Wanneer je hulp kunt gebruiken in het beoordelen van endpoint security leveranciers, dan vind je hier de vijf belangrijkste punten om ervoor te zorgen dat je de juiste vragen stelt.
Het is geen nieuws dat cyberdreiging toeneemt. De vraag naar effectieve beveiligingsoplossingen is nog nooit zo hoog geweest, nu geavanceerde hacking aanvallen blijven toenemen. De markt wordt overspoeld door leveranciers die gedurfde beweringen doen en in nieuwsverhalen tot nog meer gedurfde uitspraken komen. Het is zelfs voor security professionals moeilijk om feit van fictie te onderscheiden. Daarom zet ik de belangrijkste vijf voor jou op een rijtje.
Malware is geëvolueerd tot veel meer dan slechts een ouderwets computervirus. Toch hebben de meeste beveiligingsoplossingen nog steeds de term "anti-virus" in hun naam, hetgeen veelal iets zegt over het vermogen van dergelijke oplossingen om ook de moderne dreiging het hoofd te kunnen bieden.
De realiteit is dat cyberaanvallen veel verschillende vormen aannemen die niets te maken hebben met een virus of zelfs maar een bestand. Ze kunnen variëren van niet-onderscheidend tot zeer gericht. Deze omvatten ransomware, spear-phishing, drive-by-aanvallen en maken dankbaar gebruik van zowel softwarematige als hardwarematige kwetsbaarheden die kunnen leiden tot verlies van klant- en bedrijfsgegevens.
Trap niet in de val door te denken dat je bedrijf te klein is om een doelwit te kunnen zijn. Aanvallers wapenen zich met machine learning om zeer gerichte acties op een schaalbare manier uit te voeren tegen lage kosten.
Vergeet ook niet dat de dreiging ook van binnenuit kan komen; ontevreden werknemers kennen de zwakheden van jouw systemen beter dan welke buitenstaander ook. Goede endpoint security moet slecht gedrag kunnen detecteren, ongeacht het punt van herkomst.
Ouderwetse beveiligingssoftware werkt door bestanden op een lokale computer te scannen om te bepalen of deze kwaadaardig zijn of niet. Hierbij wordt gekeken naar de reputatie van de kenmerken van het bestand. Evenals de term 'anti-virus', is dit een zeer achterhaalde manier van bescherming.
Dergelijke oplossingen werden in de loop der jaren uitgebreid met aanvullende functies zoals het blokkeren van kwaadwillende websites of het detecteren van overmatig gebruik van bronnen, om zo de strijd aan te gaan met nieuw geïntroduceerde dreigingen. In plaats van een dergelijke reactieve aanpak, zal echt effectieve bescherming proactief dienen te zijn zonder sterke afhankelijkheid van reputatie-gebaseerde bescherming.
Het overgrote deel van succesvolle aanvallen zijn tegenwoordig ‘file-less’, hierbij wordt een infectie in gang gezet zonder dat daar een bestand bij komt kijken. Dergelijke aanvallen wijzigen bijvoorbeeld DNS-instellingen om je netwerkverkeer zodanig te routeren dat code in dagelijkse gangbare processen geïnjecteerd wordt. Een verouderde beveiligingsoplossing die zich primair richt op het scannen van schadelijke bestanden is dan ook ver voorbij de houdbaarheidsdatum.
Onbetrouwbare software niet het enige gevaar voor je endpoint. Zelfs software van gevestigde merken wordt ingezet om je systeem aan te vallen. Hoewel MS Office-aanvallen een lange geschiedenis hebben, kunnen macro aanvallen zoals DDE misbruik maken van beveiligingslekken. Dergelijke aanvallen wordt door veel beveiligingsoplossingen over het hoofd gezien, omdat ze afkomstig lijken te zijn van betrouwbare applicaties. Tegelijkertijd zullen de meeste bedrijven behoefte hebben aan legitieme PowerShell-operaties, terwijl PowerShell-gebaseerde aanvallen juist steeds gebruikelijker worden.
Je hebt een beveiligingsoplossing nodig die slim genoeg is om legitieme PowerShell activiteit te onderscheiden vankwaadwillig gedrag.
Moderne malware kan ook worden uitgevoerd zonder ontdekt te worden door traditionele beveiliginsoplossingen en door te werken met machtigingen op systeemniveau. Er wordt gebruik gemaakt van een kwetsbaarheid die misbruik toestaat van bevoegdheden of andere infectiemethoden. Dit kan omdat veel anti-virus oplossingen toegang verlenen op basis van identiteit, in plaats van op gedrag. Wanneer beveiligingsoplossingen een dergelijke "whitelisting" benadering hanteren, blijft de endpoint kwetsbaar voor supply chain-aanvallen en valse certificaten.
Beveiligingssoftware hoeft niet moeilijk te gebruiken te zijn en je zou geen beveiligingsdeskundige hoeven zijn om effectief beheer uit te kunnen voeren. Helaas geven veel beveiligingssoftware aanbieders die indruk dat de ongetwijfeld grote complexiteit ‘onder de motorkap’ ook dient te leiden tot een zeer complexe beheersomgeving.
Zorg ervoor dat je een endpointoplossing kiest die onderhoudstaken tot een minimum beperkt, taken in een overzichtelijke en eenvoudig te begrijpen interface presenteert en met één klik op de knop de omgeving herstelt naar de situatie van vóór de aanval. Je wilt een oplossing die iedereen in jouw team snel kan beheren en waarmee de organisatie gelijk aan de slag kan.
De grootste misvatting die je over beveiligingsoplossingen kunt hebben, is te geloven dat het al je beveiligingsproblemen in één klap oplost. Bedreigingen kunnen verschillende vormen aannemen: van willekeurige ransomware-aanvallen tot ontevreden werknemers. Wat is jouw actieplan wanneer (denk niet "als") er een dreiging is? Hoe ga je reageren? Het ontbreken van een actieplan kan leiden tot grote schade voor je klanten, je gegevens en je reputatie.
Daarom heb je een endpointoplossing nodig die deel kan uitmaken van je volledige actieplan. Een platform-onafhankelijke oplossing zoals SentinelOne geeft 360 graden inzicht in de status van jouw endpoints, inclusief het versleutelde verkeer binnen je netwerk, herstelt met één klik een rollback na een aanval en hanteert één enkele, eenvoudig te gebruiken agent.
Eric van Sommeren is Director Sales Noord-Europa voor SentinelOne. Hij deelt zijn passie voor endpoint security software als gastblogger bij EASI.