Wellicht heb je de term EDR hier en daar horen vallen? Maar wat het is?
AKSI levert EDR van Sentinel One en wij leggen je graag uit wat het is, wat je er mee kan en waarom jouw organisatie er baat bij heeft.
Het traditionele antivirus bestaat als sinds jaar en dag. Een antivirusprogramma is software, die een lijst bijhoudt van “alle” virussen en malware. Wanneer er een match ontstaat met een programma op je computer en een bekende op de lijst, dan wordt deze in quarantaine geplaatst en kun je rustig doorwerken. Het probleem echter is, is dat tegenwoordig de ontwikkeling van malware ontzettend snel en geavanceerd gaat. Een traditionele antivirus loopt dan achter de feiten aan.
Maar hoe zorg ik dan voor goede bescherming? Endpoint Detection and Response (EDR) is daar een goede optie voor. Deze nieuwe vorm van het detecteren van virussen en malware is niet op basis van een lijst met virusdefinities, maar in plaats daarvan speurt een EDR systeem actief naar verdacht gedrag. Het plotseling encrypten van data is iets wat een EDR systeem bijvoorbeeld erg goed kan opmerken.
Heeft iedereen in jouw organisatie een eigen device (laptop, werkstation)? Dan kan deze dienst interessant voor je zijn. Als je EDR afneemt wordt op elke laptop / werkstation een EDR agent geïnstalleerd.
Als een EDR agent op een device is geïnstalleerd kun je:
- Uitgebreide details vastleggen over het besturingssysteem, het lokale bestandssysteem, de hardware en alle aangesloten apparaten, evenals de processen die op het apparaat uitgevoerd worden;
- De activiteiten van de gebruiker vastleggen, zowel lokaal als extern;
- De gebruikersactiviteiten lokaal opslaan voor latere verzending, als er spraken is van een onderbroken netwerkverbinding of als het apparaat offline is;
- Indien nodig kan de agent de sessie van de gebruiker blokkeren, en in quarantaine plaatsen, als er sprake is van een beveiligingsprobleem.
Waar voordelen zijn, zijn ook nadelen:
- EDR vereist de installatie en beheer van de agents op ieder device.
- Agents kunnen mogelijk niet gebruikt worden op systemen die niet compatibel zijn.
- Eigenaren van het device kunnen bezwaar maken tegen de installatie van een agent.
- De agent gebruikt een deel van de CPU en RAM. Verouderde laptops / werkstations zijn daarom mogelijk niet geschikt, omdat de gebruiker dan eventueel traagheid gaat ervaren.
Kortom een EDR is een intelligent en zelflerend systeem, die continue de veiligheid van je systeem waarborgt. Ben je benieuwd of deze dienst geschikt is voor jouw organisatie? Neem dan gerust contact met ons op.