XDR, voluit eXtended Detection and Response, heeft de laatste jaren veel aandacht gekregen. In deze periode is XDR naar voren gekomen als een eenvoudige en efficiënte manier om het brede scala aan dreigingen te bestrijden waarmee security-teams momenteel worden geconfronteerd. Het is niet een product dat klanten kopen, maar een strategie en een nieuwe manier van security-beheer. Deze blog geeft handvatten en overzicht bij het ontwikkelen van een succesvolle cybersecurity-strategie voor elke organisatie die XDR implementeert of van plan is te implementeren.
Een XDR-platform is gericht op het verzamelen en correleren van gegevens over een breed scala aan netwerk- en security-oppervlakken, waaronder servers, endpoints, cloudworkloads, network intrusion prevention-systemen, identiteits- en access management-oplossingen, e-mail en meer. Het analyseert de verzamelde gegevens, consolideert meerdere waarschuwingen tot één enkel incident, combineert ‘zwakke’ signalen tot detecties en reageert vervolgens met meerdere security-tools. Daarmee geeft XDR een uitgebreid overzicht van het security-beleid van een organisatie. Het biedt de mogelijkheid om snel dreigingen op te sporen en daarop te reageren.
Waarom SIEM-tools niet aan de verwachtingen voldoen
XDR is echter geen nieuw idee. Oudere technologieën zoals SIEM beloofden hetzelfde, maar konden dit nooit waarmaken. Waarom SIEM niet voldoet, heeft te maken met een paar belangrijke factoren.
- Ten eerste zijn SIEM-oplossingen ontworpen om loggegevens uit verschillende bronnen op te nemen en samen te voegen. Deze gegevens zijn vervolgens moeilijk te doorzoeken en samen te voegen, vooral wanneer men de hoofdoorzaak van een probleem probeert te vinden.
- Ten tweede hebben sommige SIEM-leveranciers primitieve analyse functionaliteit aan hun producten toegevoegd, maar dit is niet voldoende om de problemen nauwkeurig aan te pakken.
- Ten derde zijn SIEM-oplossingen eerder gericht op analyse na een incident dan op het detecteren van een incident en doen ze vaak aan eenrichtingsverkeer, zonder enige mogelijkheid om te controleren of te reageren.
- Ten vierde zijn security-teams bij het gebruik van SIEM-oplossingen vaak aangewezen op handmatige interventie, wat kan leiden tot fouten en vertragingen bij de aanpak van problemen.
Gezien deze uitdagingen is het begrijpelijk dat SIEM er niet in is geslaagd de moderne problematiek rond de detectie van security-risico’s effectief aan te pakken.
Een sterke XDR bouwt voort op de kracht van een sterke EDR
Hoewel XDR en SIEM raakvlakken hebben, heeft XDR meer gemeen met Endpoint Detection and Response (EDR). In feite is XDR een evolutie van EDR die de reikwijdte van detectie veel verder uitbreidt dan endpoints. XDR bouwt voort op de mogelijkheden van EDR om dreigingen op te sporen en te bestrijden en breidt deze uit over meerdere security-tools.
Op EDR gebaseerde XDR-platforms bieden security-teams het overzicht en de analytische mogelijkheden die nodig zijn om complexe aanvallen te identificeren en in te dammen. Endpoints zijn een cruciaal onderdeel van de cybersecurity van elke organisatie. Zij vormen vaak het eerste toegangspunt voor aanvallers en kunnen worden gebruikt om zich lateraal door een netwerk te bewegen.
Endpoint-telemetrie is daarom essentieel voor het detecteren van aangetaste bedrijfsmiddelen, het correleren van dreigingsgegevens in verschillende domeinen en het isoleren van complexe aanvallen. Endpoints kunnen inzicht bieden in alle aspecten van een aanval, van de eerste infiltratie tot de uiteindelijke exfiltratie van gegevens.
XDR verenigt zichtbaarheid en controle over alle aangesloten security-platforms. Dit biedt context over potentiële dreigingen en maakt het herstel makkelijker. Security-teams kunnen sneller reageren dankzij de correlatie van gegevens van meerdere security-vectoren. Dankzij verbeterde triage en geautomatiseerde contextuele verrijking kunnen teams sneller reageren voordat de omvang van de dreiging groter wordt. ‘Out-of-the-box’ integraties en vooraf afgestemde detectiemechanismen in meerdere producten en platforms verbeteren de productiviteit, de detectie van dreigingen en het onderzoek.
Conclusie
Om het maximale uit XDR te halen, moet het deel uitmaken van een grotere strategie om de security-resultaten te verbeteren. XDR is een middel om een doel te bereiken, en als onderdeel van de XDR-reis moeten organisaties bekijken welke resultaten zij met XDR willen behalen.
XDR is de natuurlijke progressie van EDR en gaat verder dan de endpoints en omvat ook de rest van de security-infrastructuur, inclusief identity en cloud security. XDR kan organisaties helpen hun detectie- en responsmogelijkheden te verbeteren. Dit kan alleen als het correct wordt geïmplementeerd.
Bij de implementatie van XDR moeten organisaties zich richten op hun specifieke behoeften en doelstellingen en de leveranciers, producten en diensten kiezen die het meest aan die behoeften voldoen. Het is hierbij van vitaal belang om een platform te hebben dat bestaande tools kan integreren. Alleen dan kan de kracht van XDR volledig benut worden.
Dit is een ingezonden bijdrage van SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
12 uur geleden
