Dit moet u weten over Extended Detection and Response
De meeste oplossingen voor Endpoint Detection and Reponse (EDR) detecteren malware aan de hand van ‘signatures’. Die aanpak is echter achterhaald. Voor een effectieve bescherming van gebruikers en systemen is een ‘next-gen antivirus’ nodig. Wat moet u weten over Extended Detection and Response (XDR)?
Waaruit blijkt dat traditionele EDR alleen niet volstaat?
Dit blijkt onder andere uit diverse onderzoeken, zoals het ‘2020 Netherlands Threat Report’ van cybersecurityspecialist VMware Carbon Black. 96 procent van de ondervraagde securityprofessionals zag het aantal aanvallen de afgelopen twaalf maanden toenemen. 90 procent van de respondenten had ook een verklaring voor die toename: door een verfijndere werkwijze slagen cybercriminelen er steeds beter in om de traditionele Endpoint Detection and Response te omzeilen en het netwerk binnen te dringen.
Met welke tactieken omzeilen cybercriminelen de traditionele security?
De trukendoos van cybercriminelen is rijk gevuld. Ze bedienen zich van verfijnde technieken om de detectie te omzeilen. Enkele voorbeelden:
1. Non-malware aanvallen
Bij Endpoint Detection and Response ligt de focus vooral op de detectie van malware. Tegenwoordig bestaat het grootste deel van de aanvallen in Nederland uit ‘non malware attacks, blijkt uit onderzoek van Carbon Black. Hierbij maken de aanvallers geen gebruik van malware, maar bijvoorbeeld van vertrouwde systeemtools zoals PowerShell en van applicaties die vanuit het geheugen exploits kunnen draaien. Dit type aanval wordt door veel securityoplossingen niet gedetecteerd en maakt endpoints kwetsbaar.
2. Software Packing
Nog een manier om aan de aandacht te ontsnappen van de traditionele EDR oplossingen, is het gebruikmaken van ‘Software Packing’ waarbij het kwaadaardige bestand wordt gecomprimeerd of versleuteld. Hierdoor wijzigt de bestandshandtekening wat detectie op basis van ‘signatures’ lastig maakt.
3. Island Hopping
Volgens het 2020 Global Incident Response Report van Carbon Black is er in 55 procent van de aanvallen sprake van Island Hopping. Hierbij worden aanvallen niet rechtstreeks uitgevoerd, maar bijvoorbeeld via de systemen van een partner. Die dreiging blijft onopgemerkt als de security-aandacht volledig uitgaat naar de eigen endpoints.
Hoe biedt XDR hier een oplossing voor?
Met alleen een traditionele EDR-oplossing hebben organisaties onvoldoende zicht op de criminele activiteiten van indringers. Bijvoorbeeld een non-malware aanval blijft hierdoor onopgemerkt. Extended Detection and Response (XDR) lost dit op door niet alleen controles uit te voeren op de endpoints, maar ook alles daaromheen, zoals de applicaties, het netwerk en de gebruikers. On-premises, en in de cloud. Op die manier ontsnapt niets aan de aandacht en zijn uw endpoints beter beveiligd.
Wat zijn de voordelen van XDR?
Door controles op meerdere niveaus uit te voeren – en ook te communiceren met andere beveiligingscomponenten waaronder EDR – maakt XDR de gehele ICT-omgeving inzichtelijk. Met XDR zijn Security Operations Centers (SOC’s) en Incident Response-teams effectiever en efficiënter in het identificeren van verborgen of zeer geavanceerde bedreigingen.
XDR stelt securityteams ook in staat om sneller te reageren op nieuwe en opkomende bedreigingen die voorheen onopgemerkt bleven. Dit is zeker niet onbelangrijk. 64 procent van de organisaties heeft weinig vertrouwen in EDR als het gaat om het stoppen van nieuwe en onbekende aanvallen, zo blijkt uit een onderzoek van het Ponemon Institute.
Wat is het verschil tussen XDR en andere securityoplossingen?
XDR onderscheidt zich van andere beveiligingstools doordat het zich richt op het opsporen van dreigingen en het reageren op incidenten. Het centraliseert, verzamelt en analyseert gegevens uit meerdere bronnen en maakt volledige zichtbaarheid mogelijk. XDR valideert waarschuwingen beter, waardoor beveiligingsteams minder tijd besteden aan dubbele of onnauwkeurige waarschuwingen.
Waar moet u op letten bij de selectie van een XDR-oplossing?
Let bij de keuze van een platform onder andere op de eenvoud van integratie met andere securitycomponenten. Complexe integraties vergen onderhoud, kosten IT-teams tijd en maken de XDR-oplossing minder effectief. Een efficiënte XDR-oplossing moet bovendien toegankelijk zijn voor zowel beveiligings- als IT-teams. De XDR-oplossing van VMware Carbon Black voldoet hieraan.
Meer weten over hoe u XDR inzet voor uw klant? Tech Data vertelt u er graag meer over.