Tegenwoordig worden organisaties geconfronteerd met meer security-uitdagingen dan ooit tevoren. Maar misschien is het grootste probleem in het nieuwe dreigingslandschap wel dat sommige organisaties zich proberen te verdedigen tegen moderne dreigingen met verouderde technologieën. Of een verkeerde aanpak hanteren, zoals het vertrouwen op legacy AV’s die criminelen in het verleden al hebben omzeild of op ‘Next-Gen’-oplossingen die afhankelijk zijn van een menselijke analist om malware op machinesnelheid te verslaan. De SolarWinds-breach toonde al aan dat bedrijven niet op deze benaderingen kunnen vertrouwen.
Endpoints behoren tot de kern van elke organisatie en de verdediging ervan is belangrijk om de cyberoorlog te winnen. Maar het vergelijken van specificaties van verschillende oplossingen kost tijd en vereist kennis. Er bestaan producten die bewezen hebben dat ze zeer effectief zijn tegen zelfs de meest geavanceerde dreigingen. Maar hoe onderscheid je het beste product van het slechtste product? Een manier om overzicht te creëren, is door van bovenaf te kijken naar de specificaties van het aangeboden product. Hoewel er geen one-size fits all-oplossing is, zal de bevestiging dat een product voldoet aan bepaalde criteria vertrouwen geven, ook voor de lange termijn. Maar wat zijn de meest belangrijke eigenschappen die een effectief endpoint security systeem moet hebben? Op basis van onderstaande vijf essentiële kenmerken maak je een weloverwogen keuze.
1. Een proactieve aanpak tegen nieuwe dreigingen
Verreweg de grootste zwakte van ouderwetse security-producten is de afhankelijkheid van malware-signatures, vanwege het reactieve karakter. Het maken van een signature begint met het signaleren van een dreiging ’in het wild’ – wat betekent dat bedrijven erdoor worden getroffen – voordat er enige bescherming kan worden ingesteld. Vervolgens is het een race tegen de klok om de signature te schrijven en naar alle endpoints te pushen in de vorm van een update. Wanneer een nieuwe dreiging zich voordoet, is het product dus al achterhaald.
Als ransomware ons de afgelopen vijf jaar iets heeft geleerd, dan is het wel dat deze aanpak, die in de jaren ‘90 en 2000 is ontwikkeld, organisaties vandaag de dag niet meer beschermt. Daarom wenden sommige leveranciers zich tot machine learning-modellen en gedragsgebaseerde-AI om patronen en overeenkomsten te identificeren die vaak voorkomen bij kwaadaardige bestanden en cybercriminaliteit.
Machine learning-modellen kunnen zo worden getraind dat ze effectief omgaan met de meest gangbare malware, waarvan een groot deel niet opnieuw is geschreven maar vaak succesvolle code uit eerdere voorbeelden hergebruikt. Hoewel er niet alleen op machine learning kan worden vertrouwd om alle malware op te vangen, is het verstandig om endpoints te beschermen tegen veel voorkomende aanvallen zonder afhankelijk te zijn van frequente updates van security signatures.
Gedragsgebaseerde-AI is een aanvulling op machine learning-modellen door gedragspatronen te identificeren die typerend zijn voor cyberaanvallen. Ransomware bevat op een bepaald moment meestal een combinatie van de volgende gedragingen:
- De detectie en verwijdering van backups en schaduwkopieën
- Het versleutelen van grote aantallen bestanden
- Het versturen van een bericht (ransomware-brief) naar de gebruiker
- Het communiceren met een externe server
Gedragsgebaseerde-AI probeert dergelijke patronen te herkennen. Zelfs als de activiteit van binnenuit het netwerk lijkt te komen of van een andere bron die niet op bestanden is gebaseerd.
Een oplossing die gebruik maakt van machine learning en gedragsgebaseerde-AI is noodzakelijk als je wil dat jouw beveiligingsproduct een onbekende dreiging proactief kan detecteren. Zorg er wel voor dat je oplossingen vermijd die afhankelijk zijn van de cloud-connectiviteit voor deze functies. Cybercriminelen kunnen namelijk gemakkelijk een apparaat loskoppelen terwijl ze hun aanval inzetten. Zoek daarom naar een product met gedragsgebaseerde-AI en machine learning-engines die lokaal op de endpoint werken en beslissingen kunnen nemen op machinesnelheid voor de beste endpoint-bescherming.
2. Realtime mitigatie zonder menselijke tussenkomst
Het detecteren van dreigingen is noodzakelijk voor betrouwbare endpoint security. Maar een oplossing die alleen dreigingen kan detecteren en vertrouwt op menselijke tussenkomst voor bescherming is niet waardevol voor een organisatie. Je hebt een oplossing nodig die automatisch schadelijke activiteiten op het apparaat kan uitschakelen en herstellen, zodat de gebruiker kan blijven werken en niet de hele dag met de IT-afdeling bezig is om de rommel op te ruimen.
Veel beveiligingsoplossingen worstelen met dit aspect, waaronder zelfs een aantal marktleiders. Sommige leveranciers bieden tools voor externe toegang die zijn geïntegreerd in de endpoint beveiligingsoplossing, zodat ze de IT-last enigszins kunnen verlichten. Voor deze tools zijn echter nog steeds handmatige acties vereist, wat zorgt voor vertraging en verstoring van het proces. Wat als jouw oplossing beveiligingsincidenten kon detecteren en opruimen zonder enige menselijke tussenkomst?
Vraag bij je leverancier welke geautomatiseerde oplossingen beschikbaar zijn, en vergeet ook niet te vragen wat er gebeurt in het geval van een gemiste detectie! Een effectief endpoint security-systeem zou een valse detectie net zo gemakkelijk uit quarantaine moeten kunnen halen als een echte detectie.
3. Multi-Site, Multi-Tenancy flexibiliteit
Het managen van grote aantallen devices en datapunten is geen gemakkelijke taak. Voeg daar afgelegen locaties, verschillende tijdzones en soms zelfs taalbarrières aan toe en je hebt een complexiteit die niet effectief kan worden beheerd door een beveiligingsoplossing waarvan de leverancier denkt dat het voor jouw organisatie past.
Voor het beheren, reageren en verzamelen van wereldwijde gegevens is een product nodig dat multi-tenancy en multi-sites ondersteunt. Dit biedt lokale teams de kans om lokale aanpassingen te maken waar dit zinvol is, zonder de behoeften van andere afdelingen in de organisatie in gevaar te brengen.
Daarnaast is multi-tenancy niet alleen noodzakelijk voor grote, wereldwijde teams. De groei die moderne ondernemingen tegenwoordig doormaken, maakt deze flexibiliteit meer dan ooit een eis. Zelfs voor kleinere en snelgroeiende teams.
4. Dicht de gaten met automatische implementatie
Een van de gemakkelijkste manieren om een organisatie binnen te dringen is door het compromitteren van apparaten die geen goede endpoint-bescherming hebben. In hedendaagse ondernemingen komt het helaas veel voor dat IT- en security-beheerders simpelweg niet weten wat er allemaal op hun netwerken gebeurt. Veel inbraken kunnen plaatsvinden omdat een aanvaller ergens een onbeveiligde server vindt die iedereen binnen de organisatie was vergeten.
Grote organisatie omvatten vaak meerdere locaties en meerdere subnetwerken. De enige effectieve oplossing is het in kaart kunnen brengen van je netwerk en apparaten ‘fingerprinten’ op een manier dat je niet alleen kunt bepalen wat er is aangesloten, maar ook welke apparaten onbeschermd zijn. Gewapend met die kennis zoek je een beveiligingsoplossing die het zware werk doet en alle agents implementeert. Beveiligingsteams hebben vaak onvoldoende capaciteit en hebben automatisering nodig om hen te helpen hun werk effectiever te doen. Zorg daarom dat jouw endpoint security-product een geautomatiseerd middel biedt om snel en betrouwbaar hiaten in de implementatie te vinden en de oplossing te installeren.
5. Zichtbaarheid
Zelfs als aan de bovenstaande punten is voldaan, valt er nog veel te ontdekken over wat er op de endpoints gebeurt. Het probleem van gebrek aan inzicht is niet nieuw, maar met de verschuiving naar een meer digitale manier van leven en grote hoeveelheid gegevens die we allemaal genereren, zijn er efficiëntere manieren nodig om kwaadaardige activiteiten op grote schaal te indexeren, correleren en identificeren.
Daarom verschuiven de beste endpoint security-oplossingen nu van EDR naar XDR. Dit helpt organisaties om cybersecurity-uitdagingen vanuit een uniform standpunt aan te pakken. Met een enkele pool van onbewerkte gegevens die informatie uit het hele ecosysteem omvat, maakt XDR een snellere, diepere en effectievere detectie en reactie van dreigingen mogelijk. Hierbij worden gegevens uit een breder scala aan bronnen verzameld.
Bij het evalueren van leveranciers die XDR aanbieden, zijn er een paar dingen waar je op moet letten. Een effectief XDR-platform moet naadloos samenwerken met de bestaande security stack en gebruik maken van native tools met uitgebreide API’s. Daarnaast moet het platform kant-en-klare, cross-stack correlatie, preventie en herstel bieden en gebruikers in staat stellen hun eigen cross-stack aangepaste regels te schrijven voor detectie en respons. Pas op voor leveranciers die onvolwassen of gehaaste oplossingen aanbieden die misschien niets meer zijn dan oude tools die aan elkaar zijn vastgeschroefd. Jouw XDR moet één platform vormen waarmee je eenvoudig en snel een uitgebreid overzicht van de hele onderneming kunt opbouwen.
Conclusie
De endpoint security-markt is booming. Gartner voorspelt dat de uitgaven aan cyberbeveiliging dit jaar alleen al meer dan $150 miljard zullen bedragen. Dat is zeer een hoog bedrag gezien het feit dat er bijna elke dag weer een onderneming wordt gecompromitteerd. Om deze kloof te dichten zijn er betere tools nodig, maar ook een betere samenwerking tussen ons – verdedigers – en de beveiligingslagen die we gebruiken.
Dit is een ingezonden bijdrage van Migo Kedem, VP of Growth bij SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.