Return to Blog

mei 28, 2022

Wat is EDR Security? Incl. 4 aandachtspunten!

By George Rouse

Cyberbeveiliging

Organisaties en bedrijven beschouwen EDR-oplossingen steeds vaker als een essentieel onderdeel van de algehele netwerkbeveiliging. Maar helaas zijn er nog steeds bedrijven die nog geen gebruik maken van EDR-tools.

Wat is EDR Security?

Om kort te gaan: EDR is de afkorting van Endpoint Detection and Response.

EDR-Tools voor cyberbeveiliging zijn ontworpen om malware, of iedere andere vorm van illegale activiteit, op de eindpunten te detecteren en te verwijderen. Meer algemeen zijn EDR-tools in staat om gegevens van potentiële dreigingen op de eindpunten van het netwerk te verzamelen, waarna deze gegevens geanalyseerd kunnen worden om uiteindelijk de hoofdoorzaak van. De beveiligingsproblemen te bepalen. Deze gegevens zijn ook belangrijk ter ondersteuning van Support Incident Response en managementstrategieën.

Volgens Kuppingercole Analysts, een Europees analyse-bureau, bevatten EDR-Tools (normaal gesproken) een aantal belangrijke onderdelen:

  • Bewaken, analyseren en op afstand loggen van de activiteiten van eindpunten.
  • In realtime detecteren, volgen en signaleren van aanwijzingen voor de aanwezigheid van Indicators of Attacks (IoAs) en Indicators of Compromises (IoCs).
  • Een EDR-tool werkt samen met andere beveiligingstools, waaronder Endpoint anti-malware, casemanagement, Security Incident and Event Management (SIEM), and Security Orchestration, Automation and Response (SOAR).
  • Toestaan van interactieve IOC/IOA-query’s op alle knooppunten.
  • Ondersteuning voor het registreren en weergeven van activiteiten.
  • Ondersteuning voor het blokkeren van het verkeer tussen verdachte knooppunten en beheers-consoles.
  • Een EDR ondersteund het maken van draaiboeken en configureerbare, automatische antwoorden.
  • Levert ‘agents’ voor verschillende bestuurssystemen.
  • Het bewaken van de integriteit van besturingssystemen en andere belangrijke bestanden.

Naast deze zeer uitgebreide lijst met functionaliteiten, heb ik een nog een aantal overwegingen die je mee moet nemen in het beslissingsproces over welke EDR-tool gebruikt gaat worden voor het beveiligen van alle eindpunten van je netwerk:

1) Endpoint Detection and Response mét agent of juist zónder agent?

Veel EDR-tools maken gebruik van zogenaamde agents, maar er zijn ook EDR-tools die dit juist vermijden voor het verzamelen van. Gegevens van eindpunten. Beide methodes hebben voor- en nadelen.

Wat is een agent precies?

Een agent is een klein softwareprogramma dat op elk te bewaken eindpunt wordt geïnstalleerd. De belangrijkste functies van de agent zijn het verzamelen van gegevens over gebruikersactiviteit in alle toepassingen, webpagina’s en het besturingssysteem zelf. De agent verzendt al deze verzamelde gegevens naar een centrale server voor verwerking, analyse en opslag.

Als een agent op een bewaakt eindpunt is geïnstalleerd kun je:

  • Uitgebreide details vastleggen over het besturingssysteem, het lokale bestandssysteem, de hardware en alle aangesloten apparaten, evenals de processen die op het apparaat uitgevoerd worden.
  • De activiteiten van de gebruiker vastleggen, ongeacht of deze lokaal inlogt of via externe toegang inlogt.
  • De gebruikersactiviteiten lokaal opslaan voor latere verzending, als er spraken is van een onderbroken netwerkverbinding of als het apparaat eenvoudigweg offline is.
  • Indien nodig kan de agent de sessie van de gebruiker blokkeren, en in quarantaine plaatsen, als er sprake is van een beveiligingsprobleem.

Er zijn ook nadelen verbonden aan EDR-tools mét een agent:

  • Dit vereist de installatie en beheer van de agents op ieder eindpunt.
  • Agents kunnen mogelijk niet gebruikt worden op systemen die niet compatibel zijn.
  • Eigenaren van het eindpunt kunnen bezwaar maken tegen de installatie van een agent.
  • De agent gebruikt een deel van de CPU en RAM.

Een alternatief is om een EDR-tool te gebruiken die niet gebruik maakt van een agent. In plaats van een agent te gebruiken, bewaakt de EDR-tool het dataverkeer. Op een passieve manier door het verkeer tussen eindpunt en server te monitoren.

De voordelen hiervan zijn:

  • Snellere implementatie van een EDR-tool in je netwerk. Dit kan vooral handig zijn tijdens het onderzoek naar beveiligingsincidenten.
  • Vereist geen gebruik van CPU en RAM op de bewaakte eindpunten.
  • Kan worden gebruikt op eindpunten met een niet-ondersteund besturingssysteem.
  • Kan wijzigingen in de configuratie signaleren in netwerkapparaten waarop geen agents kunnen worden geïnstalleerd.

Maar er zijn ook weer een aantal nadelen:

  • Legt geen lokale gebruikersactiviteit vast, geen lokaal lopende processen, en de hardware wordt niet in de gaten gehouden.
  • Versleuteld dataverkeer is heel moeilijk te monitoren en te analyseren.
  • Kan geen gegevens verzamelen over eindpunten die niet verbonden zijn met het netwerk.

Veel bedrijven en organisaties vinden dat ze beide systemen gebruikt moeten worden, om alle eindpunten af te dekken en de nadelen van beide systemen te elimineren.

2) Welke apparaten zijn niet compatibel met EDR tools?

Voor specifieke besturingssystemen is in de meeste gevallen wel een agent beschikbaar. De meeste EDR-tools bieden minimaal ondersteuning voor Windows (inclusief de oudere versies), MacOS en Linux. Maar er zijn ook populaire besturingssystemen die in veel gevallen niet ondersteund worden. Denk hierbij aan Apple iOS en Google Android. Toch worden deze systemen door veel werknemers op het bedrijfsnetwerk gebruikt. Bij het ontbreken van een agent voor een besturingssysteem, moet je terugvallen op een alternatief. En dan een EDR-oplossing zijn zonder agent, zoals eerder beschreven.

Ook alle IoT-apparaten worden mogelijk niet ondersteund, aangezien er maar weinig zijn die een standaard besturingssysteem gebruiken. Bovendien zijn de meeste IoT-apparaten zeer beperkt in CPU en geheugen, waardoor er geen plaats is voor een agent. Als het bewaken van IoT eindpunten belangrijk is, moet een alternatief gezocht worden, bijvoorbeeld met een EDR tool zonder agent.

3) En hoe zit het met EDR-security in de cloud?

Veel EDR tools werken vanuit de cloud, maar het bewaken van bijvoorbeeld virtuele machines in diezelfde cloud is vaak niet mogelijk. Kortom: Beveiliging van de eindpunten in de cloud is een heel andere tak van sport.

4) Is een EDR tool gemakkelijk te integreren met andere beveiligingstools, inclusief SIEM-platforms?

EDR tools zijn niet bedoeld om gebruikt te. Worden als zelfstandige instrumenten. Er zijn heel veel complementaire tools waarmee een EDR tool samen kan (en moet) werken.

EDR tools moeten geïntegreerd worden met andere tools die activiteiten kunnen vastleggen, die een eindpunt kunnen volgen, en tools die acties kunnen ondernemen om de schade van een aanval te beperken en de omgeving op te schonen als het gevaar geweken is.

Bovendien hebben veel bedrijven een SIEM-platform (Security Incident and Event Management) wat opgezet is als overkoepelend beveiligingsplatform. Andere tools, zoals een EDR tool, verzamelen de gegevens en geven deze door aan de SIEM voor verdere bewerking en analyse.

Related
Wie is verantwoordelijk voor het cyberweerbaar maken van het MKB?
Wie is verantwoordelijk voor het cyberweerbaar maken van het MKB?

In deze uitzending, bespreken we hoe Cyberveilig Nederland is en wat de security aandachtspunten zijn voor het MKB.

 Datto's rapport over de wereldwijde stand van zaken voor MSP’s: trends en prognoses voor 2024
Datto's rapport over de wereldwijde stand van zaken voor MSP’s: trends en prognoses voor 2024

In de zich steeds verder ontwikkelende technische wereld spelen Managed Service Providers (MSP’s) een cruciale rol.
Suggested Next Reads