Het probleem met computers vandaag de dag is dat ze zo mobiel zijn. Te vaak nog zijn de laptops van gebruikers niet goed genoeg beschermd door de security-infrastructuur van het bedrijfsnetwerk. Dat maakt ze kwetsbaar voor geavanceerde malware, geïnfecteerde externe opslagapparaten en schadelijke web content.
Uit het 2015 Security Report van Check Point bleek dat maar liefst 25 procent van bestaande enterprise endpoints geen actuele antivirusbescherming heeft, dat 25 procent niet beschikt over de laatste software-updates en dat 20 procent geen lokale firewall op zijn pc heeft.
Geen verrassing dus, dat hackers zich in toenemende mate richten op endpoints. Om misbruik te maken van het gebrek aan beveiliging, komen zij met geavanceerde, nieuwe aanvallen, zoals Cryptowall of Cryptolocker ransomware en andere methoden die het bedrijfsnetwerk kunnen infecteren. Er is een meerlaagse security-aanpak nodig om organisaties hiertegen te beschermen.
Om te beginnen moet de beveiliging van endpoint devices verder gaan dan enkel de traditionele, op signature gebaseerde antivirus die alleen bekende dreigingen detecteert. Organisaties hebben betere middelen nodig om opkomende aanvallen in hun netwerk en endpoints snel te identificeren en erop te reageren. Laten we eens kijken naar de rol van security in elke fase van een aanval.
Het moment van aanvallen
Zoals gezegd zijn endpoints met name kwetsbaar omdat ze niet goed genoeg beschermd zijn tegen malware. Het is voor hackers een kleine moeite om aanpassingen te maken in bestaande malware en deze zo onzichtbaar te maken voor conventionele antivirusoplossingen die werken op basis van signatures. Daarnaast is er natuurlijk het risico dat hackers zeer geavanceerde malware gebruiken om een organisatie gericht aan te vallen.
Een steeds vaker gebruikte security-techniek die deze zero-day dreigingen tegengaat heet threat emulation, of sandboxing. Hierbij worden verdachte bestanden onderschept op het moment dat ze binnenkomen. Het bestand wordt vervolgens geïnspecteerd op ongewoon gedrag in een virtuele quarantaine (de sandbox). Als een bestand zich verdacht gedraagt, wordt het geblokkeerd. Sandboxing zorgt op deze manier voor het beter detecteren van malware en geeft een enorme boost aan de beveiliging. Tegelijkertijd kan het wel van invloed zijn op de gebruikerservaring, omdat het veel rekenkracht vraagt van een laptop.
Slimmer sandboxen
Het zou dus ideaal zijn om schadelijke bestanden en data die een endpoint binnenkomen veilig te kunnen inspecteren zonder de gebruikerservaring aan te tasten. Door ervan uit te gaan dat elke download of e-mailbijlage geïnfecteerd zou kunnen zijn, kunnen veel algemene infecties al weggefilterd worden. Het verwijderen van zulke potentiële bedreigingen heet threat extraction: documenten worden gereconstrueerd met alleen de veilige elementen en alle verdachte content wordt verwijderd. Het schone document is vervolgens binnen enkele seconden beschikbaar voor de gebruiker en houdt de gebruikerservaring dus intact.
Het originele document wordt ondertussen naar een sandbox-omgeving gestuurd die draait in een publieke of private cloud, waar het in detail onderzocht wordt op bedreigingen en meteen wordt geblokkeerd als er sprake is van malware. Dit verkleint de rekenkracht die nodig is op het endpoint en stelt gebruikers in staat naadloos te werken, terwijl zij beschermd zijn tegen allerlei bedreigingen.
Na de aanval
Aangezien bedrijven in potentie op zoveel verschillende punten kunnen worden aangevallen, is het belangrijk dat de it-afdeling begrijpt hoe een aanval in elkaar zit, waarom het heeft plaatsgevonden en wat de precieze schade was. Ook als de aanval al in een vroeg stadium is geïdentificeerd en gestopt. Het complexe ecosysteem van endpoint devices binnen een organisatie kan het lastig maken aanvallen op deze manier te analyseren. Het is vaak al moeilijk genoeg überhaupt aan te wijzen waar een incident begonnen is, laat staan om een aanval compleet in kaart te brengen.
Daarom moet een endpoint-beveiligingsoplossing in staat zijn continu forensische data te verzamelen. Deze data moet vervolgens omgezet worden naar gedetailleerde rapportages, zodat it-teams de complete lifecycle van een aanval kunnen begrijpen en getroffen systemen sneller kunnen herstellen.
Door geavanceerde threat prevention te combineren met automatische dataverzameling en -analyse, kan een organisatie zich beschermen tegen nieuwe, doelgerichte endpoint malware en krijgt het diepgaand inzicht in alle aanvallen en dreigingen. Zonder de business af te remmen. Als het aankomt op security is het noodzakelijk dat de endpoints op orde zijn.
