No more ransom – 11 vragen over endpoint protection

Regelmatig kom ik bij klanten die op zoek zijn naar een nieuwe “nextgen endpoint beveiliging”. Een verstandige beslissing, want endpoints zijn vaak het zwakke punt in de beveiligingslinie voor bedrijven. En wilt u zich beveiligen tegen ransomware, dan is een goede endpoint beveiliging essentieel.

Traditionele Anti Virussoftware werkt alleen als het gaat om bekende virussen. Onbekende virussen worden doorgaans niet herkend en er wordt ook geen rekening mee dat aanvallen ook bestandsloos kunnen zijn, het geheugen kunnen infecteren en direct naar het RAM kunnen schrijven in plaats van naar bestandssystemen.

Vroeg of laat slagen hackers erin om voldoende maskeringstechnieken te gebruiken om de beveiligingssoftware te passeren, waardoor de server of laptop kwetsbaar wordt voor een aanval. Het is namelijk heel gemakkelijk om deze schadelijke code aan te passen met gedownloade of speciaal geschreven exploits om beveiligingsmaatregelen te passeren. Naast maskeringstechnieken gebruiken hackers verschillende vectoren of paden om schadelijke code te bezorgen en hun aanval uit te voeren. Een goede endpoint beveiliging beschermt u tegen al deze dreigingen.

Maar hoe kies je nu uit het enorme aanbod van de producten de juiste endpoint beveiliging? Hieronder hebben we 11 vragen opgesteld die u kunt stellen aan uw leverancier voor endpoint beveiliging. Met deze vragen kunt u de juiste keuze maken en voorkomt u teleurstellingen achteraf.

Welke 11 vragen heb ik aan mijn leverancier voor endpoint beveiliging?

De volgende vragen kunnen u helpen bij het selecteren van een goede endpoint beveiliging en voorkomen dat u achteraf teleurgesteld bent over uw keuze.

  1. Voor welke endpoints (pc, laptops, servers, mobiele apparaten) zoekt u endpoint beveiliging. En welke besturingssystemen en versies van belangrijke besturingssystemen worden ondersteund? Zeker als u meerdere besturingssystemen gebruikt, een BYOD policy hebt of uw medewerkers een thuisoplossing wilt bieden, dan is het belangrijk dat u een oplossing kiest die meerdere besturingssystemen ondersteunt.
  2. Wat zijn de prestatie-eisen voor elk van deze besturingssystemen (CPU, RAM geheugen, schijfcapaciteit)? Dit is belangrijk omdat uw gebruikers er geen last (vertraging) van willen ondervinden. En u wilt niet geconfronteerd worden met aanvullende investeringen in hard- en software.
  3. Met welke technische methoden detecteert het de oplossing aanvallen van elke vector – inclusief malware, exploits, en live/interne dreigingen? Worden alleen bekende of ook onbekende virussen gestopt? Veel endpoint beveiliging richt zich uitsluitend op malware, dat is niet genoeg. Ook exploits worden veel gebruikt door hackers en u wilt zich ook beschermen tegen interne dreigingen.
  4. Hoe regelmatig worden updates beschikbaar gesteld? Worden updates naar het endpoint ‘gepushed’of ‘gepulled’? Moet de gebruiker zelf iets doen bij updates? Ervaring leert dat updates ondanks waarschuwingen daarover vaak niet geaccepteerd worden.
  5. Kan het product dreigingen voorkomen wanneer het endpoint offline is? En kan de gebruiker er voor kiezen om de endpoint zelf uit te schakelen? Voor absolute veiligheid is dat laatste ongewenst.
  6. Hoe schaalbaar is het product? Hoeveel klanten kunnen worden ondersteund door elke beheerdersconsole?
  7. Wat wordt er gedaan om false-positives te voorkomen en onschadelijk systeemgedrag te leren? Wat is het aantal huidige false-positives? Het minimaliseren van false positives zorgt er voor dat de eindgebruiker geen overlast ondervindt en de beheerder weinig meldingen krijgt.
  8. Is het product gecertificeerd als AV vervanging? Veel eindgebruikers moeten vanwege regelgeving een gecertificeerde AV vervanging gebruiken.
  9. Integreert de endpoint beveiliging met SIEM-systemen voor het beheer van incidenten? En werkt het ook samen met desktopvirutalisatie en tradtionele AV-beveiliging? Dit laatste is belangrijk omdat veel klanten er voor kiezen om het bestaande AV contract door te laten lopen tot het einde van de termijn.
  10. Is er een automatische herstelmogelijkheid, zodat u zonder tijdsdruk incidenten kunt afhandelen? Worden bij een automatische rollback alleen bestanden teruggezet of ook alle door het virus veroorzaakte schade hersteld? De kosten van handmatig herstel zijn vaak enorm hoog.
  11. Beschikt de endpoint beveiliging over een forensic tool waarmee u simpel en snel kunt zien waar het virus is binnengekomen, welke schade is aangericht, welke bestanden zijn “aangeraakt” en waarmee u kunt zien dat de roll-back effectief is geweest? Dit in verband met het nemen van nieuwe maatregelen en verantwoording aan derden (dat geen bestanden gegijzeld zijn geweest) dan wel aangifte bij de politie.

Frank Mester
Adviseur Informatieveiligheid bij Recourse BV
E: frank@recourse.nl
M: +31651112660

Recourse is official partner van SentinelOne.com endpoint beveiliging. Met SentinelOne bent u 100% beschermd tegen alle vormen van gijzelvirussen. Bovendien leveren wij SentinelOne inclusief verzekering tegen de kosten van herstel van ransomware. Een dubbele garantie tegen gijzelvirussen. Recourse levert SentinelOne in Nederland, België en Zwitserland. Zie voor meer informatie onze website.