EDR killers: waarom endpoint security alleen niet genoeg is
Endpoint Detection & Response is voor veel organisaties de basis van hun security. Oplossingen van partijen zoals CrowdStrike en Microsoft detecteren dagelijks aanvallen en vormen een sterke eerste verdedigingslaag. Maar aanvallers passen zich aan. Ze richten zich steeds vaker niet op de omgeving, maar direct op de beveiliging zelf.
Een groeiende categorie malware, bekend als EDR killers, heeft één doel: jouw security tooling uitschakelen voordat de echte aanval begint. Dat gebeurt op verschillende manieren, vaak in combinatie:
Volgens onderzoek van ESET Research wordt deze aanpak steeds gerichter en effectiever. Zie ook: https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/
Het echte probleem ontstaat daarna. Veel organisaties gaan ervan uit dat hun EDR altijd zicht houdt op wat er gebeurt. In de praktijk betekent het uitschakelen van een EDR vaak:
Je verliest dus niet alleen bescherming, maar ook je zicht. En juist dat maakt het lastig om achteraf te begrijpen wat er is gebeurd.
Met recente incidenten nog vers in het geheugen, zoals bij Odido, Basic-Fit, Booking.com en de Europese Commissie, wordt duidelijk dat security tooling alleen niet voldoende is. De gemene deler is het gebrek aan overzicht tijdens en na de aanval.
Hier ligt precies de rol van een regieplatform zoals PAKAROS. Waar EDR zich richt op het endpoint, kijkt PAKAROS over de volledige omgeving heen en blijft het signalen combineren, ook als één bron wegvalt.
Concreet betekent dit:
Juist dat laatste is essentieel. Als je EDR wordt uitgeschakeld, wil je nog steeds kunnen zien:
De realiteit is simpel. EDR is noodzakelijk, maar niet voldoende. Aanvallers richten zich steeds vaker op het uitschakelen van detectie zelf. Zonder een overkoepelende laag mis je context, samenhang en controle.
De vraag is daarom niet hoe goed je EDR is ingericht. De vraag is wat je nog ziet als die wegvalt.
EDR killers: waarom endpoint security alleen niet genoeg is
Endpoint Detection & Response is voor veel organisaties de basis van hun security. Oplossingen van partijen zoals CrowdStrike en Microsoft detecteren dagelijks aanvallen en vormen een sterke eerste verdedigingslaag. Maar aanvallers passen zich aan. Ze richten zich steeds vaker niet op de omgeving, maar direct op de beveiliging zelf.
Low alerts, toch een high critical warning. Waarom correlatie het verschil maakt In veel security omgevingen draait alles om prioriteit. High alerts krijgen direct aandacht, low alerts verdwijnen vaak naar de achtergrond. Begrijpelijk, want capaciteit is beperkt. Maar precies daar zit een blinde vlek. Aanvallers werken zelden met één duidelijke actie. Ze bewegen in kleine stappen, die op zichzelf weinig […]
Read more
EDR killers: waarom endpoint security alleen niet genoeg is
Endpoint Detection & Response is voor veel organisaties de basis van hun security. Oplossingen van partijen zoals CrowdStrike en Microsoft detecteren dagelijks aanvallen en vormen een sterke eerste verdedigingslaag. Maar aanvallers passen zich aan. Ze richten zich steeds vaker niet op de omgeving, maar direct op de beveiliging zelf.
