De EDR is een essentieel hulpmiddel voor elk SOC als je een overzicht wilt hebben van het informatiesysteem in een context van openheid.

“Het bedienen van een EDR is geen triviale zaak. Het is een beveiligingsoplossing die vaardigheden en expertise vereist die niet alle bedrijven hebben. Individuele uitgevers beweren dat hun oplossingen geen beheer vereisen. Maar de praktijk laat zien dat je een team nodig hebt om waarschuwingen af te handelen. Daarom wenden bedrijven zich tot serviceproviders om ze te beheren. Het is duidelijk dat een EDR de juiste monitoring vereist.“

Nijvel, donderdag 21 september, aan het einde van de eerste editie van de All Cyber School over EDR. Christophe Hohl, technisch adviseur, Cyber Security Management, en Florian Lefebvre, Techincal Pre-sales, Advens, beantwoorden vragen uit het publiek. Een vraag in het bijzonder was: “Hoe kunnen we ervoor zorgen dat we optimaal gebruik maken van deze krachtige EDR-oplossing, die een enorme hoeveelheid informatie oplevert?”

Zoals Christophe Hohl aangeeft, is EDR (Endpoint Detection and Response) in twee jaar tijd een essentieel onderdeel geworden van de gereedschapskist van de CISO voor de bescherming van endpoints en servers. Terwijl het goede oude antivirus zijn grenzen bereikt als het gaat om het blokkeren van een aanval die nog nooit eerder door uitgevers is gecatalogiseerd, nemen EDR en zijn AI-algoritmen het over. Over het algemeen is dit het nummer 1 argument dat door uitgevers en hun partners wordt gebruikt om deze technologie aan bedrijven op te dringen, met ongetwijfeld succes.

Meer dan alleen vlootbeheer

“Een EDR is echter niet simpelweg een antivirusagent die je inzet op een geïnstalleerde basis,” voegt Florian Lefebvre toe. Ondanks de inspanningen van uitgevers om gebruiksvriendelijke interfaces aan te bieden en de hulp van AI om gegevens te filteren, gaat het gebruik van een EDR verder dan eenvoudig vlootbeheer.”

Het belangrijkste doel van EDR is de proactieve detectie van nieuwe of onbekende bedreigingen, maar ook de detectie van eerder niet-geïdentificeerde infecties die de organisatie rechtstreeks infiltreren via endpoints en servers.

En daar rijst een belangrijke vraag: hoe zorgt u ervoor dat u optimaal gebruik maakt van deze krachtige oplossing, die een enorme hoeveelheid informatie oplevert?

De vele softwaretoepassingen op de EDR-markt concurreren met elkaar op het gebied van kracht. Ze genereren talloze waarschuwingen en vereisen een effectief beveiligingsbeleid, met name om vals-positieven te beheersen, zegt Florian Lefebvre. “De hoeveelheid waarschuwingen en de filosofie van de tool, die meer weg heeft van een SIEM voor endpoints dan van een antivirus, betekenen dat passende monitoring vereist is. Dit moet worden uitgevoerd door competente resources, getraind in de gebruikte oplossingen en in goede praktijken voor beveiligingsanalyse.

Sanering is niet automatisch

“De belofte van herstel – de R in Response – is verleidelijk, maar er is niets magisch aan. Natuurlijk maakt deze dimensie het mogelijk om sneller te reageren, maar menselijke besluitvorming blijft nodig gezien de potentiële impact,” voegt Christophe Hohl toe. Juist daarom is volledige automatisering van de respons niet wenselijk, ook al is het technisch mogelijk“.

Voor de twee experts zijn EDR-detectie- en beschermingsfunctionaliteiten complementair aan SOC-diensten (Security Operations Center). Door telemetrie van de machines te verzamelen, kan EDR in detail een gedrag of opeenvolging van acties modelleren die overeenkomen met een aanvalsscenario. Sommige acties kunnen automatisch worden beheerd, terwijl voor andere onderzoek nodig is en twijfel moet worden weggenomen, met name in het geval van fout-positieven. In het laatste geval is 24/7 verdere analyse vereist. 

Menselijke tussenkomst, altijd

Florian Lefebvre: “Dit soort acties maakt deel uit van de dagelijkse werkzaamheden van SOC-teams. Deze teams ontvangen nu steeds meer waarschuwingen van EDR-oplossingen.” Bepaalde gedragingen kunnen worden veroorzaakt door legitiem gebruik dat overeenkomt met een aanvalsdetectiescenario. In dit geval zal een cyberanalist de zaak onderzoeken door deze elementen te vergelijken met de instructiesheets in zijn database. Deze informatie kan worden gecombineerd met alle feedback van de SOC-afdeling. De analist zal ook correlatietools gebruiken om een gedetailleerder inzicht te krijgen in het dreigingsniveau. Hij kan bijvoorbeeld het voorzorgsprincipe toepassen als zich ‘s nachts een probleem voordoet. Dit kan worden toegepast door bepaalde werkstations af te sluiten.

“Deze acties, die onderhevig zijn aan interpretatie, kunnen alleen worden uitgevoerd door menselijke tussenkomst,” benadrukt Florian Lefebvre. Om deze redenen kan het gebruik van een EDR-oplossing niet los worden gezien van de diensten van een SOC.

Een wereldwijde visie

Deze EDR-SOC-koppeling maakt deel uit van een operationele beveiligingsaanpak die een bedrijfsresilience-fase omvat, voegt Christophe Hohl toe.

“De bijbehorende incidentrapporten bieden interessante informatie over de soorten aanvallen die via deze apparatuur verlopen, en ook over de progressie van de doelpopulaties tijdens een ransomware-campagne of de verspreiding van kwaadaardige software.”

EDR is daarom een essentieel hulpmiddel voor elk SOC als het een overzicht wil krijgen van het informatiesysteem in een context van openheid.