EDR staat voor Endpoint Detection and Response. Soms hoor je ook wel Endpoint Threat Detection and Response (ETDR). EDR is een geïntegreerde oplossing voor endpoint beveiliging die real-time toezicht en het verzamelen van endpoint gegevens combineert met op rule-based geautomatiseerde respons en analysemogelijkheden.
Het detecteert verdacht gedrag en bedreigingen op endpoints in een omgeving en waarschuwt beheerders hierover. Door de hele levenscyclus van een bedreiging te onderzoeken, krijg je inzicht in wat er gebeurd is, hoe het binnenkwam, waar het heen ging, wat het doet en hoe het te stoppen. Door de bedreiging op het endpoint in te dammen, helpen EDR oplossingen de bedreiging te beëindigen en te voorkomen dat ze zich verspreidt.
EDR tegen geavanceerde cyberaanvallen
Cyberaanvallen worden steeds geavanceerder. Het duurt veel langer voordat een inbraak wordt gedetecteerd. In die uitdagende context wilt u vooral dat uw business blijft draaien. U moet dus voorkomen dat malware of cybercriminelen op uw toestellen binnendringen.
Klassieke proxies of firewalls bijvoorbeeld vormen een eerste beveiligingslinie. Maar als u uw beveiliging tot deze oplossingen beperkt, geeft dat u een vals gevoel van veiligheid. Deze software houdt immers wel heel wat aanvallen tegen, maar de bescherming is nooit 100%. Deze oplossing probeert inbraken te voorkomen, maar mist functionaliteit om te detecteren.
U moet ervan uitgaan dat er ooit in uw IT-systemen wordt ingebroken. En wat doet u dan? U heeft een tweede beveiligingslinie nodig om te detecteren wanneer een aanval door de eerste breekt. Dat is Endpoint Detection & Response (EDR).
Voor EDR installeert u op elk apparaat (computer, telefoon, tablet) een agent, die inbraken op het toestel detecteert. Dat gebeurt op een slimme manier. De agent kijkt naar het gedrag van de gebruiker en van de programma’s op het toestel. Gebeurt er iets abnormaals, dan slaat de agent alarm.
Zodra malware of een cybercrimineel door de eerste beveiligingslinie gebroken is, begint het werk van EDR. Omdat die continu alle acties op het toestel controleert, zijn er verschillende momenten tijdens de inbraak dat EDR alarm kan slaan. Op het moment dat de malware bijvoorbeeld voor het eerst uitgevoerd wordt, op het moment dat de malware zich wil opslaan, op het moment dat die meer rechten aanvraagt enzovoort.
EDR maakt niet alleen gebruik van lerende processen (machine learning) om verdacht gedrag te herkennen. De technologie kan ook terugvallen op cyber threat intelligence: allerlei informatie van buitenaf over aanvallen in andere organisaties. Zo kan een agent op uw toestel alarm slaan als die gedrag detecteert dat elders reeds als gevaarlijk herkend is.
Belangrijkste functies van een EDR oplossing
Wat je nodig hebt in een EDR oplossing hangt af van de behoeften van je organisatie. Maar het moet altijd waarde toevoegen aan je security team zonder te veel middelen te kosten. Belangrijke functies van endpoint detectie en reactie zijn:
- Threat intelligence en inzicht
- Detectienauwkeurigheid en snelheid om aanvallers te ontmaskeren
- Snelle en doortastende herstelmaatregelen
- Realtime en historische zichtbaarheid
- AI/ML-powered detectie en correlatie van kwaadaardig gedraG
Wat zijn de voordelen van een EDR oplossing?
Zichtbaarheid is een van de belangrijkste kernwoorden bij EDR oplossingen. Deze tools bieden zowel diep als breed zicht op bedreigingen, en ze maken gebruik van hulpmiddelen voor machine-learning om aanvallen te ontdekken.
Door het uitgebreide niveau van gegevens dat een EDR oplossing verzamelt, kunnen de reactie- en herstelactiviteiten na een inbreuk vereenvoudigd worden. In het verleden kostte het de incident responder veel tijd om gegevens van verschillende endpoints te verzamelen. Maar met EDR worden de gegevens automatisch verzameld en opgeslagen. Dit geeft de responder een completer beeld van een beveiligingsincident dan anders beschikbaar zou zijn.
EDR werkt niet op basis van een lijst van bekende virussen. Ze zoeken actief naar verdacht gedrag in je netwerk. Het gereedschap reageert niet op het normale gedrag van een gebruiker, maar onderneemt wel actie wanneer verdacht gedrag wordt opgemerkt. Wanneer een aanval ontdekt en voorkomen wordt deelt een EDR de details van deze aanval met andere endpoints in je netwerk. Deze endpoints worden dan immuun voor deze aanval.