Waarom endpointbeveiliging nodig is en blijft

De huidige onder­steu­ning voor digitale initi­a­tieven en een ‘work from anywhere’-model resul­teerde in een forse uitbrei­ding van het aanvals­op­per­vlak aan de netwer­k­rand. Volgens het Global Threat Lanscape Report is er sprake van steeds slimmere cyber­drei­gingen, een snelle toename van het aantal thuis­wer­kers en zorg­wek­kende ontwik­ke­lingen zoals een zeven­vou­dige toename van ransom­ware-aanvallen in de laatste helft van 2020. En dan zwijg ik nog over de cyber­aan­vallen op promi­nente bedrijven dit jaar. Dit alles wijst op de noodzaak van krach­ti­gere endpointbeveiliging.

Het oplossen van de aanhou­dende bevei­li­gings­pro­blemen als gevolg van steeds sterker vertakte netwerken en de snel verva­gende netwer­k­rand kan een over­wel­di­gende opgave lijken. De eerste stap om deze problemen aan te pakken, is het imple­men­teren van moderne oplos­singen voor endpoint­be­vei­li­ging en een zero trust-model. De endpoint­be­vei­li­ging biedt een beter overzicht op apparaten en hun status. Daarnaast voorzien die oplos­singen in krachtige bescher­mings­maat­re­gelen, tools voor moni­to­ring op afstand en mecha­nismen voor het verwij­deren van cyber­be­drei­gingen van endpoints. Zero trust-oplos­singen moeten flexibel genoeg zijn om gebrui­kers veilige toegang te bieden tot data, systemen en appli­ca­ties, waar die gebrui­kers of IT-bronnen zich ook maar bevinden.

Moderne endpointbeveiliging

De eerste generatie van endpoint detection & response (EDR)-oplossingen waren bedoeld als aanvul­ling op tradi­ti­o­nele endpoint­be­vei­li­ging omdat die op lange termijn minder effectief worden, maar de eerste generatie EDR-bevei­li­ging is onvol­doende in staat om het grote volume aan razend­snelle cyber­aan­vallen op te vangen. Daardoor worden security-teams bedolven onder bergen meldingen en moeten ze de werke­lijke bedrei­gingen uit een zee van false positives zien te vissen. Daardoor lopen ze steeds vaker achter de feiten aan. En dat stelt de orga­ni­satie bloot aan meer cyberrisico’s.

Het aanvullen van tradi­ti­o­nele endpoint­be­vei­li­ging met een EDR-oplossing is dus niet langer toerei­kend voor moderne digitale orga­ni­sa­ties en de realiteit van tele­werken. Moderne endpoint­be­vei­li­ging moet deze func­ti­o­na­li­teit verenigen met de volgende moge­lijk­heden: het voor­spellen en voorkomen van cyber­aan­vallen, het verkleinen van het aanvals­op­per­vlak, het in real time detec­teren en ontze­nuwen van cyber­be­drei­gingen, het jagen op, analy­seren van en reageren op cyber­be­drei­gingen in combi­natie met geco­ör­di­neerde herstel­ac­ti­vi­teiten en foren­sisch onderzoek.

Naar een geïntegreerde oplossing 

FortiEDR is een geïn­te­greerde oplossing voor endpoint­be­vei­li­ging die speciaal is ontwik­keld om gedrags­ge­ba­seerde bescher­ming voor en na infecties, bedrei­gings­de­tectie en inci­den­tres­pons te bieden. Deze unieke combi­natie is doel­tref­fender in het voorkomen en blokkeren van ransom­ware-aanvallen, omdat cyber­be­drei­gingen auto­ma­tisch worden gede­tec­teerd, afge­slagen en onscha­de­lijk gemaakt. FortiEDR biedt preven­tieve detectie en ontze­nu­wing van cyber­be­drei­gingen. Het blokkeert de commu­ni­catie van malware met de buiten­we­reld en ontzegt die de toegang tot bestands­sys­temen in real time. 

Bovendien maakt FortiEDR cyber­be­drei­gingen onscha­de­lijk zonder processen te beëin­digen of endpoints in quaran­taine te zetten. Het brengt de werking van systemen tot in het detail in kaart, zodat die elke stap in systeem­pro­cessen kan volgen en kan zo lang mogelijk wachten. Deze aanpak reduceert de kans op false positives en weerhoudt cyber­be­drei­gingen ervan om hun doel te bereiken. In het zeldzame geval dat er te agressief is inge­grepen wordt de blok­ke­ring opgeheven zonder eind­ge­brui­kers of bedrijfs­pro­cessen te verstoren.

Maar niet alleen dat: FortiEDR auto­ma­ti­seert ook de evaluatie en clas­si­fi­catie van het gede­tec­teerd verdacht gedrag. In de cloud gehoste arti­fi­cial intel­li­gence en micro­ser­vices analy­seren voort­du­rend detecties die onder de drem­pel­waarde voor blok­ke­ring vallen. Zodra de tech­no­logie een oordeel heeft geveld, zet die een reactie in gang die kan worden geau­to­ma­ti­seerd op basis van een aanpas­baar draaiboek. Mense­lijke bevei­li­gings­ana­listen houden zo tijd over om over deze hoofd­za­ke­lijk autonome oplossing voor endpoint­be­vei­li­ging te waken, zijn auto­ma­ti­se­rings­pro­cessen te verfijnen, van gede­tec­teerde cyber­aan­vallen te leren en de bedrijfs­brede bevei­li­ging voort­du­rend te verbeteren.

De overstap naar netwerktoegang op basis van zero trust

Uit de ontwik­ke­lingen van het afgelopen jaar blijkt duidelijk dat het nodig is om meer dan alleen een VPN te gebruiken voor veilig beheer van de toegang op afstand tot dyna­mi­sche en gedis­tri­bu­eerde netwerken, zoals bij thuis­werken. Daarom zouden orga­ni­sa­ties naast het gebruik van EDR voor de bescher­ming van endpoints ook een beroep moeten doen op zero trust network access (ZTNA), een oplossing voor problemen rond de toegang tot appli­ca­ties. Het uitgangs­punt is namelijk dat geen enkele gebruiker en geen enkel apparaat te vertrouwen valt, tenzij het tegendeel is bewezen. 

Fortinet maakt gebruik van een agent op endpoints en de kracht van FortiOS om voor elke sessie een iden­ti­teits­con­trole uit te voeren. Het bepaalt tot welke appli­ca­ties een gebruiker toegang mag krijgen, of die gebruiker zich nu op het hoofd­kan­toor bevindt of een verbin­ding maakt vanaf een andere locatie. Elke keer dat gebrui­kers toegang tot een appli­catie zoeken, wordt hun iden­ti­teit geve­ri­fi­eerd. Die toegang kan ook worden uitge­breid of beperkt op basis van hun functie of rol binnen de organisatie.

Kies voor een totaaloplossing

Het imple­men­teren van oplos­singen voor toegang op afstand vraagt om een breed scala aan compo­nenten, en veel orga­ni­sa­ties nemen die af van verschil­lende leve­ran­ciers. Dat brengt meer complexi­teit naar een reeds over­be­laste omgeving. Erger nog: deze bevei­li­gings­com­po­nenten draaien vaak op uiteen­lo­pende bestu­rings­sys­temen en maken gebruik van uiteen­lo­pende confi­gu­ratie- en beheer­con­soles. Dit kan het toepassen van robuuste endpoint­be­vei­li­ging en bevei­ligen van de toegang op afstand bemoei­lijken, en soms zelfs onmo­ge­lijk maken.

Met Fortinet kun je niet alleen zorgen voor veilige toegang op afstand op basis van oplos­singen van één leve­ran­cier, maar kunnen alle bevei­li­gings­com­po­nenten ook worden geïn­te­greerd via de Fortinet Security Fabric. Deze archi­tec­tu­rele bevei­li­gings­aanpak stelt je in staat om uiteen­lo­pende security-appli­ances te verbinden tot één geïn­te­greerd bevei­li­gings­sys­teem dat je netwerk en al zijn vertak­kingen omspant. Dit is van cruciaal belang als je eind­ge­brui­kers hebt die vanaf aller­hande locaties verbin­dingen maken met IT-bronnen die zich eveneens op aller­hande locaties kunnen bevinden. Op die manier krijgt je inzicht in wat er gaande is, zodat je zelfs de verste uithoeken van je netwerk zo veilig mogelijk kunt houden.