Een ‘Next-Generation’ bescherming van je ICT omgeving, klinkt interessant en veilig… en dat is het ook! Zeker in deze tijden dat de wedloop tussen ‘cybercriminaliteit’ en oplossingen daartegen op een hoogtepunt is wil je kunnen vertrouwen op een degelijke beveiliging van je ICT omgeving.

Conventionele antivirus
Zoals eerder beschreven in onze blog Beter beschermd tegen Ransomware werken de meeste conventionele antivirus-software ontwikkelaars met een database. Nadeel van deze methode is dat deze database gevuld moet worden met de definities van nieuwe virussen en dat andere manieren van cybercriminaliteit minder goed afgevangen worden.

Endpoint Detection and Response (EDR)
Dat onze digitale systeembeheerder TOM al heel veel kan, dat heb je kunnen zien in onze blog Slim ventje die TOM en TOM Antivirus. De overgrote meerderheid van onze klanten maken dan ook al gebruik van de diensten van TOM. Maar we stoppen niet met het slimmer maken van onze digitale held! TOM goes ‘next gen’ met het beveiligen van een Endpoint (desktop, laptop of server) door het inzetten van de bescherming van Sentinel One Endpoint Detection and Response. Deze TOM noemen we dan ook TOM EDR!

Het grote verschil tussen een conventionele antivirus en TOM EDR is de manier van detecteren. TOM EDR wordt geïnstalleerd met een oplossing die alle endpoints kan beschermen zonder voorkennis nodig te hebben van alles wat er zou kunnen gebeuren. De software, die zo licht is dat het werkt op alle soorten computers, is getraind met ‘Machine Learning Algoritmes’ om verschillen te kunnen herkennen tussen goede en slechte ‘intenties’ van activiteiten binnen een werkstation. Na herkenning is het dan niet meer moeilijk om een dergelijk bestand in quarantaine te zetten.

Maar TOM EDR gaat verder, niet alle bedreigingen hoeven binnen te komen via een bestand. Het kan ook zijn dat er via Internet een aanval is, dat er via het netwerk een dreiging komt of dat er iets in het geheugen binnen is gedrongen. Op dat moment maakt TOM gebruik van ‘intelligente gedrags-detectie’. TOM EDR kijkt continue mee met alle gedragingen die plaatsvinden op een eindpunt. Normale acties van een gebruiker leiden niet tot actie van TOM, maar bijvoorbeeld een actie die binnen een paar seconden probeert om alle bestanden te hernoemen en een toevoeging doet aan de systeembestanden zal per direct gestopt worden en in quarantaine worden gezet.

Detectie en verhaal-lijn
Vaak is het bij een aanval heel lastig om te achterhalen waar het nu precies is misgegaan en wat er is gebeurd. Uit veiligheid installeren we een werkstation vaak helemaal opnieuw nadat er een aanval is geweest. TOM EDR geeft echter wél dat inzicht. Op detail niveau wordt aan onze techneuten aangegeven waar de aanval is binnengekomen, op welke manier, op welke computer met welk IP-Adres en wat de aanval precies gedaan heeft én of zich nog iets ‘verstopt’ heeft op het werkstation dat later actief kan worden. TOM EDR maakt alle stappen die een aanval gezet heeft inzichtelijk! Deze verhaal-lijn geeft ons de tools om snel te kunnen ingrijpen en direct inzicht te krijgen in de ernst van de situatie.

Response -> Kill, Quarantine, Remediate and Rollback
Als de verhaal-lijn real-time wordt gevuld tijdens een aanval, ben je met TOM EDR verre van weerloos. Als een schadelijk patroon eenmaal is geïdentificeerd wordt er direct een reeks acties in werking gesteld die de aanval kunnen beëindigen voordat deze is begonnen. Kill, Quarantine, Remediate and Rollback… dat zijn de opvolgende acties die genomen worden.

Met Kill zorgt TOM EDR ervoor dat alle processen die door de aanval zijn opgestart direct worden beëindigd. Quarantine zet het geïnfecteerde bestand én eventueel andere aangetaste bestanden direct in een versleutelde map op het werkstation zodat er geen verdere schade meer aangebracht kan worden. In het geval de aanval voor een gedeelte gelukt zou zijn is een hele krachtige optie de Remediate stap waarmee we er voor kunnen zorgen dat alle ‘systeem-manipulaties’ die een aanval heeft aangebracht direct teruggedraaid kunnen worden. Dat voorkomt dat we werkstations opnieuw moeten installeren en scheelt tijd én kosten. Tenslotte is het met de Rollback optie mogelijk om ook alle aanpassingen die gedaan zijn aan de bestanden van de gebruiker weer ongedaan te maken. In het geval van ransomware zullen de aangetaste bestanden dus weer in het originele bestandsformaat teruggezet worden. Bekijk ook het demofilmpje van Sentinal One. Kortom, een ‘next generation’ bescherming om je werkstation én je belangrijke gegevens veilig te houden.

Interesse?
Meer weten over TOM of over onze EDR oplossing? Wij helpen je graag verder. Neem contact met ons op door te bellen met 010-2469240 of mail naar info@trivision.nl.