Een korte geschiedenis van EDR
Tegelijkertijd waren enkele meer technische bedrijven begonnen te investeren in zichtbaarheidsinstrumenten zoals de osquery van Facebook en andere manieren om in netwerken te kijken.
Dat opende een nieuwe categorie die bedreigingen via eindpunten kon detecteren en erop kon reageren, wat bijdroeg aan de overvolle markt van cyberbeveiliging en als gevolg daarvan werden veel nieuwe oplossingen gecreëerd. De sector werd door Gartner ‘EDR’ genoemd, en hun analist Anton Chuvakin gebruikte de term om deze familie van nieuwe tools te beschrijven, gericht op zichtbaarheid en van preventie tot detectie voor het eindpunt.
Met die revolutie begonnen de inherente problemen van EDR de kop op te steken. Je had een zeer bekwaam team nodig om deze oplossingen te beheren, omdat ze zoveel gegevens opleveren, en het meeste daarvan ontbeerde context. Bedrijven hebben meer instanties ingehuurd om dit probleem op te lossen. Ondanks de investeringen in technologie en het succes van EDR als sector gaat er nauwelijks een maand voorbij zonder weer een spraakmakend datalek.
Het andere kritieke probleem was de ‘dwell time’, de tijd vanaf de infectie tot de ontdekking van de kwaadaardige activiteit. Zelfs tien seconden is veel te lang: aanvallers kunnen binnen enkele seconden hun code uitvoeren, hun aanval uitvoeren en zichzelf opruimen. Elke oplossing die niet in realtime detecteert, komt te laat in het spel.
De dreiging van kwaadaardige phishing-documenten en laterale bewegingstechnieken zoals EternalBlue leidde tot de behoefte aan EDR, maar de verblijftijd is nog steeds een groot en voortdurend probleem bij het detecteren van bedreigingen. Dit betekent dat vanwege de trage responstijd datalekken maar al te vaak voorkomen. Cyberbeveiligingsbedrijven hebben dit probleem op verschillende manieren geprobeerd op te lossen:
1. Maak een Hunt Chat-bot
In een poging om het leven van de beveiligingsanalist te vereenvoudigen, zal één strategie ervoor zorgen dat de professioneel opgeleide SOC-analist met een chatbot praat. Een chatbot precies laten begrijpen wat u bedoelt, kan vaak een grotere uitdaging zijn dan simpelweg een SQL-query schrijven die u elke dag doet, vooral voor een ervaren dreigingsjager.
2. Vertrouw op een aangepast SOC
Als je een SOC hebt, is dat geweldig! Hierdoor kunt u meer zien en meer doen om de bedrijfsveiligheid te behouden. In plaats van moeizaam te proberen de stukjes van het plaatje samen te voegen, zouden SOC-analisten moeten werken met reeds gecontextualiseerde gegevens die hen om te beginnen de aanvalsverhaallijn geven, zodat ze hun vaardigheden kunnen gebruiken om te beslissen over aanvullende actie die verder gaat dan alleen het stoppen van de aanval.
3. Bied een service bovenop de technologie
Als je een technologie zou hebben die alles wat er in realtime gebeurt zou kunnen zien, een AI op het apparaat die onmiddellijk de benodigde herstelactie zou kunnen ondernemen, dan houdt het probleem van de verblijftijd op te bestaan. Gewoon realtime detectie en respons.
Dus wat is de toekomst? Door een AI op het apparaat te gebruiken die onmiddellijk de benodigde herstelactie tegen bedreigingen kan ondernemen, kunnen organisaties gevreesde verblijftijden elimineren en hun algehele beheer van EDR in de toekomst verbeteren, zodat bedreigingen sneller kunnen worden verijdeld.
Volgende stappen
EDR, zoals het tegenwoordig bekend staat, vereist cloudconnectiviteit en zal als zodanig altijd te laat zijn met het beschermen van eindpunten. Als de oplossing niet op het apparaat aanwezig is, zal er onvermijdelijk enige verblijftijd zijn. Omdat organisaties een kat-en-muisspel spelen met aanvallers, moet de EDR-technologie zich aanpassen om sneller op bedreigingen te kunnen reageren en zo de last voor de toch al uitgebreide IT-beveiligingsteams te verminderen.
In het licht hiervan ligt de toekomst van EDR in een geautomatiseerde respons die afhankelijk is van AI om de lasten van het SOC-team te verlichten. Het moet beveiligingsteams in staat stellen snel het verhaal en de hoofdoorzaak achter een bedreiging te begrijpen. De technologie moet elke gebeurtenis op het eindpunt autonoom toewijzen aan de hoofdoorzaak, zonder enige afhankelijkheid van cloudbronnen.
Dergelijke mogelijkheden zullen een revolutie teweegbrengen in de bedrijfsbeveiliging. Het kan door bedrijven worden gebruikt, ongeacht de middelen, van ervaren SOC-analisten tot beginnende beveiligingsteams, waardoor ze de mogelijkheid krijgen om automatisch bedreigingen te verhelpen en zich te verdedigen tegen geavanceerde aanvallen. Het geautomatiseerde antwoord verdedigt ongeacht de leveringsvectoren en of het eindpunt al dan niet met de cloud is verbonden, wat betekent dat verdedigers eindelijk een winnende voorsprong kunnen hebben.