Wanneer een endpoint gecompromitteerd is, is tijd van essentieel belang. Daarnaast vragen een paar kernvragen om onmiddellijke beantwoording. Hoe is het systeem geïnfecteerd geraakt? Welke accounts zijn gecompromitteerd? Welke malware is geïnstalleerd? Bewoog de aanvaller zich lateraal? En de belangrijkste: is er toegang tot data geweest en/of zijn deze gestolen?
Zonder deze vragen te beantwoorden, vergroot elke voorbijgaande minuut de kans dat de inbreuk catastrofaal wordt voor een organisatie. Voeg daar een gedistribueerde workforce en al gelimiteerde it-middelen die nu nog beperkter zijn dan voorheen, aan toe en het wordt duidelijk dat organisaties incidenten zo snel en grondig mogelijk moeten begrijpen en verhelpen. Simpelweg een pleister op de gecompromitteerde endpoint plakken zonder de oorzaak te verhelpen zal organisaties ervan weerhouden zakelijke veerkracht op lange termijn te ontwikkelen.
Recept dat organisaties voorsprong geeft
Net als oma’s zelfgemaakte middeltjes zijn legacy-point-oplossingen niet in staat organisaties te beschermen in een complex bedreigingslandschap. Recent onderzoek laat zien dat in de eerste twee maanden van de Covid-19-pandemie alleen al negentig procent van de organisaties een toename in het aantal cyberaanvallen opmerkte. Daarnaast gaf 98 procent van de respondenten aan dat zij te maken hadden met security-uitdagingen bij hun gedistribueerde workforce; een duidelijk teken dat een sterker recept voor endpoint-beveiliging nodig is.
De inzet van een defense-in-depth-aanpak om malware-aanvallen, ongewilde applicaties of toegang tot de netwerkomgeving door kwaadaardige insiders te voorkomen kan organisaties helpen materiële schade aan de organisatie te voorkomen. Naast goede it-hygiëne helpt het gebruik van een combinatie van native anti-malware-mogelijkheden (bijvoorbeeld Windows Defender) voor actieve beveiliging en een oplossing voor realtime-inzicht en controle, security-teams Defender – of welke antivirustechniek dan ook – gezond en up-to-date te houden.
Als bijkomend voordeel maakt dit type oplossing het voor organisaties mogelijk om native securitycontroles te gebruiken om endpoint-functionaliteit te beperken door:
- De endpoint firewall te beheren;
- Applicaties te besturen via blacklisting en whitelisting;
- Endpoint-encryptie te beheren;
- Apparaten te besturen;
- Recente antivirus-beveiliging te implementeren.
Breng volledige geschiedenis in kaart
De realiteit is dat lekken zelfs met vrijwel volledig dichtgetimmerde endpoints en preventieve controles onvermijdelijk zijn. De vraag is niet langer óf zij worden geschonden, maar wánneer. Daarom is het van essentieel belang voor incident-responseteams om flexibiliteit, snelheid en volledig, realtime-inzicht te hebben in het netwerk om lekken te identificeren en te verhelpen voordat het organisatie-brede incidenten worden. Daarvoor is realtime-inzicht nodig over de gehele organisatie via een unified endpoint security (ues)-platform.
Met ues zijn organisaties niet beperkt tot eerder verzamelde endpoint-telemetrie. Zij kunnen gebruikmaken van de nieuwste informatie, vragen stellen rechtstreeks vanuit endpoints en sneller dan ooit reageren op lekken voordat deze kunnen leiden tot serieuze incidenten. Door de huidige en historische staat van het systeem te begrijpen – tien, dertig, zestig dagen of verder terug – middels integraties met cloud-native security-analytics zoals Google Chronicle, helpen ues-platformen te garanderen dat niets gemist wordt en dat alle teams vanuit één waarheid handelen.
Remedie ligt in een defense-in-depth-aanpak
Het plakken van een pleister is geen serieuze remedie en stelt incidenten enkel uit door aanvallers naar de schaduw te jagen. Het geneest de oorzaak van de kwetsbaarheden niet. Organisaties moeten gecompromitteerde hosts in quarantaine plaatsen en het probleem verhelpen voordat de endpoints weer zijn in te zetten. Een enkel onontdekte en geïnfecteerde endpoint is genoeg om de kwetsbaarheid opnieuw aan te wakkeren, wat grote schade tot gevolg kan hebben. Het onderzoeken van de volledige omvang van een aanval en het toepassen van uitgebreide veranderingen in de omgeving zijn de enige mogelijkheden om deze volledig te herstellen.
Moderne en effectieve endpoint-beveiliging vereist een combinatie van assetmanagement, security-hygiëne, preventie, detectie en reactie om de omgeving te beveiligen tegen aanvallen en de bedrijfscontinuïteit, reputatie en financiële impact te beschermen. Legacy-endpoint-beveiligingstools kunnen het steeds veranderende dreigingslandschap niet bijhouden en missen de remedie om de hoofdoorzaak van de kwetsbaarheid op te lossen. De toekomst voor endpoint-beveiliging ligt in het realtime-inzicht en de uniformiteit van een ues. En die toekomst, die begint vandaag.
