⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Endpointbescherming tegen malware: ISO 27001-bewijs voor EU-regelgeving

Igor Petreski

Het is 07:42 op een maandag. Een financieel manager opent een leveranciersfactuur uit een e-mailthread die legitiem lijkt. Enkele minuten later markeert de endpointdetectieconsole verdachte scriptuitvoering, een poging tot persistentie en uitgaand verkeer naar een onbekend domein. De EDR-agent isoleert de laptop automatisch. De ransomwareketen wordt doorbroken voordat encryptie begint.

De beveiliging werkte. Maar daarna volgt de moeilijke vraag.

De CISO krijgt niet alleen de vraag: “Hebben we de malware gestopt?” De CEO en het bestuur vragen: “Kunnen we aantonen dat dit weerbaarheid door ontwerp was, en geen geluk? Kunnen we aan auditors, klanten, toezichthouders en verzekeraars laten zien dat onze endpointbescherming werkte op een manier die voldoet aan ISO/IEC 27001:2022, NIS2-cyberbeveiligingshygiëne, DORA ICT-risicobeheer en GDPR Article 32?”

Dat is de bepalende uitdaging voor endpointbeveiliging in 2026. Endpointbescherming is niet langer alleen een IT-operationele functie. Het is een systeem voor compliancebewijs.

Eén malwarewaarschuwing op een laptop kan uitgroeien tot een ISO/IEC 27001:2022-auditsteekproef, een NIS2-beoordeling van een significant incident, een DORA-registratie van een ICT-gerelateerd incident, een GDPR-triage van een datalek met persoonsgegevens, een gesprek over leveranciersrisico en een governancebeoordeling door het bestuur. Organisaties die dit goed aanpakken, zetten niet alleen EDR in. Zij verbinden beleid, inventaris, technische beheersmaatregelen, monitoring, incidentrespons, juridische triage, leverancierscontracten, metrieken en continue verbetering tot één verdedigbaar verhaal over beheersing.

Clarysec ziet hetzelfde patroon in SaaS-, fintech-, managed service- en gereguleerde digitale omgevingen. De meeste organisaties beschikken al over sterke tools: EDR, antivirus, MDM, kwetsbaarheidsscanners, SIEM, e-mailbeveiliging, webfiltering, back-upplatforms en ticketsystemen. De kloof zit meestal niet in de technologie. De kloof zit in het ontwerp van bewijs.

Dit artikel laat zien hoe u auditgereed bewijs voor malwarebescherming op endpoints opbouwt, met ISO/IEC 27001:2022 als ISMS-ruggengraat, Clarysecs Beleid inzake endpointbeveiliging / Malwarebeleid Beleid inzake endpointbeveiliging / Malwarebeleid, het mkb-Endpointbeveiligingsbeleid - Malwarebescherming Endpointbeveiligingsbeleid - Malwarebescherming - mkb, de Zenith Blueprint: een 30-stappenroadmap voor auditors Zenith Blueprint en Zenith Controls: de cross-compliancegids Zenith Controls.

Waarom endpointbescherming tegen malware nu een compliancekwestie op bestuursniveau is

De moderne endpoint is de plek waar identiteit, bedrijfsgegevens, gebruikersgedrag, aanvalstechnieken en regelgevende verantwoordingsplicht samenkomen. Laptops verbinden vanaf thuisnetwerken en luchthavens. Ontwikkelaars draaien lokale tools. Leidinggevenden reizen met gecachte e-mail en bestanden. Contractanten kunnen beheerde of deels beheerde apparaten gebruiken. Mobiele telefoons keuren MFA-prompts goed. Cloudworkloads en servers gedragen zich vanuit EDR-perspectief als endpoints.

In de Zenith Blueprint, fase Controls in Action, Step 19: Technological Controls I, beschrijft Clarysec eindgebruikersapparaten als de “deuren en ramen” van de organisatie:

Eindgebruikersapparaten, laptops, smartphones, tablets, desktops en zelfs thin clients, zijn waar digitale interactie begint. Het zijn de deuren en ramen naar uw systemen. En, net als elke fysieke structuur, moeten zij worden versterkt, gemonitord en beheerst.

Die invalshoek is belangrijk, omdat endpointbescherming niet alleen gaat over het blokkeren van malware. Zij moet aantonen dat de organisatie weet welke apparaten bestaan, regelt hoe ze worden gebruikt, beveiligingsbaselines afdwingt, compromittering detecteert, consistent reageert, bewijs bewaart, activiteiten herstelt en na incidenten verbetert.

Een volwassen programma voor endpointbescherming tegen malware moet vier auditvragen zonder aarzeling kunnen beantwoorden:

  1. Kennen we elke endpoint die toegang kan krijgen tot bedrijfssystemen of persoonsgegevens?
  2. Is elke endpoint beschermd met goedgekeurde, centraal beheerde malwarebescherming of EDR?
  3. Kunnen we configuratie, scanning, updates, waarschuwingen, quarantaine, isolatie, onderzoek en afsluiting aantonen?
  4. Kunnen we endpointgebeurtenissen verbinden met risicobehandeling, incidentrespons, regelgevende rapportage, leverancierstoezicht en directiebeoordeling?

ISO/IEC 27001:2022 biedt het managementsysteem dat nodig is om die vragen te beantwoorden. Clausules 4.1 tot en met 4.4 vereisen dat de organisatie context, belanghebbenden, wettelijke en contractuele verplichtingen, interfaces, afhankelijkheden en het ISMS-toepassingsgebied definieert. Voor endpointbescherming mag de scope niet stoppen bij “bedrijfs-IT”. De scope moet rekening houden met werken op afstand, geprivilegieerde werkstations, mobiele apparaten, cloudtoegang, door leveranciers beheerde apparaten, endpointlogboeken, uitbestede SOC- of MDR-diensten en elke endpoint die informatiebeveiliging kan beïnvloeden.

Clausules 5.1 tot en met 5.3 maken de verantwoordelijkheid van het leiderschap expliciet. Topmanagement moet het ISMS ondersteunen, rollen toewijzen, middelen beschikbaar stellen en beleidsafstemming waarborgen. In endpointtermen kan het bestuur geen doelstellingen voor cyberbeveiligingshygiëne goedkeuren terwijl lacunes in EDR-licenties, patchachterstanden, BYOD-uitzonderingen of MDR-escalatie onopgelost blijven.

Clausules 6.1.1 tot en met 6.1.3 vormen de motor voor risicobehandeling. Malware-risico’s voor endpoints moeten worden geïdentificeerd, beoordeeld, behandeld, gekoppeld aan Annex A-beheersmaatregelen, opgenomen in de Verklaring van Toepasselijkheid en geaccepteerd door risico-eigenaren waar restrisico blijft bestaan. Clausules 8.1 tot en met 8.3 zetten risicobehandeling vervolgens om in beheerste operaties, geplande wijzigingen, risicobeoordeling met geplande intervallen of na significante wijzigingen, en resultaten van risicobehandeling.

Het auditverhaal is niet: “we hebben EDR geïnstalleerd.” Het auditverhaal is: “het malware-risico voor endpoints wordt geïdentificeerd, beoordeeld, behandeld, operationeel beheerst, gemonitord, getest, met bewijs onderbouwd, gerapporteerd en verbeterd.”

De Clarysec-beleidsbrug van EDR-instellingen naar auditbewijs

Beleid is waar technische werkelijkheid verandert in auditeerbare intentie. Zonder beleid zijn endpointconfiguraties slechts toolinstellingen. Met beleid worden die instellingen beheersvereisten.

Clarysecs enterprise-Beleid inzake endpointbeveiliging / Malwarebeleid legt die brug vast in clausule 1.3:

Dit beleid ondersteunt rechtstreeks naleving van ISO/IEC 27001:2022 clausule 8.1 en Annex A-beheersmaatregel 8.7 en is afgestemd op regionale cyberbeveiligingsverplichtingen onder GDPR, NIS2 en DORA.

Die ene clausule geeft de organisatie een directe lijn van endpointoperaties naar ISO/IEC 27001:2022, NIS2, DORA en GDPR. Auditors kunnen vervolgens toetsen of het feitelijke endpointprogramma van de organisatie overeenkomt met de beleidsverplichting.

Hetzelfde enterprisebeleid legt het verwachte operationele model vast in governancevereisten, clausule 5.2:

Alle endpoints moeten zijn ingeschreven in centraal beheerde malwarebeschermingssystemen (bijv. EDR, antivirus of gelijkwaardige platforms) met een afgedwongen baselineconfiguratie.

Dit is precies het type verklaring dat auditors waarderen, omdat zij toetsbaar is. Als “alle endpoints” moeten zijn ingeschreven, moet het bewijs de volledige endpointpopulatie, de verwachte EDR-populatie, inschrijvingsstatus, uitzonderingen, compenserende beheersmaatregelen en voortgang van herstelmaatregelen tonen.

Voor mkb-organisaties geeft het Endpointbeveiligingsbeleid - Malwarebescherming directe operationele vereisten. Clausule 5.1.3 bepaalt:

Alle endpoints moeten worden geregistreerd in de IT-inventaris van bedrijfsmiddelen en worden gekoppeld aan de gebruikte endpointbeveiligingstool

Clausule 5.2.1 voegt daaraan toe:

Alle endpoints mogen alleen door de organisatie goedgekeurde antivirus- of EDR-oplossingen (endpointdetectie en -respons) draaien

Clausule 6.1.1.1 vereist:

Voer realtime antivirus- en antimalwarescanning continu uit

En clausule 8.1.1 vereist:

Malwaregebeurtenissen moeten continu worden gemonitord via de antivirusconsole of het gecentraliseerde EDR-dashboard

Samen creëren deze clausules een eenvoudige maar krachtige bewijsproef: toon de inventaris, toon de endpointbeveiligingstool, toon de goedgekeurde configuratie, toon continue monitoring, toon gebeurtenissen, toon tickets en toon afsluiting.

ISO/IEC 27001:2022- en ISO/IEC 27002:2022-mapping van endpointbeheersmaatregelen

Endpointbescherming faalt vaak in audits omdat teams haar als één beheersmaatregel behandelen. In werkelijkheid is endpointbescherming tegen malware afhankelijk van meerdere elkaar versterkende beheersmaatregelen.

De centrale ISO/IEC 27002:2022-beheersmaatregelen zijn A.8.1 Eindgebruikersapparaten en A.8.7 Bescherming tegen malware. Maar effectieve endpointbescherming steunt ook op kwetsbaarhedenbeheer, logging, monitoring, incidentrespons, back-up, webfiltering, beheersing van verwisselbare media, toegangsbeperking, leveranciersmanagement, governance van clouddiensten, bewustwording en bedrijfscontinuïteit.

Zenith Controls koppelt ISO/IEC 27002:2022-beheersmaatregel A.8.7, Bescherming tegen malware, aan preventieve, detectieve en corrigerende beheersmaatregelen. Zij ondersteunt vertrouwelijkheid, integriteit en beschikbaarheid en sluit logisch aan op systeem- en netwerkbeveiliging, informatiebescherming en detectiecapaciteiten. Zij laat ook zien dat A.8.1, Eindgebruikersapparaten, een preventieve beheersmaatregel is die vertrouwelijkheid, integriteit en beschikbaarheid ondersteunt via beheer van bedrijfsmiddelen en endpointgovernance.

ISO/IEC 27002:2022-beheersgebiedTe bewaren endpoint- en malwarebewijsWaarom dit van belang is in audits
A.8.1 EindgebruikersapparatenInventaris van bedrijfsmiddelen, MDM- of UEM-nalevingsrapportages, versleutelingsstatus, instellingen voor schermvergrendeling, mogelijkheid voor wissen op afstand, BYOD-beheersmaatregelenToont aan dat endpoints bekend, bestuurd en beschermd zijn voordat toegang wordt verleend
A.8.7 Bescherming tegen malwareEDR-uitrolrapportages, instellingen voor realtime bescherming, updatestatus, detecties, quarantaines, isolatieregistraties, afhandeling van false positivesToont aan dat malwarepreventie, -detectie en -respons actief en centraal beheerd zijn
A.8.8 Beheer van technische kwetsbaarhedenKwetsbaarheidsscans, patch-SLA’s, tickets voor herstelmaatregelen, goedkeuringen van uitzonderingen, compenserende beheersmaatregelenLaat zien dat malwareblootstelling wordt verlaagd door exploiteerbare zwaktes te verhelpen
A.8.15 Logging en A.8.16 MonitoringactiviteitenEndpointlogboeken, SIEM-correlatie, triage van waarschuwingen, escalatiebewijs, dashboards, beoordelingsregistratiesLaat zien dat malwaregebeurtenissen zichtbaar zijn, worden beoordeeld en worden opgevolgd
A.5.24 tot en met A.5.28 IncidentbeheerIncidentprocedures, classificatieregistraties, responsacties, geleerde lessen, bewaring van bewijsLaat zien dat vermoedelijke malware leidt tot beheerste incidentenafhandeling, niet tot informele troubleshooting
A.8.13 Back-ups en A.5.30 ICT-gereedheid voor bedrijfscontinuïteitSuccesrapportages van back-ups, hersteltests, instellingen voor onveranderbare back-ups, hersteloefeningenLaat zien dat ransomwareweerbaarheid ook herstelbaarheid omvat
A.5.19 tot en met A.5.23 Beheersmaatregelen voor leveranciers en clouddienstenMDR-contracten, SLA’s voor EDR-diensten, beveiligingsvereisten voor leveranciers, dekking van cloudendpoints, exitafsprakenLaat zien dat uitbestede endpointdiensten onder ISMS-beheersing blijven

Zenith Controls is bijzonder nuttig omdat het laat zien hoe endpointbescherming afhankelijk is van aangrenzende beheersmaatregelen. Bescherming tegen malware sluit aan op A.5.7 Dreigingsinformatie omdat malwarebescherming zich moet aanpassen aan veranderende tactieken. Zij sluit aan op A.8.8 Beheer van technische kwetsbaarheden omdat malware vaak bekende zwaktes misbruikt. Zij sluit aan op A.8.15 Logging en A.8.16 Monitoringactiviteiten omdat detecties, quarantaines, scans en updates moeten worden verzameld en beoordeeld. Zij sluit aan op A.8.23 Webfiltering omdat malafide sites een veelvoorkomend infectiepad blijven. Zij sluit aan op A.7.10 Opslagmedia omdat verwisselbare media malware kunnen introduceren als zij niet worden beheerst.

Eindgebruikersapparaten sluiten ook aan op A.5.10 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen, A.6.7 Werken op afstand, A.8.3 Beperking van informatietoegang, A.8.5 Veilige authenticatie, A.6.3 Bewustwording, opleiding en training op het gebied van informatiebeveiliging, en A.6.6 Geheimhoudings- of vertrouwelijkheidsovereenkomsten.

In gewone taal: een veilige endpoint is niet alleen een apparaat met een agent. Het is een door beleid afgedwongen werkomgeving.

Een malwarewaarschuwing omzetten in een verdedigbare bewijsketen

Terug naar het malware-event op maandagochtend. De EDR-agent isoleerde de laptop, maar compliancegereedheid hangt af van de bewijsketen die daarna volgt.

Een goede bewijsketen voor malware op endpoints omvat:

  • De assetregistratie met eigenaar, bedrijfsfunctie, criticaliteit, apparaattype, besturingssysteem, profiel voor gegevenstoegang en versleutelingsstatus.
  • De endpointbeschermingsregistratie met agentstatus, toegepast beleid, bescherming tegen manipulatie, updatestatus en realtime scanning.
  • De detectieregistratie met waarschuwings-ID, tijdstempel, procesboom, detectielogica, ernst, getroffen bestanden, netwerkindicatoren en geautomatiseerde acties.
  • De SIEM-registratie die DNS, e-mail, identiteit, proxy, cloud en endpointtelemetrie correleert.
  • De ticketregistratie met triage, escalatie, indamming, verwijdering, herstel, oorzaakanalyse en afsluiting.
  • Het incidentbesluit dat aangeeft of de gebeurtenis een security event bleef of een incident werd.
  • De regelgevende triage waaruit blijkt of NIS2-, DORA- of GDPR-drempels zijn overwogen.
  • De registratie van geleerde lessen met beleidsafstemming, patching, bewustwordingsactie, leveranciersticket of update van het risicoregister.

Het Beleid inzake endpointbeveiliging / Malwarebeleid versterkt dit responsmodel via zijn vereisten voor beleidsimplementatie, clausule 6.3, getiteld:

Respons- en indammingsacties

Voor mkb-organisaties is clausule 6.3.1.2 nog directer:

De IT-supportverlener moet het apparaat in quarantaine plaatsen, de infectie bevestigen en oorzaakanalyse uitvoeren

Een geblokkeerde malwaregebeurtenis mag niet verdwijnen in een console. Als zij belangrijk genoeg is om te detecteren, is zij belangrijk genoeg om te classificeren, documenteren en af te sluiten.

NIS2-bewijs voor cyberbeveiligingshygiëne uit endpointbescherming

NIS2 maakt basismaatregelen voor cyberbeveiligingshygiëne tot een governancekwestie. Organisaties die onder de reikwijdte vallen, moeten begrijpen of zij in scope zijn, of zij essentiële of belangrijke entiteiten zijn, en hoe nationale omzettingsverplichtingen van toepassing zijn.

Voor endpointbescherming tegen malware is Article 21 de kernbepaling. Het vereist passende en evenredige technische, operationele en organisatorische maatregelen om risico’s voor netwerk- en informatiesystemen te beheren en de impact van incidenten te voorkomen of te beperken. De maatregelen omvatten risicoanalyse en beleid voor informatiesysteembeveiliging, incidentenafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige verwerving en onderhoud inclusief behandeling van kwetsbaarheden, beoordeling van doeltreffendheid, basismaatregelen voor cyberbeveiligingshygiëne en training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en, waar passend, MFA of continue authenticatie.

Endpointbewijs sluit rechtstreeks op die verwachtingen aan.

Gebied van NIS2 Article 21Bewijs voor endpointbescherming tegen malware
Risicoanalyse en beveiligingsbeleidEndpoint-risicobeoordeling, Beleid inzake endpointbeveiliging / Malwarebeleid, Verklaring van Toepasselijkheid, risicobehandelingsplan
IncidentenafhandelingRegistraties van EDR-waarschuwingen, incidenttickets, ernstbeoordeling, indammingsacties, geleerde lessen
BedrijfscontinuïteitRansomwarescenario’s, back-uprapportages, hersteltests, herstelprocedures
Beveiliging van de toeleveringsketenMDR- of MSP-contracten, verantwoordelijkheidsmatrix, voorwaarden voor incidentondersteuning, auditrechten
Behandeling van kwetsbaarhedenPatch-SLA’s, kwetsbaarheidsscans, goedkeuringen van uitzonderingen, analyse van misbruikte kwetsbaarheden
Beoordeling van doeltreffendheidResultaten van interne audit, EDR-testdetecties, phishingsimulaties, tabletop-oefeningen
Basismaatregelen voor cyberbeveiligingshygiëne en trainingNaleving van endpointbaselines, registraties van voltooide bewustwording, phishing- en malwaretraining
Toegangscontrole en beheer van bedrijfsmiddelenEndpointinventaris, koppeling gebruiker-apparaat, voorwaardelijke toegang, beheersmaatregelen voor geprivilegieerde werkstations

NIS2 Article 23 is ook relevant omdat malware een significant incident kan worden. Als malware ernstige operationele verstoring, financieel verlies of aanzienlijke materiële of immateriële schade aan anderen veroorzaakt of kan veroorzaken, kan gefaseerde rapportage vereist zijn. NIS2 omvat een vroege waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, tussentijdse updates indien gevraagd, en een eindrapport binnen één maand na de melding.

Endpointbewijs ondersteunt elke fase. De EDR-waarschuwing levert de eerste indicator. De inventaris van bedrijfsmiddelen identificeert getroffen diensten en criticaliteit. SIEM-gegevens en tickets ondersteunen de impactanalyse. Indammingsregistraties tonen actie aan. Oorzaakanalyse ondersteunt de eindrapportage.

Een NIS2-gereed antwoord is niet: “we hebben antivirus.” Het is: “we kennen onze endpoints, dwingen bescherming af, monitoren continu, classificeren incidenten, trainen gebruikers, beheren kwetsbaarheden, bewaren bewijs en rapporteren wanneer drempels worden bereikt.”

DORA ICT-risicobeheer en endpointbescherming tegen malware

Voor financiële entiteiten creëert DORA een sectorspecifiek kader voor digitale operationele weerbaarheid. Endpointbescherming tegen malware sluit sterk aan op ICT-risicobeheer, incidentbeheer, testen, continuïteit, herstel en ICT-risico’s van derde partijen.

DORA Article 5 legt de verantwoordelijkheid voor ICT-risico bij het bestuursorgaan. Article 6 vereist een degelijk, uitgebreid en gedocumenteerd ICT-risicobeheerkader. Articles 8 en 9 vereisen identificatie en classificatie van door ICT ondersteunde bedrijfsfuncties, informatieactiva, ICT-activa, afhankelijkheden, cyberdreigingen, kwetsbaarheden, configuraties en onderlinge afhankelijkheden. Zij omvatten ook beleid en tools voor bescherming, preventie, detectie, toegangscontrole, sterke authenticatie, wijzigingsbeheer en patching.

Articles 11 en 12 zijn centraal voor ransomwareweerbaarheid. Zij vereisen een ICT-bedrijfscontinuïteitsbeleid, respons- en herstelplannen, back-upbeleid, herstelprocedures, tests en integriteitscontroles. Article 17 vereist een proces voor ICT-gerelateerd incidentbeheer om incidenten te detecteren, beheren, classificeren, registreren, escaleren, communiceren en activiteiten na incidenten te herstellen. Article 19 creëert rapportageplichten voor majeure ICT-gerelateerde incidenten. Articles 24 tot en met 26 behandelen testen van digitale operationele weerbaarheid. Articles 28 tot en met 30 behandelen ICT-risico’s van derde partijen en contractuele regelingen.

DORA-aandachtspuntEndpointbewijs dat helpt
Identificatie van ICT-activaEndpointinventaris, eigenaar, bedrijfsfunctie, criticaliteit, mapping van afhankelijkheden
Bescherming en preventieEDR-baseline, patchstatus, toegangscontrole, encryptie, webfiltering, veilige configuratie
DetectieEDR-waarschuwingen, SIEM-correlatie, vroegtijdige waarschuwingsindicatoren, verrijking met dreigingsinformatie
ICT-gerelateerd incidentbeheerMalware-incidentticket, ernstclassificatie, rollen, acties, escalatie, oorzaakanalyse
Herstel en terugzettingRegistratie van heropbouw van het apparaat, bewijs van back-up- of bestandsherstel, integriteitscontroles
WeerbaarheidstestenEDR-simulatie, phishingsimulatie, kwetsbaarheidsscans, penetratietesten, tabletop-oefeningen
ICT-risico van derde partijenMDR- of EDR-leverancierscontract, SLA’s, auditrechten, incidentassistentie, exitplannen

Voor een financiële entiteit kan hetzelfde malware-incident dat de werking van A.8.7 aantoont, ook toezichtgericht DORA-bewijs leveren: classificatie van bedrijfsmiddelen, werking van beheersmaatregelen, incidentbeheer, herstelcapaciteit, testhistorie, verantwoordelijkheid van derde partijen en toezicht door het management.

GDPR Article 32 en triage van datalekken met persoonsgegevens

GDPR Article 32 vereist dat verwerkingsverantwoordelijken en verwerkers technische en organisatorische maatregelen implementeren die passen bij het risico. Deze maatregelen omvatten de vertrouwelijkheid, integriteit, beschikbaarheid en weerbaarheid van verwerkingssystemen en -diensten, het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens te herstellen, en het regelmatig testen, beoordelen en evalueren van beveiligingsmaatregelen.

Endpointmalware wordt GDPR-bewijs wanneer een endpoint toegang kan krijgen tot persoonsgegevens: klantregistraties, supporttickets, HR-bestanden, exports, betalingsgerelateerde informatie, gezondheidsinformatie, bijzondere categorieën gegevens, authenticatielogboeken of cloudtoepassingen met persoonsgegevens.

De privacyvraag is feitelijk van aard. Is de malware uitgevoerd? Heeft zij bestanden benaderd? Heeft zij inloggegevens vastgelegd? Zijn tokens gestolen? Zijn gegevens geëxfiltreerd? Was de endpoint versleuteld? Is het account uitgeschakeld? Zijn sessies ingetrokken? Waren logboeken beschikbaar? Zijn getroffen persoonsgegevens geïdentificeerd? Is het risico voor betrokkenen beoordeeld?

Endpointtelemetrie is vaak de enige manier om die vragen geloofwaardig te beantwoorden.

Een GDPR-gereed endpointbewijspakket moet gegevensclassificatie en registraties van verwerkingsactiviteiten, endpointtoegangspaden, encryptie, toegangsbeperking, EDR-telemetrie, SIEM-logboeken, analyse van data-exfiltratie, acties voor reset van inloggegevens, herstelregistraties, juridische toetsing, besluitvorming over datalekken en geleerde lessen met elkaar verbinden.

Privacyteams moeten deelnemen aan het ontwerp van endpointincidentdraaiboeken. Wachten tot na een malware-incident om te vragen of persoonsgegevens zijn geraakt, creëert vermijdbaar verantwoordingsrisico.

Bouw een endpointmalware-bewijspakket in 30 minuten

Kies vóór uw volgende audit één endpointmalwaredetectie uit de afgelopen 90 dagen, ook als deze een lage ernst had of een geblokkeerd testbestand betrof. Bouw een bewijspakket alsof de auditor dit als steekproef heeft geselecteerd.

Gebruik de Zenith Blueprint, fase Controls in Action, Step 19, als uw beoordelingsscript. Step 19 instrueert teams om de strategie voor malwarebescherming te beoordelen door te controleren of alle endpoints centraal beheerde antimalware of EDR hebben geïnstalleerd, actief en automatisch bijgewerkt, of realtime scanning bestandstypen, netwerkactiviteit en verwisselbare media dekt, of gatewaybescherming bestaat, of recente malwarelogboeken of quarantaines worden onderzocht en opgelost, en of gebruikers doorlopende bewustwordingstraining over phishing en malware ontvangen.

Verzamel dit bewijs:

  1. Assetregistratie: apparaatnaam, serienummer, gebruiker, eigenaar, bedrijfseenheid, locatie, apparaattype, besturingssysteem, criticaliteit, profiel voor gegevenstoegang.
  2. EDR-inschrijving: screenshot of export waaruit blijkt dat de agent is geïnstalleerd, actief en bijgewerkt is, dat beleid is toegepast en dat bescherming tegen manipulatie is ingeschakeld.
  3. Baseline-naleving: encryptie, schermvergrendeling, firewall, status van lokale beheerder, patchniveau, status van verboden software.
  4. Detectieregistratie: waarschuwings-ID, tijdstempel, detectienaam of gedrag, ernst, procesboom, getroffen bestanden, netwerkindicatoren.
  5. Indammingsactie: quarantaine, isolatie, beëindiging van proces, verwijdering van bestand, heropbouw van apparaat, reset van inloggegevens.
  6. Onderzoeksnotities: analistentriage, oorzaakanalyse, phishingpad, webpad, exploitpad, beoordeling van getroffen gegevens.
  7. Incidentbesluit: security event of incident, beoordeling van NIS2-, DORA- en GDPR-drempels waar relevant.
  8. Bewijs van afsluiting: ticketafsluiting, goedkeuring, geleerde lessen, update van risicoregister indien nodig.
  9. Metrieken: detectietijd, indammingstijd, hersteltijd, aantal vergelijkbare waarschuwingen, false-positive-status.
  10. Verbeteractie: geblokkeerd domein, afstemming van mailregel, patchuitrol, toewijzing van gebruikersbewustwording, leverancierescalatie.

Vergelijk het bewijspakket nu met uw beleid. Als het enterprisebeleid bepaalt dat alle endpoints moeten zijn ingeschreven in centraal beheerde malwarebescherming met een afgedwongen baseline, kunt u dat dan aantonen? Als het mkb-beleid bepaalt dat malwaregebeurtenissen continu moeten worden gemonitord via de antivirusconsole of het gecentraliseerde EDR-dashboard, kunt u dan het dashboard, de beoordelaar, de waarschuwing, het ticket en de afsluiting tonen?

Zo wordt EDR-data auditbewijs.

Hoe verschillende auditors dezelfde endpointbeheersmaatregelen toetsen

Verschillende assuranceteams bekijken endpointbescherming door verschillende lenzen. Het bewijs kan hetzelfde zijn, maar de vragen veranderen.

AuditorperspectiefWat zij doorgaans toetsenBewijs dat de vraag beantwoordt
ISO/IEC 27001:2022-auditorOf endpointbeheersmaatregelen via risicobehandeling zijn geselecteerd, zijn opgenomen in de Verklaring van Toepasselijkheid, zijn geïmplementeerd, worden gemonitord en worden verbeterdRisicobeoordeling, SoA-vermelding, endpointbeleid, EDR-uitrolrapportage, monitoringtickets, resultaten van interne audit
NIS2-beoordelaar voor cyberbeveiligingshygiëneOf endpointbeveiliging evenredig risicobeheer, incidentenafhandeling, behandeling van kwetsbaarheden, toegangscontrole, beheer van bedrijfsmiddelen en training ondersteuntEndpointinventaris, baseline-naleving, EDR-waarschuwingen, incidentregistraties, patchmetrieken, trainingsregistraties
DORA ICT-risicobeoordelaarOf endpointbescherming ICT-assetidentificatie, weerbaarheid, incidentbeheer, testen, continuïteit en toezicht op ICT-derde partijen ondersteuntMapping van ICT-activa, incidentclassificatie, resultaten van weerbaarheidstests, back-upbewijs, MDR-contract, managementrapportage
GDPR-privacybeoordelaarOf endpointbeheersmaatregelen de beveiliging van de verwerking en datalekbeoordeling ondersteunenMapping van gegevenstoegang, encryptie, logboeken, analyse van exfiltratie, triage van datalekken, bewijs van indamming en herstel
NIST CSF 2.0-assessorOf GOVERN-, IDENTIFY-, PROTECT-, DETECT-, RESPOND- en RECOVER-uitkomsten zijn geïntegreerdHuidig en doelprofiel, inventaris van bedrijfsmiddelen, toegangscontroles, monitoring, incidentrespons, herstelbewijs
Governancebeoordelaar in COBIT 2019-stijlOf eigenaarschap, doelstellingen, prestaties, risico en assurance zijn gedefinieerdRACI, KPI’s, KRI’s, bestuursrapportage, bewijs van eigenaren van beheersmaatregelen, uitzonderingen, opvolging van herstelmaatregelen
ISACA-interne auditorOf beheersmaatregelen doeltreffend zijn ontworpen en consistent werken over steekproeven heenSteekproeftesten, screenshots, configuratie-exporten, goedkeuringen van uitzonderingen, heruitvoering van monitoringcontroles

NIST CSF 2.0 is bijzonder nuttig als brugtaal voor bestuurders. De GOVERN-functie ondersteunt verwachtingen van stakeholders, wettelijke verplichtingen, risicobereidheid, verantwoordingsplicht, beleid, middelen en toezicht. De operationele functies helpen uitleggen hoe beheer van bedrijfsmiddelen, toegangscontrole, gegevensbescherming, monitoring, incidentrespons, indamming, verwijdering, herstel en communicatie samenwerken.

In Clarysec-projecten biedt ISO/IEC 27001:2022 de formele ISMS-ruggengraat, Zenith Controls de cross-compliance mappinggids, en NIST CSF 2.0 een bestuursvriendelijke communicatielaag.

Door leveranciers beheerde endpointdiensten maken deel uit van het bewijsmodel

Veel organisaties besteden delen van endpointbescherming uit aan MSP’s, MSSP’s, MDR-providers, aanbieders van cloud-desktops of EDR-leveranciers. Uitbesteding kan de capaciteit verbeteren, maar besteedt de verantwoordingsplicht niet uit.

NIS2 Article 21 omvat beveiliging van de toeleveringsketen en leveranciersrelaties. DORA gaat verder voor financiële entiteiten door een strategie voor ICT-risico’s van derde partijen, registers van contractuele regelingen, due diligence, analyse van concentratierisico, audit- en inspectierechten, beëindigingsrechten, incidentassistentie, exitstrategieën en duidelijke toewijzing van verantwoordelijkheden te vereisen. ISO/IEC 27001:2022 Annex A omvat beheersmaatregelen voor leveranciersrelaties, leveranciersovereenkomsten, beheersmaatregelen voor de ICT-toeleveringsketen, monitoring en wijzigingsbeheer van leveranciersdiensten, en verwerving, gebruik, beheer en exit van clouddiensten.

Bewijs voor uitbestede endpointdiensten moet omvatten:

  • Leveranciers-due diligence vóór onboarding.
  • Contractuele bepalingen voor monitoring, incidentmelding, toegang, gegevenslocatie, auditrechten, serviceniveaus en samenwerking.
  • Verantwoordelijkheidsmatrix voor triage van waarschuwingen, isolatie, oorzaakanalyse, rapportage en bewaring van bewijs.
  • Rapportages die prestaties van leveranciers en naleving van SLA’s tonen.
  • Bewijs dat leveranciersincidenten en platformuitval worden beoordeeld.
  • Exitplan als de EDR- of MDR-provider faalt, wordt beëindigd of onacceptabel wordt.
  • Bevestiging dat logboeken en forensisch bewijs beschikbaar blijven voor de organisatie.

Een veelvoorkomende auditfout is een MDR-dashboard zonder eigenaarschap. De organisatie kan waarschuwingen zien, maar kan niet aantonen wie het risico bezit, wat de provider moet doen, hoe de kwaliteit van waarschuwingen wordt beoordeeld of hoe bewijs voor regelgevende en juridische doeleinden wordt bewaard.

Metrieken die endpointtools omzetten in managementbewijs

Besturen en toezichthouders hebben geen ruwe waarschuwingsvolumes nodig. Zij hebben indicatoren nodig die laten zien of het malware-risico voor endpoints wordt beheerst.

MetriekWaarom dit van belang is
Percentage endpointdekkingLaat zien of bekende endpoints worden beschermd door goedgekeurde EDR of antimalware
Aantal onbeheerde endpointsMarkeert tekortkomingen in inventaris, onboarding of shadow IT
Percentage agentgezondheidLaat zien of agents actief, bijgewerkt en rapporterend zijn
Patchnaleving voor kritieke endpointsVerbindt malwareblootstelling met kwetsbaarhedenbeheer
Mean Time to DetectLaat de doeltreffendheid van monitoring zien
Gemiddelde tijd tot isolatieLaat de snelheid van indamming bij ransomware en malware zien
Malwareherhaling per gebruiker of bedrijfseenheidIdentificeert zwaktes in training, proces of toegang
QuarantainefaalpercentageLaat zien of responsacties betrouwbaar zijn
Risicovolle uitzonderingen open na SLALaat governance-discipline zien
Succespercentage van hersteltestsLaat weerbaarheid zien als malware verstoring veroorzaakt
Incidenten met voltooide oorzaakanalyseLaat leren en continue verbetering zien

Deze metrieken ondersteunen ISO/IEC 27001:2022-prestatie-evaluatie en directiebeoordeling, NIS2-toezicht door het bestuursorgaan, DORA-governance en ICT-risicostrategie, GDPR-verantwoordingsplicht en planning van interne audits.

De sectie Handhaving en naleving van het enterprise-Beleid inzake endpointbeveiliging / Malwarebeleid, clausule 8.2, bepaalt:

Interne audit moet periodieke beoordelingen uitvoeren van de naleving van endpointbescherming, waaronder:

Interne audit kan de bovenstaande metrieken omzetten in een kwartaaltest van beheersmaatregelen: endpoints steekproefsgewijs testen, inventaris vergelijken met EDR-inschrijving, realtime scanning verifiëren, patchstatus beoordelen, bevestigen dat gebruikers bescherming niet kunnen uitschakelen, recente malwarewaarschuwingen inspecteren en geselecteerde waarschuwingen herleiden van detectie tot afsluiting.

Veelvoorkomende hiaten in endpointbewijs die Clarysec aantreft

Zelfs volwassen organisaties worstelen met de kwaliteit van endpointbewijs. Dezelfde hiaten keren steeds terug:

  • De inventaris van bedrijfsmiddelen en de EDR-inventaris komen niet overeen.
  • Ontwikkelaarswerkstations worden minder strikt beheerst dan standaardlaptops.
  • Mobiele apparaten worden uitgesloten van endpointbewijs.
  • BYOD-toegang is toegestaan zonder afdwingbare beheersmaatregelen voor apparaatstatus.
  • EDR-agents zijn geïnstalleerd, maar bescherming tegen manipulatie is uitgeschakeld.
  • Waarschuwingen worden door een provider gemonitord, maar escalatieregels zijn vaag.
  • In quarantaine geplaatste malware is niet gekoppeld aan een incidentticket.
  • Oorzaakanalyse wordt overgeslagen bij “geblokkeerde” detecties.
  • Patchuitzonderingen missen goedkeuring door de risico-eigenaar of vervaldatums.
  • Logboeken worden te kort bewaard om datalekbeoordeling te ondersteunen.
  • Back-upherstel wordt algemeen getest, maar niet tegen ransomwarescenario’s.
  • Bestuursrapportage toont aantallen waarschuwingen in plaats van risicoreductie.

De oplossing is niet meer spreadsheets. De oplossing is een verbonden operationeel model waarin beleid, inventaris, endpointconfiguratie, monitoring, incidentrespons, leveranciersmanagement, regelgevende triage, metrieken en audittests elkaar versterken.

Tien werkdagen om endpointbescherming tegen malware auditgereed te maken

Als u snel wilt starten, voer dan in de komende tien werkdagen de volgende acties uit:

  1. Exporteer uw endpointinventaris en EDR-inventaris en stem ze vervolgens op elkaar af.
  2. Identificeer onbeheerde, inactieve, verouderde, dubbele endpoints en endpoints met uitzonderingen.
  3. Bevestig instellingen voor realtime scanning, bescherming tegen manipulatie, automatische updates, isolatie en quarantaine.
  4. Neem een steekproef van vijf malwarewaarschuwingen en herleid elke waarschuwing naar onderzoek en afsluiting.
  5. Controleer of endpointgebeurtenissen NIS2-, DORA- en GDPR-incidenttriage kunnen ondersteunen.
  6. Beoordeel MDR-, MSP- en EDR-leverancierscontracten op incidentondersteuning, toegang tot bewijs, auditrechten, SLA’s en exitvoorwaarden.
  7. Voeg endpointdekking, agentgezondheid, isolatietijd, patchnaleving en voltooiing van oorzaakanalyse toe aan managementrapportage.
  8. Voer een interne auditsteekproef uit met de Step 19-checklist van de Zenith Blueprint.
  9. Gebruik Zenith Controls om A.8.1 en A.8.7 te koppelen aan logging, monitoring, kwetsbaarhedenbeheer, incidentrespons, leveranciersbeheersmaatregelen en herstel.
  10. Actualiseer uw governancebaseline met Clarysecs Beleid inzake endpointbeveiliging / Malwarebeleid of het mkb-Endpointbeveiligingsbeleid - Malwarebescherming.

Endpointbescherming tegen malware in 2026 gaat niet alleen over het stoppen van ransomware. Het gaat erom aan te tonen dat uw organisatie kan voorkomen, detecteren, indammen, herstellen, rapporteren en verbeteren.

Clarysec kan u helpen endpointbescherming om te zetten van een toolimplementatie in een verdedigbaar systeem voor cross-compliancebewijs. Download het Beleid inzake endpointbeveiliging / Malwarebeleid, begin met het mkb-Endpointbeveiligingsbeleid - Malwarebescherming als u een slanker operationeel model nodig hebt, gebruik de Zenith Blueprint om de beheersmaatregelen te implementeren en gebruik Zenith Controls om uw endpointbewijs te verbinden met ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 en auditverwachtingen.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article