IT-Security: EDR versus anti-malware

De afgelopen maanden domineren ransomware-aanvallen het nieuws. Zoals de ransomware-aanval op de Amerikaanse softwareleverancier Kaseya, waar wereldwijd honderden bedrijven die gebruikmaken van de Kaseya-software slachtoffer van waren. Eerder legde hetzelfde Russische hackerscollectief dat achter de Kaseya-aanval zit, de Braziliaanse vleesgigant JBS plat. En begin van dit jaar vond er een grootschalige aanval plaats via het Amerikaanse techbedrijf SolarWinds, waardoor wereldwijd honderden bedrijven en overheidsinstellingen schade opliepen.

Ransomware is groeiend probleem

In het laatstgenoemde voorbeeld ging het vooral om cyberspionage. Steeds vaker vragen hackers echter om losgeld. Wanneer sprake is van ransomware, wordt data versleuteld en pas na betaling van losgeld weer vrijgegeven. Ransomware is een groeiend probleem en bedragen die worden gevraagd, kunnen flink oplopen. Zo vroegen cybercriminelen bij de aanval op Kaseya een bedrag van zeventig miljoen dollar aan cryptomunten, in ruil voor een universele sleutel waarmee de versleutelde data hersteld kon worden. Vleesverwerker JBS betaalde het hackerscollectief uiteindelijk negen miljoen euro in ruil voor hun data.

Hackers professionaliseren

Hackers gaan steeds slimmer en inventiever te werk. Schadelijke virussen en andere malware komen niet langer via de voordeur het netwerk binnen, maar via achterdeurtjes die vaak nauwelijks opvallen. Hackers programmeren malware steeds vaker op een manier dat virussen en andere ongewenste indringers pas actief worden nadat ze al een tijdje binnen zijn. Anti-malwareoplossingen kunnen dit zodoende niet opmerken. De SolarWinds-aanval is hier een voorbeeld van. En ook in het geval van Kaseya maakten hackers gebruik van zwakke plekken in de beheersoftware van het bedrijf. Naast ransomware-aanvallen professionaliseren cybercriminelen zich ook op andere vlakken. Denk aan phishing-methodes waarbij medewerkers worden verleid om een bijlage van een e-mail te openen of op een verdachte link te klikken. Deze nepmails zijn steeds vaker nauwelijks van echt te onderscheiden.

Anti-malwareoplossing voldoet niet meer

Stap één van het beschermen van je netwerk is bewustwording. Als medewerkers weten wat de gevaren zijn, regelmatig getraind worden op security awareness en risico’s leren herkennen, verkleint dat de kans dat hackers daadwerkelijk weten binnen te dringen. Daarnaast spelen technische oplossingen vanzelfsprekend ook een grote rol binnen IT-security. Sterker nog: een ‘gewone’ anti-malwareoplossing – die virussen en andere ongewenste indringers buiten de deur dient te houden – voldoet tegenwoordig niet meer. Gezien hackers steeds inventiever en brutaler te werk gaan, is er meer nodig om je bedrijfssystemen veilig te houden.

Achter de feiten aanlopen

Daarom kiezen steeds meer organisaties voor een zogenoemde Endpoint Detection & Response-oplossing (EDR). Ik leg uit waarom. Conventionele anti-malwareoplossingen werken op basis van voortdurend geactualiseerde lijsten (ook wel bekend als handtekeningen). Hierop staan alle op dat moment bekende virussen en andere bedreigingen. Je kunt dit vergelijken met een uitsmijter van een discotheek die elke bezoeker aan de deur controleert en op basis van een signalement of foto bepaalt of iemand naar binnen mag.

Het grootste probleem met dit soort lijsten is dat ze nooit 100 procent volledig kunnen zijn. Bedreigingen ontwikkelen zich continu waardoor er voortdurend – en steeds sneller – nieuwe bedreigingen bijkomen. Een antimalware-oplossing loopt zodoende per definitie achter de feiten aan. Tegelijkertijd blijft technologie zich natuurlijk ook ontwikkelen. Denk aan kunstmatige intelligentie, waardoor antimalware-software steeds beter in staat is om te ‘voorspellen’ welke bestanden kwaadaardig zijn. Toch wordt de daadwerkelijke controle pas gedaan bij het lezen of schrijven van het bestand.

Continue monitoring

EDR werkt anders. Bij EDR wordt de basis voor bescherming niet gevormd door lijsten met op dat moment bekende bedreigingen, maar door continue monitoring op verdachte activiteiten. Het netwerk wordt dus 24/7 gemonitord op afwijkingen, op het niveau van individuele endpoints zoals computers, servers en mobiele apparaten. Detecteert het systeem iets afwijkends? Zoals logpogingen op ongewone tijdstippen of gebruikers die meerdere verzoeken tegelijk indienen? Dan wordt het betreffende endpoint direct geïsoleerd van de rest van het netwerk. Zo krijgt eventuele malware niet de kans om over te springen en schade te veroorzaken aan de rest van het netwerk.

Om ook hier weer de vergelijking met de discotheek te maken: soms smokkelen bezoekers verboden items mee naar binnen. Ze omzeilen dan de controle aan de deur, bijvoorbeeld door via de nooduitgang naar binnen te gaan. De uitsmijter heeft hier geen zicht op. Je kunt EDR daarom vergelijken met een slim camerasysteem dat voortdurend in de gaten houdt of bezoekers zich verdacht gedragen, óók als ze al binnen zijn. Verdachte gedragingen zijn dan reden voor een extra inspectie.

Zelflerende oplossing

Het voordeel van EDR ten opzichte van conventionele anti-malwareoplossingen is dat ook indringers die al binnen zijn, snel worden opgemerkt. Bovendien is EDR een zelflerende oplossing. Verzamelde monitoringdata wordt bewaard en gebruikt om tijdens een zogenoemde forensische analyse terug te kijken naar waar en hoe ging het precies misging. Op die manier heeft EDR verdachte activiteit steeds sneller in de gaten én kunnen toekomstige hackpogingen steeds beter worden verijdeld. Dat verkleint vervolgens de kans op schade.

Investeer in endpoint-beveiliging

Als de recente incidenten iets laten zien, is het dat IT-security allang geen bijzaak meer is. Hackers worden steeds professioneler en de losgeldbedragen die gemoeid zijn met ransomware groter. De tijd dat alleen grote multinationals doelwit zijn, is voorbij. Ook het ‘gewone’ Nederlandse MKB kan met (buitenlandse) hackers te maken krijgen. Daarom is het cruciaal om je eigen beveiligingsniveau onder de loep te nemen zo nodig te investeren in endpoint-beveiliging en snelle detectie. Hoe eerder je verdachte activiteit opmerkt, hoe groter de kans dat de schade relatief beperkt blijft.

Auteur: Reno van der Looij, Sales Manager bij Ictivity

Lees ook:

Gerelateerde berichten...

X