Cisco werkt hard aan de Cisco Security Cloud. Vanaf vandaag voegt het daar Cisco XDR aan toe. Hiermee wil het volgens EVP/GM Security & Collaboration Jeetu Patel op basis van de anatomie van een aanval concrete en uitvoerbare preventie, detectie en respons bieden tegen cyberdreigingen.
Patel noemt Cisco XDR “het slechtst bewaarde geheim” van Cisco. Het was slechts een kwestie van tijd voordat dit formeel op de markt zou komen. In recente gesprekken met mensen van Cisco hadden deze het zelf eigenlijk ook consequent over XDR, ook al werd daarmee nog het ‘oude’ SecureX bedoeld. Daarin zaten volgens Cisco’s eigen Security Reference Architecture al XDR tools. Deze waren alleen nog niet beschikbaar in een enkel XDR-platform. Vanaf vandaag is dat dus wel het geval.
Patel zat en zit overigens helemaal niet met de vrij transparante benadering rondom de ontwikkeling van Cisco XDR. “Mijn fundamentele overtuiging is dat ideeën er minder toe doen dan de uitvoering ervan”, geeft hij aan als we hem spreken kort voor de lancering van het XDR-platform. Met andere woorden, hij heeft er alle vertrouwen in dat Cisco dit goed en krachtdadig in de markt kan zetten. Met de installed base en de enorme berg native telemetry die Cisco heeft, is dat vertrouwen ook zeker te rechtvaardigen.
Meer achtergrond? Lees ook onze eerdere artikelen
We willen in dit artikel vooral vooral focussen op wat Cisco XDR toevoegt aan wat het al deed op het vlak van security. Het is niet de bedoeling om hier de volledige visie rondom het platform neer te zetten. Wil je daar wel meer over lezen, dan raden we aan om twee recente, vrij uitgebreide, artikelen erbij te pakken. In een gesprek met Ernst van Maanen (verantwoordelijk voor security bij Cisco binnen Europa) hebben we de al eerder genoemde Security Reference Architecture doorgelicht. De algemene XDR-benadering van Cisco kwam uitgebreid aan bod in een artikel dat we publiceerden op basis van een gesprek met Tom Gillis, de SVP/GM Security bij Cisco. Gillis rapporteert rechtstreeks aan Patel, die de hoogste verantwoordelijke is op dit punt binnen Cisco.
Voor een beter idee rondom de globale strategie van Cisco, maar ook om te horen wat klanten van deze strategie vinden, raden we je aan om onderstaande video te bekijken:
Meer dan een nieuwe naam voor een bestaand aanbod
In principe zijn de bouwstenen voor Cisco XDR niet nieuw. Met name het stukje telemetrie is iets waar Cisco al sinds jaar en dag veel mee bezig is. Met Cisco XDR biedt het bedrijf volgens Patel echter wel degelijk iets nieuws. Het gaat ervoor zorgen dat alle telemetrie ook daadwerkelijk goed gecorreleerd wordt en dat er vervolgens ook een risicoanalyse gedaan wordt. “Als je naar telemetrie kijkt zonder context, heb je maar het halve plaatje”, geeft hij aan. Dat moet dus met Cisco XDR gaan veranderen.
Op zich is XDR natuurlijk niet nieuw. Sterker nog, het is vrijwel onmogelijk om een securityleverancier te vinden die het er niet over heeft. Toch heeft Cisco op dit punt een voorsprong, is Patel van mening. Wederom komen we dan weer terug op de grote hoeveelheid native telemetry. Dat loopt echt als een rode draad door het securityverhaal van Cisco. Het is een van de belangrijke doelen van het bedrijf. “We willen de leverancier zijn met de grootste hoeveelheid native telemetry“, maakt hij dit expliciet. “De vraag is vooral van hoeveel bronnen je deze telemetrie kunt binnenhalen”, vervolgt hij.
Zorg je op deze manier niet voor een enorme overdaad aan data voor securityafdelingen? Dat is de vraag die opkomt na het horen van bovenstaande stellingen van Patel. Dat heeft voor SIEM-oplossingen uiteindelijk ook niet echt geholpen. Het creëerde vooral een overdaad aan meldingen, waardoor er een zekere mate van alert fatigue (meldingenmoeheid, als we het in het Nederlands vertalen) optrad. Voor XDR ziet Patel dit probleem niet opdoemen. “XDR is nagenoeg realtime, terwijl een SIEM terugkijkt. Een SIEM aggregeert, XDR correleert”, geeft hij aan. Een XDR doet al het nodige werk voor je. Je krijgt als het goed is geen onzinnige meldingen.
Goede XDR-oplossing is onmisbaar
Een van de redenen waarom XDR zo belangrijk is tegenwoordig, is dat de huidige trends en ontwikkelingen op de markt erom vragen. “Alles gaat richting een hybride multi-cloud omgeving, waarbij organisaties geen lock-in willen”, volgens Patel. Dat houdt in dat er een zekere mate van portabiliteit moet zijn voor workloads. Om dit mogelijk te maken moet er een laag zijn die hiervoor zorgt.
Bovenstaande kun je ook toepassen op de securitymarkt. Die markt ziet eruit als “patchwork”, in de woorden van Patel. Er blijven maar nieuwe tools op de markt komen. In totaal zijn er nu zo’n 3500. Deze wildgroei zorgt onderaan de streep niet voor efficiëntie, eerder het tegenovergestelde. Richting de toekomst is deze benadering onhoudbaar, geeft Patel aan. Daarom heeft Cisco de Security Cloud als visie ontwikkeld. Dit is een geïntegreerd platform dat als het ware overal overheen ligt. Cisco XDR is een van de eerste grote updates hiervoor.
Bij de lancering van Cisco XDR zijn de volgende integraties out-of-the-box aanwezig:
- Endpoint Detection and Response (EDR): Cybereason Endpoint Detection and Response, Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR, Trend Micro Vision One, SentinelOne Singularity
- Email Threat Defense: Microsoft Defender for Office, Proofpoint Email Protection
- Next-Generation Firewall (NGFW): Palo Alto Networks Next-Generation Firewall
- Network Detection and Response (NDR): ExtraHop Reveal(x)
- Security Information and Event Management (SIEM): Microsoft Sentinel
Een platform zonder lock-in, kan dat?
Als we een groot bedrijf zoals Cisco horen praten over een platformbenadering, maar tegelijkertijd ook over het tegengaan van een lock-in, zorgt dit altijd voor verwarring. Uiteindelijk lijkt het ene niet te verenigen met het andere. Aan de ene kant wil je iedereen op je platform hebben, maar ook geen lock-in. Dat wringt. Volgens Patel ligt het echter genuanceerder: “Er zullen niet minder puntoplossingen komen door de platformbenadering die wij voor ogen hebben. Enkele platformen zullen boven komen drijven waar al deze puntoplossingen mee gaan verbinden.” Daar wil Cisco er overduidelijk een van zijn.
Met bovenstaande nuancering ligt de meerwaarde van Cisco XDR volgens Patel dus overduidelijk veel meer in het samenvoegen en analyseren van alle telemetrie, uit eigen bronnen en die van derden, inclusief concurrenten, dan in de effectiviteit van de afzonderlijke componenten van Cisco zelf. Het wordt dan echter ook een extra laag, dus een extra investering, bovenop bestaande securityinfrastructuur. Als organisaties hiermee de effectiviteit van de overige oplossingen kunnen verhogen, doordat er veel meer zicht op telemetrie komt, kunnen de investeringen ervoor wel uit het optimaliseren van het aantal puntoplossingen komen.
Ook cybersecurity ontkomt niet aan AI
Met het vandaag aangekondigde Cisco XDR gaat het vooral om native telemetry uit zoveel mogelijk verschillende bronnen, gekoppeld aan telemetrie uit bronnen van derden. Daarmee gaat het onherroepelijk heel veel data richting het platform sturen. Dat realiseert Patel zich ook terdege. “We moeten erover nadenken hoe we het zo eenvoudig mogelijk maken om bedrijven zo goed mogelijk te kunnen helpen”, geeft hij aan. Daarvoor is AI onmisbaar, want “security kan niet langer meer door mensen alleen worden afgehandeld”.
Op basis van bovenstaande uitspraak van Patel kunnen we een deel van de roadmap voor Cisco XDR en voor de securitybenadering van Cisco in het algemeen al wel uittekenen. Cisco zal (meer) AI toe gaan voegen aan haar producten en platformen. Tijdens RSA deze week laat het een demo zien van een geautomatiseerd SOC. Dit is uiteraard nog lang geen realiteit, maar het is een enorm interessant probleem om op te lossen, geeft hij aan. Als alle geautomatiseerde reacties altijd goed zijn, kun je medewerkers immers veel efficiënter laten werken.
Cisco gaat er anders uitzien
De Cisco Security Cloud als overkoepelende visie geeft tot slot ook aan waar Cisco in het algemeen naartoe aan het werken is. Nieuwe producten en diensten zullen hun plek krijgen binnen een dergelijke suite. Als we Patel eens goed beluisteren, bestaat Cisco binnen nu en enkele jaar uit meerdere van deze clouds of suites, een beetje zoals we dat kennen van Salesforce. Naast een Security Cloud zou er dan onder andere ook een Networking Cloud (daar heeft het vorig jaar al een begin mee gemaakt) en een Computing Cloud kunnen komen. Let wel, we hebben die nieuwe namen zelf verzonnen, dus het kan er ook totaal anders uit gaan zien. Maar het lijdt geen twijfel dat Cisco het aanbod op deze manier in gaat richten.
Voor nu ligt de focus van Cisco heel sterk op cybersecurity, met Cisco XDR als nieuwste aanbod. Het is vanaf vandaag in Beta en zal in juli van dit jaar algemeen beschikbaar zijn. Er komen tot het einde van het jaar echter ook nog een heleboel (grote) vernieuwingen aan. Patel heeft het over een rolling thunder aan innovaties die eraan zitten te komen. Wordt dus ongetwijfeld vervolgd tijdens Cisco Live in juni.