EDR

Endpoint Detection and Response (EDR) -tools zijn ontwikkeld om de endpointbeveiliging aan te vullen met verhoogde detectie-, onderzoeks- en reactiemogelijkheden.

Een aantal argumenten waarom het zinvol is om je endpoint protection uit te breiden met EDR:

Detection:
Endpoint protectie is naar buiten gericht. Gericht op de bedreigingen die naar binnen willen sluipen. EDR is juist naar binnen gericht:

• Gericht op het detecteren van zwakheden binnen de eigen omving, bijvoorbeeld systemen met kwetsbaarheden die nog niet gepatched zijn
• Gericht op het opsporen van bedreigingen die onder de radar van de endpoint protection door naar binnen zijn gevlogen

Response:
Vindt er onverhoopt toch een besmetting plaatst, dan is het een gegeven dat een adequate en deskundige response de besmetting tijdig kan elimineren of dat de schade beperkt gehouden wordt. In de praktijk zien wij echter dat er veel tijd verloren gaat aan onderzoek voordat er gerichte acties uitgevoerd worden. EDR zorgt voor een forse versnelling van dit proces door de endpoint of server waarop de besmetting geconstateerd is te isoleren. Vervolgens onderzoekt EDR de besmetting en voorziet het IT team van een stappenplan voor het verder elimineren van de bedreiging.

Analyse:
Als er een security incident is geweest, dan zijn er altijd een aantal prangende vragen zoals:

• Hoe heeft dit kunnen gebeuren?
• Waar is het ontstaan?
• Wat is er allemaal aan systemen en data geraakt door b.v. de malware?
• Hoe gaan we dit in de toekomst voorkomen?

De EDR Threat case functionaliteit voorziet in een visuele en interactieve weergave van het verloop van de aanval/besmetting. Op basis van de EDR analyse functionaliteiten kunnen de prangende vragen beantwoord worden. Voorbeeld interactieve weergave:

Door te analyseren en ervan te leren kun je maatregelen nemen die herhaling van het incident voorkomen.

Conclusie:
Met EDR voeg je een Security analyst, een Malware analyst en een Threat intelligence analyst aan je IT team toe.