Bedrijven krijgen continu te maken met cyberdreigingen, of ze nu een lokale zorgverlener zijn of een megacorporatie. Het is om die reden niet meer dan logisch om jezelf te willen beschermen. Echter blijkt al gauw dat er een wirwar van termen in het security-landschap bestaan. Heb je aan een XDR-oplossing genoeg? Wat houdt een SIEM of SOAR dan in? En wat is het nut van een EDR of NDR? Om chocola te maken van al deze termen, leggen we ze hieronder uit.
Het wapenen tegen cybercrime kan in verschillende vormen en is door de jaren heen veranderd. Uit de beginjaren van het publieke internet waren er al endpoint-protection (EPP)-oplossingen van partijen als McAfee en Symantec om endpoints te beschermen. Deze werkten op signatures, oftewel met gedragspatronen van bekende dreigingen. Securitypartijen bouwden destijds hun producten op basis van de kennis die men had over bestaande gevaren, waarmee elke inventieve cybercrimineel deze bedrijven al gauw een stap voor was.
Inmiddels is al lang duidelijk dat er meer nodig is dan alleen detectie, vandaar dat veel onderstaande termen inmiddels “& response” hebben toegevoegd. Securityproducten kunnen tegenwoordig steeds beter inspelen op patronen van nieuwe dreigingen en pikken veel eerder signalen op van gevaren. Dat begint veelal bij…
EDR
De opvolger van EPP is zonder meer EDR, Endpoint Detection & Response. In plaats van signatures pikt deze technologie juist het gedrag op van een cybergevaar. In real-time meet het talloze events die plaatsvinden op alle endpoints van een organisatie. Security-teams kunnen het inzetten om alerts binnen te krijgen over ongewoon gedrag. CrowdStrike, een van de grote spelers op dit gebied, spreekt over een “videorecorder voor de endpoint”. Het blijft bij dergelijke oplossingen niet alleen bij een alert: EDR-oplossingen kunnen naast visibility ook containment-mogelijkheden in huis hebben. Zo is een endpoint te isoleren van de rest van een bedrijfsnetwerk om bijvoorbeeld ransomware-verspreiding tegen te gaan. Een endpoint kan zeker het startpunt zijn van een cyberdreiging, zoals wanneer een crimineel een stuk malware via een USB-stick op een desktop weet te krijgen. Toch begint een dreiging meestal niet vanuit een endpoint, maar door een actie op het netwerk.
Voorbeelden van EDR-producten zijn te vinden bij SentinelOne, BlackBerry en CrowdStrike.
NDR
Een Network Detection & Response (NDR)-oplossing kan alles in de gaten houden wat op een netwerk plaatsvindt, net als dat een EDR een endpoint monitort. Cyberaanvallen slagen vaak via een software-kwetsbaarheid en betreden daarmee een bedrijfsnetwerk. Daarna proberen criminelen doorgaans om lateraal te bewegen binnen een organisatie, om bijvoorbeeld privileges te bemachtigen en data te stelen of versleutelen. Al deze acties kunnen door een NDR gezien worden en voorzien zijn van gedetailleerde responses. Denk aan het isoleren van een verdachte endpoint of het afsluiten van een verbinding met een onbekend IP-adres. Omdat een NDR-oplossing zich specialiseert in netwerken, kunnen SOC-teams het inzetten om op een verfijnde manier hun netwerk te beveiligen.
De reden dat een NDR momenteel alleen maar belangrijker wordt, is omdat organisaties steeds meer applicaties draaien in de cloud. Al dit netwerkverkeer voedt potentiële kwetsbaarheden tussen bijvoorbeeld cloud-omgevingen en dependencies. Nu zijn er security-oplossingen die zich specialiseren in on-prem en ook cloud-applicaties, naast hybride omgevingen.
Een tweetal voorbeelden van EDR-leveranciers zijn Darktrace met DETECT+RESPOND en Cisco met o.a. Secure Network Analytics.
XDR
In feite is Extended Detection & Response (XDR) weer als een opvolger te zien van EDR. Het breidt de informatieverzameling uit voorbij de endpoints en voegt daar visibility aan toe voor onder meer netwerken, e-mails, servers en cloud-omgevingen. Als een cyberdreiging bijvoorbeeld overspringt van de ene endpoint naar de andere, kan een XDR-oplossing een alert creëren die een aantal events samenvoegt en er eventueel al actie tegen onderneemt. Zo kan XDR security vereenvoudigen en via een ‘single pane of glass’ inzicht bieden in actieve dreigingen en potentiële misconfiguraties. Het is alomvattend, maar zal mogelijk minder gedetailleerde functionaliteiten hebben voor respectievelijk netwerken en endpoints dan dedicated producten daarvoor.
Er zijn talloze XDR-oplossingen, die lang niet altijd hetzelfde voor ogen hebben. Wel zijn het in tegenstelling tot andere producten echte platformen, met vendor lock-in als potentieel probleem. Als klant van een XDR zal je namelijk al snel kiezen voor security-applicaties die hierop aansluiten. Het kan daarnaast wel gebruikmaken van een externe SIEM-oplossing, die meer data verzamelt dan wat alleen voor security relevant is. Het is hierbij belangrijk dat de verzamelde telemetrie goed op elkaar aanhaakt. Zo omarmen verschillende partijen nu OpenTelemetry om interoperabiliteit te garanderen.
Tip: Het ene XDR-platform is het andere niet: kwaliteit telemetrie is cruciaal
Er zijn aardig wat XDR-partijen actief, met Cisco als relatieve nieuwkomer. Een bekende XDR-leverancier is CrowdStrike met Falcon. Andere voorbeelden zijn er genoeg: Palo Alto, Trend Micro, SentinelOne en VMware zijn er vier van.
SIEM
SIEM staat voor Security Information & Event Management. In feite is deze tak van sport niet alleen gericht op security, er wordt veel meer data mee verzameld. Zo kan een SIEM-oplossing bijhouden of een opslagmedium vol begint te raken, de hardware-resources zwaar belast worden of welk netwerkverkeer er plaatsvindt. Deze zaken kunnen deels door een XDR-oplossing overgenomen worden, maar een SIEM is uitgebreider. Zo blijft het nodig voor grotere organisaties om beide te blijven draaien. Dit is al helemaal het geval nu veel organisaties cloud-omgevingen inzetten. Deze zijn veelal moeilijk te overzien en lastig traceerbaar. Een SIEM kan dit probleem verhelpen.
Van oudsher is Splunk hierin gespecialiseerd, terwijl ook Sumo Logic en Datadog diensten leveren op SIEM-gebied.
SOAR
In een XDR is al veel mogelijk als het gaat om automatisering: de “R” in de afkorting staat niet voor niets voor “response”. Echter is het instellen van een workflow binnen een SOAR vaak een stuk gedetailleerder. Het tekort aan security-professionals dwingt SOC-teams tot keuzes: welke alert is een concrete dreiging en waar is later op te reageren? Een SOAR-oplossing kan daarbij van dienst zijn omdat het op voorhand al kan reageren op bekende dreigingspatronen. Daardoor ontstaat er een kleiner aantal zaken waar een SOC daadwerkelijk mee aan de slag gaat.
Een SOAR triggert een playbook als er bepaalde alerts afgaan binnen een IT-omgeving. Zo kan het automatisch een dreiging isoleren, databases repareren of bestanden terugplaatsen.
Voorbeelden van SOAR-leveranciers zijn Rapid7, Trellix en IBM.
Heb je ook echt alles nodig?
Uit het bovenstaande zou hopelijk duidelijk moeten worden dat veel van deze security-zaken overlappen. Een XDR kan voor een deel de functionaliteit van een EDR, NDR en SOAR overnemen, maar de meer toegespitste applicaties hebben wat dat betreft vaak meer diepgang. Overigens is het voor veel organisaties veel handiger om security-taken uit te besteden, bijvoorbeeld door de bedrijfsdata veilig te stellen bij een serverpark dat hiervoor zelf contracten afsluit.
Als een bedrijf echter een daadwerkelijk SOC-team erop nahoudt, is er meer nodig dan alleen een XDR-oplossing. De partnerkeuze daarbij bepaalt mogelijk al welke EDR en NDR daarbij past, omdat vendors veelal deze taken erbij hebben gepakt. SIEM kan inzichten bieden in data die niet alleen security behelst, terwijl de werkdruk van een security-professional met een SOAR af kan nemen. SecOps wordt er niet makkelijker op, mede vanwege een tekort aan expertise en toenemende cyberdreigingen. Het is dan zaak om niet alleen te kiezen voor overzichtelijke producten, maar om goed na te kijken wat je nodig hebt om je gehele IT-omgeving inzichtelijk te maken. Wat daarvoor nodig is, zal verschillen per bedrijf.
Beluister ook onze podcast over deze security-termen:
2 dagen geleden
