BLOG – Beveiligingsincidenten zijn zelden te wijten aan gebrekkige securitytechnologie of beveiligingsmechanismen, en al evenmin aan slimme hackingtechnieken. De werkelijke boosdoeners zijn vaak simpele configuratiefouten in beveiligingstools die organisaties vatbaar maken voor cyberaanvallen. De afgelopen jaren bleken verkeerde configuraties van endpoint detection & response (edr)-oplossingen keer op keer de werkelijke oorzaak te zijn van beveiligingsincidenten. Een krachtige edr-tool is dus onmisbaar voor het beschermen van de digitale infrastructuur van een organisatie.
De doeltreffendheid van elke edr-tool staat of valt met een juiste implementatie. Hieronder een overzicht van vijf veelgemaakte fouten bij deze implementatie én tips om deze te vermijden.
- Onvolledige implementatie
Een veel voorkomende misstap is het niet installeren van edr-collectors op alle hosts. Dit kan rampzalige gevolgen hebben. Onbewaakte hosts vormen vaak het epicentrum van beveiligingsincidenten. Deze kwetsbare knooppunten kunnen dienen als ingangskanaal voor cybercriminelen, die vervolgens ongezien een aanwezigheid binnen je netwerk kunnen opbouwen. Om dat te voorkomen moet je collectors op elke host binnen je organisatie installeren.
- Het beveiligingsbeleid negeren
Een andere kapitale fout is geen preventieve beveiligingsregels instellen. Veel edr-tools voorzien in een breed scala aan beleidsregels die stuk voor stuk zijn in of uit te schakelen. Het is niet ongebruikelijk dat organisaties preventieve beveiligingsregels uitschakelen tijdens een optimalisatieslag of testprocedure en vervolgens vergeten om ze opnieuw te activeren. Je beveiligingssysteem blijft op die manier in de simulatiemodus. Een gedegen edr-oplossing is weliswaar nog altijd in staat om kwaadaardige activiteit te detecteren, maar zal die niet blokkeren. Dubbelcheck daarom altijd je beveiligingsregels om er zeker van te zijn dat de preventieve beveiligingsmechanismen ook na het testen actief blijven.
- Meldingsmoeheid
Beveiligingsmeldingen negeren of onjuist interpreteren in de beheerconsole van je edr-oplossing valt te vergelijken met het in de wind slaan van de waarschuwingsborden langs een verraderlijke weg. Continue monitoring en een gedegen begrip van deze meldingen zijn van cruciaal belang voor vroegtijdige detectie en incidentrespons. Maak er een gewoonte van om deze meldingen te raadplegen en analyseren, zodat je snel op potentiële beveiligingsincidenten kan inspringen.
Veel organisaties besteden een deel van hun beveiligingsactiviteiten uit aan een aanbieder van managed detection & response services. Zo’n team gaat verder waar de basisbeveiliging van organisaties ophoudt. Het helpt hen met de detectie van cyberbedreigingen en de uitvoering van herstelwerkzaamheden na beveiligingsincidenten. Het team meldt alles wat er verdacht en kwaadaardig uitziet en brengt regelmatig verslag uit. Het werkt daarnaast samen met het Global Incident Response-team. Als een klant met een ingrijpend incident te maken krijgt, kunnen beide teams direct in actie komen om herstelmaatregelen uit te voeren zonder aangewezen te zijn op hulp van buitenaf.
- Een overdaad aan uitzonderingen
Het instellen van legio uitzonderingen en uitsluitingen kan de effectiviteit van zelfs de beste edr-oplossing ondermijnen. Organisaties strooien daar soms iets te royaal mee. Het is beter om klein te beginnen en het aantal uitzonderingen en uitsluitingen met beleid uit te breiden tijdens elke optimalisatieslag. Stel uitzonderingen voor specifieke situaties in en houd die beperkt om krachtige beveiliging te waarborgen. Als je vermoedt dat beveiligingsanalisten uitzonderingen per ongeluk of te vaak gebruiken, kan je een overzicht van al hun acties raadplegen. Op die manier kan je onwenselijke uitzonderingen en uitsluitingen snel terugdraaien.
- Voorbijgaan aan draaiboeken
Geautomatiseerde draaiboeken niet configureren en geen routinecontroles uitvoeren op wijzigingen van beveiligingsregels en standaardinstellingen zijn twee fouten die je organisatie blootstellen aan kwetsbaarheden. Beheerders zouden alle wijzigingen die ze doorvoeren duidelijk moeten documenteren. Ze moeten die bovendien voorzien van contextuele informatie over de risico’s die gepaard gaan met het afwijken van de aanbevolen instellingen. Regelmatige audits van systeemwijzigingen maken het mogelijk om verantwoordelijkheid af te leggen en de integriteit van de bedrijfsbrede beveiliging te waarborgen.
Vergeet daarnaast niet om sterke authenticatiemechanismen voor je edr-oplossing in te stellen. Volgens het recente ‘FortiGuard Incident Response Report‘ was zestig procent van alle beveiligingsincidenten die werden opgelost het gevolg van cybercriminelen die zich via legitieme accounts toegang tot een edr-oplossing hadden verschaft. Zij beschikten daarmee over de juiste toegangsrechten om uitzonderingen in te stellen die het mogelijk maakten om hun malware-tools uit te voeren.
Sleutels
Een edr-tool versterkt je beveiliging, mits juist geïmplementeerd. Als je bovenstaande valkuilen omzeilt, zal je optimale prestaties uit je edr-tool kunnen halen en de bedrijfsbrede beveiliging kracht bijzetten. De sleutels tot een succesvol gebruik van een geavanceerde security-oplossing zijn dus een nauwgezette implementatie, beheerdiscipline en voortdurende monitoring en aanpassing.
Patrick Commers is cybersecurity-evangelist bij Fortinet Belux
Zou men bij de Endpoint Detection & Response implementatie echt vergeten om preventieve beveiligingsregels in te schakelen na het testen? Heb je dan als implementatiepartner wel echt getest of is de opdrachtgever wel echt in beveiliging geïnteresseerd als deze het t.z.t. wel zelf doet?
De geautomatiseerde EDR draaiboeken niet configureren en geen routinecontroles te gebruiken, betekent de opdrachtgever het EDR systeem niet willen beheren. Maar waarom zou die een verlengde detectietijd en dus een kans op grotere schade willen? En waarom zou de beheerder een een tijd willen inbouwen tussen technische detectie en behandeling van de melding. Dit levert feitelijk een verlengde detectietijd op. Hackers gaan niet voor niets juist hun gang in het weekend. Wil je EDR ter beveiliging of te bewaking? In het laatste geval kan je achteraf zien dat je systemen vanaf een bepaald moment gekopieerd, gewist of versleuteld zijn.
Een EDR-tool aanschaffen en beheren kost veel geld. Gewoon niet doen als je toch niet serieus bezig wilt zijn met beveiliging. Een niet goed geïmplementeerd EDR-tool is geen handige excuustruus. Daarmee is verlies van reputatie niet te voorkomen (nadat je wellicht financieel al verloren hebt). Is goed beheer van EDR te complex, maar wel nodig voor je organisatie, huur dan daarvoor een bedrijf in.