Endpoint protection: een onmisbare schakel in je beveiligingsstrategie

Een geslaagde beveiliging is een gelaagde beveiliging. Een van de belangrijkste beveiligingslagen helpt de apparatuur van eindgebruikers te beschermen tegen aanvallen met schadelijke software, beter bekend als malware (‘malicious software’). Lange tijd stond die ‘endpoint’-beveiliging gelijk aan het gebruik van antivirussoftware. Maar een antivirusprogramma alleen volstaat niet om je afdoende te beschermen tegen bijvoorbeeld ransomware of een hack.

Oplossingen voor endpoint security moeten, zoals de term zelf al aangeeft, eindpunten beveiligen. Dat zijn alle apparaten van eindgebruikers die verbonden zijn met het bedrijfsnetwerk en bijgevolg als toegangspunt tot dat netwerk kunnen fungeren. Dat kunnen pc’s zijn – van desktops tot laptops – en mobiele apparaten, zoals smartphones en tablets, maar evengoed printers en servers.

Antivirussoftware schiet tekort

Als bedrijf wil je natuurlijk niet dat die kritieke apparaten uitvallen of onbruikbaar worden voor je medewerkers. Maar wat je zo mogelijk nog meer wil vermijden, is dat cybercriminelen zich via diezelfde apparaten toegang verschaffen tot je bedrijfsnetwerk. Via dat netwerk krijgen ze mogelijk ook toegang tot alle bedrijfsgegevens op de servers, databases en opslagsystemen in je datacenter, al dan niet in de cloud.

Om te verhinderen dat cybercriminelen die kostbare bedrijfsdata in handen krijgen, corrumperen, wissen of, in het geval van ransomware, versleutelen om losgeld te eisen, is het zaak om ook je endpoints afdoende te beschermen tegen cyberaanvallen. Lange tijd moesten bedrijven zich daarvoor behelpen met weinig meer dan wat antivirussoftware. Maar zoals de praktijk al gauw uitwees, vertoont die technologie, zeker bij de eerste, oudere virusscanners, enkele cruciale zwaktes en gebreken.

Om te beginnen detecteert zo’n antivirusprogramma niet alle virussen, enkel de gekende. Geconfronteerd met een nieuw, nog onbekend virus, valt besmetting dan niet te vermijden. Verder beperkt de impact van zo’n virusscanner zich tot het detecteren van het virus en het stoppen van de aanval. Van remediëring, het ongedaan maken van de eventuele geleden schade, is geen sprake.

AI en automatisering schieten te hulp

Intussen hebben meer gesofisticeerde en doeltreffende oplossingen voor endpoint-beveiliging hun intrede gedaan. Door artificiële intelligentie (AI) toe te voegen aan de bestaande antivirusoplossingen, kunnen die vandaag ook abnormaal of afwijkend gedrag van je gebruikers, systemen en processen op het spoor komen. Denk aan het ongebruikelijk versleutelen van bestanden, bijvoorbeeld. Of een ongewoon drastische toename van het aantal binnenkomende e-mails, een zogenaamde mailbom. 

Ook al herkent zo’n AI-oplossing het virus zelf niet, toch kan ze op basis van het gedetecteerde gedrag automatisch ingrijpen en een verdacht proces eerst stilleggen, om het niet-herkende virus vervolgens alsnog op te sporen en te verwijderen. Oplossingen voor endpoint detection & response (EDR) drijven die geautomatiseerde respons op verdachte gedragingen nog een heel eind verder. Zo hoeft die respons niet langer beperkt te blijven tot het louter stilleggen van verdachte processen. Om verdere besmetting tegen te gaan, kan een EDR-oplossing bijvoorbeeld ook een getroffen apparaat automatisch de toegang tot het bedrijfsnetwerk ontzeggen, zoals je ook een potentieel besmettelijke patiënt in quarantaine plaatst. Of de EDR-oplossing kan het e-mailverkeer van de gebruiker van het getroffen apparaat automatisch laten blokkeren, zodat die geen geïnfecteerde e-mails meer kan verspreiden.

Door in plaats van je traditionele antivirusprogramma een EDR-oplossing in te zetten, ben je alvast verzekerd van een meer geavanceerde en trefzekere endpoint-bescherming. Het gebruik van EDR laat je immers toe om op een intelligente, actieve manier verdachte activiteiten op te sporen en ongekende malware te isoleren, te onderzoeken en uit te schakelen. Een extra troef daarbij is dat EDR je niet enkel mogelijkheden aanreikt om de schade te beperken, maar ook om de al geleden schade te herstellen. Een goede EDR-oplossing maakt bijvoorbeeld regelmatige snapshots van de bestanden op elk apparaat. Zo kan je een getroffen apparaat met één enkele druk op de knop terugzetten in de staat waarin het verkeerde net voor de schade door het incident plaatsvond.

Vertrouw niet blind op je softwareleverancier

Tot slot nog een belangrijke waarschuwing. Hoewel softwareplatformen van grote leveranciers als Microsoft populaire doelwitten zijn voor cybercriminelen, zijn die doorgaans niet voorzien van de nodige endpoint-bescherming. Wil je jezelf en je gebruikers op elk moment van pakweg een veilige Office 365-omgeving verzekeren, investeer dan zeker ook in een aparte beveiligingsoplossing die de apparaten beschermt tegen malware en andere schadelijke software. 

Een antivirusprogramma dat continu het gedrag en de conditie van die apparaten monitort en de beveiliging ervan automatisch op peil houdt, is daarbij het absolute minimum. Idealiter vul je die basisbeveiliging nog aan met een EDR-oplossing en een externe scanningtool die alle binnenkomende e-mails analyseert en controleert op verdachte links en inhoud, nog voor ze jouw bedrijfsomgeving kunnen bereiken. Meer dan negen op de tien cyberaanvallen gebeuren immers nog steeds via e-mail.

Gelaagde beveiliging

Tot slot: voorkomen is beter dan genezen. Zet daarom in op security awareness binnen je organisatie. Technologie helpt je om malware buiten te houden, of om wanneer er toch een geslaagde inbraak is, dat snel te ontdekken. Een moderne, veilige back-up vormt ten slotte de laatste verdedigingslaag. Zijn cybercriminelen erin geslaagd data te stelen of te versleutelen? Dan kun je in uiterste nood nog altijd terugvallen op je back-up.