12 maart 2024
Matthijs van der Wel - ter Weel
Strategisch adviseur
Het kiezen van de juiste technologie bij het overwegen van Managed Detection and Response (MDR) services is een beetje als het vinden van het perfecte moment om te ontsnappen uit het peloton tijdens een wielerwedstrijd. Timing is alles, en met de juiste technologie aan de start verschijnen kan een wereld van verschil maken.
Wij worden vaak benaderd door bedrijven die ons vragen een offerte te maken voor MDR diensten. In deze offerte willen ze graag verschillende technologieen op laten nemen. Ze vragen dan om EDR (Endpoint Detection and Response), NDR (Network Detection and Response), SIEM (Security Information and Event Management) of XDR (Extended Detection and Response). Hierbij merken wij dat het nog te vaak voorkomt dat ze hun keuzes niet grondig hebben doordacht.
Daarom hebben wij een tool op onze website om je hierin te begeleiden. Onze experts hebben nog geavanceerdere tools en bieden workshops die je een goed en compleet beeld bieden. Maar voor wie geen zin heeft om deze tools te gebruiken of deel te nemen aan een workshop leg ik in dit artikel eenvoudig uit wat je moet weten om tot een beter overwogen keuze te komen wanneer het gaat om jouw ideale MDR dienstenpakket.
Om de dreigingen die zich in jouw systeem verschuilen echt te kunnen zien, moeten we kijken naar Gartner's SOC-visibility triad:
Daarnaast is er SOAR voor automatische reacties en het nieuwste lid, XDR, dat AI gebruikt om dreigingen op te sporen en aan te pakken.
Elke van deze technologieën heeft zijn voordelen, maar vereist ook een investering van tijd en moeite om echt uit te blinken. Zelfs wanneer je het als onderdeel van een dienst aanschaft, zul je nog steeds tijd moeten investeren met jouw leverancier om het opsporen van dreigingen te optimaliseren en om real-world scenario's op maat voor jouw bedrijf te ontwikkelen.
Ons recente onderzoeksrapport Security Navigator 2024 biedt een overzicht van hoe MDR je helpt bij het behalen van jouw zakelijke doelen en hoe snel je resultaten boekt.
Om optimaal te kunnen profiteren van de kracht van MDR, is de juiste opstelling vereist. EDR vereist een klein stukje software dat op ieder apparaat geïnstalleerd moet worden. Dit kan eenvoudig of lastig zijn, afhankelijk van jouw IT-situatie. En je moet dit afstemmen met je privacyteam en de ondernemingsraad, omdat je apparaten in de gaten houdt. NDR moet fysiek worden geïnstalleerd en aangesloten op de netwerkhardware, wat ingewikkeld kan worden als jouw netwerk een doolhof is van segmenten en switches.
En dan is er SIEM, dat je logbestanden nodig heeft, maar het kiezen van welke en ervoor zorgen dat ze de juiste informatie bevatten, is cruciaal. Waar wil je op letten? Ondanks dat SIEM hier ervaren in is, betekent ouder niet altijd beter om mee te beginnen. Wees ervan bewust dat SIEM-oplossingen, zoals Microsoft Azure Sentinel, vaak kosten in rekening brengen op basis van de hoeveelheid ingesloten loggegevens, wat kan variëren en mogelijk kan leiden tot onverwachte, en soms hoog oplopende, kosten.
Elke van deze technologieën komt standaard met scenario's waar ze naar op zoek zijn, zoals wanneer jouw e-mailserver begint te communiceren met een online bestandsdelingsdienst - dat hoort meestal niet bij zijn taken. Dus, je krijgt een waarschuwing en dan is het aan jou om uit te zoeken of het een echt probleem is of gewoon een vals alarm. Misschien haalt jouw IT-medewerker inderdaad een keer per maand bestanden uit de cloud - dat is normaal voor jou, dus geen alarm. En als het gewoon iemand van marketing is die advertentieontwerpen downloadt, dan is dat een vals alarm. Dit is wat we "tuning" noemen - het systeem aanpassen om te weten wat normaal is voor jou.
Ook monitoring is persoonlijk. Stel dat je niet wilt dat buitenstaanders rechtstreeks toegang krijgen tot je netwerk, maar altijd door een beveiligde controlepost moeten gaan. Je MDR-service kan dan speciale regels instellen om eventuele overtreders te betrappen. Deze speciale regels (gebruikscases) zullen wel moeten worden gemaakt.
In Security Navigator 2024 hebben we grote hoeveelheden data geanalyseerd om te zien hoeveel waarschuwingen daadwerkelijke incidenten waren in vergelijking met valse alarmen. Je wilt het aantal valse alarmen laag houden, omdat ze tijdverspillers zijn. Het blijkt dat EDR meestal accuraat is, en meer nauwkeurige waarschuwingen geeft dan de rest.
Wanneer we het hebben over je applicaties en netwerkapparatuur, zijn de zaken niet zo uniform. Je MDR kan dan overspoeld worden met valse alarmen, als het die in de gaten houdt. En als je IT-omgeving voortdurend verandert, zullen jouw maatwerk scenario's voortdurende updates nodig hebben - dat is veel werk aan jouw kant.
Je wilt je SIEM niet zomaar overdragen aan een MDR-dienst en het daarbij laten. Je zult je mouwen moeten opstropen en betrokken moeten zijn, vooral als je bedrijf serieus is over cyberbeveiliging, een stabiele omgeving heeft, en je de tijd hebt om samen te werken met je managed security dienstverlener.
Beginnen met EDR is minder lastig. Het vereist minder aanpassingen omdat besturingssystemen zoals Windows, MacOS en Linux meer gestandaardiseerd zijn. Je kunt het aantal valse alarmen nog verder verminderen door XDR in te zetten, met zijn AI-intelligentie. En als je EDR combineert met NDR, nog beter!
Het reageren op meldingen is een ander verhaal. Daar komt SOAR om de hoek kijken, met zijn playbooks. Dit zijn als het ware de handleidingen die precies beschrijven hoe je omgaat met ieder type alarm. Ook dit is volledig op maat gemaakt en afhankelijk van hoe jouw bedrijf werkt.
XDR en sommige EDR-oplossingen die AI-aangedreven reacties bieden zorgen voor wat onduidelijkheid. Zelfs met veel testen blijft het laten nemen van belangrijke beslissingen, zoals het uitschakelen van een systeem, door AI iets waar velen voorzichtig mee zijn.
Samenvattend kun je stellen dat het een goed idee is om te starten met EDR wanneer je nieuw bent op het gebied van MDR. Voeg XDR en AI toe om te leren hoe je omgaat met waarschuwingen. Breng later NDR binnen als je apparaten hebt waarop geen agent kan worden geïnstalleerd. Naarmate je hier beter in wordt, voeg je SIEM en SOAR toe.
Jouw ideale leverancier van Managed Detection and Respons moet een gids zijn die je helpt groeien op het gebied van beveiliging. Maar ook een zakelijke partner die jou helpt om in vertrouwen digitaal te versnellen. Bel ons gerust of stuur een bericht, om samen een routekaart op te stellen voor MDR-technologie en -diensten die aansluiten bij jouw huidige en toekomstige organisatie.
Matthijs van der Wel - ter Weel
Strategisch adviseur
Matthijs heeft ruim 20 jaar ervaring in cybersecurity met een focus op incident response en cyber threat intelligence. Met zijn technische expertise en zakelijke achtergrond legt hij complexe cybersecurity vraagstukken uit en vertaalt ze naar het niveau van het management en de raad van bestuur. Matthijs is ook gastdocent aan de Erasmus School of Accounting & Assurance (ESAA) en een veelgevraagd spreker.
Detectie en response vereist tijd, vaardigheden, resources en investering. Als je een idee wilt krijgen van wat de beste optie is voor jouw organisatie, probeer dan onze Managed Detection and Response Buyer’s Guide.
Probeer onze MDR Buyer's Guide!