Daarnaast geeft EDR de “response” mogelijkheid. Een incident response professional kan dan direct actie ondernemen of kan deze actie geautomatiseerd laten plaatsvinden. Het voordeel van een EDR is dat het meer context heeft van wat er op dat moment in een machine zich afspeelt dan een SIEM. Het is niet afhankelijk van alleen maar de loggingfunctie binnen Windows maar kan ook naar het geheugen kijken, verdachte folderpaden detecteren etc. Ook blijven de relaties binnen events behouden (Curry, 2019). Een nadeel is echter dat het niet in de breedte kan kijken zoals een SIEM. Het is daarom zeer aan te bevelen dat een EDR oplossing direct zijn alerts afgeeft aan een SIEM-oplossing.
Detectie van ransomware – stap 4: Endpoint Detection and Response
Dit artikel is het vierde artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.
Voor endpoints (een endpoint kan elk apparaat zijn op een netwerk, vaak een workstation van een gebruiker of een server) bestaan verschillende type producten:
- Endpoint protection platforms (EPP)
- Endpoint detection and response (EDR)
Endpoint protection platformen bieden de klassieke antivirus functionaliteit die we allemaal kennen. Ze kunnen op basis van signatures maar ook op basis van gedrag, malware detecteren en stoppen. Ze leveren met name bescherming tegen veelvoorkomende malware die op grote schaal verspreid wordt en proberen op basis van gedrag (heuristics) ook onbekende of geavanceerdere malware te detecteren. Ze hebben een louter preventieve rol en het is aan te bevelen een EPP product te hebben op uw endpoint. Echter de geavanceerde aanvaller, die moeite stopt om bij een bedrijf binnen te dringen, zal zijn aanval zo opzetten dat zijn technieken en tools niet door de standaard antivirus-oplossingen wordt tegen gehouden. Om dit soort aanvallers te kunnen detecteren bestaan “Endpoint detection and response” (EDR) producten. De “trukendoos” die een aanvaller gebruikt in Windows, ook al gebruiken zij legitieme Windows tools, zou een goede EDR kunnen detecteren.
Waarin EDR uitblinkt is de mogelijkheid om endpoints actief te bevragen op het voorkomen van bepaalde indicators of compromise (IOC’s). Als bij een incident op een workstation bepaalde IOC’s naar boven zijn gekomen kunt u in één keer achterhalen of de betreffende IOC’s in het verleden of het heden ook op andere endpoint aanwezig zijn geweest.
Daarnaast kunt u uw endpoints bevragen op bijvoorbeeld file hashes of connecties met bepaalde malafide ip-adressen die u net doorgekregen heeft van Z-CERT. Dit alles (bijna) “real-time”. Dit wordt ook “threat hunting” genoemd. Naast zoeken op IOC’s kan een threat hunter zoeken op bepaalde sporen die hij relevant vindt voor een bepaald type aanval. Echter dit soort “threat hunting” skills zijn meer skills voor senior security specialisten die weten welke “vragen” zij moeten stellen aan endpoints. EDR oplossingen kunnen de meer junior security specialisten helpen door een goede interface en bepaalde playbook functionaliteiten en overzichtsplaatjes met de “full attack story” met een tijdlijn waarop je kan zien wanneer wat gebeurt (Cybereason, 2018).
Een ander aspect waar een EDR in uitblinkt is de mogelijkheid om actief in te grijpen op een device door bijvoorbeeld processen af te sluiten, het device uit te zetten of bepaalde connecties te blokkeren. Het “response” element geeft wel een organisatorische uitdaging. Vaak wordt de response uitgevoerd door de IT-afdeling en zorgt het incident response team dat de IT-afdeling de informatie krijgt die relevant is. Nu krijgt het incident response team ineens de middelen tot zijn beschikking om direct te reageren op een dreiging. Wat uiteraard positief is. Echter hiervoor moeten binnen de organisatie wel afspraken over gemaakt worden. Als een incident response team computers gaat uitzetten op afstand moeten hier uiteraard goede afspraken over gemaakt worden. Zeker in een medische context, waar belangrijke processen kunnen lopen kan het afsluiten van een systeem of het in quarantaine plaatsen van een systeem vergaande consequenties hebben. De response mogelijkheden moeten in beeld worden gebracht en op basis daarvan moeten afspraken gemaakt worden over wat een incidente response team wel of niet doet en onder welke voorwaarden. Er zijn zeer veel verschillende EDR oplossingen beschikbaar. Voor het selecteren van een oplossing adviseren wij het SANS whitepaper “Why Traditional EDR Is Not Working—and What to Do About It” aan (SANS, 2019).
Daarbij willen we nog aanvullen dat het ook goed is om te kijken naar de huidige hardware en toolset die een organisatie al gebruikt. Als u bijvoorbeeld veel Cisco producten gebruikt, bijvoorbeeld een firewall of Cisco umbrella, dan zou een EDR oplossing als Cisco AMP voordelen kunnen hebben omdat het vergaande integratie tussen securityoplossingen met zich meebrengt.
Als u bijvoorbeeld Office365 en Azure gebruikt, kan het een overweging zijn om te kijken naar Microsoft defender ATP. Deze oplossing gebruikt ook een EDR maar zorgt voor brede integratie tussen een on prem-omgeving en de cloud. Dit heeft voordelen om aanvallen van on prem tot diep in de cloud (en andersom) te kunnen volgen en daarop te acteren. Daarnaast zijn er nog vele andere partijen die een zeer geïntegreerde security-oplossing aanbieden wat het leven van een security analyst een stuk makkelijker maakt. Wij adviseren geen enkel product specifiek aan. Echter deze integratie-aspecten zijn wel overwegingen die u kunt meenemen in het aanschaffen van software. Integratie maakt het leven immers
gemakkelijker.