Innovatie & Strategie

Dit is een bijdrage van Sophos
Security
Threat Report

Security: meer dan slechts endpointbeveiliging

Nederlanders zijn minder vaak slachtoffer van geweld, inbraak, diefstal, vernieling en andere traditionele vormen van criminaliteit

2 maart 2020
Door: Sophos, partner

Nederlanders zijn minder vaak slachtoffer van geweld, inbraak, diefstal, vernieling en andere traditionele vormen van criminaliteit

Ze hebben echter vaker last van digitale criminaliteit. Zo worden Nederlanders bijvoorbeeld meer gehackt of opgelicht via internet. Dat meldt het Centraal Bureau voor de Statistiek (CBS) deze week in de tweejaarlijkse Veiligheidsmonitor. 

De meeste moderne endpointsecuritysoftware is ontworpen om (on)bekende bedreigingen te blokkeren met behulp van verschillende technologieën. Over het algemeen is het blokkeren van bekende bedreigingen de taak van traditionele beveiligingssoftware. Malware (of malwarefamilies) die bekend is, kan sneller worden gecategoriseerd met een zeer hoge mate van vertrouwen en een laag aantal false positives.

Onbekende bedreigingen worden tegenwoordig meestal ontdekt door machine learning. ‘ML’ is getraind om bedreigingen te herkennen op basis van miljoenen voorbeelden van goede en slechte bestanden en zal beslissingen nemen op basis van miljoenen functies. Denk aan bestandstypen, grootte en compressie. Machine Learning is ook krachtig tegen bedreigingen op grote schaal. Binnen de securitysector zien we regelmatig malwarefamilies die dagelijks honderden unieke varianten verzenden; Machine Learning blijkt dan zeer effectief bij detectie van grote volumes.

Ten slotte worden gedragskenmerken ook onderzocht en beoordeeld. Wanneer traditionele methoden noch ML voldoende redenen vinden om een ​​dreiging te bestempelen, kan de behavorial engine doorslag geven. In combinatie met detectie en zichtbaarheid op netwerkniveau zijn deze systemen effectief tegen de hedendaagse bedreigingen.

Bypass van detectiesystemen

Manieren waarop cybercriminelen proberen endpointsecurity te omzeilen, zijn obfuscatie en misleiding. Obfuscatie is bedoeld om de ware aard van bestanden voor detectietechnieken te verbergen. Dit kan worden gedaan door programma’s te versleutelen. Sommige malware gebruikt meerdere lagen om analyses te frustreren.

Misdirection wordt gebruikt om het systeem voor de gek te houden door het te laten denken dat het een ‘goed’ programma uitvoert. Dat doet het in eerste instantie ook in plaats van iets openlijk kwaadaardigs. Dit wordt vaak gedaan door gebruik te maken van legitieme, geïnstalleerde applicaties (d.w.z. PowerShell) om extra processen te starten en schadelijke payloads van het internet op te halen. Helaas is het in veel van de aanvallen eenvoudiger dan dat. De criminelen zullen een phishing-aanval gebruiken om inloggegevens te verkrijgen en vervolgens een eenvoudig beveiligingssysteem uit te schakelen.

Meer zichtbaarheid creëren

Er zijn mogelijkheden om kwaadaardige programma's te ontmantelen. De meest gebruikelijke manieren om ​​beveiligingssystemen te omzeilen, is het aanvallen van kwetsbare software of de gebruiker. Maar cybercriminelen zijn slim, en er zijn veel redenen waarom zij onopgemerkt kunnen blijven binnen een netwerk. Maar voor het grootste deel is dit te wijten aan gebrek aan zichtbaarheid. Dit kan zich op verschillende manieren manifesteren. Een manier is om systemen opzettelijk onbeschermd te laten. We zien dit maar al te vaak en zonder dat er detectiesoftware is geïnstalleerd, zullen indringers waarschijnlijk nooit in een netwerk zichtbaar zijn. Een andere manier is het omgekeerde: er is zoveel ruis in een netwerk dat je niet ziet hoe ‘goed’ het eruitziet en er niets te filteren valt. We zien dit in grote, open netwerken waar alles met elkaar op elk protocol kan praten. Ergens in het midden zijn de meer geavanceerde aanvallers die kennis van de omgeving gebruiken om onopgemerkt te blijven. Ze zullen inloggegevens, bestaande applicaties en goedgekeurde systemen gebruiken om een netwerk te infiltreren.

Preventie is key

Dus wat kun je dan doen? Zoals altijd is preventie de sleutel. Denk niet alleen in technologische, maar ook in organisatorische processen. Sommige criminelen infiltreren organisaties met behulp van kwaadaardige documenten (maldocs). De personeelsafdeling moet bijvoorbeeld dagelijks ongevraagde documenten openen. Hoe bescherm je hen?

Verandering van processen

Een manier is om een ​​speciaal fysiek / virtueel systeem te gebruiken om deze documenten te ontvangen en te openen: dit is een proceswijziging. Je kunt ook sandboxing inzetten in je e-mailgateway om te voorkomen dat maildocumenten in de eerste plaats in de inbox terechtkomen - een technologische verandering. In het geval van zakelijke e-mailcompromis (BEC) kan een eenvoudig telefoontje. Een procesmatige wijziging.

Onderdeel van preventie is ook het verminderen van uw aanvalsveld. Dit betekent het reduceren van diensten: onbeschermde of niet-gepatchte systemen en applicaties en zwakke authenticatie, om er maar een paar te noemen. Veel organisaties worden aangevallen door ransomware omdat ze tekortschieten in een (of meer) van de bovengenoemde categorieën. Deze criminele groepen kiezen hun doelen omdat ze kwetsbaar zijn.

Detectie en herstel

Na preventie komt detectie en herstel. Met Endpoint Detection and Response (EDR) vereenvoudigt de taak van het zoeken naar bestaande bedreigingen en geeft advies over het opruimen en corrigeren van dreigingen. Tools zoals EDR maken echter deel uit van de toolbox van een meer volwassen beveiligingsorganisatie. Als je preventie niet hebt aangepakt, is EDR op zichzelf lang niet zo effectief. Er zijn ook EDR-diensten beschikbaar die dit werk voor u uit handen nemen.

Los van endpoints is het beschermen van het netwerk minstens zo belangrijk. Veel endpointsecurityoplossingen worden - naast de op maat gemaakte netwerkbeveiliging - ook opgenomen in next-generation firewalls. Beter nog: wanneer netwerkbeveiliging wordt geïntegreerd met endpointbeveiliging kunnen bedreigingen worden voorkomen, gedetecteerd en verholpen.

 

Reactie toevoegen