Endpoint security EDR

5 Best Practices voor Endpoint Security

1 min. leestijd

Share

Het effectief en snel reageren op cyberdregingen voor endpoints wordt bemoeilijkt door de voortdurende groei van ransomware en het toenemende aantal exploits. Ook het gebrek aan gedeelde intelligentie tussen verschillende aanbieders speelt een rol bij uitdagingen voor Endpoint security. Recente onderzoeken tonen aan dat bij ongeveer 30 procent van de gedetecteerde inbraken sprake is van geïnstalleerde malware op endpoints.

Een effectieve Cyber ​​Security-strategie bevat daarom altijd Endpoint Security, omdat het een van de meest kritische componenten is voor netwerkbeveiliging.

In dit artikel sommen onze experts een aantal van de best practices op met betrekking tot Endpoint beveiliging.

Endpoint devices: Een open deur naar jouw meest waardevolle data

Steeds vaker worden apparaten van medewerkers en kantoorbezoekers de belangrijkste facilitator binnen het huidige dreigingslandschap. Één van de redenen hiervoor is dat interne netwerken veelal niet meer rechtstreeks vanaf internet te bereiken zijn. Interne netwerken worden meestal beveiligd door Next-Generation Firewall Protection, terwijl openbaar beschikbare data zich niet op de interne bedrijfsservers bevinden, maar juist "vanuit de cloud" benaderd worden via Content Delivery Networks (CDN's).

Om toegang te krijgen tot waardevolle data van een bedrijf moeten hackers dan ook steeds vaker 'near-fysical' toegang hebben. Een onbeveiligd endpoint device is voor hen als een open achterdeur, die toegang biedt tot waardevolle en gevoelige gegevens binnen de huidige netwerktopologieën.

Hoewel bedrijfsapparaten fysiek aangesloten kunnen worden op hetzelfde netwerk als waar de assets en de data zich bevinden, kan een dergelijk onbeveiligd apparaat ook toegang bieden tot die data. Wanneer de huidige beveiligingsmaatregelen binnen jouw organisatie onvoldoende zijn, is een endpoint een uitstekend middel voor een hacker wanneer deze toegang probeert te krijgen. Dat terwijl de werknemer zich er niet van bewust is dat zijn apparaat kwaadaardig gedrag vertoont.

Best practices voor Endpoint Security

De hieronder genoemde best practices geven meer inzichten en ideeën voor diegenen die op zoek zijn naar het realiseren van een effectieve endpoint beveiliging oplossing die past bij de huidige strategie (en het budget).

1. Het afdwingen ("enforcement") van least privilege access en gebruikersrechten per device

Als een gebruiker 'administrator level' inloggegevens en toegang heeft tot een apparaat, kan malware geïnstalleerd worden zonder enige vorm van beveiligingscontrole. Je moet er dus voor zorgen dat een gebruiker wel alle taken kan uitvoeren die nodig zijn voor de rol die past bij zijn of haar functie, maar gelijktijdig moeten ook beperkte (al dan niet de minste) toegangsrechten afgedwongen worden. Voor de meeste gebruikers is bijvoorbeeld het recht om software te kunnen installeren niet noodzakelijk, ookal zullen gebruikers dat vaak wel als noodzaak ervaren! Dat recht is in ieder geval geen permanente vereiste en die rechten hoeven dus ook niet op een gecentraliseerde manier te worden verstrekt.

Wanneer meer gebruikersrechten nodig zijn, zorg er dan voor dat de gebruiker tijdens het proces in ieder geval een Multi Factor Authentication proces moet doorlopen. Zorg dat alle gebeurtenissen omtrent het benutten van deze verhoogde niveaus van gebruikersrechten worden vastgelegd in logs. Bekijk eveneens de rapportages van de logboekregistratie onmiddellijk en periodiek. Dit helpt je om bestaande processen met betrekking tot verstrekte beheerdersrechten continu te bewaken en optimaliseren. Zo wordt de nauwkeurigheid en toepasbaarheid van gebruikersrechten en Endpoint beveiliging gewaarborgd.

2. Voer continue (en tijdige) endpoint scans uit met een "Next-Generation Endpoint Security-oplossing"

Naarmate vastberaden cybercriminelen kennis ontwikkelen zien we dat malware geëvolueerd is naar het 'slechts zijn van een virus' tot 'software-less, sluimerende en wachtende' malware. Dergelijke malware wordt daarom vaak niet gedetecteerd door de signature gebaseerde antivirusprogramma's die tegenwoordig bestaan.

Het is van essentieel belang om een ​​NextGen Endpoint Security-oplossing te hebben die bescherming biedt tegen dit soort kwaadaardige tactieken. Daarentegen zijn zelfs met 'de nieuwste en beste' Endpoint Security-oplossingen en de intrinsieke configuratieparameters van de oplossing net zo belangrijk als de implementatie zelf.

Zorg ervoor dat veelvoorkomende misbruikte bestandslocaties zoals de map met gebruikersprofielen, "temp" folders, de registry, geregistreerde bestanden en de Windows-map actief gescand of gecontroleerd worden. Configureer dagelijks memory on-demand scans of continue monitoring van geheugen, voor rootkits en actieve processen. Voer een volledige on-demand scan uit op elk asset met een detectie van deze scans.

Laat de oplossing scannen wanneer media in lokale schijven geplaatst wordt, wanneer USB of andere media toegangspunten, al dan niet toegestaan zijn ​​voor dat specifieke apparaat of die specifieke gebruiker. Benut, indien beschikbaar, een "scancache"; de Endpoint beveiliging oplossing kan een cache van eerder gescande bestanden behouden, zelfs nadat de computer opnieuw is opgestart. Deze optie verbetert de prestaties doordat "schone bestanden" die niet opnieuw gescand worden, bij te houden.

En niet te vergeten: zorg ervoor dat je een externe intelligentiefeed beschikbaar hebt voor de oplossing; veel Cyber ​​Security-leveranciers wisselen zogenaamde software-verdicts en Indicators of Compromise ("IOC's") uit. Dankzij deze intelligence feeds wordt een hogere beveiligingspositie gecreëerd voor organisaties die oplossingen van meerdere security leveranciers inzetten.

3. Het afdwingen van 'System hardening'

Veel besturingssystemen bevatten een systeemfirewall, maar in de meeste gevallen is de toegepaste configuratie minimaal en vermindert dit het potentieel van deze "gratis" beveiligingsoplossingen. Overweeg de instellingen voor internettoegang, toegang tot andere interne netwerken en zelfs het lokale subnet per systeem. Met name wanneer centraal beheer wordt gebruikt om de patches van het besturingssysteem en de Endpoint Security-oplossing bij te werken. Als verkeer van een asset naar systemen op hetzelfde subnet of naar andere netwerksegmenten gedefinieerd is, kunnen alle andere listening-UDP- of TCP-poorten worden gesloten. Na het beperken van het aantal applicaties dat gestart kan worden en dat kan communiceren, zal dit de kans op verspreiding van malware binnen het subnet of andere netwerksegmenten aanzienlijk verkleinen.

4. Application control enforcement

Door de mogelijkheid van eindgebruikers (en dus hackers) om de installatie, uitvoering of communicatie van toepassingen te verminderen, kan de beveiliging aanzienlijk verbeterd worden. Omdat de installatie al beperkt is (zie punt 1), kan de uitvoering van applicaties wel worden toegestaan.

Sommige Endpoint Security-oplossingen bieden een"whitelist" van executable files. De parameters, voor het toestaan ​​of weigeren van uitvoering van bestanden, kan gebaseerd worden op een oordeel van de leverancier van applicatie, of door de IT-afdeling van het bedrijf.

Met de uitrol van basic applicatiebeveiliging oplossingen is een 'leerperiode' vereist waarbinnen de applicatieactiviteit op veel endpoints wordt gemonitord. Op basis van de eerste bevindingen wordt vervolgens een granulaire beveiligingspostuur geïmplementeerd.

Aan het einde van deze bewakingsperiode (waarin je nauwkeurig hebt afgestemd welke applicaties zijn toegestaan), moet een definitieve instelling voor "ongeziene toepassingen" worden afgedwongen. Dit moet gebeuren om de uitvoering van die bestanden te blokkeren. Zelfs wanneer enkele applicaties uitgevoerd mogen worden, moet een standaard netwerkbeveiliging vereiste het hebben van een Next-Generation Firewall zijn. Die kan de communicatie tussen netwerksegmenten voor specifieke toepassingen blokkeren. Nogmaals, wanneer toegestane toepassingen toegang krijgen (op de UDP- of TCP-poorten zoals vereist), zal een laatste regel om andere communicatie te blokkeren, het segment alsnog beveiligen.

Maak waar mogelijk gebruik van disk encryption

Wanneer op kantoor voor elke harde schijf en op elk systeem encryptie van 'data at rest' (inactieve opgeslagen data) actief is, realiseer je een sterkere beveiligingspositie. Een gestolen laptop is in dat geval bijvoorbeeld niet langer een beveiligingsdreiging. De data zijn simpelweg niet toegankelijk voor de dief zonder dat hij een andere aanvalsvector heeft (zoals bijvoorbeeld gestolen inloggegevens). Naast encryptie van data at rest, is het aan te raden om ook encryptie in te schakelen op alle randapparatuur zoals flash / thumb-drives, deze zijn zelfs nog vatbaarder voor het per ongeluk verliezen van data en dus datalekken.

Dit is IT op zijn best: Het insluiten van een brede, fysieke dreiging met een systematische, IT-gebaseerde oplossing.

Idealiter worden de sleutel(s) voor het ontsleutelen in een non-digitaal formaat bewaard, ingesloten in een beveiligde kast of veilig in een beperkt off-site gebied.

Benut back-up mogelijkheden (voor gelimiteerde folders of bestanden)

Bedrijven lopen een toenemend risico op het verlies van data. Dit komt door de explosieve groei van (gevoelige) bedrijfsgegevens die op Endpoints worden opgeslagen. Denk aan alle laptops, smartphones, tablets en andere apparaten die zich aan de rand van je netwerk bevinden. Werknemers creëren en hebben overal en altijd toegang tot bedrijfsgegevens op tablets, laptops en telefoons. Het overgrote deel van je collega's stelt niet opzettelijk bedrijfsgegevens bloot aan risico's; ze doen gewoon wat nodig is om hun werk gedaan te krijgen. Het dan ook de verantwoordelijkheid van het IT teamom ervoor te zorgen dat data op apparaten beschermd wordt. Zodra een back-up van die gegevens gemaakt is, kan je bedrijf eenvoudiger initiatieven nemen rondom e-discovery, juridische bewaring van data, noodherstel ('disaster recovery') en datamigratie. Endpoint backups en Data Loss Prevention zijn daarom de basis voor een uitgebreide data governance strategie.

5. Implementeer een SIEM-oplossing

SIEM-software (Security Information Event Management) wordt al meer dan tien jaar in verschillende vormen gebruikt en is in die tijd aanzienlijk geëvolueerd. SIEM-oplossingen bieden een holistisch beeld van wat er in realtime op een netwerk gebeurt en helpen IT-teams proactiever te zijn in de strijd tegen cyberdreigingen.

Uniek aan SIEM-oplossingen is dat ze Security Event Management (SEM) - dat in realtime analyses van event- en loggegevens uitvoert om correlatie van events te bieden, threat monitoring van een incidentrespons - combineert met Security Information Management (SIM). Het analyseert eveneens loggegevens en genereert rapportages. Voor de organisatie die volledige zichtbaarheid en controle nastreeft over wat er in realtime op het netwerk gebeurt, zijn SIEM-oplossingen dan ook van cruciaal belang.

Omdat veel Endpoint-apparaten niet beperkt zijn tot gebruik binnen het bedrijfsgebouw, is het essentieel om een ​​gecentraliseerde logging-oplossing te hebben die alle Endpoint-logging-gegevens van een gebruiker, het gebruikte besturingssysteem en (security) applicatie-gebeurtenissen ontvangt. Tenzij je deze logboeken om governance redenen moet bewaren, is het eenvoudigweg verzamelen van deze logboeken zinloos tenzij je de logboeken verwerkt tot zinvolle en bruikbare gebeurtenissen.

Tijdens normaal gebruik van een Endpoint en zelfs met verminderde logboekregistratie genereert een Endpoint al veel logs. Aangezien de meeste bedrijven veel Endpoint-apparaten hebben, wordt de inzet van een SIEM oplossing als een belangrijke best practice beschouwd. Een Security Information Event Management-oplossing ontvangt niet alleen events uit verschillende bronnen, maar moet ook in staat zijn om de relevantie van deze events aan te kaarten, event/ data correlatie uitvoeren en een ruleset benutten om uiteindelijk onderscheid te maken tussen wat "slechts een event" is en een "mogelijk incident".

Beter is het om een ​​oplossing te gebruiken die zeer nauwkeurig is bij het bepalen van de waarschijnlijkheid dat een gebeurtenis een incident is, of het begin van een inbraak. Op basis van het bepaalde risico en de impact op gecompromitteerde bedrijfsmiddelen, bieden sommige SIEM-oplossingen zelfs notificatie-diensten of voeren ze de meest geschikte acties uit die nodig zijn voor incidentbeheersing of sanering. SIEM-oplossingen staan niet langer in de kinderschoenen. Ze zijn onderdeel geworden van standaard beveiligingscontrole-mechanismen als onderdeel van netwerkbeveiliging. Alle producteigenschappen en functiespecificaties, naast de prijs- en het prijsmodel, moeten daarentegen wel zorgvuldig onderzocht worden om te bepalen of ze echt kunnen bieden wat jij nodig hebt. Veel SIEM-oplossingen verschillen namelijk vrij sterk per Endpoint Security leverancier.

Conclusie

Bovenstaande best practices zijn slechts een greep uit effectieve methoden voor Endpoint beveiliging. Een aantal andere belangrijke elementen om de beste Endpoint Security voor jouw bedrijf te bereiken zijn bijvoorbeeld het regelmatig wissen van data op endpoints, het up-to-date houden van besturingssystemen, het uitschakelen van ongebruikte poorten, patching door derden en het uitvoeren van Cyber ​​Security Awareness-campagnes. Bedrijven moeten ervoor zorgen dat de Endpoint Security oplossingen voldoen aan de specifieke vereisten voor beveiliging, beheer en flexibiliteit om te voorkomen dat beperkte of onhandelbare oplossingen in gebruik worden genomen.

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates