Chroomstraat 1D, Rotterdam, Nederland
010-8200228
Stuur ons een e-mail
info@it-plaza.nl
 
SUPPORT

NieuwsTechnologieEndpoint Detection and Response (EDR)

Endpoint Detection and Response (EDR)

Traditionele security-oplossingen op basis van virusscanners en firewalls zijn vandaag de dag niet langer afdoende om aanvallers buiten de deur te houden. EDR – endpoint detection and response – wordt steeds vaker gebruikt als alternatief voor de traditionele virusscanner. Lees waarom wij EDR adviseren als moderne bescherming tegen cyberaanvallen.

Wat is EDR?

EDR – de afkorting van ‘Endpoint Detection and Response’ – draait om intelligente tools die zich richten op detecteren en onderzoeken van verdachte activiteiten op de werkplekken (en servers). Het grote verschil met traditionele virusscanners is dat daarbij geen gebruik wordt gemaakt van databases met reeds bekende virusdefinities. EDR kijkt daarentegen naar het gedrag van software tijdens het gebruik en grijpt direct in bij kwaadaardige of afwijkende patronen. Hiervoor worden zogenaamde machine learning-algoritmen ingezet, die in staat zijn ook nog onbekende soorten malware te herkennen. Een goed EDR systeem kan kwaadaardige bestanden blokkeren voordat ze schade aan kunnen brengen.

Werkplekbeveiliging is essentieel

Werkplekken zijn en blijven het belangrijkste doelwit van cyberaanvallen nu we steeds meer in de “cloud” werken. Daarom is het essentieel om de beveiliging van deze systemen goed op orde te hebben. Immers wanneer een hacker toegang tot één systeem krijgt, dan vormt dat vaak de opstap tot volledige controle over het netwerk en de bedrijfsdata.
 

Hoe beschermt EDR de werkplekken?

De essentie van EDR is: inzicht, detectie en actie – zowel vooraf als tijdens een besmetting. EDR biedt om te beginnen inzicht in de staat van de beveiliging op de werkplekken. Dit helpt bij het voorkomen van incidenten, maar ook in het geval van een onverhoopte besmetting. Hierbij krijgen we snel inzicht in het verloop van de aanval, om van daaruit direct maatregelen te kunnen nemen en de aanval uiteindelijk af te slaan.
 

Detectie en actie: met geavanceerde Artifical Intelligence-engines worden bedreigingen inzichtelijk en kunnen geautomatiseerd maatregelen worden getroffen op het systeem om cybercriminelen buiten de deur te houden. Zo kan bijvoorbeeld een systeem worden geïsoleerd van het netwerk, zodat de beheerder tijd heeft de bedreiging nader te onderzoeken zonder het risico dat deze zich verder verspreidt.
 

Wat is het verschil tussen EDR en antivirus?

De traditionele antivirusdatabase is gevuld met gegevens over bestaande, en dus bekende, malware. Daarnaast kunnen sommige antivirusoplossingen analyses uitvoeren op lopende processen en de integriteit van belangrijke systeembestanden controleren. Maar in de praktijk zien we telkens vaker dat antivirusoplossingen er niet in slagen om alle malware te detecteren, onder andere door de zogenaamde ‘zero day exploits’ waarbij wordt geprobeerd misbruik te maken van een zwakke plek in software die nog onbekend is bij de software-ontwikkelaar. Het is realistisch om te verwachten dat alle organisaties vroeg of laat te maken zullen krijgen met een dreiging die niet gedetecteerd wordt door een antivirusoplossing.

EDR als aanvulling op antivirusoplossingen

Door antivirusoplossingen te integreren in een effectievere EDR-oplossing kunnen organisaties profiteren van eenvoudige blokkering van bekende malware en dit combineren met de geavanceerde mogelijkheden van EDR’s. De mogelijkheid om autonoom en geautomatiseerd dreigingen te bestrijden zonder dat daar menselijke tussenkomst voor nodig is, is misschien wel het meest waardevol.

Cyberbeveiliging

Bij cyberbeveiliging wordt meestal gedacht aan het blokkeren van aanvallen voordat ze plaatsvinden. Niet zo gek, preventie is immers een belangrijk onderdeel van een effectieve verdediging. Maar de waarheid is dat perfecte preventie niet bestaat. De meeste organisaties, zo niet alle, worden op een gegeven moment aangevallen. Dit is waar Endpoint Detection and Response (EDR) om de hoek komt kijken. 

EDR, wat?

Een EDR-oplossing kijkt op de achtergrond 24/7 mee naar alle processen die op het niveau van endpoints (zoals computers en servers) plaatsvinden. Alle gedragingen en processen worden vergeleken met wat is aangeduid als normaal gebruikersgedrag in een organisatie.

Gebeurt er iets afwijkends, bijvoorbeeld een pdf-document dat een programma wil starten of een actie waarbij de computer ineens bestanden gaat versleutelen, dan grijpt EDR in. Het proces in kwestie wordt gestopt en de computer wordt automatisch direct geïsoleerd van het netwerk, waardoor verdere verspreiding op het netwerk wordt vermeden. In deze blog leggen we uit waarom een EDR-oplossing essentieel is voor jouw bedrijf. 

1. Onopgemerkte bedreigingen worden automatisch opgepikt

EDR is als een continue surveillant die bij een tentamen iedere leerling in het klaslokaal streng in de gaten houdt. Er hoeft er maar één te zijn die zich op een opvallende manier gedraagt, en EDR staat naast het bureau om polshoogte te nemen. EDR maakt gebruik van geavanceerde analyses om ongebruikelijke gedragspatronen op te pikken en de beheerder te waarschuwen. Zowel de detectie van bedreigingen als de responsacties hierop – bijvoorbeeld isolatie van een endpoint – gebeuren automatisch. Hierdoor is jouw organisatie 24/7 beschermd tegen bedreigingen. 

2. Realtime inzicht in alle endpoints

Naast dat EDR 24/7 actief is op de achtergrond, kun jij als gebruiker en beheerder de analyses en scans die de EDR-oplossing maakt ook live volgen op een dashboard. Alle logins, registerwijzigingen en netwerkverbindingen die EDR oppikt, staan overzichtelijk op een rijtje waardoor je ze op elk gewenst moment door kunt nemen en verdachte activiteiten kunt onderzoeken. Hiermee heb je realtime inzicht in alle endpoints in de organisatie. 

3. Het vereenvoudigt het beheer van endpoints

Securityoplossingen zijn van oorsprong silo’s. Organisaties hebben een oplossing voor e-mailbeveiliging, een oplossing voor endpointbeveiliging, een oplossing voor netwerkbeveiliging, enzovoorts. Als er dan iets gebeurt, bijvoorbeeld een verdachte gedraging, is het zaak om te bepalen welke beveiligingsoplossing zijn werk niet heeft gedaan en met die leverancier contact op te nemen. Dat is niet altijd gemakkelijk. Soms lijkt het om een endpointbedreiging te gaan, maar zit het in werkelijkheid in de e-mailbeveiliging. 

Om dit op te lossen, wordt je vervolgens van het kastje naar de muur gestuurd. Geavanceerde EDR-oplossingen beschikken echter over allerlei soorten oplossingen voor verschillende onderdelen. Zo worden de silo’s bij elkaar gebracht en de data hiervan gecombineerd tot één overzicht. Op deze manier kun je de endpoints vanaf één dashboard beheren, of dit uiteraard uitbesteden aan IT-PLAZA. EDR maakt het management van alle endpoints in de organisatie een stuk makkelijker. 

4. Proactief bedreigingen detecteren

Organisaties die niet beschikken over een EDR-oplossing, maar enkel gebruikmaken van traditionele anti-malware, vertrouwen er eigenlijk op dat hun medewerkers de organisatie inlichten als ze iets verdachts in hun mail zien of klikken op een malafide link. Een passieve houding als het ware. Dit is echter een van de redenen dat 56 procent van de inbreuken maandenlang onontdekt blijft. Een EDR-oplossing maakt dat je proactief naar dreigingsindicatoren op zoek kunt gaan en bij verdachte activiteiten direct wordt gewaarschuwd, in plaats van maanden later. 

5. Response in no time

Dankzij het inzicht dat EDR je verschaft, ben je in staat om bij een dreiging snel te reageren. EDR-oplossingen houden immers alle interacties tussen de endpoints in jouw netwerk bij. Dit betekent dat zodra het beveiligingsteam is gewaarschuwd over een verdachte actie, ze snel kunnen achterhalen waar het vandaan komt en actie kunnen ondernemen om de dreiging te isoleren en te elimineren. Kortom, je hoeft je geen weg meer te banen door eindeloze stukjes data om te achterhalen wat er gebeurd zou kunnen zijn en kunt hierdoor snel reageren. 

6. Datalekken zijn aan uw organisatie niet meer besteedt

Steeds vaker wordt malware door aanvallers zo geprogrammeerd dat het in staat is om onopgemerkt door de anti-malwareoplossing aan de voorkant van de organisatie te sluipen. Eenmaal binnen in het netwerk houden dit soort virussen en andere ongewenste indringers zich eerst vaak een tijd schuil voordat ze actief worden. Niet als het aan jouw EDR-oplossing ligt.

Met de continue surveillance heb je dit snel genoeg in de gaten. EDR treedt immers in werking nádat een aanvaller de endpoint protection is gepasseerd. Een geavanceerde EDR-oplossing onderneemt onmiddellijk actie om een aanval te stoppen en mogelijke schade aan systemen te beperken. EDR werkt dus complementair aan de traditionele anti-malwareoplossing en voorkomt dat gevoelige data gelekt wordt. 

7. Het is kostenefficiënt en vermindert de werklast

EDR vermindert simpelweg de werklast voor het IT-team. Zonder een EDR-oplossing gaan er veel tijd én middelen verloren aan het proberen te detecteren van en te reageren op aanvallen. Waarom zou je proberen dit ook nog zelf bij te houden, met alles wat er tegenwoordig speelt op de werkvloer? Een goede EDR-oplossing maakt dat je effectiever kunt werken, omdat je niet langer meerdere tools en dashboards hoeft te monitoren om mogelijke dreigingen op te sporen. 

Ben je al overtuigd? In de huidige tijd is een robuuste netwerkbeveiliging cruciaal om met een gerust hart de business draaiende te houden. Een EDR-oplossing kan hierin van grote betekenis zijn. Of je nu een kleine of grote organisatie bent, auto’s produceert of patiëntinformatie beheert, cybercriminelen discrimineren niet.

IT-PLAZA, uw EDR-partner

IT-PLAZA heeft voor haar EDR oplossing gekozen voor Sentinel One. Sentionel One maakt gebruik van een gepantenteerd gedragsricht AI-model dat 24/7 actief is. Het herkent niet alleen kwaadaardige acties, maar plaatst het ook in een context. Het maakt als het ware een verhaallijn waarmee we kunnen achterhalen waar de besmetting is ontstaan. Wij leveren Sentinel One EDR en willen onze klanten adviseren om hiervan ook gebruik te gaan maken aangezien de EDR Software om netwerk, pc’s en servers kan beschermen op een Pro actieve manier wat een virusscanner niet kan.

Met Sentinel One kunnen wij direct ook een geinfecteerd systeem terug zetten naar de status van voor de aanval / wijziging van het systeem. Daarnaast blokkeert de EDR software ook gelijk de toegang tot het netwerk om verdere verspreiding te voorkomen.

Bekijk hier enkele voorbeelden hoe EDR werkt:

Test met Akira Ransomeware en EDR

Test met Ransomeware en Rollback met EDR 

Wilt u meer weten over de manier waarop EDR geavanceerde bescherming kan bieden voor uw organisatie?

Stuurt u ons dan een email naar info@it-plaza.nl of neem telefonisch contact met ons op.

previous
Ubiquiti brengt zijn eerste accesspoint met Wi-Fi 7 uit

Endpoint Detection and Response (EDR)

Traditionele security-oplossingen op basis van virusscanners en firewalls zijn vandaag de dag niet langer afdoende om aanvallers buiten de deur te houden. EDR – endpoint detection and response – wordt steeds vaker gebruikt als alternatief voor de traditionele virusscanner. Lees waarom wij EDR adviseren als moderne bescherming tegen cyberaanvallen.

Wat is EDR?

EDR – de afkorting van ‘Endpoint Detection and Response’ – draait om intelligente tools die zich richten op detecteren en onderzoeken van verdachte activiteiten op de werkplekken (en servers). Het grote verschil met traditionele virusscanners is dat daarbij geen gebruik wordt gemaakt van databases met reeds bekende virusdefinities. EDR kijkt daarentegen naar het gedrag van software tijdens het gebruik en grijpt direct in bij kwaadaardige of afwijkende patronen. Hiervoor worden zogenaamde machine learning-algoritmen ingezet, die in staat zijn ook nog onbekende soorten malware te herkennen. Een goed EDR systeem kan kwaadaardige bestanden blokkeren voordat ze schade aan kunnen brengen.

Werkplekbeveiliging is essentieel

Werkplekken zijn en blijven het belangrijkste doelwit van cyberaanvallen nu we steeds meer in de “cloud” werken. Daarom is het essentieel om de beveiliging van deze systemen goed op orde te hebben. Immers wanneer een hacker toegang tot één systeem krijgt, dan vormt dat vaak de opstap tot volledige controle over het netwerk en de bedrijfsdata.
 

Hoe beschermt EDR de werkplekken?

De essentie van EDR is: inzicht, detectie en actie – zowel vooraf als tijdens een besmetting. EDR biedt om te beginnen inzicht in de staat van de beveiliging op de werkplekken. Dit helpt bij het voorkomen van incidenten, maar ook in het geval van een onverhoopte besmetting. Hierbij krijgen we snel inzicht in het verloop van de aanval, om van daaruit direct maatregelen te kunnen nemen en de aanval uiteindelijk af te slaan.
 

Detectie en actie: met geavanceerde Artifical Intelligence-engines worden bedreigingen inzichtelijk en kunnen geautomatiseerd maatregelen worden getroffen op het systeem om cybercriminelen buiten de deur te houden. Zo kan bijvoorbeeld een systeem worden geïsoleerd van het netwerk, zodat de beheerder tijd heeft de bedreiging nader te onderzoeken zonder het risico dat deze zich verder verspreidt.
 

Wat is het verschil tussen EDR en antivirus?

De traditionele antivirusdatabase is gevuld met gegevens over bestaande, en dus bekende, malware. Daarnaast kunnen sommige antivirusoplossingen analyses uitvoeren op lopende processen en de integriteit van belangrijke systeembestanden controleren. Maar in de praktijk zien we telkens vaker dat antivirusoplossingen er niet in slagen om alle malware te detecteren, onder andere door de zogenaamde ‘zero day exploits’ waarbij wordt geprobeerd misbruik te maken van een zwakke plek in software die nog onbekend is bij de software-ontwikkelaar. Het is realistisch om te verwachten dat alle organisaties vroeg of laat te maken zullen krijgen met een dreiging die niet gedetecteerd wordt door een antivirusoplossing.

EDR als aanvulling op antivirusoplossingen

Door antivirusoplossingen te integreren in een effectievere EDR-oplossing kunnen organisaties profiteren van eenvoudige blokkering van bekende malware en dit combineren met de geavanceerde mogelijkheden van EDR’s. De mogelijkheid om autonoom en geautomatiseerd dreigingen te bestrijden zonder dat daar menselijke tussenkomst voor nodig is, is misschien wel het meest waardevol.

Cyberbeveiliging

Bij cyberbeveiliging wordt meestal gedacht aan het blokkeren van aanvallen voordat ze plaatsvinden. Niet zo gek, preventie is immers een belangrijk onderdeel van een effectieve verdediging. Maar de waarheid is dat perfecte preventie niet bestaat. De meeste organisaties, zo niet alle, worden op een gegeven moment aangevallen. Dit is waar Endpoint Detection and Response (EDR) om de hoek komt kijken. 

EDR, wat?

Een EDR-oplossing kijkt op de achtergrond 24/7 mee naar alle processen die op het niveau van endpoints (zoals computers en servers) plaatsvinden. Alle gedragingen en processen worden vergeleken met wat is aangeduid als normaal gebruikersgedrag in een organisatie.

Gebeurt er iets afwijkends, bijvoorbeeld een pdf-document dat een programma wil starten of een actie waarbij de computer ineens bestanden gaat versleutelen, dan grijpt EDR in. Het proces in kwestie wordt gestopt en de computer wordt automatisch direct geïsoleerd van het netwerk, waardoor verdere verspreiding op het netwerk wordt vermeden. In deze blog leggen we uit waarom een EDR-oplossing essentieel is voor jouw bedrijf. 

1. Onopgemerkte bedreigingen worden automatisch opgepikt

EDR is als een continue surveillant die bij een tentamen iedere leerling in het klaslokaal streng in de gaten houdt. Er hoeft er maar één te zijn die zich op een opvallende manier gedraagt, en EDR staat naast het bureau om polshoogte te nemen. EDR maakt gebruik van geavanceerde analyses om ongebruikelijke gedragspatronen op te pikken en de beheerder te waarschuwen. Zowel de detectie van bedreigingen als de responsacties hierop – bijvoorbeeld isolatie van een endpoint – gebeuren automatisch. Hierdoor is jouw organisatie 24/7 beschermd tegen bedreigingen. 

2. Realtime inzicht in alle endpoints

Naast dat EDR 24/7 actief is op de achtergrond, kun jij als gebruiker en beheerder de analyses en scans die de EDR-oplossing maakt ook live volgen op een dashboard. Alle logins, registerwijzigingen en netwerkverbindingen die EDR oppikt, staan overzichtelijk op een rijtje waardoor je ze op elk gewenst moment door kunt nemen en verdachte activiteiten kunt onderzoeken. Hiermee heb je realtime inzicht in alle endpoints in de organisatie. 

3. Het vereenvoudigt het beheer van endpoints

Securityoplossingen zijn van oorsprong silo’s. Organisaties hebben een oplossing voor e-mailbeveiliging, een oplossing voor endpointbeveiliging, een oplossing voor netwerkbeveiliging, enzovoorts. Als er dan iets gebeurt, bijvoorbeeld een verdachte gedraging, is het zaak om te bepalen welke beveiligingsoplossing zijn werk niet heeft gedaan en met die leverancier contact op te nemen. Dat is niet altijd gemakkelijk. Soms lijkt het om een endpointbedreiging te gaan, maar zit het in werkelijkheid in de e-mailbeveiliging. 

Om dit op te lossen, wordt je vervolgens van het kastje naar de muur gestuurd. Geavanceerde EDR-oplossingen beschikken echter over allerlei soorten oplossingen voor verschillende onderdelen. Zo worden de silo’s bij elkaar gebracht en de data hiervan gecombineerd tot één overzicht. Op deze manier kun je de endpoints vanaf één dashboard beheren, of dit uiteraard uitbesteden aan IT-PLAZA. EDR maakt het management van alle endpoints in de organisatie een stuk makkelijker. 

4. Proactief bedreigingen detecteren

Organisaties die niet beschikken over een EDR-oplossing, maar enkel gebruikmaken van traditionele anti-malware, vertrouwen er eigenlijk op dat hun medewerkers de organisatie inlichten als ze iets verdachts in hun mail zien of klikken op een malafide link. Een passieve houding als het ware. Dit is echter een van de redenen dat 56 procent van de inbreuken maandenlang onontdekt blijft. Een EDR-oplossing maakt dat je proactief naar dreigingsindicatoren op zoek kunt gaan en bij verdachte activiteiten direct wordt gewaarschuwd, in plaats van maanden later. 

5. Response in no time

Dankzij het inzicht dat EDR je verschaft, ben je in staat om bij een dreiging snel te reageren. EDR-oplossingen houden immers alle interacties tussen de endpoints in jouw netwerk bij. Dit betekent dat zodra het beveiligingsteam is gewaarschuwd over een verdachte actie, ze snel kunnen achterhalen waar het vandaan komt en actie kunnen ondernemen om de dreiging te isoleren en te elimineren. Kortom, je hoeft je geen weg meer te banen door eindeloze stukjes data om te achterhalen wat er gebeurd zou kunnen zijn en kunt hierdoor snel reageren. 

6. Datalekken zijn aan uw organisatie niet meer besteedt

Steeds vaker wordt malware door aanvallers zo geprogrammeerd dat het in staat is om onopgemerkt door de anti-malwareoplossing aan de voorkant van de organisatie te sluipen. Eenmaal binnen in het netwerk houden dit soort virussen en andere ongewenste indringers zich eerst vaak een tijd schuil voordat ze actief worden. Niet als het aan jouw EDR-oplossing ligt.

Met de continue surveillance heb je dit snel genoeg in de gaten. EDR treedt immers in werking nádat een aanvaller de endpoint protection is gepasseerd. Een geavanceerde EDR-oplossing onderneemt onmiddellijk actie om een aanval te stoppen en mogelijke schade aan systemen te beperken. EDR werkt dus complementair aan de traditionele anti-malwareoplossing en voorkomt dat gevoelige data gelekt wordt. 

7. Het is kostenefficiënt en vermindert de werklast

EDR vermindert simpelweg de werklast voor het IT-team. Zonder een EDR-oplossing gaan er veel tijd én middelen verloren aan het proberen te detecteren van en te reageren op aanvallen. Waarom zou je proberen dit ook nog zelf bij te houden, met alles wat er tegenwoordig speelt op de werkvloer? Een goede EDR-oplossing maakt dat je effectiever kunt werken, omdat je niet langer meerdere tools en dashboards hoeft te monitoren om mogelijke dreigingen op te sporen. 

Ben je al overtuigd? In de huidige tijd is een robuuste netwerkbeveiliging cruciaal om met een gerust hart de business draaiende te houden. Een EDR-oplossing kan hierin van grote betekenis zijn. Of je nu een kleine of grote organisatie bent, auto’s produceert of patiëntinformatie beheert, cybercriminelen discrimineren niet.

IT-PLAZA, uw EDR-partner

IT-PLAZA heeft voor haar EDR oplossing gekozen voor Sentinel One. Sentionel One maakt gebruik van een gepantenteerd gedragsricht AI-model dat 24/7 actief is. Het herkent niet alleen kwaadaardige acties, maar plaatst het ook in een context. Het maakt als het ware een verhaallijn waarmee we kunnen achterhalen waar de besmetting is ontstaan. Wij leveren Sentinel One EDR en willen onze klanten adviseren om hiervan ook gebruik te gaan maken aangezien de EDR Software om netwerk, pc’s en servers kan beschermen op een Pro actieve manier wat een virusscanner niet kan.

Met Sentinel One kunnen wij direct ook een geinfecteerd systeem terug zetten naar de status van voor de aanval / wijziging van het systeem. Daarnaast blokkeert de EDR software ook gelijk de toegang tot het netwerk om verdere verspreiding te voorkomen.

Bekijk hier enkele voorbeelden hoe EDR werkt:

Test met Akira Ransomeware en EDR

Test met Ransomeware en Rollback met EDR 

Wilt u meer weten over de manier waarop EDR geavanceerde bescherming kan bieden voor uw organisatie?

Stuurt u ons dan een email naar info@it-plaza.nl of neem telefonisch contact met ons op.

Terug naar boven