Fort Lox

Waarom een traditionele antivirus op vandaag niet meer voldoende is

Alhoewel technologieën voor endpointbeveiliging meer en meer overlappen, kunnen ze nog steeds grofweg verdeeld worden in twee categorieën: endpoint protection platforms (EPP) en endpoint detection and response (EDR). Iedereen is gekend met EPP, de ‘traditionele’ antivirus, alhoewel deze term in de laatste jaren een stuk breder is geworden. Maar is dit nog steeds voldoende, en welke rol kan EDR spelen in het vullen van de gaatjes in de beveiliging?

Laten we kort even alles op een rijtje zetten.

EPP voorkomt de meest gebruikelijke cyberaanvallen

De kern van EPP is aanvalspreventie, vooral op vlak van ‘commodity threats’: niet-gerichte malware, phishing en online scams. Deze threats zijn vaak nog steeds een prioriteit voor bedrijven, simpelweg vanwege de grote hoeveelheid dergelijke aanvallen en de mogelijkheid om productie ernstig te verstoren.

Aanvullend kan EPP je ook beschermen tegen meer geavanceerde aanvallen. Goede preventieve beveiliging maakt het moeilijker voor aanvallers om een voet aan de grond te krijgen en verhoogt dus de kost en moeite om de aanval uit te voeren. Dit zorgt ervoor dat opportunistische aanvallers vaker de aanval zullen staken om een gemakkelijker doelwit uit te zoeken. EPP verlaagt ook het aantal meldingen dat IT moet onderzoeken aanzienlijk, waardoor deze tijd vrijkomt voor andere zaken.

De kerncapaciteiten van de meeste EPP’s zijn als volgt:

  • Preventie van veelvoorkomende exploits, waaronder ransomware
  • Integratie met een host-based firewall (bv. Windows firewall)
  • Content inspection van browser data
  • Applicatie whitelisting

EPP wordt vaak geprioriteerd door bedrijven vanwege zijn goede kosten-batenratio. Hier is ook niets mis mee, zolang dit een onderbouwde keuze is op basis van de nodige risicoanalyses. Echter, als er gerekend wordt op EPP omdat dit in het verleden ook gewerkt heeft, is het tijd om de beveiligingsstrategie opnieuw onder de loep te nemen.

EDR ontdekt aanvallen die de EPP omzeild hebben

EPP is essentieel op vlak van het voorkomen van aanvallen, maar zijn niet ontworpen voor beveiliging na een succesvolle aanval. In essentie, wanneer een aanval de firewall en EPP omzeilen, zijn bijkomende tools nodig.

Hier kan EDR deze rol invullen. EDR vult het IT-team aan door verdachte handelingen te onderscheiden tussen het normale gebruikersgedrag, dit door gedragsdata te verzamelen en deze te versturen naar een centrale database voor analyse. Mede door middel van AI kan EDR hierin patronen en onregelmatigheden ontdekken, die zo nodig opgestuurd worden voor verder onderzoek.

De mogelijkheden die je zoekt in een EDR zijn als volgt:

  • Detecteren van mogelijk kwaadaardig gedrag, zoals registeraanpassingen of openen van processen
  • Detecties in context plaatsen en visueel voorstellen
  • Aanbevelen van handelingen voor respons
  • Mogelijkheid tot isolatie van getroffen toestellen in het netwerk

EDR vormt een essentiële uitbreiding van de traditionele beveiliging en presenteert uitgebreide analyses van bedreigingen op een visuele manier aan het IT-team. Bedrijven doen er goed aan om in te zetten op zowel EPP als EDR en kan de balans hiertussen aanpassen aan hun noden. Kort samengevat is het in het huidige cybersecurity landschap belangrijk zowel een effectieve preventie als respons te hebben.

(Door Siebe Verbrugghe)