7 vragen over EDR (Endpoint Detection and Response)

7 vragen over EDR (Endpoint Detection and Response)

DearBytesBlog7 vragen over EDR (Endpoint Detection and Response)

dinsdag 11 september 2018

Preventieve maatregelen zoals een moderne virusscanner houden veel digitale narigheid tegen. Maar waterdicht zijn ze zeker niet: er bestaat altijd de kans dat bijvoorbeeld geavanceerde malware onder de radar blijft. Endpoint Detection & Response geeft organisaties zicht op deze blinde vlek in hun security. Jeroen Hentschke, productmanager bij DearBytes, beantwoordt zeven vragen over EDR.

Wat is Endpoint Detection and Response?

“EDR draait om het het detecteren van ongewenste activiteiten op endpoints die doorgaans niet opgemerkt worden door traditionele, preventieve maatregelen. EDR is niet gericht op preventie, maar op het zo snel mogelijk detecteren van en reageren op een digitale inbraak. Met een EDR-oplossing kunnen securityprofessionals gericht zoeken naar bijvoorbeeld verdachte processen of nieuwe malware. De mens maakt dus de vertaalslag van gedetecteerde dreigingen naar reactieve maatregelen.”

Wat is het verschil met Endpoint Protection?

“Bij Endpoint Protection ligt de focus op preventie. Een antivirusoplossing houdt malware tegen aan de hand van reeds bekende eigenschappen van kwaadaardige code of software. Vroeger gebeurde dat vrijwel exclusief door de handtekening van de malware te vergelijken met een database met bekende malwarevarianten. Tegenwoordig zijn ook gedragsgebaseerde technieken de norm in de securitywereld. Die scannen bestanden op verdacht gedrag, zodat malware met een onbekende handtekening alsnog door de mand valt.”

“Endpointbeveiliging is vrij effectief. Toch zijn we anno 2018 nog steeds niet in staat om met dergelijke preventieve tooling absolute bescherming te bieden, ondanks dat er allerlei vernuftige technologieën bij zijn gekomen. EDR schept inzicht in de dreigingen die juist niet door je preventieve maatregelen worden geblokkeerd. Die inzichten kun je gebruiken om je verdediging te verbeteren. EDR vormt dus een waardevolle aanvulling op Endpoint Protection.”

Waarom is beveiliging van endpoints zo belangrijk?

“Een bedrijfsnetwerk heeft geen duidelijke grenzen meer. Mensen kunnen op hun endpoints overal werken, bijvoorbeeld vanuit huis of op een terrasje in Italië. Er is dus geen beschermde omheining meer waar je als IT-afdeling direct invloed op hebt. Ook worden apparaten veelal door elkaar heen voor werk of privé gebruikt. Die endpoints worden dus het meest blootgesteld aan het dreigingslandschap. De kans dat het op een endpoint misgaat, is simpelweg het allergrootst.”

Tegen welke digitale dreigingen beschermt EDR?

Volgens Hentschke kan dat eigenlijk van alles zijn. De productmanager geeft drie concrete voorbeelden:

1. Zeroday-malware
“Een zeroday is een kwetsbaarheid in software waar de fabrikant niet van op de hoogte is. Zeroday-malware maakt gebruik van zo’n zwakke plek om een systeem aan te vallen. Bij een grootschalige aanval met zeroday-malware – zoals de WannaCry-ransomware in mei 2017 – druppelt vaak langzaam informatie binnen over de infectiemethode en werking. Als je EDR geïmplementeerd hebt, kun je op basis van deze nieuwe informatie direct zoeken op specifieke eigenschappen van deze aanval. Zo weet je sneller of je systemen wel of juist niet besmet zijn en kun je sneller ingrijpen.”

2. Fileless malware
“Dit is een verzamelterm voor malware die zich direct in het geheugen van een apparaat nestelt. Fileless malware is niet terug te vinden op de harde schijf en dus lastig op te sporen. Vaak verloopt de besmetting via een bepaald proces, waarbij het misbruiken van kwetsbaarheden en technieken om onopgemerkt te blijven een belangrijke rol speelt. Met EDR-tooling kun je gericht op dergelijke kenmerken zoeken.”

3. Cryptomining
“Met EDR krijg je ook zicht op volledig legitieme processen die misbruikt worden voor kwaadaardige doeleinden. Neem Windows PowerShell, een krachtige commandlinetool die standaard in Windows-computers zit ingebouwd. Als iemand op de achtergrond via PowerShell een cryptominer – een programma om digitale valuta te delven – op jouw computer draait, registreert je preventieve tooling niets illegaals. Toch is zoiets niet wenselijk, want iemand gebruikt jouw systeem voor eigen gewin. Met EDR-tooling kun je dat soort handelingen alsnog detecteren.”

Hoe werkt EDR in de praktijk?

“Met EDR verkrijg je inzichten waarmee je maatregelen kunt nemen om herhaling te voorkomen. Laten we even bij die cryptominingsoftware blijven. Met EDR ben je in staat om te zien dat zo’n programma op de achtergrond draait. Vervolgens is het aan jou om daar al dan niet op te reageren. Allereerst grijp je in door dat proces te stoppen, maar uiteraard wil je ook weten hoe het zover is gekomen. Heeft een werknemer het programma met de hand uitgevoerd? Dan kun je die persoon daarop aanspreken.”

“Het is ook goed mogelijk dat een externe partij een exploit heeft toegepast die niet gezien is door je preventieve tooling. De cryptominer is bijvoorbeeld binnengekomen via een pdf-bestand dat ongemerkt een PowerShell-commando heeft uitgevoerd. Je ontdekt dat die exploit inmiddels is gefixt door de fabrikant van de pdf-software en dat jouw organisatie inderdaad een verouderde versie gebruikt. Conclusie: die software moet je in het vervolg consequent updaten.”

In hoeverre is EDR te automatiseren?

“Tot op zekere hoogte kan dat, maar de menselijke interpretatie blijft een belangrijk onderdeel. Om EDR-tooling optimaal te benutten, is namelijk de nodige securitykennis en expertise vereist. Op een systeem gebeurt ontzettend veel, dus je moet wel weten waarnaar je op zoek bent. Dit obstakel wordt deels ondervangen doordat je dreigingsinformatie (threat intelligence) kunt combineren met EDR. Geconstateerde dreigingen kunnen je sneller op het spoor van een mogelijke breach zetten.”

“Gebeurt er op een endpoint iets dat overeenkomt met die threat intelligence, dan kan de EDR-tooling automatisch een melding versturen naar bijvoorbeeld een Security Operations Center (SOC). De specialisten in het SOC analyseren de situatie en bepalen of en op welke manier ze in actie moeten komen. Zo wordt er een stukje intelligentie toegevoegd aan EDR, zodat je niet alles zelf hoeft te doen. Dat zou onwerkbaar worden.”

Hoe ziet de toekomst van EDR eruit?

“EDR is sterk in opkomst. Steeds meer securityleverancers bieden een EDR-oplossing aan of zijn druk bezig met de ontwikkeling ervan. Marktonderzoeksbureau Gartner voorspelt dat deze markt de komende jaren gemiddeld met ruim 45 procent groeit. Dat is veel meer dan het gemiddelde groeipercentage van de markt voor informatiebeveiliging (7 procent per jaar). Wij verwachten dan ook dat alle grote bedrijven over drie jaar gebruikmaken van EDR-tooling.”