Wat is een eindpuntdetectie en respons (EDR, Endpoint Detection and Response)?
- IAM-woordenlijst
- Wat is een eindpuntdetectie en respons (EDR, Endpoint Detection and Response)?
Endpoint Detection and Response (EDR), ook bekend als Endpoint Threat Detection and Response (ETDR), is een parapluterm voor een softwareoplossing die doorlopend eindpuntapparaten monitort, waaronder computers, laptops, servers, mobiele apparaten en Internet of Things (IoT)-apparaten van eindgebruikers, om bedreigende gegevens te verzamelen en analyseren, en om beveiligingsteams in realtime te alarmeren als er een lek plaatsvindt.
Hoe werkt Endpoint Detection and Response (EDR)?
Aangezien EDR is een brede term is, variëren de specifieke functies en mogelijkheden van individuele EDR-oplossingen sterk tussen leveranciers en zelfs implementaties. Over het algemeen vallen Endpoint Detection and Response-tools in een van de volgende drie categorieën:
- Een toegewijd EDR-platform
- Een verzameling kleinere tools, die samen gebruikt zorgen voor Endpoint Detection and Response
- Een EDR-functie die is ingebouwd in een ander beveiligingsproduct, zoals antivirussoftware van de nieuwe generatie. Sommige Security Information and Event Management (SIEM)-leveranciers bieden EDR als onderdeel van hun pakketten aan
EDR-oplossingen werken door geaggregeerde telemetrische gegevens te verzamelen van eindpuntapparaten, waaronder logs, bestandsgegevens, lopende processen, prestatiemonitoren en configuratiegegevens, en die te analyseren om mogelijke bedreigingspatronen te detecteren.
De eenvoudigste EDR-systemen zijn zuivere alarmeringstools. Ze verzamelen, analyseren en geven gegevens weer voor menselijke medewerkers om te bekijken en ernaar te handelen. De gegevens worden opgeslagen in een centrale database en kunnen vaak worden gevoed in een SIEM-oplossing.
Meer geavanceerde EDR-systemen bevatten functies als:
- Geautomatiseerde responsmechanismen die bepaalde correctieve acties kunnen ondernemen als een dreiging wordt gedetecteerd, zoals het uitloggen van een eindgebruiker, het stoppen van gecompromitteerde processen of het helemaal uitschakelen van het eindpuntapparaat.
- Responstools bij bedreigingen die menselijke medewerkers helpen begrijpen wat er aan de hand is, welke apparaten en systemen getroffen worden, hoe de aanval gestopt moet worden en hoe toekomstige aanvallen kunnen worden voorkomen.
- Machine learning en AI-aangestuurde analytische gegevens die gebruik maken van gedragsanalyses om de activiteit van een apparaat in context te plaatsen en nieuwe en opkomende dreigingen te identificeren, waaronder dreigingen die niet passen bij de vooraf geconfigureerde regels van de EDR. Dit kan het vastleggen van afwijkend gedrag zijn om het MITRE ATT&CK-kader vrij te maken om te helpen patronen te detecteren.
- Forensische tools waarmee beveiligingspersoneel tijdslijnen kan vaststellen, getroffen systemen kan identificeren en bewijs kan verzamelen tijdens analyses van incidentrespons en analyses na de lekken. Beveiligingspersoneel kan ook forensische EDR-tools gebruiken om proactief te zoeken naar andere, nog niet gedetecteerde bedreigingen in de data-omgeving.
Het belang van EDR
EDR-systemen worden steeds populairder vanwege de wildgroei aan eindpuntapparaten die verbonden zijn met organisatorische netwerken, waaronder computers en laptops, telefoons en IoT-apparaten. Cybercriminelen beschouwen deze apparaten als 'zachte doelen', waarmee ze netwerken kunnen binnendringen, en ze gebruiken steeds verfijndere aanvalsmethoden en malware om ze aan te vallen.
Endpoint Detection and Response-tools worden soms verward met antivirusoplossingen. Veel EDR-systemen worden gebundeld met antivirussoftware geleverd of maken gebruik van data uit de database van een antivirusoplossing.
Maar antivirussoftware beschermt eindpuntapparaten alleen tegen malwaretypen die voorkomen in de database van het product. EDR aan de andere kant gebruikt slimme analyses om nieuwe en opkomende dreigingen te detecteren, inclusief dreigingen die antivirussoftware niet kan detecteren, zoals malware zonder bestanden, aantallen waarbij gebruik wordt gemaakt van gestolen aanmeldingsgegevens, Advanced Persistent Threats (APT's) en malware die zo nieuw is, dat die nog niet voorkomt in de antivirusdatabase.
Antivirusoplossingen verstrekken gebruikers alleen de basisinformatie, namelijk hoeveel dreigingen de software heeft geblokkeerd, en wat voor soort, binnen een bepaalde periode. EDR-systemen leggen aanvullende, zeer kostbare contextuele gegevens vast over aanvallen, zoals informatie over de bedreiger, en leggen historische trends bloot die organisaties kunnen gebruiken om hun beveiligingsstrategie te bepalen.
Zo gebruiken bEDRijven EDR
Naast het detecteren van dreigingen die anders langs antivirusoplossingen en andere beveiligingstools zouden glippen, versnellen EDR-systemen incidentrespons, helpen bij de inspanningen tot inperking en geven beveiligingsteams volledig inzicht in eindpuntgedrag in de data-omgeving en maken proactieve jacht op bedreigingen mogelijk.
Zorgen dat het beveiligingspersoneel een actieve rol speelt in eindpuntbeveiliging is uitermate belangrijke voor een succesvolle EDR-inzet. Naast de opvolging met EDR-alarmen moeten organisaties een robuuste patchbeheerstrategie hebben om eindpuntapparaten up-to-date te houden. Softwareupdates bevatten vaak belangrijke beveiligingspatches en vergeten dan om ze op tijd toe te passen, wat ernstige gevolgen kan hebben voor de eindpuntbeveiliging
Misconfiguraties van de cloud zijn een ander veelvoorkomend probleem wat de eindpuntbeveiliging nadelig kan beïnvloeden. Het inzicht wat EDR-oplossingen bieden in eindpuntconfiguraties helpt IT- en beveiligingsteams om verkeerd geconfigureerde cloudinstellingen te voorkomen, en aan de andere kant verbetert een goed onderhouden cloudomgeving de eindpuntbeveiliging.