In onze security-business regent het acroniemen. Zo gingen we van AV naar EPP naar EDR en nu XDR. Deze veranderende technologieën zijn het gevolg van een ander belangrijk gegeven: cyberthreat actors evolueren continu en als beveiligers moeten we ze een of meer stappen voor blijven. Naast het veranderende dreigingslandschap, zijn er ook nog de innovaties in de business (operations) zelf. We zijn van een on-premises wereld die wordt begrensd door een beheersbare netwerkperimeter, naar een gedistribueerde, cloudgestuurde infrastructuur gegaan. Waarbij we ook nog eens werken op afstand en er vijf miljard maandelijkse conference calls plaatsvinden die zorgen voor meer complexiteit bij het waarborgen van de veiligheid. Bovendien neemt, zoals elke CISO u zal vertellen, het aantal cyberaanvallen, cyberaanvallers en offensieve toolsets toe.
De beveiligingstechnologieën uit het verleden zijn simpelweg niet gebouwd om het hoofd te bieden aan het complexe, snel veranderende dreigingslandschap van vandaag. Het bewijs daarvoor is overtuigend: toenemende ransomwareaanvallen in combinatie met datalekken en IP-diefstal, en gespannen SOC-teams die moe worden van de grote aantallen alerts en te maken hebben met personeelstekorten. Daarbij blijft het aantal succesvolle aanvallen stijgen, ondanks de aanwezigheid van traditionele beveiligingstools.
We hebben een nieuwe en meer holistische benadering van detectie en respons nodig; een die niet alleen traditionele endpoints omvat, maar ook het grotere aanvalsoppervlak, zoals het netwerk en de cloud. Gelukkig zijn dit slechts enkele van de problemen die XDR moet oplossen. In dit artikel leggen we uit wat XDR is en hoe XDR het speelveld verandert door beveiligingsteams te versterken en threat actors te slim af te zijn.
Wat is XDR?
XDR, Extended Detection and Response, is de evolutie van EDR, Endpoint Detection and Response. EDR, met name ActiveEDR, zorgt voor zichtbaarheid en geautomatiseerde respons op endpoints zoals laptops en werkstations. Maar het netwerk van vandaag heeft zoveel andere data points die ook door aanvallers kunnen worden misbruikt: van mobiele telefoons en IoT-apparaten tot containers en cloud-native applicaties.
XDR wordt soms ‘Cross-Layered’- of ‘Any Data Source’-detectie en respons genoemd en het reikt verder dan het endpoint om beslissingen te nemen. Het baseert zich op gegevens van meer producten en kan actie ondernemen binnen de hele stack door te reageren op e-mail, netwerk, identiteit en meer.
Wat zijn de voordelen van XDR ten opzichte van EDR?
XDR vervangt de silo’s in beveiliging en helpt organisaties cyberbeveiligingsuitdagingen aan te pakken vanuit één uniform standpunt. Dankzij één pool van onbewerkte gegevens die informatie bevatten uit het hele ecosysteem, maakt XDR maakt snellere, diepere en effectievere detectie en respons van bedreigingen mogelijk dan EDR, omdat het gegevens uit een breder scala aan bronnen verzamelt.
XDR biedt meer context en inzicht in bedreigingen. Zo worden incidenten die anders niet zouden zijn aangepakt, naar een hoger awareness-niveau gebracht, waardoor beveiligingsteams de eventuele impact kunnen verminderen en de omvang van de aanval kunnen minimaliseren. Een typische ransomware-aanval doorkruist het netwerk, belandt in een e-mailinbox en valt vervolgens het endpoint aan. Wanneer de beveiliging elk van deze onderdelen afzonderlijk bekijkt, ben je als organisatie in het nadeel. XDR integreert beveiliging en kan toegang toestaan, blokkeren, of verwijderen. Bovendien biedt het nog veel meer mogelijkheden via aangepaste regels, geschreven door de gebruiker of via de ingebouwde logica in de engine.
Deze uitgebreide zichtbaarheid leidt tot verschillende voordelen, waaronder:
– verbeterd vermogen om stealth-aanvallen te detecteren
– minder dwell time
– snellere mitigatie
Bovendien helpt XDR dankzij AI en automatisering de last van handmatig werk voor beveiligingsanalisten te reduceren. Een XDR-oplossing kan geavanceerde bedreigingen proactief en snel detecteren, waardoor de productiviteit van het beveiligings- of SOC-team wordt verhoogd en de ROI stijgt.
Waarin verschilt XDR van SIEM?
Zowel XDR- als SIEM-tools verzamelen gegevens uit meerdere bronnen, maar buiten dat hebben ze bijna niets anders gemeen. In tegenstelling tot een XDR-platform zijn SIEM’s (zoals passieve EDR-tools) niet in staat om zinvolle trends te identificeren, noch bieden ze geautomatiseerde detectie- of reactiemogelijkheden. Om bruikbaar te zijn, vereisen SIEM’s daarnaast veel handmatig onderzoek en analyse.
Echter, mocht u al in SIEM-tools hebben geïnvesteerd, dan worden deze niet direct overbodig gemaakt door uw XDR-platform. De data kunnen namelijk rechtstreeks worden ingevoerd in het datalake van uw XDR-platform, waardoor al die onbewerkte gegevens worden blootgesteld aan de AI- en machine learning-mogelijkheden van de XDR.
Waar moet ik op letten bij een goede XDR-oplossing?
De eerste sleutel tot een effectieve XDR-oplossing is integratie. Het moet naadloos werken binnen uw beveiligingsstack, met gebruikmaking van native tools met uitgebreide API’s. Ook is de mate belangrijk waarin de engine out-of-the-box cross-stack correlatie, preventie en herstel biedt. Plus de mogelijkheid om op die engine voort te bouwen door gebruikers in staat te stellen hun eigen cross-stack aangepaste regels te schrijven voor detectie en respons. Pas op voor onvolwassen of overhaaste oplossingen die misschien niets meer zijn dan oude tools die aan elkaar zijn geschroefd. Uw XDR moet één platform bieden waarmee u gemakkelijk en snel een allesomvattend overzicht van de hele organisatie kunt opbouwen.
Ten tweede is automatisering, ondersteund door geavanceerde AI en bewezen algoritmen voor Machine Learning, essentieel. Heeft uw leverancier een rijke geschiedenis in het ontwikkelen van state-of-the-art AI-modellen, of staat deze vooral bekend om legacy-technologie en probeert hij van positie te veranderen in de markt?
Ten derde: hoe gemakkelijk is uw XDR-oplossing in staat tot leren, of is deze te onderhouden, te configureren en updaten? Een van de belangrijkste voordelen van een sterke XDR-oplossing is dat uw personeel de productiviteit verhoogt met geautomatiseerde detectie en respons. U wilt er wel zeker van zijn dat u het werk dat uw personeel moet doen niet simpelweg verplaatst naar het beheren van of navigeren via een gecompliceerde oplossing.
Conclusie
Cybersecurity wordt vaak vergeleken met een wapenwedloop tussen aanvallers en verdedigers, en die race reikt inmiddels verder dan enkel het endpoint. Nu bedrijven steeds meer werken op afstand en gebruik maken van cloudinfrastructuur, neemt het aanvalsoppervlak toe. Alleen een geïntegreerd platform kan het inzicht en geautomatiseerde verdediging bieden die nodig zijn voor alle assets. Door endpoint-, netwerk- en applicatietelemetrie te combineren, kan XDR beveiligingsanalyses bieden om die race te winnen dankzij verbeterde detectie, triage en respons.
Dit is een ingezonden bijdrage van Andre Noordam, Director of Sales Engineering EMEA North bij SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.