De comeback van Microsoft Defender for Endpoint

18/08/2021

Microsoft Defender for Endpoint was jaren geleden het slechtst beoordeelde Antivirus- en Mallware-programma van de markt. Maar; deze slechte reputatie is na heel wat verbeteringen helemaal weg. Op dit moment is Microsoft zélfs World Leading (!) in Endpoint protection. Eerst was het systeem alleen gericht op Windows-producten, maar met de omzetting van Windows Defender naar Microsoft Defender is het nu beschikbaar op alle Windows Computers en Servers, Linux én MacOS.  

Conclusie? Microsoft heeft een groot aandeel gecreëerd in de Endpoint security markt. Maar de vraag is natuurlijk; wat kan Microsoft bieden om jouw Endpoint veiliger te maken? 

Door Peter Doesberg 

Inzicht

Microsoft Defender for Endpoint bestaat uit meerdere onderdelen en houdt meer in dan alleen Antivirus en Mallware Protection. Er zijn zes pijlers onder Microsoft Defender for Endpoint, waaronder;  

  1. Threat & Vulnerability Management 
  2. Attack Surface Reduction 
  3. Next Generation Protection 
  4. Endpoint Detection and Response 
  5. Auto Investigation & Remediaton 
  6. Microsoft Threat Experts

Microsoft Defender for Endpoint

Ik hoor het je al denken; wat zijn dan de diverse, belangrijke pijlers die vallen onder de Microsoft Defener for Endpoint-bundel? Here you go:  

Next Generation Protection

Microsoft Defender Antivirus is niet anders dan het Next Generation Protection component van Microsoft Defender. Samen met Machine Learning, Big Data-analyse, diepgaand onderzoek naar dreigingsbestendigheid én de Microsoft Cloudinfrastructuur, zal het de apparaten in beheer zeker beschermen. De geboden beveiligingsservices met de bovenstaande combinatie, zijn:

  • Realtime Antivirus bescherming. Het ”altijd-aan-scannen” met behulp van bewaking van bestands- en procesgedrag. Ook apps die niet als Mallware worden beschouwd, worden wél gedetecteerd en geblokt;
  • Cloudbescherming. Dit omvat vrijwel onmiddellijke detectie en blokkering van nieuwe en opkomende bedreigingen;  
  • Update van definities en product. Alle updates die betrekking hebben op het up-to-date houden van Microsoft Defender Antivirus.  

Microsoft Defender for Endpoint

Een afbeelding spreekt boekdelen. In dit geval – hierboven dus - zie je dat het systeem een combinatie biedt van alle producten in de Next Generation Protection. Dus we hebben het over veel meer aan dan alleen Antivirus en Mallware protection. Door Machine Learning en de Big Data-analyse wordt de Cloudbescherming steeds groter én sneller.  

Bijvoorbeeld wanneer Defender niet zeker weet of een bestand veilig is en extra intelligentie nodig heeft om het verdachte bestand te verifiëren. In die situatie zal Defender de metadata naar de Cloudbeveiligingsservice sturen, die binnen een paar milliseconden kan bepalen of het bestand veilig is of juist kwaadaardig. Hiermee wordt het bestand dus vrijgegeven of direct geblokkeerd. Wanneer zo’n bestand geblokkeerd wordt bij één of twee gebruikers, zal de Cloudbeveiligingsservice dit doorgeven aan alle machines en worden dus alle machines beveiligd tegen deze kwaadaardige bestanden. Dat is nog eens een voorbeeld van onmiddellijke bescherming!

Het resultaat? Een optimale bescherming van alle Endpoints in je eigen omgeving. Maar óók bij Endpoints die buiten jouw omgeving staan. Hierdoor is de snelheid van Antivirus regels en Anti-mallware optimaal. 

Microsoft Defender for Endpoint

 

Threat and Vulnerability management

Door middel van Microsoft Defender Threat en Vulnerability management kunnen organisaties kwetsbaarheden in geïnstalleerde applicaties beoordelen en hiervoor hersteltaken uitvoeren voor alle getroffen apparaten. Hierin kijkt Microsoft naar diverse gebieden.  

  • Beveiligingsaanbevelingen en informatie over bedreigingen. Wanneer je dit bekijkt, worden er opties voor hersteltaken en aanbevelingen voor de uitvoering van het herstel met je gedeeld. Per softwareproduct - wanneer deze bekend is bij Microsoft - zal een beoordeling te vinden zijn met daarin de omvang van de impact op de software in de organisatie;
  • Zwakke punten. De zwakke punten binnen de organisatie worden ook door Microsoft aangeven. De score komt voort uit de lijst van veelvoorkomende kwetsbaarheden en blootstelingen (CVE’s) in de organisatie.

Misschien iets te enthousiaste IT-jargon...CVE’s, ook wel de afkorting van Common Vulnerabilities and Exposures, is een databank met informatie over kwetsbaarheden in computersystemen en -netwerken. 

  • Software-inventarisatie. Dit geeft een overzicht van alle geïnstalleerde softwarecomponenten binnen jouw organisatie, waarbij ook de zwakke punten worden aangegeven (lees: onder andere informatie over bedreigingen);
  • Event tijdslijn. Hiermee geeft Microsoft weer hoe bedreigingen impact hebben op jouw omgeving specifiek.

Door Threat and Vulnerability management wordt duidelijk wat de impact is van goed en/of slecht Patch management. Wanneer je de software vulnerabilities goed bijhoudt, is je software up-to-date én zal je je zwakke punten automatisch verminderen. Win-win, dus!  

 

Attack Surface Reduction

Met Microsoft Defender Attack Surface Reduction wordt het oppervlak - dat aangevallen kan worden - beperkt en wordt de kans kleiner dat bedreigingen op de apparaten in je netwerk worden geïnfecteerd met Mallware of Ransomware. 

Je kan met deze feature namelijk afdwingen dat bepaalde processen geen Child-processen kunnen starten. Bijvoorbeeld als je een mail ontvangt met een Pdf bijgevoegd. Je opent de Pdf en op de achtergrond zou er een Ransomware-script willen opstarten. Met deze feature wordt dat direct tegengehouden, omdat de Pdf-reader geen andere processen mag uitvoeren dan alléén het leesbaar maken van de Pdf. Zo kan je dus, in deze situatie, altijd veilig een Pdf openen. Om maar een concreet voorbeeld te noemen.  

Zoals je begrijpt, beperkt Attack Surface Reduction zich dus niet alleen tot Microsoft-producten, maar werkt het onder andere ook voor een programma als Adobe Pdf Reader.  

Met de Attack Surface Reduction-regels krijg je ook meer inzicht in de bedrijfsprocessen en applicaties. Want hoe kan je deze normaal laten werken en tegelijkertijd volledig beveiligd zijn tegen Mallware of Ransomware? Door de middelen van Attack Surface Reduction heb je alles in huis om de omgeving veilig te stellen én zelfs te onderzoeken waar de exploits vandaan kunnen komen. Over welke middelen hebben we het dan?   

  • Hardware based isolation
  • Applicatie control
  • Controlled folder access
  • Network protection, exploite protection
  • Device control

Microsoft Defender for Endpoint

 

Conclusie

Kan Microsoft Defender for Endpoint jou helpen om je devices écht veiliger te maken dan alleen met Antivirus en Mallware protection? Het antwoord is wel duidelijk: Ja! Microsoft is de laatste jaren met vlag en wimpel geslaagd in het beschermen van Endpoints. Ook Gartner heeft dit duidelijk gezien in de testen die afgelopen mei zijn afgenomen. Daarin is Microsoft zelfs de nummer één (!) geworden in Endpoint Protection.

Microsoft Defender for Endpoint

Over de auteur:

Peter is onze tot op het bot gemotiveerde Cloudspecialist. Met zijn ruim 15 jaar aan (technische) ervaring is hij moeiteloos in staat te laveren tussen inhoud en aansturing. Microsoft-producten zijn helemaal zijn ding en hij zoekt daar maar al te graag van-alles over uit. Dit keer zette hij het op papier!