10 ting, du skal overveje, før du køber en edr-løsning

Markedet for EDR-løsninger (Endpoint Detection and Response) er vokset hurtigt i de seneste år, og brancheeksperter forudser, at denne tendens vil fortsætte. Gartner forudser, at mere end 60 % af virksomhederne vil have erstattet ældre antivirusprodukter med kombinerede EPP- og EDR-løsninger inden udgangen af 2025 [1].

Behovet for en holistisk Endpoint-sikkerhedsløsning skyldes både, at angrebene bliver hyppigere og mere sofistikerede, og at EDR-løsninger bliver mere tilgængelige for virksomheder i mid-markedet. EDR er ikke længere kun en løsning for store virksomheder, da mange cybersikkerhedsleverandører nu tilbyder en overkommelig EDR- (Endpoint Detection & Response) og EPP- (Endpoint Protection Platform) kombination til overkommelige priser.

For en overordnet oversigt over de vigtigste EDR-funktioner og hvorfor virksomheder har brug for en Endpoint Detection and Response-løsning, se vores artikel 7 grunde til, at du har brug for en EDR-løsning.

I denne artikel vil vi skitsere 10 af de vigtigste ting, som du skal huske på og spørge din leverandør om, når du køber en EDR-løsning. Disse gælder uanset om din organisation ønsker at anskaffe denne type løsning for første gang eller om den gennemgår en regelmæssig benchmarking eller renewal-proces.

1. Integration med andre sikkerhedsplatforme

Det er vigtigt at sikre, at den EDR-løsning, du overvejer, er kompatibel med dine nuværende sikkerhedssystemer. Ikke alene vil dette reducere arbejdsbyrden og øge effektiviteten for dit it-/sikkerhedsteam, men for at kunne fungere effektivt skal EDR-værktøjer tilbyde integration med andre sikkerhedssystemer, der sporer, orkestrerer og udfører handlinger for at afbøde et angreb.

At lede efter en løsning, der tilbyder API-integration, kan være dit bedste bud, især hvis du allerede bruger et værktøj som et SIEM-system (security information and event management). På den måde kan EDR-løsningen problemfrit levere data til dine eksisterende systemer.

2. Agent vs. agentløs

Agenten i en EDR-løsning er den softwarekomponent, der installeres på hvert endpoint. Det er ikke strengt nødvendigt, da en EDR-løsning også kan installeres passivt på netværket, men dette vil dog begrænse dens funktionalitet. Det skyldes, at agentens installation direkte på et endpoint gør det muligt at indsamle langt flere data om brugeraktivitet. Agenten muliggør også en stærkere indgriben i tilfælde af, at et endpoint er kompromitteret.

De vigtigste fordele ved agentløse EDR-løsninger er, at de er hurtige at implementere og kan bruges til at overvåge endpoints, som det er umuligt eller vanskeligt at installere en agent på. Men fordi agenten ikke er installeret direkte på et endpoint, kan løsningens reaktion ikke være lige så robust, og dataindsamlingen er også svagere.

3. Understøttelse af styresystemer

Knytter sig til det foregående punkt om endpoints, som det er umuligt at installere en agent på. En af årsagerne hertil kan være, at deres operativsystem ikke understøttes af EDR-løsningen. Hvis du kan begrænse dette problem ved at vælge en løsning, der er kompatibel med flere operativsystemer, er dette sandsynligvis den bedre løsning.

Næsten alle EDR-løsninger har dog nogle operativsystemer, som de ikke understøtter. Hvis du har endpoints i dit netværk, der bruger et operativsystem, som ikke understøttes af den valgte EDR-udbyder, er agentløs EDR en god løsning på dette problem.

4. Enheder, der ikke er dækket

I lighed med operativsystemer kan det være, at nogle enheder ikke understøttes af den EDR-løsning, du har valgt. De fleste smartphones, herunder dem, der kører iOS- og Android-operativsystemer, er normalt ikke dækket af EDR-værktøjer, og IoT-enheder (internet of things) er sandsynligvis heller ikke dækket. Ligesom med operativsystemer er det bedst at spørge din leverandør, hvad der ikke er dækket, og finde ud af, hvor mange af dine endpoints dette gælder for.

5. Cloud-understøttelse

Det er vigtigt at vide, om en EDR-løsning understøtter et cloud-miljø, og i hvilket omfang. Selv om flere EDR-værktøjer er cloud-baserede, kan de måske ikke fungere i skyen.

60 % af EDR-markedet for virksomheder leveres allerede af cloud (Gartner Innovation Insight for Cloud Endpoint Protection Platforms, april 2019). Det betyder ikke nødvendigvis, at det kan beskytte alle dine andre cloud-systemer, da EDR ofte er svært at installere i skyen, og du kan have brug for yderligere beskyttelse for specifikke cloud-applikationer.

6. Systemopdateringer

Trusselslandskabet udvikler sig konstant, da angribere stræber efter at bryde ind i sikkerhedssystemer ved hjælp af nye taktikker, teknikker og procedurer (TTP'er), så ethvert EDR-system, der ikke opdateres regelmæssigt, vil være sårbart over for avancerede trusler og hurtigt blive forældet. For bedre at kunne reagere på trusler, har du derfor brug for en EDR-løsning, der får hyppige opdateringer om Indicators of Compromise (IoC).

Derudover er det værd at overveje, hvor meget tid dit it-sikkerhedsteam skal bruge til administration og installation af disse opdateringer, og i hvilket omfang de kan automatiseres.

7. Skalerbarhed

82 % af organisationerne stræber efter at have en alt-i-én-løsning til deres behov for it-/netværkssikkerhed (F-Secure 2020 B2B Market Research). Dette er måske ikke muligt på nuværende tidspunkt, men hvis du er blandt de 82 % af organisationer med dette ønske, er det værd at tale med din leverandør for at finde ud af, hvilke muligheder dit EDR-system giver for at tilføje nye komponenter og funktioner i fremtiden.

Desuden bør du også overveje, hvordan løsningen vil håndtere en eventuel stigning i trafikken, især i tilfælde af fremtidig vækst og en stigning i antallet af eksterne enheder.

8. Indflydelse på endpoints ydeevne

Hvis du bruger en EDR-løsning, der kræver, at der installeres en agent på dine endpoints, skal du vide, hvilke ressourcer den vil optage. Betyder det, at du bliver nødt til at investere i bedre hardware for at holde dine endpoints ydeevne på et rimeligt niveau?

Et rimeligt niveau for CPU-forbrug for en EDR-løsning er omkring 1 %, og hvis det regelmæssigt overstiger dette niveau, er den sandsynligvis ikke godt optimeret. Hukommelsesforbruget kan variere afhængigt af agentens vægt, men bør ikke overstige 50 mb. Din leverandør bør være i stand til at vise dig ydelsesdata for systemer, der ligner dit.

9. Tilpassede trusselsdetektionsmodeller

Afhængigt af det ekspertiseniveau, du har internt, vil du måske designe din egen trusselsdetektionsmodel eller i det mindste justere den forudindstillede model. EDR-leverandører vil fortælle dig, at de forudindstillede indstillinger er optimeret til den bedste ydeevne, men alle organisationer er forskellige, og der findes ingen standardalgoritme til maskinlæring, der er optimeret til alle mulige situationer.

10. Leverandørens support

Her handler det virkelig om tillid, men der er også visse indikatorer at holde øje med. Hvad sker der, hvis din EDR-løsning bliver kompromitteret? Vil leverandøren opkræve dig for incident response-tjenester? Der er en klar mulighed for en interessekonflikt her.

Sørg for på forhånd at forstå, hvilket supportniveau du har adgang til, og hvilket ekspertiseniveau din account manager har. Hvis du bruger en Managed Service Provider, er de ofte i en god position til at vurdere de relative niveauer af support, der er tilgængelige fra forskellige leverandører, men husk på eventuelle incitamenter, der kan være til stede på deres side af transaktionen. Igen handler det i virkeligheden om, at tillid mellem alle parter er den vigtigste faktor.

 

Vi håber, at denne artikel er nyttig for dig i din jagt på den bedste EDR-løsning for din organisation. Og uanset hvilken EDR-løsning du ender med at vælge, så sørg for, at den er skræddersyet til din organisations behov.

Hvis du ønsker at lære mere om vores EDR-løsning, er du velkommen til at downloade løsningsbeskrivelsen. Og hvis du gerne vil teste vores løsning i et live-miljø, kan du tilmelde dig en gratis 30-dages prøveperiode.

Reference
[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.