SOC, SIEM, MDR, EDR... wat zijn de verschillen?

Niet eerder was cybersecurity van groter belang dan vandaag de dag. Je hoeft de krant maar op een willekeurige morgen open te slaan om de noodzaak ervan in te zien. We leven in de tijd waarin een tiener  een bank plat legt met een simpele aanval, bedrijven aan de lopende band slachtoffer worden van digitale afpersing en cyberaanvallen als wapen worden ingezet in geopolitieke conflicten.

Cybersecurity is te vergelijken met een professionele wielerwedstrijd. Het beschermen van het vertrouwen en de reputatie van een bedrijf is even belangrijk als het behouden van de gele trui in een Tour de France-etappe. Als je de kritieke data die jouw bedrijf bezit niet kunt beschermen zit je nooit écht stevig genoeg in het zadel om te kunnen demareren. 
Hoe zorg jij dat je tijdig op de hoogte bent van bochten en obstakels op de weg? En hoe ga je om met onverwachte omstandigheden als een plotselinge windvlaag of onbezonnen actie van een concurrerende renner die jou lelijk ten val kunnen brengen? Het antwoord op deze vragen vind je in nauwe samenwerking met een team van specialisten die er voor zorgen dat jij je in vol vertrouwen kunt focussen op het winnen van de race. 

Zoals een ervaren wielrenner vertrouwt op een team van ondersteuners en mederenners om samen strategieën te bespreken en uit te voeren, is het voor jouw bedrijf cruciaal om een robuust team van cybersecurity-experts aan je zijde te hebben. Een betrouwbare security partner biedt hierin uitkomst. Met de juiste inzet van Managed Detectie en Response diensten, zoals SOC, SIEM, MDR,  EDR en XDR kun je niet alleen de koers van jouw bedrijf bepalen, maar ook de concurrentie voorblijven, je reputatie in de kopgroep te handhaven en uiteindelijk de wedstrijd winnen. 

Om jouw team en hun gereedschappen écht te begrijpen is het nodig om hun jargon beter te kennen. Laten we eens wat verder inzoomen op Managed Detection and Response en de vele afkortingen die hierbij steevast de revue passeren.  

We krijgen vaak vragen van klanten die aangeven dat ze op zoek zijn naar een "managed SOC/SIEM", alsof de twee van nature uitwisselbaar zijn. Echter zijn ze dat niet. Dus wat zijn ze precies?

SOC staat voor Security Operations Center. Een SOC richt zich meestal niet alleen op security operations (zoals het beheer van beveiligingsapparaten), maar ook op threat en vulnerability management, proactieve monitoring en incidentkwalificatie. Maar het kan voor verschillende mensen verschillende dingen betekenen. Eén ding is echter duidelijk: een SOC is een bedrijfsfunctie die een combinatie is van mensen, processen en technologie (of je nu interne medewerkers, procedures en tools gebruikt of het uitbesteedt).

SIEM daarentegen staat voor "Security Information and Event Management". Dit maakt niet alleen gestandaardiseerde verwerking van loggegevens van meerdere beveiligingstools mogelijk, maar ook uitgebreide monitoring met behulp van aangepaste logbronnen zoals op maat gemaakte applicaties of nicheproducten die niet door de bredere markt worden gebruikt. Een SIEM is een technologie voor security operations. Maar het is alleen dat - technologie - het draait zichzelf niet.

Waarom worden ze dan vaak in één adem genoemd? Wij geloven dat dit een verouderde term is dat langzaam aan het veranderen is. Toen detectie en respons als concept ontstond (ervan uitgaande dat 100% preventie onmogelijk is), was een SIEM effectief de enige manier om zo'n functie te leveren en dus kozen SOC-teams de SIEM als hun favoriete tool. Na verloop van tijd zijn er echter talloze opties ontstaan. Zelfs het SOC zelf begint zich op te splitsen in enkele sub functies.

Orange Cyberdefense verdeelt dit in drie duidelijke functies:

• SOC - de operationele centra die zorgen voor het beheer van beveiligingsapparaten en het monitoren van operationele platformen, veranderingen implementeren en ondersteuning en probleemoplossing bieden.
• CyberSOC - de operationele centra die zorgen voor proactieve monitoring van beveiligingsincidenten, analyse en triage van meldingsgegevens van verschillende beveiligingstechnologieën en een initiële incidentrespons bieden (bijvoorbeeld een initiëel incidentrapport, isolatie van geïnfecteerde machines).
• CERT - dit is het Computer Emergency Response Team. Dit team opereert zowel vanuit centrale operationele centra als met mobiele leden die activiteiten uitvoeren zoals incidentrespons ter plaatse bij klantlocaties/datacenters. Het CERT heeft verschillende functies:
  • Het verstrekken van bedreigings- en kwetsbaarheidsinformatie aan klanten en ook aan de andere bovengenoemde teams.
  • Het bieden van een CSIRT-functie (Computer Security Incident Response Team).
  • Het extern monitoren van de digitale risico's van klanten met behulp van verschillende openbare bronnen en informatie verkregen uit ondergrondse forums / gesloten websites (bijvoorbeeld wat algemeen bekend staat als het "Dark Web", of anders gezegd, sites die niet toegankelijk zijn via standaard internetbrowsers).

Nu we de teams kennen, wat zit er dan qua tools bij? We hebben hierboven de SIEM besproken, maar het is niet langer de enige optie voor het leveren van effectieve detectie en respons. Sterker nog, veel organisaties beginnen nu met de basis, Endpoint Detection and Response (EDR).

EDR software monitort endpoints (computers, tablets, mobiele telefoons, enz.), niet het systeemnetwerk.

Om dit te doen, analyseert EDR software het gebruik van de bewaakte endpoints, met name door gedragsanalyse. Dit maakt het mogelijk om na een leerfase afwijkend gedrag te herkennen. EDR software is ook in staat om de exploitatie van security gebreken te monitoren.

Het voordeel van EDR oplossingen is dat ze bedrijven in staat stellen zichzelf te beschermen tegen zowel bekende (bijvoorbeeld een virus) als onbekende aanvallen door verdacht gedrag te analyseren.

Als aanvulling op EDR, wat betreft het leveren van basisfunctionaliteit voor detectie en respons, hebben we NDR.

NDR software biedt uitgebreide zichtbaarheid aan SOC-teams over het hele netwerk, om het gedrag te detecteren van mogelijk verborgen aanvallers die zich richten op fysieke, virtuele en cloud infrastructuren. Het vormt een aanvulling op de EDR en SIEM tools.

De NDR aanpak biedt een overzicht en richt zich op de interacties tussen de verschillende knooppunten van het netwerk. Het verkrijgen van een bredere detectie context kan de volledige omvang van een aanval onthullen en snellere en meer gerichte response acties mogelijk maken.

XDR is een evolutie van EDR en heeft EDR effectief vervangen op de beveiligingsmarkt. Met EDR als basiscomponent streeft XDR-software ernaar om de eerder besproken benaderingen van EDR en NDR samen te brengen om beveiligingsteams te helpen bij het oplossen van problemen met dreigingszichtbaarheid door beveiligingsgegevens van meerdere bronnen te centraliseren, standaardiseren en correleren. Deze aanpak verhoogt de detectiemogelijkheden in vergelijking met op zichzelf staande endpoint detection and response-tools (EDR) of netwerkverkeersanalyse (NDR). Zo biedt XDR volledige zichtbaarheid door gebruik te maken van netwerkgegevens om kwetsbare (niet-beheerde) endpoints te monitoren die niet zichtbaar zijn voor EDR-tools, terwijl het ook verdacht netwerkverkeer laat zien in de context van zichtbaar gedrag op verschillende hosts die mogelijk verband houden met het verdachte netwerkverkeer.

XDR analyseert gegevens van meerdere bronnen (e-mailactiviteit, endpoints, servers, netwerken, cloudstreams, identiteitstechnologieën zoals AzureAD of andere SSO-providers...) om meldingen te valideren, waardoor false positives en de algehele hoeveelheid meldingen worden verminderd. Deze integratie van indicatoren uit meerdere bronnen stelt XDR in staat om de efficiëntie van beveiligingsteams te verbeteren.

• EDR: biedt een gedetailleerd inzicht, maar heeft geen dekking voor niet-beheerde endpoints of endpoints die geen agent kunnen uitvoeren (bijv. printers, serverless cloud-omgevingen).
• NDR: heeft een breed overzicht van het hybride cloudnetwerk en volgt het gebruik van identiteit in de hele organisatie, maar controleert niet in detail wat er binnen endpoints gebeurt.
• XDR: doorbreekt de grenzen van detectieperimeters, brengt automatisering om onderzoeken te versnellen en streeft ernaar om het detecteren van geavanceerde aanvallen gemakkelijker te maken.
• SIEM: kost meer tijd en moeite om op te zetten en te onderhouden dan de bovenstaande benaderingen, maar biedt cruciale aanpasbaarheid en direct toegankelijke ruwe loggegevens wanneer nodig.

We hebben nog één laatste acroniem voor je.

De afkorting MDR staat voor managed detection and response. MDR brengt de SOC-functie en de verschillende bovengenoemde oplossingen samen om een allesomvattende aanpak van cyberdreigingen mogelijk te maken. MDR levert een resultaat op.

Dus als je merkt dat je gedachten afdwalen naar de gedachte "Ik heb een beheerde SIEM/SOC nodig", dan zou je juist MDR moeten overwegen!

Met de juiste inzet van MDR-oplossingen beschik je over een betrouwbaar team en zit je stevig in het zadel en kun je razendsnel en onvermoeibaar digitaal blijven versnellen. In onze Managed Detection and Response Buyer’s Guide zie je snel wat de beste detectie- en responsoplossingen voor jouw organisatie zijn.  

Wil jij net als een profwielrenner onvermoeibaar en op hoge snelheid richting je strategische bedrijfsdoelen? Dan is vertrouwen cruciaal. Met deze adviezen in het achterhoofd zit je in ieder geval stevig in het zadel.