Interactie EDR en NDR essentieel voor integrale IT-beveiliging
Organisaties die zich tegen complexe cyberaanvallen willen beschermen hebben goed gefundeerde en gelaagde IT-beveiliging nodig. Dit vraagt om overzicht op, en informatie over het dataverkeer en alle endpoints. De combinatie van network detection & response (NDR) en endpoint detection & response (EDR) biedt organisaties door middel van gecoördineerde interactie een antwoord op vier cruciale vragen ten aanzien van de IT-beveiliging. Veel cyberaanvallen beginnen nog altijd met een simpele phishing-mail. Volgens een onderzoek van ForeNova en Cyber Security Insiders in het najaar van 2022 gold dat voor 58 procent van alle ransomware-aanvallen. In 52 procent van alle gevallen bevatte die een bijlage met malware. Phishing-mails zijn echter alleen verantwoordelijk voor de aanvankelijke besmetting van een systeem. De cybercriminelen achter gevaarlijke advanced persistent threats (APT’s) zoeken vervolgens naar bedrijfskritische systemen en data die als ingangskanalen voor hun efficiënte aanvallen kunnen dienen.
Getrapte cyberaanvallen laten sporen na. Deze liggen verspreid over het netwerkverkeer en diverse endpoints. Het bieden van bescherming vraagt bovenal om kennis en continue monitoring van de complete IT-omgeving. Een combinatie van NDR en EDR stroomlijnt de daarvoor benodigde uitwisseling van informatie om een antwoord te bieden op de volgende vier cruciale vragen:
1. Wat bevindt zich waar?
Een NDR-oplossing detecteert pogingen om verbindingen op te zetten met onbekende IP-adressen van externe servers. De technologie detecteert daarnaast situaties waarin ongebruikelijk grote hoeveelheden data tussen bekende systemen worden overgedragen, of dataoverdracht op ongebruikelijke tijdstippen. De NDR-oplossing brengt ook alle onbekende IT-activa binnen het netwerk in kaart, zoals schaduw-IT en virtuele machines die ooit aangemaakt en vervolgens vergeten werden.
Een EDR-oplossing biedt een overzicht van alle centraal beheerde endpoints met een IP-adres, zoals Windows-pc’s en Mac-systemen op kantoor of in thuiswerkomgevingen. Een EDR-agent die op een centraal beheerde laptop van de werkgever wordt geïnstalleerd is in staat om cyberrisico’s te detecteren als werknemers thuis of mobiel werken. Levert de laptop of het draadloze netwerk van een hotel of thuisnetwerk gevaren op? Ook een ingehuurde instance van een cloudserver kan worden gemonitord door het installeren van een EDR-agent.
2. Wat gebeurt waar?
IT- en systeembeheerders kunnen onmogelijk alle activiteiten binnen het netwerk en op endpoints analyseren. Artificial Intelligence kan hierbij ondersteunen door de monitoring en interpretatie van IT-processen.
Deze technologie creëert een baseline van gangbare en daarmee legitieme vormen van dataverkeer en activiteiten op endpoints. Dit maakt het mogelijk om snel, doeltreffend en efficiënt afwijkende processen te detecteren die op een cyberaanval kunnen duiden.
Een NDR-oplossing maakt het mogelijk om patronen in het dataverkeer te detecteren om na te gaan hoe hackers zich een weg naar systemen banen en het security-team daarop attent te maken. Het is belangrijk om afwijkende patronen na te trekken, aangezien hackers hun verkenningen van de IT-omgeving verhullen door gebruik te maken van betrouwbare tools die een beheerder zou gebruiken. Toch laat dit sporen na. Als een beheertool systemen een voor een afloopt, kan dat erop wijzen dat een onbekende die niet vertrouwd is met de IT-omgeving op zoek is naar kwetsbaarheden of
informatie. Een beheerder die problemen wil verhelpen zou alleen afzonderlijke systemen analyseren.
Een EDR-oplossing komt direct in actie zodra er op een endpoint een cyberaanval wordt uitgevoerd en voorkomt dat er data wordt versleuteld of naar buiten wordt gesmokkeld. De oplossing verbetert daarnaast het toezicht op alle endpoints. Processen, verbindingen en activiteiten die nog geen directe gevolgen hebben, maar wel gevaar kunnen opleveren, worden vaak het eerst door de AI op endpoints ontdekt en geanalyseerd.
3. Wanneer treedt de beveiliging in werking?
Een EDR-oplossing kan aan de hand van actuele bedreigingsinformatie het verkeer naar een bekende phishing-website blokkeren of malware stoppen waarvan de signature (digitale handtekening) bekend is. Het percentage ransomware-aanvallen dat op die manier in de kiem kan worden gesmoord is behoorlijk hoog. Ook kan een EDR-oplossing bestanden in mappen aanmaken die als honeypot (digitaal lokaas) dienen. Als cybercriminelen proberen om deze nepbestanden te versleutelen of wissen, verraden ze daarmee hun aanwezigheid en kunnen ze in een vroeg stadium worden afgeslagen.
Een NDR-oplossing herkent direct wanneer een communicatieverbinding tot stand wordt gebracht tussen een met malware besmet systeem en de command & control (C&C)-server van cybercriminelen. De oplossing detecteert daarnaast de over een lange periode verspreide pogingen van hackers om nieuwe kwetsbaarheden te vinden of de toegangsrechten van digitale entiteiten te verhogen.
Het is mogelijk om op basis van een analyse van het netwerkverkeer door een NDR-oplossing een noodplan op te stellen dat aangeeft welke systemen een EDR-oplossing in het ergste geval moet blokkeren om malware de pas af te snijden.
4. Wie (of wat) treft welke maatregelen?
De NDR- en EDR-oplossingen wisselen niet alleen informatie uit, maar werken ook samen. De NDR-oplossing brengt kwetsbaarheden aan het licht, en de EDR-oplossing verhindert pogingen om daar misbruik van te maken. De NDR-technologie kan zorgen voor efficiënte microsegmentatie op basis van haar kennis van het dataverkeer, zonder dat er een firewall op het endpoint aan te pas komt. Als de NDR-oplossing aan het dataverkeer afleest dat er informatie naar buiten wordt gesmokkeld, roept de EDR-oplossing daar een halt aan toe, ook als daar nog geen patch voor is geïnstalleerd of de softwareleverancier die nog niet heeft uitgebracht.
Alleen het samenspel van beide beveiligingsoplossingen kan integrale bescherming bieden. Ook faciliteert het de interactie met andere beveiligingscomponenten zoals een security information & event management (SIEM)-systeem of firewall. Dit maakt het mogelijk om uit verschillende bronnen informatie te verzamelen en van de juiste context te voorzien. Zo wordt er zicht gehouden op alles wat er binnen de IT-omgeving gebeurt.
Paul Smit, CTO en founder van ForeNova Technologies