Endpoint Detection and Response (EDR)

Traditionele security-oplossingen op basis van virusscanners en firewalls zijn vandaag de dag niet langer afdoende om aanvallers buiten de deur te houden. EDR - endpoint detection and response - is een steeds vaker gebruikt alternatief voor de traditionele virusscanner. In dit artikel leggen wij uit waarom het belangrijk is om EDR te adopteren als moderne bescherming tegen cyberaanvallen.

Wat is EDR?

EDR – de afkorting van ‘Endpoint Detection and Response’ – draait om intelligente tools die zich richten op detecteren en onderzoeken van verdachte activiteiten op de werkplekken. Het grote verschil met traditionele virusscanners is dat daarbij geen gebruik wordt gemaakt van databases met reeds bekende virusdefinities. EDR kijkt daarentegen naar het gedrag van software tijdens het gebruik en grijpt direct in bij kwaadaardige of afwijkende patronen. Hiervoor worden zogenaamde machine learning-algoritmen ingezet, die in staat zijn ook nog onbekende soorten malware te herkennen. Een goed EDR kan kwaadaardige bestanden blokkeren voordat ze schade aan kunnen brengen.

Werkplekbeveiliging is essentieel

Werkplekken zijn en blijven het belangrijkste doelwit van cyberaanvallen. Daarom is het essentieel om de beveiliging van deze systemen goed op orde te hebben. Immers wanneer een hacker toegang tot één systeem krijgt, dan vormt dat vaak de opstap tot volledige controle over het netwerk en de bedrijfsdata.

Hoe beschermt EDR de werkplekken?

De essentie van EDR is: inzicht, detectie en actie - zowel vooraf als tijdens een besmetting.

EDR biedt om te beginnen inzicht in de staat van de beveiliging op de werkplekken. Dit helpt bij het voorkomen van incidenten, maar ook in het geval van een onverhoopte besmetting. Hierbij krijgen we snel inzicht in het verloop van de aanval, om van daaruit direct maatregelen te kunnen nemen en de aanval uiteindelijk af te slaan.

Detectie en actie: met geavanceerde Artifical Intelligence-engines worden bedreigingen inzichtelijk en kunnen geautomatiseerd maatregelen worden getroffen op het systeem om cybercriminelen buiten de deur te houden. Zo kan bijvoorbeeld een systeem worden geïsoleerd van het netwerk, zodat de beheerder tijd heeft de bedreiging nader te onderzoeken zonder het risico dat deze zich verder verspreidt.

Wat is het verschil tussen EDR en antivirus?

De traditionele antivirusdatabase is gevuld met gegevens over bestaande, en dus bekende, malware. Daarnaast kunnen sommige antivirusoplossingen analyses uitvoeren op lopende processen en de integriteit van belangrijke systeembestanden controleren. Maar in de praktijk zien we telkens vaker dat antivirusoplossingen er niet in slagen om alle malware te detecteren, onder andere door de zogenaamde ‘zero day exploits’ waarbij wordt geprobeerd misbruik te maken van een zwakke plek in software die nog onbekend is bij de software-ontwikkelaar. Het is realistisch om te verwachten dat alle organisaties vroeg of laat te maken zullen krijgen met een dreiging die niet gedetecteerd wordt door een antivirusoplossing.

EDR als aanvulling op antivirusoplossingen

Door antivirusoplossingen te integreren in een effectievere EDR-oplossing kunnen organisaties profiteren van eenvoudige blokkering van bekende malware en dit combineren met de geavanceerde mogelijkheden van EDR’s. De mogelijkheid om autonoom en geautomatiseerd dreigingen te bestrijden zonder dat daar menselijke tussenkomst voor nodig is, is misschien wel het meest waardevol.

KNS Automatisering, uw EDR-partner

KNS Automatisering heeft voor haar EDR oplossingen gekozen voor Sophos en SentinelOne. Daarnaast ondersteunen we Microsoft Defender Advanced Threat Protection, maar dat moet dan wel onderdeel uitmaken van uw Microsoft 365-licenties.

Wilt u meer weten over de manier waarop EDR geavanceerde bescherming kan bieden voor uw organisatie? Neem dan contact met ons op of vraag een gratis demo aan.