De comeback van Microsoft Defender for Endpoint

18/08/2021

Microsoft Defender for Endpoint was jaren geleden het slechtstbeoordeelde Anti-virus- en Mallware-programma van de markt. Deze reputatie is na heel wat verbeteringen helemaal weg. Op dit moment is Microsoft world leading in beveiliging van de Endpoint. Eerst was het alleen gericht op Windows-producten maar met de omzetting van Windows Defender naar Microsoft Defender is het nu beschikbaar op alle Windows Computers en Servers, Linux én MacOS. 

Hiermee heeft Microsoft een groot aandeel gecreëerd in de gehele markt van de Endpoint Security. We hebben het over de comeback van Microsoft Defender for Endpoint. Maar de grote vraag is natuurlijk; wat kan Microsoft allemaal bieden om jouw Endpoint veiliger te maken? 

Door Peter Doesberg 

1. Inzicht

Microsoft Defender for Endpoint bestaat uit meerdere onderdelen. Het houdt meer in dan alleen Anti-virus en Mallware Protection. Er zijn zes pijlers onder Microsoft Defender for Endpoint, waaronder;  

  1. Threat & Vulnerability Management 
  2. Attack Surface Reduction 
  3. Next Generation Protection 
  4. Endpoint Detection and Response 
  5. Auto Investigation & Remediaton 
  6. Microsoft Threat Experts

Microsoft Defender for Endpoint

Hieronder zal ik wat meer vertellen over de diverse pijlers die vallen onder de Microsoft Defender for Endpoint bundel.

 

2. Next Generation Protection

Microsoft Defender Anti-virus is namelijk niet anders dan het Next Generation Protection component van Microsoft Defender. Samen met Machine Learning, Big Data-analyse, diepgaand onderzoek naar dreigingsbestendigheid én de Microsoft Cloudinfrastructuur, zal het de apparaten in beheer zeker beschermen. De geboden beveiligingsservices met de bovenstaande combinatie, zijn:

  • Realtime Anti-virus bescherming. Het altijd-aan-scannen met behulp van bewaking van bestands- en procesgedrag. Ook apps die niet als Mallware worden beschouwd, worden wél gedetecteerd en geblokt;
  • Cloud bescherming. Dit omvat vrijwel onmiddellijke detectie en blokkering van nieuwe en opkomende bedreigingen; 
  • Update van definities en product. Alle updates die betrekking hebben op het up-to-date houden van Microsoft Defender Anti-virus. 

Microsoft Defender for Endpoint

Zoals je op de afbeelding ziet, biedt de combinatie van alle producten in de Next Generation Protection meer aan dan alleen Anti-virus en Mallware protection. Door Machine Learning en de Big Data-analyse wordt de Cloudbescherming steeds groter en sneller.

Bijvoorbeeld wanneer Defender niet zeker weet of een bestand veilig is en extra intelligentie nodig heeft om het verdachte bestand te verifiëren. In die situatie zal Defender de metadata naar de Cloudbeveiligingsservice sturen, die binnen een paar milliseconden kan bepalen of het bestand veilig is of juist kwaadaardig. Hiermee wordt het bestand dus vrijgegeven of direct geblokkeerd.
Wanneer zo’n bestand geblokkeerd wordt bij één of twee gebruikers, zal de Cloudbeveiligingsservice dit doorgeven aan alle machines en worden dus alle machines beveiligd tegen deze kwaadaardige bestanden. Op die manier biedt het onmiddellijk bescherming.

Hierdoor krijg je de optimale bescherming van alle Endpoints in je eigen omgeving, maar ook bij Endpoints die buiten jouw omgeving staan. Hierdoor is de snelheid van Anti-virus regels en Anti-mallware optimaal.

Microsoft Defender for Endpoint

 

3. Threat and Vulnerability management

Door middel van Threat en Vulnerability management kunnen organisaties kwetsbaarheden in geïnstalleerde applicaties beoordelen en hiervoor hersteltaken uitvoeren voor alle getroffen apparaten. In het Threat and Vulnerability management kijkt Microsoft naar diverse gebieden.

  • Beveiligingsaanbevelingen en informatie over bedreigingen. Wanneer je dit bekijkt, worden er opties voor hersteltaken en aanbevelingen de uitvoering van het herstel met je gedeeld. Per softwareproduct - wanneer deze bekend is bij Microsoft - zal een beoordeling te vinden zijn met daarin de omvang van de impact op de software in de organisatie;
  • Zwakke punten.  De zwakke punten binnen de organisatie worden ook door Microsoft aangeven. De score komt voort uit de lijst van veelvoorkomende kwetsbaarheden en blootstelingen (CVE’s) in de organisatie.

CVE’s, ook wel de afkorting van Common Vulnerabilities and Exposures, is een databank met informatie over kwetsbaarheden in computersystemen en -netwerken.

  • Software-inventarisatie. Dit geeft een overzicht van alle geïnstalleerde softwarecomponenten binnen jouw organisatie, waarbij ook de zwakke punten worden aangegeven waaronder onder andere informatie over bedreigingen;
  • Event tijdslijn.  Hiermee geeft Microsoft weer hoe bedreigingen impact hebben op jouw omgeving specifiek.

Door Threat and Vulnerability management wordt duidelijk wat de impact is van goede en/of slechte Patch management. Wanneer je de software vulnerabilities goed bijhoudt, is je software up-to-date én zal je je zwakke punten automatisch verminderen.

Microsoft Defender for Endpoint

 

4. Attack Surface Reduction

Met Attack Surface Reduction wordt het oppervlak - dat aangevallen kan worden - beperkt en wordt de kans kleiner dat bedreigingen op de apparaten in je netwerk worden geïnfecteerd met Mallware of Ransomware.

Je kan met deze feature namelijk afdwingen dat bepaalde processen geen Child-processen kunnen starten. Bijvoorbeeld als je een mail ontvangt met een PDF bijgevoegd. Je zou de PDF openen en op de achtergrond zou er een Ransomware-script willen opstarten. Met deze feature wordt dat direct tegengehouden omdat de PDF Reader geen andere processen mag uitvoeren dan alleen het leesbaar maken van de PDF. Zo kan je dus, in deze situatie, altijd veilig een PDF openen.

Zoals je begrijpt uit voorgaand voorbeeld, beperkt Attack Surface Reduction zich dus niet alleen tot Microsoft-producten, maar werkt het onder andere ook voor een programma als Adobe PDF Reader.

Met de Attack Surface Reduction regels krijg je ook meer inzicht van de bedrijfsprocessen en applicaties. Want hoe kan je deze nu normaal laten werken en tegelijkertijd volledig beveiligd zijn tegen Mallware of Ransomware? Door de middelen van Attack Surface Reduction heb je alles in huis om de omgeving veilig te stellen en te onderzoeken waar de exploits vandaan kunnen komen. Over welke middelen hebben we het dan? De volgende:

  • Hardware based isolation
  • Applicatie control
  • Controlled folder access
  • Network protection, exploite protection
  • Device control

Microsoft Defender for Endpoint

 

5. Conclusie

Kan Microsoft Defender for Endpoint jou helpen om je devices écht veiliger te maken dan alleen met Anti-virus en Mallware protection? Het antwoord is wel duidelijk: Ja! Microsoft is de laatste jaren met vlag en wimpel geslaagd in het beschermen van Endpoints. Ook Gartner heeft dit duidelijk gezien in de testen die afgelopen mei zijn afgenomen. Daarin is Microsoft zelfs de nummer één (!) geworden in Endpoint Protection.

Microsoft Defender for Endpoint

Over de auteur:

Peter is onze tot het bot gemotiveerde Cloud specialist. Met zijn ruim 15 jaar aan (technische) ervaring is hij moeiteloos in staat te laveren tussen inhoud en aansturing. Microsoft-producten zijn helemaal zijn ding en hij zoekt daar maar al te graag van-alles over uit. Dit keer zette hij het op papier!