Endpoint Protection

Endpoints konden tot voor kort veilig worden gebruikt binnen de ‘eigen’ netwerkomgeving. Vanwege de enorme groei aan remote access oplossingen in zakelijke omgevingen, cloud gebaseerde applicaties en social media op desktops, laptops, smartphones en tablets wordt de endpoint als het ware de ‘eigen’ netwerkomgeving. Endpoints worden op verschillende manieren aangevallen zoals e-mail gebaseerde phishing, ransomware, malware en drive by downloads tijdens het surfen op het web.

Ervan uitgaande dat op endpoints vaak enorm grote hoeveelheden data worden opgeslagen en daarnaast bijna alles bevatten wat een aanvaller nodig heeft om toegang tot het zakelijke netwerk te verkrijgen, vormt optimale endpoint bescherming een steeds kritischer element in elke IT security omgeving.

Belangrijke aandachtspunten:

• De threat actoren hebben hun aanvalswijze en -methodiek tegen organisaties en de endpoints die zij gebruiken sterk uitgebreid. Dreigingen worden steeds geavanceerder dus de bescherming tegen deze nieuwe- en opkomende dreigingen moet daarin meegroeien. Antivirus oplossingen bieden niet langer de juiste bescherming tegen deze opkomende, steeds geavanceerdere nieuwe dreigingen.
• Endpoints zijn aantrekkelijke doelen voor kwaadwillenden vanwege drie redenen. Op veel endpoints wordt heel veel gevoelige en vertrouwelijke bedrijfsinformatie bewaard die kan worden gebruikt voor uiteenlopende activiteiten. Het compromitteren van een endpoint resulteert vaak in verdere toegang tot de onderdelen in het bedrijfsnetwerk en de opslagplaatsen in de cloud. De ‘nieuwere’ mobiele endpoints hebben vaak een veel eenvoudigere beveiliging in vergelijking met endpoints die zich in een netwerkomgeving bevinden met de nodige Perimeter Security maatregelen.
• Ransomware, malware, phishing pogingen en andere manieren om een cyber aanval te doen groeien met de dag in volume en in complexiteit, met ook nog eens dagelijks enkele honderden nieuwe kwaadaardige programma’s of ongewenste applicaties op de loer is het moeilijk om het overzicht te houden.
• Nieuwe endpoint categorieën met opkomende zakelijke applicaties vinden ook hun weg op de fysieke plekken binnen organisaties. Als een kwaadwillende het endpoint dat de operationele technologie in een organisatie beheert, lees een smart building controller of een controller voor de gebouwbeheersing, overneemt kan een aanvaller de bewegingsvrijheid manipuleren waardoor potentieel een levensbedreigende situatie kan ontstaan omdat het gebouwbeheersysteem zich dan keert tegen de ‘bewoners’ van het gebouw. De veiligheidsrisico’s die gelden voor deze nieuwe categorie kwetsbare endpoints zijn nog onbekend of niet goed inzichtelijk.
• Om de dreigingen waaraan endpoints continu blootgesteld staan adequaat het hoofd te kunnen bieden is een goed gebalanceerde aanpak rondom mens, proces en technologie noodzakelijk. Als alle drie nauw met elkaar samenwerken ontstaat de basis voor de best mogelijke bescherming. Als een van deze drie factoren geen onderdeel uitmaakt wordt de efficiency van het geheel ondermijnd.

Mogelijke gevaren waardoor endpoints geteisterd worden

Twee stellingen over endpoints zijn waar. Ten eerste zijn ze essentieel voor een medewerker van een organisatie om het werk dat van ze verlangd wordt uit te kunnen voeren. Ten tweede zijn endpoints vrijwel continu onder aanval door cyber criminelen. Om medewerkers goed te kunnen ondersteunen is een veelheid van endpoint mogelijkheden voor hen beschikbaar. Denk hierbij aan endpoints voor het uit kunnen voeren van primaire taken, voor zakelijke communicatie, samenwerking tussen teams en virtuele vergaderingen inclusief laptops, tablets, smartphones en nieuwe slimme apparaten zoals onder andere slimme speakers en slimme camera’s.

Cybercriminelen hebben daarentegen de gebruikte aanvalsmethodes die de traditionele endpoint security oplossingen kunnen omzeilen, verder aangepast om grip te krijgen ten behoeve van zaken als data exfiltratie, misbruik van credentials en fraude. Een eerste opening leidt vaak tot verdere aanvallen zoals een phishing aanval binnen de supply chain en/of laterale bewegingen om verdere controle te verkrijgen over een groeiende set aan endpoints, servers en andere netwerkapparatuur om uiteindelijk een grote klap toe te kunnen brengen en de organisatie te ontwrichten, zoals door een ransomware aanval.

Veiligheidsrisico’s op endpoints bestaan uit zowel traditionele- als opkomende aanvalsvlakken zoals bijvoorbeeld malware, fileless attacks, datalekken, ransomware, phishing aanvallen, phishing via social media, ongepatchte kwetsbaarheden, gecompromitteerde software patches en updates, drive-by downloads, geïnfecteerde USB drives, onveilige- en niet compliant applicaties, nieuwe apparatuur waarop geen sterke securitymaatregelen zijn geïmplementeerd en nieuwe categorieën endpoints waarvoor de dreigingen nog niet, of nog niet voldoende, in kaart gebracht zijn.

De dynamiek van endpoint bescherming

Het inzicht in de hedendaagse dynamiek rondom het gebruik van endpoints en de dreigingen waaraan endpoints continu blootgesteld staan vormt een essentieel onderdeel bij het omarmen van passende securitymaatregelen. De volgende criteria zijn hiervoor van toepassing:

• Het groeiende volume en de complexiteit van hedendaagse aanvallen;
• De groeiende diversiteit in endpoints;
• Het steeds lagere aantal dreigingssignalen;
• Het omgaan met de loginformatie uit endpoints.

De veranderingen in het Endpoint Security segment op de korte en middellange termijn.

• De noodzaak om een bedrijfsnetwerk in stand te houden wordt langzamerhand overbodig vanwege het feit dat de belangrijkste IT-services, opslagplekken van gegevens en applicaties worden ondergebracht in de cloud bij meerdere leveranciers. Een toenemend gedeelte van het zakelijke verkeer omzeilt de eigen netwerkbeveiligingsinfrastructuur ten gunste van directe connectiviteit tussen het endpoint en de veelheid aan beschikbare cloud services. In deze veranderende architectuur is het noodzakelijk om de beveiliging dichter bij het endpoint, en dichter bij de services waarmee het endpoint verbonden is, te plaatsen. Met een geconsolideerde rapportage- en analyselaag om de dreigingen in dit diverse gegevensdomein te kunnen beoordelen en om professionals de mogelijkheid te bieden om snel en accuraat te kunnen reageren.
• Cyberaanvallers die voor hun acties ransomware inzetten beginnen de druk op gecompromitteerde doelen op te voeren door een andere aanpak te omarmen. Waar de dreiging aanvankelijk bestond uit “het losgeld betalen of uw gegevens voor altijd kwijtraken” realiseert men zich dat, vanwege het feit dat veel bedrijven principieel geen losgeld betalen, deze methode niet effectief meer is. Aanvallers stappen over op een lucratiever bedrijfsmodel: “betaal het losgeld of we publiceren uw gegevens” waardoor dus een mogelijk officieel data breach onderzoek boven het hoofd van de organisatie hangt en zeker verdere reputatie- en financiële schade zou kunnen ontstaan.
• Elk nieuw type apparaat en elke nieuwe categorie introduceert nieuwe dreigingsvectoren. Deze vectoren bieden op hun beurt weer openingen voor cyberaanvallers die als doel hebben om verstoring te veroorzaken en het risico op dataverlies te verhogen. Door bijvoorbeeld de endpoints voor de gebouwbeheersing te compromitteren kan een hacker de bewegingsvrijheid sterk beïnvloeden. Het compromitteren van de systemen waarmee de airconditioning wordt aangestuurd in een gebouw kan een potentieel gevaar opleveren voor de luchtstroom. Er zijn al meerdere gevallen bekend waarbij industriële systemen gemanipuleerd zijn en mensenlevens in gevaar zijn geweest. Hetzelfde scenario kan potentieel ook gebeuren bij systemen die het gebouwbeheer verzorgen..

Mogelijke oplossingen om de beveiliging van endpoints te verbeteren

Een veelvoud aan oplossingen is vandaag de dag beschikbaar om de beveiliging op de endpoints te kunnen verhogen. Met de groeiende productiviteit van deze systemen aan de ene kant en de groeiende hoeveelheid aanvalsvlakken die tegelijkertijd geïntroduceerd worden is het noodzakelijk om passende maatregelen te implementeren.

De navolgende mogelijke oplossingen kunnen als essentieel worden beschouwd om de endpoint bescherming verder te verbeteren.

Mens, Proces en Technologie

Het is te allen tijde van belang om tijdens het verbeteren van de algehele endpoint beveiliging de drie aspecten Mens, Proces en Technologie niet uit het oog te verliezen. Het dynamische samenspel tussen deze drie aspecten maakt sterke endpoint beveiliging mogelijk. Als één van deze drie factoren ontbreekt in het geheel zijn de maatregelen niet effectief genoeg.

Het Technologie component biedt een breed scala aan potentiële beveiligingsopties voor endpoints. Het is eenvoudig om geld te spenderen aan nieuwe technologieën maar als er ook niet wordt geïnvesteerd in de capabilities rondom Mens en Proces wordt de potentie niet ten volste benut. Voor alle uitgaven in security oplossingen die slecht of niet worden gebruikt of die niet goed afgestemd zijn op het dreigingslandschap zijn per definitie zonde van het geld en zonde van de energie van de Cyber Security professionals in een organisatie.

Endpoint Protection Platforms (EPP)

Endpoint Protection Platforms bieden een geïntegreerde set met oplossingen aan om endpoints adequaat te kunnen beschermen. Vaak worden een aantal verschillende oplossingsgebieden gedekt die initieel door point solutions werden ingevuld. Het aanbod aan gebruikelijke functionaliteit omvat antivirus, url-filtering, basis endpoint functies, kwetsbaarhedenanalyse en inzicht en controle over encryptie instellingen en meer. Endpoint Detection and Response (EDR) voorzieningen worden ook steeds vaker geïntegreerd met Endpoint Protection Platforms.

Een Endpoint Protection Platform biedt de navolgende mogelijkheden:

• Monitoring, bescherming en rapportage over alle activiteit op de verbonden endpoints onafhankelijk van het feit of deze endpoints verbonden zijn met het bedrijfsnetwerk door middel van agent-gebaseerde verzameling van events op het endpoint. Deze informatie wordt vervolgens aangeboden aan een platform ten behoeve van gecentraliseerd overzicht en analyses. De gedetailleerde log informatie gecombineerd met de geconsolideerde analyse in het platform maakt het mogelijk om snelle identificatie te doen van afwijkend gedrag en opkomende dreigingen.
• Het automatisch oplossen van security incidenten met minimale betrokkenheid van de cyber security afdeling. Bijvoorbeeld door middel van geautomatiseerde playbooks waarin de acties beschreven staan die worden uitgevoerd als er onbekende dreigingen worden gedetecteerd op een bepaald endpoint en hoe het gehele securityschild verder te verstevigen. Het hebben van een security platform dat automatisch het hoofd biedt tegen zoveel mogelijk dreigingen biedt het security team de mogelijkheid om zich te kunnen focussen op de high-level incidenten, kritische dreigingen en de overall strategie rondom de bescherming van de endpoints.
• Detecteer nieuwe endpoints en rol deze uit binnen de gehele netwerkomgeving. Terwijl beschreven security policies essentieel zijn voor het bepalen van de context rondom de introductie van nieuwe endpoints is het net zo belangrijk om pro-actieve discovery te doen in de omgeving.

Organisaties zijn in de laatste jaren versneld naar Cloud Endpoint Protection Platformen aan het migreren waarbij de noodzaak om een on-premise oplossing in te richten en te onderhouden verdwijnt. Aanvullend op de veel snellere “time-to-protection” die door cloud gebaseerde endpoint security platforms wordt geboden komt ook een veel bredere set aan dreigingssignalen vanuit een enorm grote hoeveelheid wereldwijde klantomgevingen beschikbaar waarmee waardevolle threat intelligence kan worden gegenereerd. Deze threat intelligence kan weer worden gedeeld binnen de cloud omgeving zodat nieuwe dreigingen kunnen worden aangepakt. Organisaties die ervoor kiezen om de omgeving zelf op te zetten hebben niet de beschikbaarheid over dezelfde kwaliteit threat intelligence.

Endpoint Detection and Response (EDR)

EDR oplossingen maken gebruik van een andere aanpak tegen aanvallen en dreigingen door inzicht te bieden in actuele aanvallen en dreigingen op endpoints, gecombineerd met het bieden van oplossingen binnen de totale endpoint omgeving. Het primaire doel van EDR is niet per definitie om aanvallen te stoppen zoals veel Endpoint Protection Platforms dat doen, maar meer om de nieuwe en opkomende dreigingen te analyseren en oplossingen te bieden om gecompromitteerde endpoints te repareren en de rest van de omgeving verder te versterken. EDR oplossingen bieden continu real-time of near real-time inzicht in wat er zich op alle aangesloten endpoints afspeelt waardoor vroegtijdige waarschuwing van afwijkend gedrag, en op het eerste oog onschuldige gebeurtenissen met alsnog schadelijke gevolgen, kunnen worden afgegeven. Zodra nieuwe aanvalsmethodieken geïdentificeerd zijn kan de beveiliging worden verhoogd op de overige kwetsbare endpoints om te voorkomen dat nieuwe dreigingen zich hierop nestelen.

Anti-Virus (AV)

Bescherming tegen bekende virussen en malware is belangrijk - Waarom gecompromitteerd worden door iets dat al lang bekend en opgelost is? – maar traditionele, enkel op signature gebaseerde anti-virus oplossingen, bieden niet langer de juiste bescherming tegen de hedendaagse dreigingen. Vanwege de enorme groei bekende virussen en malware ontstaat er een logistieke uitdaging om alle endpoints up to date te houden met de laatste signatures. Op een bepaald moment moeten signature gebaseerde bestanden continu en in real-time worden gestreamd wat een risico vormt voor elk niet aangesloten endpoint. Op gedrag gebaseerde profilering van alle processen - voor zowel bekende als onbekende virussen en malware - biedt strategisch een betere en eenvoudigere aanpak om dreigingen het hoofd te bieden.

Voor organisaties die gebruik maken van Windows 10 is het zonder al te veel inspanning al mogelijk om gebruik te maken van de ingebouwde antivirus en anti-malware functionaliteit in het besturingssysteem zelf. Het budget dat anders uitgegeven zou zijn aan point solutions kan vervolgens worden geinvesteerd in oplossingen voor de bescherming tegen de nieuwere, geavanceerde en opkomende dreigingen waar anti virus en anti-malware oplossingen niet geschikt voor zijn.

Als laatste, ondanks het feit dat het hier geen echte endpoint bescherming betreft, is een cloud gebaseerde methode waarin alle inkomende e-mails op virussen en malware worden gecontroleerd ook zeer goed bruikbaar binnen een algehele security strategie.

Endpoint bescherming dient in onze ogen een essentieel onderdeel te zijn van een algehele security strategie maar kan enkel succesvol zijn als deze bijvoorbeeld wordt gecombineerd met zowel cloud beveiliging als netwerkbeveiliging en fysieke beveiliging. Een allesomvattende security strategie zou moeten worden gedefinieerd en gebouwd op basis van een bedrijfsbrede risico inventarisatie.

iSOC24 heeft de Endpoint Protection technologie van VMware CarbonBlack in haar portfolio. Wilt u meer weten over de VMware CarbonBlack oplossing en hoe deze het beste kan worden ingezet in uw organisatie, neem dan contact op met één van onze specialisten.