EDR

Endpoint Detection & Response

Antimalware werkte vroeger aan de hand van lijsten met gekende virussen, maar dat volstaat niet meer. De variabiliteit aan bedreigingen is vandaag zo groot geworden dat die per definitie verouderd zijn. Daarom hebben we de stap gezet van antivirus naar Endpoint Detection & Response-oplossingen.

Vandaag bevinden veel van de endpoints zich ook vaak buiten het kantoornetwerk. Ook via het internet moeten we daarom controle blijven houden over de beveiliging van de toestellen, daarom verkiezen we centraal beheer als een cloudservice.

We vertrouwen op de technologische oplossingen van Fortinet en Microsoft. FortiEDR leunt aan bij netwerksecurity, terwijl Microsoft Defender for Endpoint meer richting information security gaat. Endpoints zitten op de grens tussen het netwerk en de informatie; afhankelijk van de klant is de ene aanpak dan ook beter geschikt dan de andere.

EDR

Op computers

Onze toestellen, de endpoints, verwerken heel wat data. Daarom is het cruciaal ze te beveiligen.

Een EDR-oplossing doet dat via onder andere volgende technieken:

  • Preventie en bescherming tegen bedreigingen zoals malware, niet alleen op basis van bestanden maar ook tegen processen die enkel in het geheugen zitten.
  • Controle op software, scripts en processen die er mogen draaien. Aan de hand van whitelisting, blacklisting maar ook heel veel grijs waarbij er een automatische risico-inschatting gemaakt wordt.
  • Detecteren en automatisch voorkomen van ongewoon gedrag van mogelijks kwaadaardige oorsprong, op basis van gedragsanalyse van de gebruiker, het toestel of een applicatie.
  • Mogelijkheid om incidenten verder te onderzoeken die eventueel toch door de controles geraakten, met begeleiding rond de manier waarop het gebeurde en advies tot het oplossen.

In specifieke gevallen kunnen we ook FortiClient of Check Point Harmony inzetten voor endpoints.

EDR

Op servers

Hoewel het dezelfde technologieën zijn, zien we dat EDR-oplossingen in het datacenter - op servers - anders aangepakt moet worden. Het gedrag van de workload is anders, er draaien specifieke applicaties op die vaak cruciaal zijn, ze worden anders beheerd en er zijn verschillende types servers die niet altijd door elke EDR-oplossing ondersteund worden. De meest uitdagende zijn:

  • Servers met verschillende gebruikerssessies, denk aan virtuele apps en desktops zoals voor Citrix DaaS, RDS of AVD.
  • Stateless servers die vertrekken van een golden image template, willen we ook beschermen.
  • Servers met een oud OS dat niet meer ondersteund wordt door de leverancier. Naast flankerende maatregelen hebben we daar meestal ook een EDR-oplossing voor.

Voor elk scenario hebben we dus wel een mogelijkheid om de klassieke antivirus te vervangen door een hedendaagse oplossing. In specifieke gevallen kunnen we ook nog Symantec SEP of SES als antimalware inzetten. Op servers in Azure of beheerd via Azure Arc zetten we ook het bredere Defender for Cloud in om nog meer beveiliging en controle te kunnen bieden.

Endpoint Detection & Response

Beveilig je endpoints tegen de dreigingen van vandaag

Antivirus alleen volstaat vandaag niet meer om je endpoints afdoende te beschermen tegen zero-day bedreigingen. Met Endpoint Detection & Response zet je een stap verder richting slim beveiligde endpoints. Onze experts geven je hierover graag advies.