Waarom Endpoint Detection and Response (EDR)?
Sophos biedt zowel voor Intercept X Advanced, als voor Intercept X Advanced for Server een duurdere variant aan met de toevoeging “EDR”. Aangezien ons bij aankoopadvies zeer vaak wordt gevraagd wat dit “EDR” precies betekent en of de meerprijs überhaupt de moeite waard is, wil ik in dit artikel iets gedetailleerder ingaan op de functionaliteit van EDR en de voordelen ervan.
De EDR-functionaliteit, naast Intercept X Advanced, is al langer beschikbaar voor werkstations. Sinds 9 mei is het product ook beschikbaar voor servers.
Waarmee EDR kan helpen
Iets eenvoudiger uitgelegd, kunt u met Intercept X Advanced met EDR twee essentiële zaken nader onderzoeken: Wat is er precies gebeurd na een aanval en bestaat het gevaar dat er in de nabije toekomst nog iets zou kunnen gebeuren?
1. Wat is er gebeurd?
Om erachter te komen wat er na een aanval is gebeurd, hoeft u op het eerste gezicht niet per se de meerprijs voor EDR te betalen. Sophos biedt u hiervoor al langer de functie Root Cause Analysis (RCA), die deel uitmaakt van de functionaliteit van Intercept X. De mogelijkheden voor het analyseren van een aanval worden echter beslissend uitgebreid door een upgrade naar Intercept X Advanced met EDR.
Met EDR kunt u erachter komen,
- wat er werkelijk gebeurd is na een aanval
- of een bedreiging zich heeft verspreid
- welke inzichten SophosLabs heeft verzameld van alle Sophos-klanten over een specifiek programma
- of er nog slapende malware in uw bedrijf is
- of u uw chef gerust kunt stellen dat er geen gegevens zijn gestolen
Met EDR krijgt u toegang tot methoden van kunstmatige intelligentie om een proces of bestanden nog nauwkeuriger te laten analyseren met machine learning. Bovendien kunt u tijdens een analyse de getroffen computer tijdelijk isoleren om uzelf voldoende tijd te verschaffen.
2. Zal er nog iets gebeuren?
Een veelvoorkomende tactiek van aanvallers is om ergens op uw computer een klein programma te plaatsen dat aanvankelijk niets kwaads doet en daarom ook niet verdacht lijkt. Door dit onschuldige gedrag kunnen bepaalde beveiligingsmechanismen in eerste instantie worden omzeild. Op een gegeven moment zal dit programma echter ontwaken en schade aanrichten.
Dankzij de uitgebreide zoekmogelijkheden van Intercept X Advanced met EDR kan er bedrijfsbreed gezocht worden naar dergelijke “slapende bedreigingen”. Vaak hebben dergelijke programma’s zich al verspreid over talloze systemen en verbergen ze zich achter valse bestandsnamen. Sophos biedt met EDR de handige functie om alle apparaten in het bedrijf te doorzoeken op hashwaarden. Hierdoor komt u zeer snel te weten op welke apparaten in het bedrijf een programma al is gesignaleerd en met wie het heeft gecommuniceerd. Op deze manier kunt u bijvoorbeeld Command and Control-servers herkennen of servers opsporen waarvan mogelijk gegevens zijn weggesluisd.
Wat is de meerwaarde van EDR?
Als er een aanval plaatsvindt in een bedrijf, vertrouwt men in de eerste plaats op de beschermingsmechanismen van Sophos Intercept X Advanced. Daarna moet men echter de verzamelde gegevens van de aanval nader bekijken en uitzoeken of er gegevens zijn gestolen of dat de bedreiging zich bijvoorbeeld nog heeft verspreid naar andere systemen. Hiervoor zou normaal gesproken een horde forensische experts nodig zijn die de hele dag niets anders doen dan logs doorzoeken om daaruit conclusies te trekken. Sophos daarentegen vertrouwt voor zijn EDR-oplossing op methoden van kunstmatige intelligentie. Processen in het netwerk worden dus geanalyseerd met machine learning en met de hulp van SophosLabs en niet meer door mensen. Hierdoor kan deze taak nu theoretisch worden uitgevoerd door een persoon die geen IT-forensisch expert hoeft te zijn. 😎
Heb ik nu EDR nodig of niet?
Het antwoord op de vraag of u de meerprijs voor EDR moet betalen of niet, hangt af van twee factoren:
Factor 1: Interesse
Behoort u tot de mensen voor wie het voldoende is als Intercept X Advanced na een aanval in het logboek schrijft dat het gevaar is afgewend en alle gegevens zijn opgeschoond? Dan hebt u EDR waarschijnlijk niet nodig.
Wilt u de aanval echter graag wat nauwkeuriger onder de loep nemen en het verloop gedetailleerder analyseren? Wilt u weten of er nog meer kwaadaardige programma’s op computers of servers in het bedrijf aanwezig zijn die zich tot nu toe gewoon nog niet hebben gemanifesteerd? Dan zou ik zeggen dat u de meerprijs voor EDR zou moeten overwegen.
Factor 2: Compliance-vereisten
EDR-hulpmiddelen zijn uiterlijk dan nodig wanneer een bedrijf na een aanval moet bewijzen dat er geen gegevens zijn gestolen. We spreken hier van compliance-vereisten die moeten worden gegarandeerd op bepaalde gebieden, zoals PCI (Payment Card Industry) of de gezondheidszorg. Ook op dit gebied valt de AVG (Algemene Verordening Gegevensbescherming), die stelt dat men zijn vertrouwelijke gegevens moet beschermen volgens de stand van de techniek.
Zo’n wet maakt een bedrijf natuurlijk kwetsbaar. In plaats van, zoals bij een ransomware-aanval, losgeld te vragen voor het ontsleutelen van bedrijfsgegevens, kunnen bedrijven nu met nog grotere bedragen worden afgeperst vanwege een overtreding van de AVG of compliance-vereisten.
De EDR-functies van Sophos helpen u om compliance-vereisten na te leven en in geval van nood aan te tonen of gegevens zijn verloren gegaan of niet. Als u een dergelijk hulpmiddel voor uw bedrijf zinvol acht, dan zou de investering in Sophos Intercept X Advanced met EDR hier zeker niet misplaatst zijn.
Sophos Intercept X Advanced met EDR testen
Als u nog geen Sophos Central account heeft, kunt u er een aanmaken op de Sophos website en alle functies, inclusief “Sophos Intercept X Advanced met EDR” voor computers en servers, 30 dagen lang gratis testen.
Als u al een Sophos Central account heeft en de 30 dagen proefperiode is afgelopen, kunt u een licentie voor “Sophos Intercept X Advanced met EDR” bestellen in onze winkel:
