Waarom is een gewone antivirus niet voldoende?

Wat is het verschil tussen een Endpoint Protection Platform (EPP) en Endpoint Detection & Response (EDR)?

Een EPP is een beveiligingspakket dat gebruik maakt van onder andere antivirus, antimalware en firewall. De meeste mensen kennen dit als hun ‘antivirus pakket’. Deze EPP’s zijn gemaakt om te voorkomen dat bedreigingen binnen raken in de systemen die ze beschermen. Een nobel doel nietwaar? Maar wat gebeurt er wanneer er toch eens een bedreiging door de mazen van het net glipt? Geen enkele EPP kan immers 100% bescherming garanderen. 

Dit is het moment waarop een EDR zijn toegevoegde waarde kan bewijzen. Een EDR houdt namelijk constant data bij i.v.m. alle bestands- en processactiviteiten. Wanneer bv een bestand gedownload wordt, en op dat moment is het nog niet bekend dat dit bestand schadelijk is, houdt een EDR dit bij in zijn geheugen. Verder houdt een EDR ook in de gaten wat er allemaal met dit bestand gebeurt. Wordt het gekopieerd of maakt het bestand bv. andere bestanden of registerwaardes aan, alles wordt opgeslagen.  

Wanneer na verloop van tijd bekend wordt dat dit bestand schadelijk is, weet een EDR perfect wat er allemaal met dit bestand gebeurd is en waar overal moet ingegrepen worden om deze infectie op te schonen. Als beheerder van het netwerk kan je met deze technologie dus ten allen tijde opzoeken op welke toestellen en waar juist een bestand geweest is. En een EDR doet dit natuurlijk niet alleen voor bestanden maar ook voor URL’s, IP’s, processen, …. 

Specifieke mogelijkheden met Cisco AMP met Threat Response:

  • Device en File trajectory: kijk per device of per file wat de aanleiding was van een security event en wat de gevolgen ervan waren. 
  • Software vulnerabilities: krijg een lijst van kwetsbare software op je clients met bijbehorende Common Vulnerabilities and Exposures (CVE) ID’s. 
  • Prevalence: Krijg een lijst van alle weinig uitgevoerde programma’s binnen je netwerk en test deze direct in een sandbox.
  • Threat Root Cause: Krijg een overzicht van waarlangs de meeste bedreigingen je netwerk zijn binnengedrongen zodat je daar extra maatregelen kan implementeren. 
  • 15 verschillende lagen van detectiemogelijkheden: oaSandboxingapplication blockingSpero machine learning,… 
“There’s no silver bullet solution with cyber security, a layered defense is the only viable defense.” – James Scott, Institute for Critical Infrastructure Technology

Een kernaandachtspunt in security is effectief kunnen reageren wanneer er onverhoopt toch iets gebeurt. Cisco threat response (inbegrepen bij elke Cisco AMP licentie) is daarbij een onontbeerlijke en heel overzichtelijke tool waarmee elk beveiligingsincident uitgebreid kan onderzocht en gedocumenteerd worden in Casebooks. Helemaal geïntegreerd met Cisco Umbrella DNS bescherming. Met Threat Response vind je snel hoe de malware zich heeft verspreid en langs waar die de organisatie is binnengekomen. Even snel blokkeer je urls en files op je ganse netwerk om verdere besmettingen tegen te gaan.