Bedrijven en grote ondernemingen
Bescherm uw bedrijf tegen cybercriminelen.
Probeer het gratis uitEndpoint Detection and Response (EDR), ook bekend als Endpoint Threat Detection and Response (ETDR), is een parapluterm voor een softwareoplossing die doorlopend eindpuntapparaten monitort, waaronder computers, laptops, servers, mobiele apparaten en Internet of Things (IoT)-apparaten van eindgebruikers, om bedreigende gegevens te verzamelen en analyseren, en om beveiligingsteams in realtime te alarmeren als er een lek plaatsvindt.
Aangezien EDR is een brede term is, variëren de specifieke functies en mogelijkheden van individuele EDR-oplossingen sterk tussen leveranciers en zelfs implementaties. Over het algemeen vallen Endpoint Detection and Response-tools in een van de volgende drie categorieën:
EDR-oplossingen werken door geaggregeerde telemetrische gegevens te verzamelen van eindpuntapparaten, waaronder logs, bestandsgegevens, lopende processen, prestatiemonitoren en configuratiegegevens, en die te analyseren om mogelijke bedreigingspatronen te detecteren.
De eenvoudigste EDR-systemen zijn zuivere alarmeringstools. Ze verzamelen, analyseren en geven gegevens weer voor menselijke medewerkers om te bekijken en ernaar te handelen. De gegevens worden opgeslagen in een centrale database en kunnen vaak worden gevoed in een SIEM-oplossing.
Meer geavanceerde EDR-systemen bevatten functies als:
EDR-systemen worden steeds populairder vanwege de wildgroei aan eindpuntapparaten die verbonden zijn met organisatorische netwerken, waaronder computers en laptops, telefoons en IoT-apparaten. Cybercriminelen beschouwen deze apparaten als 'zachte doelen', waarmee ze netwerken kunnen binnendringen, en ze gebruiken steeds verfijndere aanvalsmethoden en malware om ze aan te vallen.
Endpoint Detection and Response-tools worden soms verward met antivirusoplossingen. Veel EDR-systemen worden gebundeld met antivirussoftware geleverd of maken gebruik van data uit de database van een antivirusoplossing.
Maar antivirussoftware beschermt eindpuntapparaten alleen tegen malwaretypen die voorkomen in de database van het product. EDR aan de andere kant gebruikt slimme analyses om nieuwe en opkomende dreigingen te detecteren, inclusief dreigingen die antivirussoftware niet kan detecteren, zoals malware zonder bestanden, aantallen waarbij gebruik wordt gemaakt van gestolen aanmeldingsgegevens, Advanced Persistent Threats (APT's) en malware die zo nieuw is, dat die nog niet voorkomt in de antivirusdatabase.
Antivirusoplossingen verstrekken gebruikers alleen de basisinformatie, namelijk hoeveel dreigingen de software heeft geblokkeerd, en wat voor soort, binnen een bepaalde periode. EDR-systemen leggen aanvullende, zeer kostbare contextuele gegevens vast over aanvallen, zoals informatie over de bedreiger, en leggen historische trends bloot die organisaties kunnen gebruiken om hun beveiligingsstrategie te bepalen.
Naast het detecteren van dreigingen die anders langs antivirusoplossingen en andere beveiligingstools zouden glippen, versnellen EDR-systemen incidentrespons, helpen bij de inspanningen tot inperking en geven beveiligingsteams volledig inzicht in eindpuntgedrag in de data-omgeving en maken proactieve jacht op bedreigingen mogelijk.
Zorgen dat het beveiligingspersoneel een actieve rol speelt in eindpuntbeveiliging is uitermate belangrijke voor een succesvolle EDR-inzet. Naast de opvolging met EDR-alarmen moeten organisaties een robuuste patchbeheerstrategie hebben om eindpuntapparaten up-to-date te houden. Softwareupdates bevatten vaak belangrijke beveiligingspatches en vergeten dan om ze op tijd toe te passen, wat ernstige gevolgen kan hebben voor de eindpuntbeveiliging
Misconfiguraties van de cloud zijn een ander veelvoorkomend probleem wat de eindpuntbeveiliging nadelig kan beïnvloeden. Het inzicht wat EDR-oplossingen bieden in eindpuntconfiguraties helpt IT- en beveiligingsteams om verkeerd geconfigureerde cloudinstellingen te voorkomen, en aan de andere kant verbetert een goed onderhouden cloudomgeving de eindpuntbeveiliging.