Endpoint detection en response, ofwel EDR, is ontstaan omdat antivirus-oplossingen en endpoint protection platformen niet voldoende bescherming meer konden bieden. Hoe is dat zo gekomen?
Vanaf 2010 werd duidelijk dat kwaadaardige code ook geïnjecteerd kon worden zonder software te moeten installeren. Door een uitvoeringsbestand te gebruiken werden netwerk- en legacy antivirus-software volledig omzeild. Twee belangrijke voorbeelden hiervan zijn phishing en laterale aanvallen van hackers.
Kwaadaardige documenten
De meeste mensen weten wel het verschil tussen een applicatie en een MS Word, Excel of pdf-bestand. Het eerste doet iets, het andere kun je lezen of bewerken. Hoewel dit niet helemaal klopt, openen mensen makkelijk een document dat van een goed uitgevoerde phishing-actie afkomstig is. Dit is veel eenvoudiger dan iemand een executable laten downloaden en draaien, hoewel dat ook nog steeds gebeurt. Malware-makers ontdekten al snel manieren (zoals macros) om ook documenten te gebruiken.
Macros uitzetten is niet voldoende, want het is voor veel organisaties een middel om de productiviteit te vergroten. Dat zullen ze niet snel willen opgeven, en dus blijven infecties via macros bestaan. Daarnaast is zo’n besmet document dus veel makkelijker op een systeem te krijgen dan code of een applicatie. De kansen op een klik liggen vrij hoog, en dus is de kans op succes aantrekkelijk. Voorlopig zijn we er dus nog niet vanaf.
Laterale aanvallen
Laterale bewegingen zijn voor hackers manieren om in een netwerk commando’s uit te voeren en code te laten draaien en verspreiden. Dit is niet nieuw, maar dankzij een lek van NSA hacking tool bleek dat sommige besturingssystemen kwetsbaarheden bevatten die jarenlang hackers de gelegenheid boden om ongezien te werk te gaan. Een bekend voorbeeld is EternalBlue, een aanvalsmethode waarbij het SMB-protocol (server message block) voor het delen van bestanden werd misbruikt. EternalBlue werd gebruikt bij onder andere de WannaCry ransomware-aanval en de NotPetya-aanval die wereldwijd effect hadden. Geen enkele antivirus of next gen EPP (extensible provisioning protocol) kan EternalBlue tegenhouden.
Bestandsloze malware en systeemkwetsbaarheden zijn twee van de meest voorkomende aanvalsmanieren die traditionele antivirus en veel next-gen endpoint oplossingen weten te omzeilen. Detectie is het nieuwe antwoord.
Voorheen (en soms nog steeds) werden Incident Response-teams ingevlogen om een hack te onderzoeken en uit te zoeken wat er precies was gebeurd. De wat meer technisch onderlegde bedrijven investeerden in visibility tools om inzicht te krijgen in netwerken. Het zorgde voor een nieuwe categorie in de toch al druk bezette security-markt. Gartner’s Anton Chuvakin gebruikte de term EDR (endpoint detection en response) om deze nieuwe tools aan te duiden.
EDR kwam echter wel met wat uitdagingen. Ten eerste had je een team zeer kundige mensen nodig om de oplossingen te beheren en om uit de grote hoeveelheid data de juiste informatie te halen. Hoewel deze mensen volop werden aangenomen, zien we de laatste paar jaar toch weer de succesvolle aanvallen toenemen. Daarnaast is ‘dwell time’ een probleem. Dit staat voor de tijd die tussen infectie tot detectie van kwaadaardige code zit. Sommige hadden een dwell time van gemiddeld negentig dagen, inmiddels is dat naar eigen zeggen teruggebracht tot minuten. Los van of dit waar is of niet, zelfs tien seconden is al te veel. Een aanvaller kan een hoop doen in enkele seconden. Detectie in realtime is de enige echte oplossing. Daar zijn verschillende aanpakken voor.
Aanpakken
Om het werk van de security-analist makkelijker te maken, is de inzet van een chatbot bedacht om samen te werken met die getrainde professional. Uitleggen aan een chatbot wat je precies bedoelt kan echter moeilijker zijn dan een van de dagelijkse SQL-queries schrijven, zeker voor een ervaren threat hunter.
Een SOC (security operations center) geeft veel inzicht en helpt bij het vasthouden van een hoog security-niveau. Extra data zonder context vergroot echter wel de kans op ‘alert-moeheid’, waar het security-team niet gelukkiger van wordt. SOC-analisten hebben specialistische kennis en moeten werk doen dat bij hun kunde past. Liever werken ze met gestructureerde data om een aanvalsplan te analyseren en daarop tegenmaatregelen te ontwerpen, dan een lastige puzzel van allerlei stukjes in elkaar proberen te zetten om überhaupt een eerste plaatje te krijgen.
Een derde aanpak is het uitbesteden van security, met name als een bedrijf niet zelf de mankracht of kennis heeft om het eigen netwerk in de gaten te houden. Dit kan waardevol zijn, maar nog steeds moeten sommige taken geautomatiseerd worden, zoals realtime respons. Wachten op menselijke actie duurt simpelweg te lang; de dwell-time is te groot.
ActiveEDR
Eigenlijk heeft ieder endpoint een SOC-analist nodig, waarbij heel veel data wordt omgezet in inzicht in aanvalsplannen met alleen kwalitatieve alerts die daadwerkelijk een risico betekenen. Dat is wat ActiveEDR inhoudt. ActiveEDR weerhoudt, detecteert en reageert op aanvallen met machinesnelheid. Bovendien gebeurt dit onafhankelijk van bestandsformaten en of het endpoint in verbinding staat met de cloud of niet. ActiveEDR kan middels visuele overzichten veel inzicht bieden, ook aan teamleden die minder uitgebreid zijn getraind. Het maakt snel duidelijk waar het probleem zit, en hoe het weer terug te draaien. Bovendien heeft het systeem zelf dan al ergere schade voorkomen.
De openingszin van het artikel is al fout.
Verder een leuk marketing verhaal om je product te promoten.
Wat je volgens mij bedoelt te zeggen in de beginregel is dat TRADITIONELE Threat mgt software onvoldoende bescherming biedt.
Vandaar dat er nieuwere mechanismes op de markt zijn gekomen die werken op basis van algoritmes en AI.
Die bieden betere bescherming dan de traditionele en vereisen daarnaast nauwelijks onderhoud, zolang het algoritme maar actueel is, dus alleen updaten indien er een beter algoritme is. Deze algoritmes zijn predictive, dus zijn vaak al toekomstbestendig, omdat virussen e.d. hetzelfde gedrag vertonen en je dat gedrag altijd op dezelfde manier(en) kunt bestrijden.
of vergis ik mij dat je dit eigenlijk probeerde te zeggen?
Dank voor je reactie. Volgens mij is je omschrijving juist, maar wil ik het nog wel wat nuanceren, precies wat ook de bedoeling van het artikel is. Ik (en velen met mij) beschouwen antivirus-tools als traditionele middelen, en die bieden inderdaad onvoldoende bescherming, dus daar zijn we het dan over eens. EDR, en met name ActiveEDR speelt daarop in, maar om dat een ‘nieuwer mechanisme’ te noemen, doet vermoeden alsof het een doorontwikkeling is van die traditionele tools, terwijl het wel degelijk een nieuwe aanpak, met een nieuwe visie erachter is. Deze nieuwe technologie is vaak ‘from scratch’ gebouwd, op basis van de nieuwste kennis met inbegrip van de meest recente mogelijkheden op het gebied van AI. Dit zorgt er in het beste geval voor dat het zelfs autonoom kan functioneren, inderdaad zonder regelmatige updates, en dat is toch echt wel een nieuwe aanpak dan de traditionele manieren.