In DNS- en netwerkdata zit veel informatie over mogelijke opkomende en bestaande cyberdreigingen. Met de introductie van SOC Insights brengt Infoblox deze gegevens naar het Security Operations Center.
Infoblox komt oorspronkelijk uit de netwerkwereld, waar het zich richt op het Domain Name System in combinatie met DHCP (Dynamic Host Configuration Protocol)- en IPAM (IP Address Management). Samen vormen ze het BloxOne DDI-platform. In de afgelopen jaren zijn aan het platform veel beveiligingsopties toegevoegd, omdat de technologie ook geschikt blijkt voor het veiliger maken van een organisatie. DNS beschikt bijvoorbeeld over informatie rond kwaadaardige domeinnamen.
Wat voor inzichten levert Infoblox?
Nu gaat Infoblox een dienst aanbieden die automatisch grote hoeveelheden DNS threat intelligence verzamelt. De dienst classificeert vervolgens de dreiging door een getraind AI-model te gebruiken. Het model kan de ernst van de dreiging bepalen, om te beslissen hoe snel er gereageerd moet worden. Eventueel kan het automatisch opgelost worden met technologie van Infoblox of een andere securityleverancier, maar vanwege de complexiteit kan de dreiging ook worden doorgestuurd naar een SOC-medewerker.
De inzichten die Infoblox aan het SOC levert, worden gekwalificeerd als een configuratieprobleem of als een beveiligingsinzicht. Voor inzichten over configuraties kijkt SOC Insights naar het proactief vinden van zwakke of gevaarlijke configuratiefouten. Volgens Infoblox komt het nog te vaak voor dat bij het onderzoeken van een bedreiging blijkt dat een verkeerde configuratie of een uitdaging bij de integratie van beveiligingstools de oorzaak is. In de onderstaande afbeelding zie je aan de linkerkant naar welke configuratie-inzichten SOC Insights op zoek gaat.
Aan de rechterzijde is te zien waar de nieuwe dienst van Infoblox naar kijkt als het gaat om pure securityactiviteiten. Om dergelijke beveiligingsgebeurtenissen te vinden, bekijkt het AI-model van Infoblox activiteiten op het netwerk, het DNS-systeem en het ecosysteem. Zoals de afbeelding laat zien, analyseert en classificeert Infoblox enorm veel gebeurtenissen. SOC Insights past daarom strenge classificatie toe op de waarschuwingen, zodat er flink geschrapt kan worden in de berg aan beveiligingsgebeurtenissen. Zo blijven alleen de waardevolle inzichten over die een autonome reactie of een handmatige reactie van een SOC-medewerker vereisen.
Deze inzichten moeten het ecosysteem van het SOC ook verder versterken. Het kan de inzichten delen met andere securitytools, zoals SIEM- en SOAR-tools die veel in het SOC gebruikt worden.
Voor beide opties moeten bedrijven BloxOne Threat Defense ‘Business Cloud’ of ‘Advanced’ aanschaffen. Die versies van het DDI-platform zijn in staat om een grote hoeveelheid informatie uit DNS te verzamelen. Het verschil is dat configuratie-inzichten standaard in BloxOne Threat Defense zitten, terwijl de beveiligingsinzichten als add-on aan BloxOne Threat Defense kunnen worden toegevoegd.
Het elimineren van de responstijd
De belangrijkste reden voor Infoblox om met SOC Insights te komen, blijft de grote hoeveelheid informatie in DNS over cyberdreigingen. Vaak bevatten die DNS-gegevens de eerste aanwijzingen van een dreigende aanval. Op dit moment hebben SOC-medewerkers echter nog niet voldoende toegang tot deze informatie, constateert Infoblox. Dit maakt een organisatie kwetsbaar, zeker gezien de groeiende geavanceerde aard van cyberaanvallen. Een extra stap om een hacker vroegtijdig te detecteren, is dan ook welkom.
Naast het vroegtijdig opsporen van aanvallen wil SOC Insights ook de mean-time-to-respond (MTTR) verminderen of elimineren. MTTR is de benodigde tijd voor het oplossen van een probleem. Om deze tijd te verkorten of weg te nemen, consolideert SOC Insights individuele waarschuwingen tot “unieke inzichten”. Infoblox beschrijft ze als uniek vanwege de toegang tot details over apparaten, gebeurtenissen en de infrastructuur van aanvallers in combinatie met de DNS-gegevens. “Dit elimineert de noodzaak voor SecOps-teams om tijd te besteden aan het volgen van elke afzonderlijke waarschuwing of het wachten op NetOps voor gebruikers- en apparaatinformatie ter ondersteuning van context rond bedreigingsactiviteit”, concludeert Infoblox.
Tip: Infoblox optimaliseert Network Identity Operating System (NIOS)
21 uur geleden
