Zoeken

  1. Netherlands
  2. Insights
  3. Blog
  4. Managed Detection & Response
  5. MDR: Wat brengt de toekomst - Deel 2

MDR: Wat brengt de toekomst - Deel 2

Managed Detection & Response

Share

Grant Paling
Product Manager Global Service Lines

Welkom bij deel 2 van mijn blog over hoe ik denk dat de toekomst van Managed Detection and Response (MDR) eruitziet. In mijn vorige blog behandelde ik AI, beveiligingsmonitoring in de cloud en automatisering. Drie grote onderwerpen voor een relatief kleine blog! In dit tweede deel wil ik me richten op iets dat verband houdt met al die drie onderwerpen - asset intelligence.

Assets, assets, overal

Weet je waar al je IT-assets zich bevinden? Als ik moest gokken, zou ik zeggen van niet. Asset management is altijd al moeilijk geweest, maar nu is het moeilijker dan ooit.

Het type asset dat je nu moet beschermen, is veel diverser dan 10 of zelfs 5 jaar geleden. Dingen zoals:

  • Endpoints;
  • Gebruikersidentiteiten;
  • Virtuele machines;
  • Containerhosts;
  • Publieke cloudresources;
  • Sociale media-accounts;
  • Mobiele applicaties.

En deze lijst kan nog wel doorgaan. Maar alleen al het opsommen van een paar soorten IT-assets geeft ons reden om onze handen in wanhoop vast te houden. Hoe kunnen we beginnen te begrijpen welke assets we hebben en welke bescherming ze hebben? Belangrijker nog, welke bescherming of zichtbaarheid ontbreekt er?

We moeten proberen het beter te doen.

Als de volgende evolutie van onze op intelligence-led security strategie zien we dat Managed Detection and Response ook beter moet presteren. In Managed Services in het algemeen zien we veel IT-assets waarvan we ook veel informatie over hebben. Het sleutelwoord is het implementeren van een vorm van asset intelligence die bekende en onbekende assets kan identificeren, en vaak hebben Managed Detection and Response-diensten een van de beste overzichten van die onbekende assets.

De belangrijkste uitdagingen bij het implementeren van Asset Intelligence

Het zal niet gemakkelijk zijn, maar hier zijn de uitdagingen die we zien die overwonnen moeten worden als we maximale asset intelligence willen verkrijgen:

  1. We moeten een gemeenschappelijk begrip hebben van een asset;
  2. Dit moet worden vertaald, ongeacht de bron (in ons geval bijvoorbeeld verschillende beheerde services);
  3. We moeten in staat zijn om centraal belangrijke informatie over die asset te bekijken, zoals:
    • Welke kwetsbaarheden heeft het?
    • Wat is het werkelijke risico van die kwetsbaarheden?
    • Wat is de kritikaliteit van de asset?
    • Hoe vaak wordt het aangevallen?
    • Is het succesvol gecompromitteerd (vertrouwelijkheid, beschikbaarheid of integriteit)?
    • Hoe veilig is het geconfigureerd?
    • Vormt het enige risico's door verkeerde configuratie die kunnen worden verholpen?
    • Welke van de bovenstaande zichtbaarheid hebben we op die asset en wat ontbreekt er?
       
  4. Er is ook behoefte aan continue identificatie van nieuwe assets, waardoor het mogelijk is om het aanvalsoppervlak van de onderneming te bewaken;
  5. Het is ook belangrijk om enige bedrijfscontext te kunnen opnemen, zoals die van een CMDB. We zien vaak in de praktijk dat een CMDB misschien onvolledig is, maar als er waardevolle contextuele informatie beschikbaar is, moet deze worden opgenomen.

Asset intelligence is belangrijk voor MDR en de toekomstige ontwikkeling van MDR omdat context key is. Hoe beter de context, hoe beter de Managed Detection and Response-provider kan zijn in het correct beoordelen van de prioriteit van elk incident. Het resultaat hiervan is minder false positives, meer uitgebreide en op het bedrijf gerichte incidentrapporten en een betere interoperabiliteit met andere kritieke beveiligingsfuncties zoals security posture management, vulnerability management en attack surface management.

Er is nog steeds een algemeen gebrek aan begrip van het concept "assets" in veel van de tools die men gebruikt voor Detection en Response - van XDR-platforms tot SIEM en SOAR. En waar het wel aanwezig is, blijft het erg geïsoleerd en gericht op de bekende assets.

Asset intelligence vormt het antwoord en is een concept waar we voortdurend aan blijven werken. Het is van essentieel belang voor een benadering gebaseerd op intelligentie, omdat asset intelligence jou (of zelfs ons als een managed serviceprovider) in staat stelt om een diepgaand inzicht in jouw organisatie te verkrijgen.

"Als je de vijand kent en jezelf kent, hoef je de uitkomst van honderd veldslagen niet te vrezen. Als je jezelf kent maar de vijand niet, zul je voor elke overwinning ook een nederlaag lijden. Als je noch de vijand noch jezelf kent, zul je in elke strijd bezwijken."

Sun Tzu, De kunst van het oorlogvoeren

Er is een reden waarom we dit vaak citeren in de cybersecurity-industrie... omdat het de waarheid is. En we bezwijken in te veel gevechten omdat we beter moeten worden in het kennen van onszelf, er is te veel focus op de vijand. Maar met asset intelligence, in combinatie met threat intelligence, kunnen we onszelf hoop geven.

Grant Paling
Product Manager Global Service Lines

Over de auteur

Grant is verantwoordelijk voor het ontwikkelen en beheren van producten en diensten die onze klanten beschermen tegen cyberdreigingen. Grant heeft een trackrecord van voortdurende groei en aanpassing aan de evoluerende eisen van de sector. 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11