Je bent op zoek naar een adequate beveiligingsoplossing waarmee je kwaadwillenden buiten de deur houdt. De één roept dat je absoluut een SIEM (security information and event management)-oplossing moet aanschaffen. Volgens een ander is SOAR (security orchestration, automation and response) de beste weg tot een goed beveiligde IT-omgeving. Weer een ander roept iets over XDR (extended detection and response). De acroniemen vliegen je om de oren en voor je het weet zie je door de bomen het bos niet meer. Je denkt te beschikken over de beste security-oplossingen, maar deze wirwar komt je beveiliging juist niet ten goede. Hoe weet je nu waar je goed aan doet? In deze blog geef ik handvatten hoe je je security naar een hoger niveau brengt met een integrale beveiligingsaanpak.
Complex IT-landschap door beveiligingsoplossingen
We weten allemaal dat organisaties steeds kwetsbaarder zijn door een complexer wordend IT-landschap en de toenemende professionalisering van cybercriminelen. Veel organisaties proberen deze kwetsbaarheid te ondervangen met beveiligingsoplossingen als antivirussoftware, firewalls of endpoint protection. Dit zijn stuk voor stuk effectieve middelen, maar ze hebben als bijwerking dat ze het IT-landschap nóg complexer maken. Hierdoor is het voor organisaties lastig om het veiligheidsniveau van het IT-landschap in kaart te brengen. Daarnaast is het een uitdaging om adequaat te handelen naar aanleiding van verschillende gedetecteerde dreigingen. Een waterdichte beveiliging is in deze situatie dus nog ver te zoeken.
Van oplossing naar oplossing
Toen was daar SIEM, dé oplossing voor het probleem. SIEM stelt organisaties in staat inzicht te krijgen in verdachte gedragingen en verbindingen en tijdig proactief te reageren op potentiële dreigingen. SIEM gebruikt bestaande logging- en monitoringfaciliteiten, combineert deze informatie en rapporteert hierover. Dit neemt veel handmatig werk weg, waardoor organisaties sneller kunnen reageren. Een SIEM-oplossing werkt echter zo goed als de regels die je erin maakt. Natuurlijk is ook hiervoor een oplossing bedacht: XDR. Dit is de doorontwikkeling van EDR (endpoint detection and response). XDR kijkt verder dan de endpoint door gegevens uit meerdere bronnen te verzamelen, zoals e-mail, cloud, firewalls en netwerk. Hierdoor maakt het snellere, effectievere en diepere detectie en response van dreigingen mogelijk. Het nadeel van dit nieuwe buzzword is dat leveranciers hun eigen definitie van XDR handhaven om zo hun producten te verkopen.
Beveiliging integraal regelen
Zoals je merkt, is het niet eenvoudig om wegwijs te worden in alle beveiligingsoplossingen. Het punt wat organisaties wat mij betreft moeten bereiken, is dat ze beschikken over één platform waar alle relevante informatie samenkomt. Dan bedoel ik niet een platform dat continu alerts genereert die vervolgens genegeerd worden. Nee, ik bedoel dat organisaties beschikken over een platform dat ze in staat stelt om adequaat te handelen in situaties die tijd en aandacht vereisen. Om een concreet voorbeeld te geven: een detectie in een firewall-log is an sich geen reden voor een incident onderzoek, maar als er een detective plaatsvindt op een belangrijke server die naar buiten communiceerde, wil je die firewall-logs erbij pakken als waardevolle context.
Automatiseer waar mogelijk
Binnen zo’n platform is het zeer gewenst om alles zoveel mogelijk te automatiseren door relevante data te verzamelen en te correleren. Stel, de endpoint security vindt iets dat via het internet is binnengekomen. Dit is dus blijkbaar niet tegengehouden door de internet beveiligingslagen. Dan wil je dat die lagen hier automatisch van op de hoogte worden gesteld, zodat ze dit verdachte gedrag voortaan wél bij de voordeur weten te stoppen. Daarnaast wil je dat kennis van alle partijen automatisch wordt gedeeld. Dan kan het voortschrijdend inzicht van de internet beveiligingslagen bijvoorbeeld bij de endpoint security aangeven dat er gisteren iets verdachts is doorgekomen, waarvan nu bekend is dat het mogelijk kwaadaardig is. De endpoint security kan hier vervolgens naar op zoek. Zo wordt er effectief gehandeld bij verdachte situaties terwijl handmatig werk wordt verminderd.
Of we nu kijken naar de wereld van SIEM, SOAR of XDR, in de ideale situatie beschikken organisaties over één geautomatiseerde, centrale omgeving wat betreft security. Dit neemt de complexiteit van het IT-landschap weg en zorgt ervoor dat specialisten tijd hebben om aandacht te geven aan datgene dat daadwerkelijk aandacht vereist. Zo breng je het beveiligingsniveau van je IT-landschap naar een hoger niveau.
Dit is een ingezonden bijdrage van Ronald Pool, cybersecurity specialist bij CrowdStrike. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
1 uur geleden
