5 veelgemaakte fouten tijdens EDR-implementaties, en hoe deze te vermijden

Robert Tom Fortinet

Iedereen die al een tijdje meeloopt in de IT-wereld, en dan met name de securitybranche, weet dat de meeste beveiligingsincidenten niet zijn te wijten aan gebrekkige security-technologie of aan heel slimme hacktechnieken. De werkelijke boosdoeners zijn vaak kleine, maar funeste configuratiefouten in beveiligingstools die organisaties vatbaar maken voor cyberaanvallen. De afgelopen jaren bleken verkeerde configuraties van endpoint detection & response (EDR)-oplossingen vaak de oorzaak te zijn van beveiligingsincidenten.

Een krachtige EDR-tool is onmisbaar voor het beschermen van de digitale infrastructuur van je organisatie. De doeltreffendheid van elke EDR-tool staat of valt echter met een juiste implementatie. Fouten tijdens de implementatie en het beheer van de oplossing kunnen de effectiviteit ervan tenietdoen en actief bijdragen aan kwetsbaarheden in de beveiliging. Hieronder volgt een overzicht van vijf veel voorkomende valkuilen rond de implementatie van een EDR-oplossing en tips voor het vermijden daarvan.

Valkuil nummer 1: De onvolledige implementatie

Een veel voorkomende misstap is het niet installeren van EDR-collectors op alle hosts. Dit kan rampzalige gevolgen hebben. Onbewaakte hosts vormen namelijk vaak het epicentrum van beveiligingsincidenten. Deze kwetsbare knooppunten kunnen dienen als ingangskanaal voor cybercriminelen. Zij kunnen vervolgens ongezien een aanwezigheid binnen je netwerk opbouwen. Om dat te voorkomen moet je collectors op elke host binnen je organisatie installeren.

FortiEDR en FortiXDR (extended detection & response) bieden diverse mogelijkheden voor het verkleinen van het aanvalsoppervlak. Zo kun je met device discovery onbeschermde of ongemachtigde apparaten binnen hun netwerk detecteren en daar een security client op installeren via een push-mechanisme. En als er IoT-apparaten worden ontdekt, kun je beleidsregels aanmaken die je grip bieden op de communicatie van deze apparatuur. In de meeste gevallen is het namelijk niet mogelijk om een agent op IoT-apparaten te installeren.

Valkuil nummer 2: Het beveiligingsbeleid negeren

Een andere kapitale fout is het nalaten om preventieve beveiligingsregels in te stellen. Veel EDR-tools voorzien in een breed scala aan beleidsregels die stuk voor stuk kunnen worden in- of uitgeschakeld. Het is niet ongebruikelijk dat organisaties preventieve beveiligingsregels uitschakelen tijdens een optimalisatieslag of testprocedure en vervolgens vergeten om ze opnieuw te activeren. Je beveiligingssysteem blijft op die manier in de simulatiemodus. Een gedegen EDR-oplossing nog weliswaar nog altijd in staat moeten zijn om kwaadaardige activiteit te detecteren, maar zal die niet blokkeren. Voorkomen is dus beter dan genezen. Dubbelcheck daarom altijd je beveiligingsregels. Op die manier ben je er zeker van dat de preventieve beveiligingsmechanismen ook na het testen actief blijven.

Valkuil 3: Meldingsmoeheid

Het negeren of onjuist interpreteren van beveiligingsmeldingen in de beheerconsole van je EDR-oplossing valt te vergelijken met het in de wind slaan van de waarschuwingsborden langs een verraderlijke weg. Continue monitoring en een gedegen begrip van deze meldingen zijn van cruciaal belang voor vroegtijdige detectie en incidentrespons. Maak er een gewoonte van om deze meldingen te raadplegen en analyseren, zodat je snel op potentiële beveiligingsincidenten kunt inspringen. Een veel voorkomend teken van burn-out bij beveiligingsanalisten is een lukraak gebruik van uitzonderingen en uitsluitingen (zie valkuil nummer 4 voor tips om daarmee om te gaan).

Veel organisaties besteden een deel van hun beveiligingsactiviteiten uit aan een aanbieder van managed detection & response services. Zo neemt het FortiGuard Managed Detection & Response Service-team geavanceerde security operations center (SOC)-taken waar voor klanten in alle delen van de wereld. Ons team vormt gaat verder waar de basisbeveiliging van organisaties ophoudt. Het helpt hen met de detectie van cyberbedreigingen en de uitvoering van herstelwerkzaamheden na beveiligingsincidenten. Het team meldt alles wat er verdacht en kwaadaardig uitziet en brengt regelmatig verslag uit. Het werkt daarnaast samen met het Global Incident Response-team. Als een klant met een ingrijpend incident te maken krijgt, kunnen beide teams direct in actie komen om herstelmaatregelen uit te voeren zonder aangewezen te zijn op hulp van buitenaf.

Valkuil nummer 4: Een overdaad aan uitzonderingen

Het instellen van legio uitzonderingen en uitsluitingen kan de effectiviteit van zelfs de beste EDR-oplossing ondermijnen. Organisaties strooien daar soms iets te royaal mee. Ons advies is om klein te beginnen en het aantal uitzonderingen en uitsluitingen met beleid uit te breiden tijdens elke optimalisatieslag. Veel voorkomende configuratiefouten zijn onder meer:

  • al te tolerante instellingen voor potentieel onveilige applicaties (ook wel ‘LOLbins’ genoemd)
  • uitzonderingen voor kritieke processen zoals 'svchost.exe' of 'rundll32.exe' of processen die omgaan met gevoelige informatie, zoals 'lsass.exe'
  • al te lakse beleidsregels voor PowerShell-scripts in plaats van alleen het gebruik van specifieke geverifieerde scripts toe te staan
  • integrale uitzonderingen voor opdrachtregelinterfaces zoals 'cmd.exe' en 'PowerShell.exe'.

Stel uitzonderingen voor specifieke situaties in en houd die beperkt om krachtige beveiliging te waarborgen. Als je vermoedt dat beveiligingsanalisten uitzonderingen per ongeluk of te vaak gebruiken, kun je een overzicht van al hun acties raadplegen. Op die manier kun je onwenselijke uitzonderingen en uitsluitingen snel terugdraaien.

Valkuil nummer 5: Voorbijgaan aan draaiboeken

Het niet configureren van geautomatiseerde draaiboeken en niet uitvoeren van routinecontroles op wijzigingen van beveiligingsregels en standaardinstellingen zijn twee misstanden die je organisatie blootstellen aan kwetsbaarheden. Beheerders zouden alle wijzigingen die zij doorvoeren duidelijk moeten documenteren. Ze moeten die bovendien voorzien van contextuele informatie over de risico’s die gepaard gaan met het afwijken van de aanbevolen instellingen. Regelmatige audits van systeemwijzigingen maken het mogelijk om verantwoordelijkheid af te leggen en de integriteit van de bedrijfsbrede beveiliging te waarborgen.

Vergeet daarnaast niet om sterke authenticatiemechanismen voor je EDR-oplossing in te stellen. Volgens ons recente FortiGuard Incident Response Report was 60% van alle beveiligingsincidenten die het FortiGuard IR-team onderzocht het gevolg van cybercriminelen die zich via legitieme accounts toegang tot een EDR-oplossing hadden verschaft. Zij beschikten daarmee over de juiste toegangsrechten om uitzonderingen in te stellen die het mogelijk maakten om hun malware-tools uit te voeren.

Optimale prestaties EDR

FortiEDR is een krachtig wapen in de strijd tegen cybercriminelen. Deze oplossing voorziet in real-time bescherming, bedreigingsdetectie en incidentrespons. De inzet van een EDR-tool is een strategische stap op weg naar het versterken van je beveiliging. Dit vraagt echter om een juiste implementatie. Als je bovenstaande fouten uit de weg gaat, zul je optimale prestaties uit je EDR-tool kunnen halen en de bedrijfsbrede beveiliging kracht kunnen bijzetten. De sleutels tot een succesvol gebruik van een geavanceerde security-oplossing zijn een nauwgezette implementatie, beheerdiscipline en voortdurende monitoring en aanpassing.

Robert Tom, systems engineer bij Fortinet Nederland

Meer over
Lees ook
Digital Preview Day it-sa Expo&Congress

Digital Preview Day it-sa Expo&Congress

De Digital Preview Day vindt plaats op 8 oktober, twee weken voor het it-sa Expo&Congress (22-24 oktober). Naast presentaties van geselecteerde exposanten biedt dit digitale evenement tips voor een goede voorbereiding op een bezoek aan de toonaangevende IT-beveiligingsbeurs in Neurenberg.

Nieuwe samenwerking van Logpoint en G'Secure Labs

Nieuwe samenwerking van Logpoint en G'Secure Labs

Logpoint kondigt de samenwerking aan met G'Secure Labs, een cyberbeveiligingsdienstverlener met onder andere diensten voor risicobeheer, advies over compliance, kwetsbaarheidsbeoordeling, penetratietesten en 24/7 incidentbeheer.

Fortinet breidt platform voor OT-beveiliging uit met SecOps-functionaliteit

Fortinet breidt platform voor OT-beveiliging uit met SecOps-functionaliteit

Fortinet introduceert nieuwe mogelijkheden binnen zijn platform voor OT-beveiliging. Het gaat onder meer om verbeterde functionaliteit voor netwerkbeveiliging en security operations (SecOps). Fortinet heeft daarnaast zijn samenwerking met leveranciers van OT uitgebreid.