Het beveiligen van IT-omgevingen is complex. Geen enkele oplossing geeft hét antwoord op complexe cyberaanvallen en daarom kenmerkt een goede beveiliging zich door gelaagdheid in de maatregelen die je als organisatie kunt nemen. Die verschillende lagen zorgen er namelijk voor dat indringers meerdere obstakels moeten omzeilen voordat ze schade kunnen aanrichten en ze hebben elk hun specifieke doel. Voorbeelden van deze beveiligingslagen zijn mail, perimeter, cloud en applicatie beveiliging. In deze gelaagdheid is er één laag die opvalt: de beveiliging van het end-device, oftewel het punt waar de gebruiker de applicatie consumeert. In deze blog gaan we in op de bijzondere eigenschappen van deze beveiligingslaag en leggen we uit waar een goede endpoint beveiliging aan moet voldoen.

Wat is de beste plek voor cyber beveiliging?

Ten eerste kunnen we ons afvragen op welke plek cyber beveiliging het meest effectief kan zijn. Dat is de plaats waar de menselijke factor maximaal is, en waar het gebruik van applicaties plaatsvindt. Dit is een kwetsbare plaats omdat juist daar het gedrag van de gebruiker een rol speelt. Het eindpoint, samen met de gebruiker, is in de IT-infrastructuur keten ook het meest kwetsbaar omdat technische en gedragsmaatregelen juist daar samenkomen. Een goede beveiliging van het endpoint is dus ook cruciaal voor een goede algehele beveiliging  van de IT-omgeving van je organisatie.

Waarom is endpoint security belangrijk?

Het endpoint is het meest kwetsbare onderdeel van de informatiseringsketen en daarom zou iedere organisatie beveiliging op het endpoint prioriteit moeten geven. In de keten is dit namelijk het enige onderdeel tot aan de applicatie waar de eindgebruiker direct invloed op heeft. Menselijke fouten zoals het aanklikken van verdachte links of het abusievelijk installeren van kwetsbare software zijn daarom  vaak de oorzaak van gevonden kwetsbaarheden, die te voorkomen zijn door het eindpoint degelijk te beveiligen.

Traditioneel vs. next-gen: wat zijn de belangrijkste verschillen?

Traditionele endpoint security-oplossingen zoals Antivirus scanners richten zich voornamelijk op bekende kwetsbaarheden, en hebben geen inzichten in onbekende kwetsbaarheden. Vandaar dat een kenmerkende eigenschap van deze oplossingen is dat ze periodiek update files (DAT files) downloaden waar de nieuwe bekende kwetsbaarheden instaan. Ze kunnen niet ingrijpen op nieuwe of onbekende kwetsbaarheden, en richten zich vaak alleen op kwetsbaarbaarheden in bestanden, waardoor file-less attacks niet gezien worden. Veel vendoren proberen deze technologie toe te voegen aan hun bestaande oplossingen, echter blijven dergelijke producten zich voornamelijk traditioneel gedragen.

Een next-gen endpoint security-oplossing kan naast bekende malware ook onbekende malware detecteren. Dit gebeurt voornamelijk op basis van machine-learning en gedragsanalyse. Er wordt gedetecteerd of gebruikers en applicaties afwijkend of abnormaal gedrag vertonen, zoals een Excel-bestand dat via een macro een malicious website probeert te benaderen of een (trojan) applicatie die zich ineens gedraagt als een keylogger. Specifieke Operating System routines worden vanuit applicaties opgeroepen waarvan dit niet logisch is, en wat kan wijzen op een potentiele aanval. Deze oplossingen beveiligen zowel file- als fileless attackes, waarbij malicious code (bijvoorbeeld via een website) direct in het werkgeheugen wordt geplaatst.

Hoe weet ik of ik geraakt ben door een malware?

Veel organisaties merken een onzekerheid als er een uitbraak van een grote malware aanval wordt gemeld. In de pers worden deze uitbraken vaak breed uitgemeten. Organisaties wordt gevraagd of zij ook getroffen zijn.  Een logische vraagechter zeer complex uit te zoeken is en een zware last op de schouders van de IT-afdeling legt. Next-gen endpoint security biedt uitgebreide mogelijkheden om dit soort vraagstukken eenvoudig op te lossen, en een sluitend antwoord op deze vraag te geven. Dit geeft veel organisaties de zekerheid die ze zoeken.

En hoe werkt dat met ransomware?

Sommige next-gen endpoint security oplossingen bieden zelfs de mogelijkheid voor bescherming tegen alle vormen van (bekende en onbekende) ransomware. In het uitzonderlijke geval dat een organisatie, ondanks gebruikmaking van next-gen endpoint proectie oplossingen, toch getroffen wordt door een succesvolle ransomware aanval, is er een zero-touch rollback mogelijkheid. Hierbij worden de ransomware encrypte files teruggezet naar de situatie voordat de aanval plaatsvond. Axians durft hierop zelfs een harde SLA/garantie te geven, waarbij een schadevergoeding betaald wordt mocht een organisatie door ransomware getroffen worden én de rollback mogelijkheid geen oplossing geboden heeft. Deze schadevergoeding is overigens tot de dag van vandaag nooit tot uitbetaling gekomen, omdat de next-gen endpoint oplossing tot nog toe alle ransomware heeft tegengehouden.

Aan welke investering moet ik denken?

Wij merken in onze adviesgesprekken met klanten dat deze vraag vaak vooraan het lijstje staat. Begrijpelijk, omdat iedere organisatie te maken heeft met budgetten en controleerbare uitgaven. Je kunt je als organisatie echter afvragen hoe controleerbaar uitgaven zijn op het moment dat je geraakt wordt door een grote aanval, of welke impact de hieruit voortvloeiende reputatieschade heeft. Een recent voorbeeld betreft Garmin, dat onder andere bedrijfskritische oplossingen voor de luchtvaart verkoopt. De organisatie heeft twee weken zeer zware hinder ondervonden van een ransomware aanval waarna de schade niet te overzien is, omdat ook de reputatie van een bedrijf hieronder lijd.  In een dergelijke situatie ondervinden bedrijven, helaas te laat, dat investeren in een next-Gen endpoint protectie oplossing vele malen goedkoper is dan de kosten die gemoeid zijn met het herstellen van de schade achteraf.

Wat is een goede aanpak als ik mijn endpoint security wil invoeren of verbeteren?

Axians security experts kijken graag samen met je organisatie naar de cyber security architectuur om je van een passend advies te kunnen voorzien. Hier kunnen we samen met je de belangrijke endpoint security laag nader invullen. Daarbij hoort een analyse van de mogelijkheden en een eerlijk advies. Je organisatie kan zelf een dergelijke oplossing beheren, of het beheer aan ons uitbesteden. We vertellen je graag alvast meer over onze diensten op www.axians.nl/security of neem direct contact op met onze specialisten via security@axians.com.