Sinds de pandemie losbrak in 2020 domineren gedistribueerde systemen de Nederlandse markt. Dit heeft echter gezorgd voor flink meer complexiteit en heeft er in sommige gevallen toe geleid dat netwerken niet meer effectief gemonitord worden. De reden hiervoor is dat veel organisaties nog altijd met traditionele en legacy endpoint-oplossingen werken. Deze zijn echter vaak ontworpen voor gecentraliseerde omgevingen wat monitoring, management en beveiliging in gedecentraliseerde omgevingen lastig maakt. Gedistribueerde omgevingen hebben oplossingen nodig die gebaseerd zijn op gedecentraliseerde concepten.
Gedistribueerde en cloud omgevingen zijn inmiddels de standaard. Binnen deze omgeving zijn vaak meerdere teams actief en zijn endpoints met diverse security-standaarden geïntegreerd. Mobiele apparaten – zowel company-owned en privé smartphones, laptops en tablets – zorgen daarnaast voor een almaar toenemend aantal endpoints en dan hebben we het nog niet eens over allerhande IoT en verschillende devices.
Dit is een complexe situatie voor beheerders die de endpoint-security binnen de hele organisatie moeten waarborgen. Het registreren, inventariseren, beheren, monitoren en beveiligen van alle fysieke en virtuele apparaten die verbonden zijn aan het netwerk is een enorme klus. We zien ook steeds vaker dat het niet lukt om alle endpoints in kaart te brengen en deze adequaat te beheren laat staan dat in één oog opslag en realtime te kunnen.
Veel beheerders vrezen de organisatorische en technische inspanning die hiermee gemoeid is. Een recent wereldwijd onderzoek onder CIO’s en CISO’s laat zien dat maar liefst 81 procent van alle IT-beslissers in de afgelopen periode ten minste één maal een belangrijke update niet heeft uitgevoerd om de dagelijkse gang van zaken niet te verstoren.
Het resultaat is dat gaten in de security niet altijd op tijd gedicht worden. Dit is een serieus probleem dat snel opgelost moet worden. In 2020 waren gaten in de security immers nog het #1 doelwit van cyberaanvallen en werden ongepatchte endpoints gebruikt als centrale toegangspoort.
Traditionele oplossingen zijn niet effectief genoeg
Traditionele endpoint-oplossingen die ontworpen zijn voor gecentraliseerde systemen bereiken in gedecentraliseerde systemen snel hun limiet. De data is soms uren, dagen of zelfs weken oud. Zo kan een compleet inzicht in alle (verbonden) assets niet gegarandeerd worden, zeker niet in realtime of op het niveau dat beheerders nodig hebben om effectief zicht te houden op het netwerk. Vooral patch-management en IT-security lijden hier vaak onder. Zo moet voor elke update de benodigde informatie handmatig bij elkaar gezocht worden en kost het weken voor een security-gap verholpen is.
Volgens het Ponemon Institute’s State of Endpoint Security Risk Report, hebben bedrijven gemiddeld 97 dagen nodig om een patch te adopteren, testen en installeren. Op deze manier maken organisaties die nog altijd traditionele endpoint-oplossingen inzetten weinig kans tegen moderne dreigingen.
Agents – een endpoint-oplossing met een problematisch verleden
Agents zijn speciale stukjes software die IT-teams helpen endpoints in het netwerk te identificeren en automatisch en in realtime te monitoren. Naast het verzamelen van informatie van bekende apparaten, gaan agents ook op zoek naar onbekende apparaten. Apparaten die nieuw worden ontdekt krijgen vervolgens hun eigen agent. Zo kunnen niet alleen verborgen endpoints opgespoord worden, maar ook informatie over hardware, software, configuraties, datagebruik en interacties met andere apparaten.
Lange tijd zorgde het gebruik van agents echter voor problemen voor beheerders. De netwerkprestaties werden namelijk te zwaar belast door de gebruikte oplossingsarchitectuur. Inmiddels bestaat er een oplossing voor dit probleem, namelijk agents die opereren via een lineaire ketenarchitectuur.
Een lineaire ketenarchitectuur als oplossing
Het nadeel van architecturen die traditioneel gebruikt worden voor agents is dat zij centraal opereren. Dit is een enorme belasting voor het netwerk en kan leiden tot prestatieverlies of zelfs uitval.
Dit kan niet gebeuren bij de inzet van een lineaire ketenarchitectuur, waar endpoints direct betrokken zijn bij gegevensoverdrachten. Dat werkt als volgt: elke agent ontvangt regelmatig informatie van de server. Endpoints maken vervolgens automatisch verbinding met andere endpoints in de buurt om deze informatie te delen. Die endpoints maken op hun beurt ook weer verbinding met endpoints in hun buurt, en zo herhaalt het proces zich tot er een lineaire keten ontstaat.
Om een bepaalde actie, zoals een patch-update, naar alle endpoints in het netwerk te sturen, hoeft de server de informatie dus slechts naar klein aantal endpoints te sturen die aan het begin van de keten liggen.
Dit systeem stelt agents in staat om automatisch patches te distribueren en te installeren op alle endpoints, zonder daarbij teveel druk uit te oefenen op beperkte netwerkbronnen, zoals een interne server of cache-server. Ook threat-detectie en incident response profiteren van een dergelijke structuur. Dankzij verbeterd inzicht kunnen afwijkingen en kwetsbaarheden efficiënter opgespoord worden. Dit stelt incident response-teams in staat om sneller en meer gerichte security te bieden.
Zeker voor kwetsbare sectoren die steeds afhankelijker worden van gedistribueerde systemen, zoals de gezondheidszorg of de financiële sector, zijn agent-based endpoint-oplossingen op basis van een lineaire architectuur een interessant uitgangspunt om het netwerk weer onder controle te krijgen. Beheerders kunnen inzicht en security over het hele netwerk automatiseren zonder zich zorgen te hoeven maken over overbelasting van hun netwerkbronnen en mogelijke onderbrekingen van de dagelijkse activiteiten van de organisatie.
