR-systemen zijn gemaakt om geavanceerde malware en cyberaanvallen te detecteren en er actief op te reageren. Ze herkennen verdachte patronen die later nader onderzocht kunnen worden. Zoals hun naam al aangeeft, zijn deze tools in eerste instantie speciaal ontworpen voor endpoints (en niet voor netwerken).

Waarom is EDR belangrijk?

In vergelijking met traditionele beveiligingsoplossingen biedt EDR een beter inzicht in alle aanwezige endpoints en zorgt het voor een snellere responstijd.

Bovendien detecteren en beschermen EDR-tools organisaties tegen geavanceerde vormen van malware, Advanced Persistent Threats, Phishing, Credential Theft, etc. In aanvulling op alle krachtige en onmisbare technieken die vaak al 30 jaar uitgenut worden zijn EDR-oplossingen vaak gebaseerd op machine learning-algoritmen die zijn ontworpen om nog onbekende soorten malware te herkennen, en die vervolgens een op gedrag-gebaseerde beslissingen nemen.

In essentie wanneer bepaalde bestanden zich kwaadaardig lijken te gedragen (en vergelijkbaar zijn met reeds bekende soorten malware) zullen ze er niet in slagen EDR-oplossingen te omzeilen.

Mogelijkheden en voordelen van EDR

1. Rapporteer met vertrouwen de staat van de security op welk moment in tijd dan ook

IT- en securityteams worden vaak gemotiveerd door aanvals- en verdedigingsstatistieken, maar de moeilijkste vraag voor de meeste teams om te beantwoorden is "zijn we nu veilig?" Dit komt omdat de meeste netwerken aanzienlijke blinde vlekken hebben waardoor IT- en securityteams moeite hebben om te zien wat zich af speelt in hun omgeving.

Gebrek aan zichtbaarheid is de belangrijkste reden waarom organisaties moeite hebben om de reikwijdte en impact van aanvallen te begrijpen. Dit manifesteert zich vaak wanneer zich een incident voordoet en het team veronderstelt dat ze veilig zijn omdat dat incident is gedetecteerd. Met EDR wordt extra inzicht geboden dat bepaalt of andere machines ook werden getroffen. Als een verdacht uitvoerbaar bestand bijvoorbeeld op het netwerk wordt gevonden, wordt dit hersteld. Het is echter mogelijk dat de analist niet weet of dat uitvoerbare bestand nog ergens anders in de omgeving bestaat. Met EDR is deze informatie direct beschikbaar. Door het kunnen bekijken van de andere locaties waar bedreigingen bestaan kan het beveiligingsteam incidenten prioriteren voor aanvullend onderzoek en mogelijke oplossingen.

Het genereren van een duidelijk beeld van de totale status van de security van een organisatie biedt ook het voordeel om te kunnen rapporteren over de compliance-status. Deze informatie helpt gebieden te identificeren die mogelijk kwetsbaar zijn voor aanvallen. Het stelt beheerders ook in staat om te bepalen of de omvang van een aanval gebieden heeft geraakt waar gevoelige gegevens zijn ondergebracht. Als bijvoorbeeld malware wordt gedetecteerd die gegevens uit het netwerk exfiltreert, moet een analist bepalen of de getroffen machines medische informatie bevatten die onderworpen was aan de AVG (of BIO of NEN7510 etc..). Bijkomend compliance voordeel van innovatieve endpointoplossingen is het ook veel eenvoudiger zijn om aan te tonen dat patiëntinformatie wordt beschermd dankzij een goede zichtbaarheid van de endpoint.

2. Detecteer aanvallen die onopgemerkt zijn gebleven

Als het gaat om cybersecurity kunnen zelfs de meest geavanceerde tools worden verslagen met voldoende tijd en middelen, waardoor het moeilijk is om echt te begrijpen wanneer aanvallen plaatsvinden. Organisaties vertrouwen vaak alleen op preventie om beschermd te blijven, en hoewel preventie van cruciaal belang is, biedt EDR een aanvullende laag van detectiemogelijkheden om mogelijk onopgemerkte incidenten te vinden.

Organisaties kunnen EDR gebruiken om aanvallen te detecteren door te zoeken naar Indicators of Compromise (IOC's) – bijvoorbeeld IP-adressen of URL’s. Dit is een snelle en eenvoudige manier om te zoeken naar aanvallen die mogelijk zijn gemist. Threat searches worden vaak gestart na een melding van derden: een overheidsinstantie (zoals het NCSC-Cert) kan een organisatie bijvoorbeeld informeren dat er verdachte activiteiten in hun netwerk zijn. De melding kan vergezeld gaan van een lijst met IOC's, die als uitgangspunt kan worden gebruikt om te bepalen wat er gebeurt.

EDR-oplossingen bieden vaak een lijst met de belangrijkste verdachte gebeurtenissen, zodat analisten precies weten wat ze zouden moeten onderzoeken. Door gebruik te maken van machine learning wordt een lijst met de meest verdachte gebeurtenissen gepresenteerd, vaak gerangschikt op basis van hun dreigingsscore. Dit maakt het voor analisten gemakkelijk om hun werklast te prioriteren en zich te concentreren op de belangrijkste gebeurtenissen.

Verdachte gebeurtenissen wijzen ook op een veel voorkomend scenario waarin analisten worden gevraagd om te bepalen of iets echt kwaadaardig is. Dit heeft betrekking op activiteit die niet kwaadaardig genoeg lijkt te zijn om automatisch als ongewenst te classificeren, maar toch verdacht genoeg lijkt om een diepere blik of analyse te rechtvaardigen. Veel nieuwe code of scripts vallen in een "grijs gebied" waar aanvullende analyse nodig is om te bevestigen of het kwaadaardig, goedaardig of ongewenst is.

3. Reageer sneller op potentiële incidenten

Zodra incidenten worden gedetecteerd, proberen IT- en securityteams meestal om ze zo snel mogelijk te verhelpen om het risico op verspreiding van aanvallen te verminderen en mogelijke schade te beperken. De meest relevante vraag die er gesteld moet worden is hoe je van elke respectievelijke dreiging af kunt komen. Gemiddeld besteden security- en IT-teams meer dan drie uur aan elk incident. EDR kan dit aanzienlijk versnellen.

De eerste stap die een analist tijdens het incident-responsproces zou kunnen nemen, is het stoppen van de aanval. Via een endpoint security inclusief EDR wordt de endpoint op aanvraag geïsoleerd. Dit is een belangrijke stap om te voorkomen dat een dreiging zich verder in omgeving verspreidt. Analisten doen dit vaak voordat ze onderzoek doen, tijd kopen terwijl ze de beste manier van handelen bepalen.

Het onderzoeksproces kan langzaam en pijnlijk zijn. Dit veronderstelt natuurlijk dat er überhaupt een onderzoek plaatsvindt. De reactie op incidenten is traditioneel sterk afhankelijk van hoog opgeleide menselijke analisten. De meeste EDR-tools zijn ook sterk afhankelijk van analisten om te weten welke vragen ze moeten stellen en hoe ze de antwoorden moeten interpreteren. Met de nieuwe Endpoint Security inclusief EDR kunnen beveiligingsteams van alle niveaus snel reageren op beveiligingsincidenten dankzij begeleide onderzoeken die voorgestelde volgende stappen bieden alsmede een duidelijke visuele weergave van de aanval en ingebouwde expertise.

Begeleide incidentrespons biedt voorgestelde volgende stappen en on-demand endpoint isolatie om incidenten snel en veilig op te lossen. Wanneer een onderzoek is afgerond, kunnen analisten reageren met een klik op een knop. Snelle reactie opties bevatten de mogelijkheid om endpoints te isoleren voor onmiddellijk herstel, bestanden op te schonen en te blokkeren en forensische snapshots te maken. Als een bestand per ongeluk wordt geblokkeerd kan het gemakkelijk worden teruggedraaid.

4. Begrijp hoe een aanval plaatsvond om zo nieuwe aanvallen te voorkomen

Security-analisten hebben terugkerende nachtmerries wanneer ze een aanval hebben ondergaan: een leidinggevende schreeuwt: "Hoe is dit gebeurd?!" en ze kunnen alleen hun schouders ophalen. Het identificeren en verwijderen van kwaadaardige bestanden lost het onmiddellijke probleem op, maar het werpt geen licht op hoe het daar in de eerste plaats is gekomen of wat de aanvaller deed voordat de aanval werd gestopt.

"Threat cases" moeten alle gebeurtenissen in kaart brengen die hebben geleid tot een detectie, waardoor het gemakkelijk te begrijpen is welke bestanden, processen en registersleutels door de malware zijn aangeraakt om de impact van een aanval te bepalen. Ze bieden een visuele weergave van de gehele aanvalsketen, en zorgen voor een accurate rapportage over hoe de aanval begon en waar de aanvaller naar toe ging. Wat nog belangrijker is, is dat het IT-team, door de oorzaak van een aanval te begrijpen, veel beter nieuwe aanvallen kan voorkomen.