Niet eerder was cybersecurity van groter belang dan vandaag de dag. Je hoeft de krant maar op een willekeurige morgen open te slaan om de noodzaak ervan in te zien. We leven in de tijd waarin een tiener een bank plat legt met een simpele aanval, bedrijven aan de lopende band slachtoffer worden van digitale afpersing en cyberaanvallen als wapen worden ingezet in geopolitieke conflicten.
Cybersecurity is te vergelijken met een professionele wielerwedstrijd. Het beschermen van het vertrouwen en de reputatie van een bedrijf is even belangrijk als het behouden van de gele trui in een Tour de France-etappe. Als je de kritieke data die jouw bedrijf bezit niet kunt beschermen zit je nooit écht stevig genoeg in het zadel om te kunnen demareren.
Hoe zorg jij dat je tijdig op de hoogte bent van bochten en obstakels op de weg? En hoe ga je om met onverwachte omstandigheden als een plotselinge windvlaag of onbezonnen actie van een concurrerende renner die jou lelijk ten val kunnen brengen? Het antwoord op deze vragen vind je in nauwe samenwerking met een team van specialisten die er voor zorgen dat jij je in vol vertrouwen kunt focussen op het winnen van de race.
Zoals een ervaren wielrenner vertrouwt op een team van ondersteuners en mederenners om samen strategieën te bespreken en uit te voeren, is het voor jouw bedrijf cruciaal om een robuust team van cybersecurity-experts aan je zijde te hebben. Een betrouwbare security partner biedt hierin uitkomst. Met de juiste inzet van Managed Detectie en Response diensten, zoals SOC, SIEM, MDR, EDR en XDR kun je niet alleen de koers van jouw bedrijf bepalen, maar ook de concurrentie voorblijven, je reputatie in de kopgroep te handhaven en uiteindelijk de wedstrijd winnen.
Om jouw team en hun gereedschappen écht te begrijpen is het nodig om hun jargon beter te kennen. Laten we eens wat verder inzoomen op Managed Detection and Response en de vele afkortingen die hierbij steevast de revue passeren.
We krijgen vaak vragen van klanten die aangeven dat ze op zoek zijn naar een "managed SOC/SIEM", alsof de twee van nature uitwisselbaar zijn. Echter zijn ze dat niet. Dus wat zijn ze precies?
SOC staat voor Security Operations Center. Een SOC richt zich meestal niet alleen op security operations (zoals het beheer van beveiligingsapparaten), maar ook op threat en vulnerability management, proactieve monitoring en incidentkwalificatie. Maar het kan voor verschillende mensen verschillende dingen betekenen. Eén ding is echter duidelijk: een SOC is een bedrijfsfunctie die een combinatie is van mensen, processen en technologie (of je nu interne medewerkers, procedures en tools gebruikt of het uitbesteedt).
SIEM daarentegen staat voor "Security Information and Event Management". Dit maakt niet alleen gestandaardiseerde verwerking van loggegevens van meerdere beveiligingstools mogelijk, maar ook uitgebreide monitoring met behulp van aangepaste logbronnen zoals op maat gemaakte applicaties of nicheproducten die niet door de bredere markt worden gebruikt. Een SIEM is een technologie voor security operations. Maar het is alleen dat - technologie - het draait zichzelf niet.
Waarom worden ze dan vaak in één adem genoemd? Wij geloven dat dit een verouderde term is dat langzaam aan het veranderen is. Toen detectie en respons als concept ontstond (ervan uitgaande dat 100% preventie onmogelijk is), was een SIEM effectief de enige manier om zo'n functie te leveren en dus kozen SOC-teams de SIEM als hun favoriete tool. Na verloop van tijd zijn er echter talloze opties ontstaan. Zelfs het SOC zelf begint zich op te splitsen in enkele sub functies.
Orange Cyberdefense verdeelt dit in drie duidelijke functies:
Nu we de teams kennen, wat zit er dan qua tools bij? We hebben hierboven de SIEM besproken, maar het is niet langer de enige optie voor het leveren van effectieve detectie en respons. Sterker nog, veel organisaties beginnen nu met de basis, Endpoint Detection and Response (EDR).
EDR software monitort endpoints (computers, tablets, mobiele telefoons, enz.), niet het systeemnetwerk.
Om dit te doen, analyseert EDR software het gebruik van de bewaakte endpoints, met name door gedragsanalyse. Dit maakt het mogelijk om na een leerfase afwijkend gedrag te herkennen. EDR software is ook in staat om de exploitatie van security gebreken te monitoren.
Het voordeel van EDR oplossingen is dat ze bedrijven in staat stellen zichzelf te beschermen tegen zowel bekende (bijvoorbeeld een virus) als onbekende aanvallen door verdacht gedrag te analyseren.
Als aanvulling op EDR, wat betreft het leveren van basisfunctionaliteit voor detectie en respons, hebben we NDR.
NDR software biedt uitgebreide zichtbaarheid aan SOC-teams over het hele netwerk, om het gedrag te detecteren van mogelijk verborgen aanvallers die zich richten op fysieke, virtuele en cloud infrastructuren. Het vormt een aanvulling op de EDR en SIEM tools.
De NDR aanpak biedt een overzicht en richt zich op de interacties tussen de verschillende knooppunten van het netwerk. Het verkrijgen van een bredere detectie context kan de volledige omvang van een aanval onthullen en snellere en meer gerichte response acties mogelijk maken.
XDR is een evolutie van EDR en heeft EDR effectief vervangen op de beveiligingsmarkt. Met EDR als basiscomponent streeft XDR-software ernaar om de eerder besproken benaderingen van EDR en NDR samen te brengen om beveiligingsteams te helpen bij het oplossen van problemen met dreigingszichtbaarheid door beveiligingsgegevens van meerdere bronnen te centraliseren, standaardiseren en correleren. Deze aanpak verhoogt de detectiemogelijkheden in vergelijking met op zichzelf staande endpoint detection and response-tools (EDR) of netwerkverkeersanalyse (NDR). Zo biedt XDR volledige zichtbaarheid door gebruik te maken van netwerkgegevens om kwetsbare (niet-beheerde) endpoints te monitoren die niet zichtbaar zijn voor EDR-tools, terwijl het ook verdacht netwerkverkeer laat zien in de context van zichtbaar gedrag op verschillende hosts die mogelijk verband houden met het verdachte netwerkverkeer.
XDR analyseert gegevens van meerdere bronnen (e-mailactiviteit, endpoints, servers, netwerken, cloudstreams, identiteitstechnologieën zoals AzureAD of andere SSO-providers...) om meldingen te valideren, waardoor false positives en de algehele hoeveelheid meldingen worden verminderd. Deze integratie van indicatoren uit meerdere bronnen stelt XDR in staat om de efficiëntie van beveiligingsteams te verbeteren.
We hebben nog één laatste acroniem voor je.
De afkorting MDR staat voor managed detection and response. MDR brengt de SOC-functie en de verschillende bovengenoemde oplossingen samen om een allesomvattende aanpak van cyberdreigingen mogelijk te maken. MDR levert een resultaat op.
Dus als je merkt dat je gedachten afdwalen naar de gedachte "Ik heb een beheerde SIEM/SOC nodig", dan zou je juist MDR moeten overwegen!
Met de juiste inzet van MDR-oplossingen beschik je over een betrouwbaar team en zit je stevig in het zadel en kun je razendsnel en onvermoeibaar digitaal blijven versnellen. In onze Managed Detection and Response Buyer’s Guide zie je snel wat de beste detectie- en responsoplossingen voor jouw organisatie zijn.
Wil jij net als een profwielrenner onvermoeibaar en op hoge snelheid richting je strategische bedrijfsdoelen? Dan is vertrouwen cruciaal. Met deze adviezen in het achterhoofd zit je in ieder geval stevig in het zadel.
Detectie en response vereist tijd, vaardigheden, resources en investering. Als je een idee wilt krijgen van wat de beste optie is voor jouw organisatie, probeer dan onze Managed Detection and Response Buyer’s Guide.
Probeer onze MDR Buyer's Guide!