Met moderne Endpoint Detection and Response kunt u heel veel cyberaanvallen detecteren en in de kiem smoren. Het is daarom voor veel organisaties een logische stap in het verbeteren van de cybersecurity. Heeft uw organisatie EDR op alle devices geïnstalleerd? Dat is wel een felicitatie waard!
Maar is het voldoende? Nee. In deze blog kijken we welke aanvalsmogelijkheden er nog overblijven na installatie van EDR en hoe je die gaten in de verdediging effectief kunt dichten met NDR: Network Detection and Response.
Beperkingen
Om te beginnen: geen enkel systeem is perfect. Ook niet de beste EDR-toepassing. Hackers zijn continu bezig om manieren te bedenken waarop ze de cyberverdediging kunnen omzeilen of uitschakelen. Is uw organisatie de eerste waar ze die truc toepassen, dan heeft u simpelweg vaak pech.
Maar belangrijker is dat EDR op veel apparaten niet geïnstalleerd kan worden. Neem een printer. Softwarematig is het een Linuxcomputer, maar zo dichtgetimmerd dat je er niets op kunt installeren. Tenminste, als er geen kwetsbaarheden zijn … Hangt de printer aan het Internet, of wordt er een laptop op aangesloten die thuis of onderweg geïnfecteerd is geraakt, dan kan er ook op die printer malware belanden.
Operational Technology
Het Internet of Things is een enorme kans voor cybercriminelen. Die IoT-apparaten zijn allemaal deurtjes en raampjes waar ze door naar binnen kunnen zonder een EDR-agent tegen te komen.
En dan is er Operational Technology (OT). Operational Technology is een wereld op zich, vol apparaten in fabrieken, ziekenhuizen en andere omgevingen. Ze zijn verbonden met het bedrijfsnetwerk, maar ze hebben ieder hun eigen softwaresysteem. Cyberbeveiligers kunnen en mogen daar vaak niet bij, om de kans op verstoring of uitval te minimaliseren. EDR kunt u dus vergeten. Maar voor cybercriminelen bieden ze interessante mogelijkheden: die hoeven maar één kwetsbaarheid te kennen.
Network Detection and Response
Het is duidelijk: EDR kan veel, maar het beschermt slechts een deel van de bedrijfsomgeving. En het is al helemaal weerloos wanneer een crimineel authentieke inloggegevens heeft bemachtigd. Hoe ontdekt u de aanvallen die gebruikmaken van al deze lacunes?
Dat doet u door het bedrijfsnetwerk te bewaken: Network Detection and Response, ofwel NDR. Want daar kunnen hackers niet omheen. Sensors op strategische plekken kunnen registreren wat er voor verkeer langskomt. Eerst worden de normale patronen in kaart gebracht met behulp van machine-learning. Als het NDR-systeem daarna afwijkingen signaleert, laat het een alert uitgaan.
Aanvalstechnieken
Zo kunt u het merken als een hacker rondspeurt op het bedrijfsnetwerk. Of als malware communiceert met verdachte internetlocaties. NDR herkent allerlei aanvalstechnieken, aan de hand van het welbekende Mitre ATT@CK-framework.
De beste NDR-systemen kunnen meteen zelf ingrijpen. Bijvoorbeeld door commando’s te sturen naar de firewall om het verdachte externe verkeer te blokkeren. Bij een goede integratie met het EDR-systeem kunnen ook gecompromitteerde endpoints snel worden geïsoleerd.
NDR versus EDR
Maar ook NDR heeft zijn zwaktes. Het moet heel veel netwerkverkeer controleren, en moet dan ook goed weten waarop het moet letten. Helaas zit er veel variatie in het normale netwerkverkeer, dus zowel false positives als false negatives komen geregeld voor. Door echter oplossingen te kiezen die naast machine learning ook gebruik maken van artificial intelligence, kan het aantal ‘false positives’ sterk gereduceerd worden.
NDR is vooral sterk in het herkennen van ‘command & control’-verkeer van cybercriminelen, vlak voordat ze echt schade beginnen aan te richten. Maar ook in de netwerkverkenningsfase en de zijdelingse-verspreidingsfase kan het van grote waarde zijn. Leveranciers van NDR-systemen zorgen ook dat nieuwe indicatoren van besmetting (indicators of compromise – IOC) zo snel mogelijk worden meegenomen in de bewaking.
EDR daarentegen grijpt in op de plaats waar een aanval begint. Wat er gebeurt binnen een enkel endpoint is ook veel gemakkelijker te controleren dan het verkeer van een heel netwerk.
Security Operations Center
Zowel EDR als NDR levert alerts en andere informatie op waar IT’ers wat mee moeten. De beoordeling vraagt een hoop expertise. Hoe zie je bijvoorbeeld of gebeurtenissen op verschillende endpoints met elkaar in verband staan?
Daarom wordt het beoordelen van alerts uit een EDR en NDR veelal uitbesteed bij een extern Security Operations Center. Bij zo’n SOC werken de schaarse specialisten die een vals alarm kunnen onderscheiden van een acuut gevaar.
Een beveiligingsbedrijf als Tesorion beschikt niet alleen over zo’n SOC, maar kan ook NDR- en EDR-toepassingen installeren en beheren voor zijn klanten. Zo krijg je een goed geïntegreerde bewaking.
SIEM
Is hiermee het plaatje compleet? Voor de meeste bedrijven wel. Maar er zijn organisaties met digitale ‘kroonjuwelen’ die extra bescherming verdienen. Denk bijvoorbeeld aan banken: als criminelen met valse antecedenten het betalingsverkeer subtiel manipuleren, merkt u dat niet met EDR of NDR.
Voor zulke gevallen kunt u een SIEM toevoegen. Zo’n systeem voor Security Information and Event Management verzamelt de logs van specifieke applicaties en scant die op zoek naar verdachte patronen.
Toekomstmuziek
Met EDR, NDR en SIEM dekt u de hele bedrijfsomgeving af. Er gaan steeds meer stemmen op om de functionaliteit van die drie te integreren in één systeem. Als daar dan ook een hoop AI bij komt, zou u de beveiliging flink kunnen vereenvoudigen.
Het blijkt echter niet makkelijk om dit ‘XDR’-concept in praktijk te brengen. Tot dusver zijn er alleen enkele gedeeltelijke oplossingen. Voorlopig moeten we dus vechten met de wapens die we hebben.