CyberTIM EDR Service
05 april 2022
Regelmatig vragen wij onze medewerkers een blog te schrijven. Dit keer een blog van onze salestijger en account manager Frank Clevers. Frank gaat in op evolutie van endpoint security en waarom het steeds belangrijker wordt EDR in te zetten.
De vraag vanuit onze klanten naar Endpoint Detection & Response (EDR) oplossingen stijgt. Als we in gesprek gaan en verder doorvragen dan blijkt vaak dat men de resources die nodig zijn voor het stuk Detection & Response onderschat. Hierin kan Access42 ondersteunen vanuit onze CyberTIM EDR service.
Evolutie Endpoint
Het eerste IBM PC-compatible “in het wild” computervirus, en één van de eerste echt wijdverspreide infecties was het virus Brain. Vlak hierna kwamen de eerste Antivirus programma’s op de markt (G Data Software, McAfee en NOD (ESET)). Deze oplossingen zijn gebaseerd op bescherming van signatures. Voor ieder nieuw virus of afwijking wordt een signature geschreven.
In de begin tijd van de computervirussen waren bedrijven dus op zoek naar antivirus programma’s. Net zoals bij computervirussen ontwikkelde de IT ook verder door, waardoor IT steeds meer ondersteunend werd aan de bedrijfsvoering. Medewerkers gingen steeds meer gebruik maken van desktops/notebooks en er kwamen steeds meer applicaties/services beschikbaar. Enkel een antivirus programma was niet meer afdoende. Naast het controleren van bestanden wilde men ook meer grip op de Endpoints krijgen. Daarom werden de volgende onderdelen toegevoegd:
- Application control
- URL filtering
- device control
- etc.
Endpoint Protection werd de nieuwe term
Met de toevoeging van deze onderdelen was de term Endpoint Protection geïntroduceerd. Er werd nog steeds gebruik gemaakt van signatures maar men had wel additionele onderdelen om meer controle te krijgen op de Endpoints (werkplekken en servers).
Na de introductie van de term Endpoint Protection volgde Next-Gen Antivirus of Next-Gen Endpoint Protection. Dit betrof een nieuwe manier van bestrijding van computervirussen. Door de veelvoud aan virussen was het steeds opnieuw uitbrengen van signatures niet meer afdoende. Er werd gezocht naar een nieuwe manier van detectie, namelijk kijken naar gedragingen en processen die zich op een Endpoint afspelen. Er wordt dus gekeken naar Indicators of Attack (aanvalstechnieken) en/of Indicators of Compromise (overname Endpoint). Deze manier van bescherming zorgt ervoor dat computervirussen al worden opgemerkt voordat de signature bescherming eraan te pas komt.
Endpoint Detection & Response
Tenslotte zijn we aanbeland bij de hedendaagse term van Endpoint Detection & Response, waarbij Endpoint & Detection bedrijven helpt tegen bescherming van Indicators of Attack (IoA) en/of Indicators of Compromise (IoC). Tegelijkertijd geeft het ook een overzicht van wat er gedurende een detectie plaats heeft gevonden, de zogenaamde root cause. Bij het laatste stukje van EDR, Response, houden organisaties niet altijd rekening met de mogelijkheden die de oplossing biedt alsook met de interne beschikbaarheid voor Threat hunting. Bij een detectie biedt de oplossing tools om direct onderzoek te doen of er binnen het netwerk meerdere endpoints getroffen zijn.
CyberTIM EDR
Voor het stuk Response kan er gekozen worden voor de volledige ontzorging vanuit de leverancier. Access42 werkt hierin samen met Crowdstrike Falcon Complete. Het Crowdstrike Complete Team beheert 24/7/365 de Endpoints en grijpt in waar nodig. Dit betreft een team van personen dat gebruik maakt van de Falcon sensor en de daarbij onderliggende technieken en intelligentie.
Een andere mogelijkheid is de CyberTIM EDR service van Access42. Hiervoor maken we gebruik van de Falcon Enterprise bundel en zorgen we tijdens kantooruren voor de analyse van en het onderzoek naar de Threats. Falcon Complete kan een kostenimpact zijn gezien de upgrade van eigen beheer naar volledige ontzorging; met CyberTIM EDR zorgen we ervoor dat de kostenimpact verminderd wordt maar dat de eigen IT-beheerders niet worden belast met ad-hoc meldingen van incidenten vanuit het Crowdstrike platform.
Wil je meer weten over CyberTIM EDR? Stuur gerust een e-mail aan Frank (frank@access42.nl)