Cybercriminelen werken met een mate van finesse en precisie die organisaties kan verrassen. Binnen een paar seconden kunnen ze nietsvermoedende medewerkers of partners met kwaadaardige bestanden lokken, bestaande kwetsbaarheden uitbuiten om een netwerk binnen te dringen en zich lateraal binnen een systeem verplaatsen.
De impact van ransomware-aanvallen gaat verder dan alleen het verstoren van de business: er hangt ook een stevig prijskaartje aan. Volgens het ‘Cost of a Data Breach Report 2023’ van IBM verliezen bedrijven maar liefst 4,45 miljoen dollar: dat is een stijging van 15% in de afgelopen drie jaar. De grote uitdaging voor organisaties ligt in hun security-infrastructuur, die vaak bestaat uit verschillende platforms en meerdere geïsoleerde oplossingen. Een onsamenhangende configuratie leidt tot een gefragmenteerd beeld van de risico- en dreigingsprofielen van de organisatie.
Dit is waar eXtended Detection and Response (XDR) als oplossing naar voren komt. XDR biedt een nieuwe aanpak voor het beperken van dreigingen door het verzamelen van gegevens over endpoints en verschillende security-oplossingen. Dit maakt geautomatiseerde reacties mogelijk en zorgt voor uitgebreide zichtbaarheid, waardoor organisaties cyberdreigingen sneller kunnen bestrijden.
Wat maakt XDR geschikt voor moderne ondernemingen?
Voortbouwend op de mogelijkheden van Endpoint Detection and Response (EDR), maakt XDR een sprong vooruit door inzichten uit aanvullende security-tools te automatiseren en deze naadloos te integreren. Deze fusie, die netwerk- en gebruikeranalytics omvat, maakt de correlatie van dreigingen over het hele netwerk van een organisatie makkelijker. Gegevens worden samengevoegd en versterkt door security-analyses, die geautomatiseerde reacties op potentiële dreigingen in gang zetten. XDR helpt ook met het automatiseren van de analyse van de root cause, zodat teams snel en effectief kunnen reageren. Dat is een belangrijke factor om te voorkomen dat security-incidenten uitgroeien tot catastrofes.
Door extern en hybride werken, dat het aanvalsoppervlak onbedoeld vergroot, is de rol van XDR cruciaal geworden. Sinds de pandemie zien industrieën een verhoogde kwetsbaarheid van hybride- en cloud-omgevingen. Organisaties bevinden zich in het vizier van cybercriminelen, waardoor een goede end-to-end security noodzakelijk is.
XDR versterkt niet alleen security-maatregelen. Het speelt ook een belangrijke rol in het verminderen van het tekort aan cybersecurity-vaardigheden door de productiviteit van analisten te verhogen via gestroomlijnde automatisering en een uniforme workflow. XDR vermindert de inspanning die nodig is om dreigingen in meerdere systemen op te sporen en vervangt deze door een intuïtieve centrale console, waarmee teams dreigingen over al hun oplossingen kunnen beheren.
Verkenning
Voor de aanval kiezen cybercriminelen hun doelwit en zoeken ze naar kwetsbaarheden die kunnen worden uitgebuit. Dit omvat het identificeren van niet-gepatchte kwetsbaarheden, verkeerde configuraties, blootgestelde beheer-accounts en andere potentiële zwakke plekken. XDR wapent organisaties tegen cybercriminelen door het bieden van uitgebreid inzicht, gedragsanalyse, real-time monitoring, integratie van informatie over dreigingen, geautomatiseerde reacties en ‘threat hunting’.
Netwerkpenetratie
Op basis van de inzichten die tijdens de voorbereiding zijn verzameld, passen cybercriminelen hun technieken aan op de specifieke zwakke plekken van hun doelwitten. Eenmaal binnen komen ze snel in beweging om hun aanwezigheid zeker te stellen en de machtigingen en privileges te bepalen voor laterale verplaatsing. Tijd is een kritieke factor als cybercriminelen hun positie verstevigen en hun toegangsrechten uitbreiden. XDR detecteert verdachte activiteiten, waarschuwt in real-time, correleert gegevens en automatiseert reacties.
Aan de slag
Voor het implementeren van XDR is een goed gestructureerde aanpak nodig om de effectiviteit te waarborgen. De volgende stappen zijn belangrijk voor het toevoegen van XDR aan een bestaande technologie-stack: het definiëren van doelstellingen en use cases, het beoordelen van het huidige security-infrastructuur in de organisatie, het maken van een implementatieplan en het configureren, aanpassen en uitvoeren van voortdurende optimalisatie van de nieuwe XDR-oplossing.
Conclusie
Extended Detection and Response is uitgegroeid tot een serieuze oplossing voor de verdediging van organisaties tegen moderne cyberaanvallen. Nu het security-landschap verschuift en cybercriminelen verfijnde tactieken inzetten om kwetsbaarheden uit te buiten, is een traditionele benadering van security niet genoeg. De geïntegreerde aanpak van XDR benadert security op een nieuwe manier: gegevens over endpoints, netwerken en clouds komen samen voor een volledig overzicht. Dit is de sleutel tot het detecteren van de allereerste aanwijzingen van een aanval, nog voordat deze kan escaleren.
Omdat cybercriminelen hun tactieken voortdurend aanpassen, moeten organisaties een groot aanpassingsvermogen hebben. De mogelijkheden en de schaalbaarheid van XDR zorgen voor een naadloze integratie met nieuwe tools en informatiefeeds over dreigingen. Door patronen en trends van verschillende gegevensbronnen te analyseren, kunnen organisaties met XDR hun security-strategieën verfijnen, middelen strategisch toewijzen en anticiperen op potentiële kwetsbaarheden voor maximale bescherming.
Door André Noordam, AVP Solutions Engineering EMEA North, SentinelOne
Lees ook:
- Sandworm meest gebruikte malware in oorlog Oekraïne
- Waar moet een effectief incident response plan aan voldoen?
