Kwetsbaarheid van endpoints: Vier aanvalstechnieken versus vier beveiligingsmethodes

Via malafide marktplaatsen komen tools en technieken van tophackers sneller dan ooit in handen van de massa. Malware, ransomware, gestolen gegevens, remote access Trojans en meer worden daar dagelijks gewoon verhandeld.

Cybercrime-tactieken gericht op endpoints
Om die trend te onderschrijven kijken we naar de vier meest gebruikte aanvalstechnieken. Voorheen als zeer geavanceerd beschouwd en nu door criminelen met de regelmaat van de klok ingezet om antivirusoplossingen te omzeilen:

Polymorfe malware – Veel antivirusbeveiliging herkent malwarebestanden aan een hash, naam of signatuur. Met polymorfe malware kunnen aanvallers eenvoudig bij elke poging een nieuw kwaadaardig bestand genereren door simpelweg een hash toe te voegen. Zo wordt het bestand niet herkend.

Supply chain aanvallen - Criminelen zoeken altijd naar de gemakkelijkste ingangen. Met backdoor toegang via bestaande eigen of open-source software die geïnstalleerd staat op een endpoint kunnen ze zo miljoenen computers infecteren.

Verpakte code – “Wrappers” worden gebruikt om malwaregegevens te verbergen. De gecomprimeerde bestanden kunnen dan niet worden gelezen door beveiligingsonderzoekers of endpointbescherming.

File-less malware – Deze kwaadaardige code heeft geen bestand nodig buiten wat er al in het bestandsysteem van een endpoint staat. Dit maakt het voor traditionele antivirus en endpointbeveiligingsproducten moeilijk om deze malware te detecteren en infecties te voorkomen.

Ontwikkeling beveiligingsmethodes
Beveiligingsoplossingen zijn gelukkig ook doorontwikkeld. Elke methode biedt een oplossing voor bekende tactieken. Het slechte nieuws is echter dat dit onvoldoende bescherming biedt in het huidige ‘dreigingslandschap’. Om te slagen, moeten (antimalware)oplossingen niet alleen beschermen tegen de bekende dreigingen maar ook anticiperen op onbekende, toekomstige dreigingen.

Statische AI-engine - Een statische AI-engine kan bepalen of nieuwe bestanden een bedreiging vormen nog voordat ze worden uitgevoerd, dit is effectief bij bekende bedreigingen. Polymorfe malware is echter gemakkelijk aan te passen en kan zo gemakkelijk bestaande detectieregels omzeilen. Daarnaast is deze methode niet geschikt voor dreigingen zoals file-less malware.

Detectie aan serverzijde - Deze methode maakt gebruik van client-side monitoring en alle beslissingen met betrekking tot detectie en mitigatie worden op de server of in de cloud genomen. Het nadeel hiervan is de vereiste connectiviteit, omdat de agent altijd moet wachten tot de server reageert.

Endpointdetectie en -respons (EDR) - EDR is essentieel voor bedrijfsnetwerken, maar het beheer kan ingewikkeld zijn. EDR-oplossingen vereisen steeds meer menselijk ingrijpen naarmate de tijd verstrijkt. Daarnaast beschermen ze niet tegen de meest geavanceerde aanvallen, zoals exploits, script-based, direct-to-memory, PowerShell en file-less aanvallen. Verder proberen EDR-oplossingen malware in quarantaine te plaatsen, wat vaak onmogelijk is, aangezien er al malware is die een Sandbox kan omzeilen. Door het volume en de verscheidenheid aan dreigingen kan EDR snel achter de feiten aanlopen en is er vaak een tekort aan goed opgeleide mensen die ermee kunnen werken. Bedrijven hebben oplossingen nodig die beheersbaar zijn en in bestaande ICT-omgevingen kunnen worden geïntegreerd - dus geen oplossingen die schade gaan aanrichten.

Next-gen antivirus (NGAV)- Deze methode gebruikt machine learning en algoritmes bij het analyseren en detecteren van signature gebaseerde bestanden. Als het algoritme aangeeft dat een bestand kwaadaardig is, dan neemt het programma automatisch de nodige stappen. Maar file-less malware en direct-to-memory aanvallen zijn niet bestandsgebaseerd en kunnen daarom niet geanalyseerd worden. En net als bij EDR, vereist next-gen antivirus veel mankracht. Het algoritme moet namelijk continu worden geüpdatet.

Van puntoplossing naar security-platform
Bescherming tegen zowel bekende als onbekende dreigingen vraagt om proactieve oplossingen voor preventie, detectie en herstel tijdens de hele levenscyclus van verschillende soorten aanvallen op alle endpoints. De beste bescherming is niet een van bovenstaande methodes, maar een combinatie van al deze methodes. En het liefst met toevoeging van zelflerende AI.

Een single agent technologie zet bijvoorbeeld statische AI in als bescherming in combinatie met zelflerende behavioral AI bij processen om malafide activiteiten te detecteren. Deze Behavioral AI is niet afhankelijk van de vector en kan allerlei soorten activiteiten, inclusief zero-days, bij endpoints detecteren. Een geautomatiseerde EDR-oplossing levert gedetailleerde forensische gegevens, zet dreigingen in quarantaine en immuniseert endpoints tegen nieuwe dreigingen. Daarnaast is het altijd mogelijk een endpoint te herstellen naar de situatie van voor de aanval. Dit alles bij elkaar creëert een beveiligingsoplossing die bestand is tegen het voortdurende veranderende dreigingslandschap.