5min

Het dreigingslandschap verandert continu en neemt snel in omvang toe. Wanneer attack vectors zich vermenigvuldigen – van endpoints naar netwerken naar de cloud – gaan veel bedrijven elke vector te lijf met een hoogstaande oplossing om die specifieke kwetsbaarheden te beschermen. Deze point tools maken echter geen verbindingen met de hele technologiestack waardoor beveiligingsdata geïsoleerd wordt verzameld en geanalyseerd, zonder enige context of correlatie. Hierdoor ontstaan er hiaten in wat beveiligingsteams kunnen zien en detecteren.

Daarnaast neemt het aantal beveiligingsoplossingen dat bedrijven implementeren toe. Dit betekent dat de capaciteit ook moet toenemen om deze oplossingen te beheren en effectief te reageren op waarschuwingen. Beheerders kunnen snel overweldigd raken door de hoeveelheid data die door verschillende locaties en systemen wordt gecreëerd en door de aanhoudende stroom beveiligingswaarschuwingen die ze moeten beheren.

Extended Detection en Response (XDR)

XDR, Extended Detection en Response, is de evolutie van EDR, Endpoint Detection en Response. XDR brengt zichtbaarheid van en controle over alle endpoints, het netwerk en cloud-workloads samen. Deze verbeterde zichtbaarheid biedt contextualisatie van deze  dreigingen om te helpen bij herstelwerkzaamheden. XDR verzamelt en correleert automatisch data over meerdere security vectors, waardoor snellere beveiligingsdetectie mogelijk is en beveiligingsanalisten snel kunnen reageren voordat de reikwijdte van de  dreiging te groot wordt. Kortom, XDR kijkt verder dan het endpoint om beslissingen te nemen op basis van data van meerdere producten en kan actie ondernemen in je hele stack door te reageren op e-mail, netwerk, identiteit en meer.

XDR wint steeds meer terrein en is een belangrijke beveiligingstool van de volgende generatie. Daarom bespreken we vijf vragen waar je over na moet denken als je op zoek bent naar een XDR-oplossing.

1. Biedt de XDR-oplossing een rijke, cross-stack zichtbaarheid en de mogelijkheid om data van meerdere bronnen naadloos te integreren?

EDR-oplossingen zijn perfect in staat om relevante beveiligingsinformatie van endpoints te verzamelen. Ze missen echter telemetrie om brede zichtbaarheid te bieden voor een nauwkeurige weergave van het gedrag en de doelen van een aanvaller die zich ook op andere bronnen kan richten. Een robuust XDR-platform haalt deze beperking op het gebied van telemetrie weg door telemetrie van meerdere beveiligingslagen en mogelijke aanvalspunten mogelijk te maken. Hierdoor kunnen waarschuwingen die binnenkomen continu worden gemonitord en beheerd. Bovendien kunnen XDR-systemen met behulp van threat intelligence-feeds proactief zoeken naar verborgen dreigingen.

Met Singularity XDR kunnen bedrijven naadloos gestructureerde, ongestructureerde en semi-gestructureerde data van elk technologieproduct en -platform in realtime integreren, waardoor datasilo’s worden doorbroken en kritieke blinde vlekken worden weggehaald. Dankzij onze recente acquisitie van Scalyr zorgt de oplossing ervoor dat beveiligingsteams in één dashboard data kunnen bekijken die verzameld is door verschillende beveiligingsoplossingen op alle platforms, inclusief endpoints, cloud-workloads, netwerkapparaten en meer. Singularity XDR biedt analisten inzichten die zijn verkregen door event-informatie van meerdere, verschillende oplossingen samen te voegen tot één enkel gecontextualiseerd ‘incident’.

Tip: MITRE ATT&CK: hoe kies je de beste security-oplossing?

2. Biedt de XDR-oplossing geautomatiseerde context en correlatie tussen de verschillende beveiligingslagen?

Bij veel EDR-oplossingen moeten beveiligingsteams (mensen) onderzoeken zelf uitvoeren. Maar er zijn zoveel waarschuwingen dat veel beveiligingsteams niet de middelen hebben om bij elk afzonderlijk incident stil te staan. Een robuuste XDR-oplossing moet AI bevatten en geautomatiseerde, ingebouwde context en correlatie.

De gepatenteerde Storyline-technologie van SentinelOne biedt realtime, geautomatiseerde, ingebouwde context en correlatie van de gehele beveiligingsstack om data die niet gekoppeld is om te zetten in storylines met context en te zorgen dat beveiligingsanalisten begrijpen wat er in hun omgeving is gebeurd. Storyline koppelt automatisch alle gerelateerde gebeurtenissen en activiteiten aan elkaar in een verhaallijn met een unieke identifier. Hierdoor krijgen beveiligingsteams binnen een paar seconden de volledige context van wat er is gebeurd, in plaats van dat ze uren, dagen of weken bezig zijn om logs te correleren en gebeurtenissen handmatig te koppelen.

3. Verrijkt de XDR-oplossing automatisch dreigingen met behulp van integrated threat intelligence?

Naarmate er nieuwe dreigingen opduiken, zorgt een gebrek aan externe context ervoor dat analisten moeite hebben om te bepalen of een waarschuwing of indicator een reële bedreiging vormt voor hun bedrijf. Threat intelligence biedt up-to-date informatie over dreigingen, kwetsbaarheden en kwaadaardige indicatoren, waardoor beveiligingsteams zich kunnen concentreren op de belangrijkste zaken. Een goede XDR-oplossing biedt integratie van threat intelligence van meerdere bronnen om beveiligingsteams te helpen waarschuwingen snel en efficiënt te prioriteren en classificeren.

Singularity XDR integreert threat intelligence voor detectie, verrijking van toonaangevende feeds van derden en eigen bronnen die endpoint-incidenten automatisch met realtime threat intelligence verrijken. Beveiligingsteams krijgen aanvullende contextuele risicoscores voor indicators of compromise (IoC’s) zoals IP’s, hashes, kwetsbaarheden en domeinen. Met onze recorded Future-integratie worden dreigingen bijvoorbeeld automatisch verrijkt met meer dan 800.000 bronnen, waardoor klanten onderzoek naar en classificering van dreigingen kunnen versnellen.

Tip: Gebruik MITRE om je security operations center bij tijd te houden

4. Automatiseert de XDR-oplossing de reactie in verschillende domeinen?

Incident-detectie en – onderzoek moeten uiteraard leiden tot een effectieve reactie om een incident te beperken. De reactie moet vooraf gedefinieerd en herhaalbaar zijn om herstel efficiënter te maken en op elk moment in te kunnen grijpen wanneer er een aanval plaatsvindt. De reactie moet zowel korte- en langetermijnmaatregelen definiëren die kunnen worden gebruikt om de aanval te neutraliseren. Het is ook essentieel om de oorzaak van de dreiging te begrijpen om de beveiliging te verbeteren en vergelijkbare aanvallen in de toekomst te voorkomen.

Singularity XDR zorgt ervoor dat analisten alle vereiste acties kunnen ondernemen om  dreigingen met één klik, zonder scripting, automatisch op te lossen op een, meerdere of alle apparaten binnen het domein.

Met Singularity XDR kunnen klanten ook gebruikmaken van de inzichten van Storyline om geautomatiseerde detectieregels voor hun specifieke omgeving te creëren met Storyline Active-Response (STAR). Met STAR kunnen bedrijven hun bedrijfscontext toevoegen en de EDR-oplossingen aanpassen aan hun behoeften.

5. Kan je met de XDR-oplossing eenvoudig integreren met toonaangevende SOAR-tools?

De kans is groot dat je andere beveiligingstools en -technologieën in je SOC geïmplementeerd hebt. Jouw XDR-oplossing moet ervoor zorgen dat je bestaande investeringen in beveiligingstools kunt blijven benutten. De belangrijkste features zijn ingebouwde integraties, waaronder geautomatiseerde reacties en geïntegreerde threat intelligence.

SentinelOne biedt een portfolio van integraties met systemen van derden zoals SIEM en SOAR via Singularity Marketplace. Singularity-apps worden gehost op ons schaalbare, serverless Function-as-a-Service-cloudplatform en met een paar klikken samengevoegd met API-enabled IT- en beveiligingscontroles. Singularity Marketplace maakt deel uit van het SentinelOne-platform waarmee klanten de barrières voor het schrijven van complexe code kunnen wegnemen en automatisering tussen leveranciers eenvoudig en schaalbaar wordt. Beveiligingsteams kunnen eenvoudig de beste werkwijze kiezen om dreigingen te verhelpen en te verslaan door een uniforme, georkestreerde reactie tussen beveiligingstools in verschillende domeinen aan te sturen.

XDR is de toekomst van EDR

De toekomst is er één gedreven door XDR. Gespecialiseerde beveiligingsproducten moeten samenwerken om ons te beschermen tegen steeds intensievere pogingen om de digitale barrières die onze technologieafhankelijke levens beschermen, te doorbreken. Wanneer er weer een nieuwe technologie op de markt komt, wordt deze vaak opgehemeld. Daarom doen kopers er verstandig aan eerst goed na te denken voordat een XDR wordt aangeschaft, want niet alle XDR-oplossingen zijn hetzelfde.

Dit is een ingezonden bijdrage van SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.