De cybersecurity-sector wordt overspoeld met jargon, afkortingen en acroniemen. In deze blog proberen we wat duidelijkheid te scheppen rond een aantal van hen. Nu aanvalsmethoden steeds geavanceerder worden, wenden veel ondernemingen zich tot een nieuwe benadering om deze complexe dreigingen tegen te gaan, genaamd Extended Detection and Response (EDR), wat de voorloper is van nog een ander acroniem: XDR.
Als leider in de EDR-markt en pionier in opkomende XDR-technologie, wordt ons vaak gevraagd om te verduidelijken wat XDR betekent en hoe het uiteindelijk kan helpen om betere resultaten te leveren. Want hoewel XDR dit jaar veel aandacht heeft gekregen, is het nog steeds een concept waar verwarring over bestaat. Hieronder lees je hoe de detectie- en response-oplossingen EDR, XDR, MXDR, SIEM en SOAR zich tot elkaar verhouden.
Wat is EDR?
Extended Detection and Response (EDR) biedt een organisatie de mogelijkheid om endpoints te controleren op verdacht gedrag en om elke afzonderlijke activiteit en gebeurtenis vast te leggen. Vervolgens correleert het informatie om context te bieden en zo geavanceerde dreigingen te detecteren. Ten slotte voert het geautomatiseerde responsactiviteiten uit, zoals het bijna realtime isoleren van een geïnfecteerd endpoint van het netwerk.
Wat is XDR?
XDR is de evolutie van EDR. Terwijl EDR activiteiten verzamelt en correleert over meerdere endpoints, verzamelt en correleert XDR automatisch gegevens over meerdere beveiligingsvectoren. Deze gegevens worden gepresenteerd in een overzicht. Dit maakt een snellere detectie van dreigingen mogelijk, zodat beveiligingsanalisten snel kunnen reageren voordat de impact van de dreiging groter wordt. Kant-en-klare integraties en vooraf afgestemde detectiemechanismen voor meerdere verschillende producten en platforms helpen de productiviteit, detectie van dreigingen en forensisch onderzoek te verbeteren. Deze verbeterde zichtbaarheid biedt contextualisering van deze dreigingen om te helpen bij triage, onderzoek en snelle herstelwerkzaamheden.
Waarin verschilt XDR van SIEM?
Als we het over XDR hebben, denken sommige mensen dat het gaat over een Security Information & Event Management (SIEM)-tool. Maar XDR en SIEM zijn twee verschillende dingen. SIEM verzamelt en analyseert grote hoeveelheden loggegevens uit de hele onderneming, en slaat deze op voor verschillende use cases. Deze omvatten governance en compliance, op regels gebaseerde patroonovereenkomst, heuristische/gedragsdetectie van dreigingen zoals UEBA, en het zoeken naar telemetriebronnen voor IOC’s of atomaire indicatoren.
SIEM-tools vereisen veel afstemming en inspanning bij de implementatie. Beveiligingsteams kunnen overweldigd raken door het enorme aantal waarschuwingen van een SIEM, waardoor het Security Operations Centre (SOC) kritieke waarschuwingen over het hoofd ziet. Hoewel SIEM-tools gegevens van tientallen bronnen en sensoren vastlegt, blijft het een passief analytisch hulpmiddel dat bij een dreiging waarschuwingen geeft. Het XDR-platform is bedoeld om de uitdagingen van de SIEM-tool voor effectieve detectie van en reactie op gerichte aanvallen op te lossen en omvat gedragsanalyse, dreigingsinformatie, gedragsprofilering en analyse.
Hoe verschilt XDR van SOAR?
Security Orchestration & Automated Response (SOAR)-platforms worden gebruikt door beveiligingsteams om meerfasen-playbooks te maken en uit te voeren, die acties automatiseren in een API-verbonden ecosysteem van beveiligingsoplossingen. XDR daarentegen zal ecosysteemintegraties mogelijk maken en mechanismen bieden om eenvoudige acties tegen beveiligingscontroles van derden te automatiseren.
SOAR is complex, kostbaar en vereist een zeer volwassen SOC om partnerintegraties en draaiboeken te implementeren en te onderhouden. XDR is bedoeld als ‘SOAR-lite’: een eenvoudige, intuïtieve, zero-code-oplossing die bruikbaarheid biedt van het XDR-platform tot verbonden beveiligingstools.
Wat is MXDR?
Managed Extended Detection and Response (MXDR) breidt MDR-services uit over de hele onderneming om een volledig beheerde oplossing te krijgen die beveiligingsanalyses en -operations, geavanceerde threat hunting, detectie en snelle respons in endpoint-, netwerk- en cloudomgevingen omvat. Een MXDR-service breidt de XDR-mogelijkheden van de klant uit met MDR-services voor extra monitoring, onderzoeken, het opsporen van dreigingen en responsmogelijkheden.
Waarom kiezen steeds meer organisaties voor XDR?
XDR vervangt beveiliging in silo’s en helpt organisaties cyberuitdagingen aan te pakken vanaf één centrale plek. Met een enkele pool van onbewerkte gegevens die informatie uit het hele ecosysteem omvat, maakt XDR een snellere, diepere en effectievere detectie en reactie van dreigingen mogelijk dan EDR. Ook biedt XDR meer zichtbaarheid en geeft de oplossing context aan dreigingen.
Incidenten die anders niet zouden zijn aangepakt, worden toch opgemerkt, waardoor beveiligingsteams herstelwerkzaamheden kunnen uitvoeren en eventuele verdere impact kunnen verminderen. Hierdoor wordt de omvang van de aanval geminimaliseerd. Bovendien helpt XDR dankzij AI en automatisering handmatig werk voor beveiligingsanalisten te verminderen. Een XDR-oplossing kan proactief en snel geavanceerde dreigingen detecteren, de productiviteit van het beveiligings- of SOC-team verhogen en de organisatie een enorme boost geven in ROI.
Conclusie
Navigeren door het leverancierslandschap is voor veel ondernemingen een uitdaging, vooral als het gaat om detectie- en responsoplossingen. Vaak is het moeilijk te begrijpen wat elke oplossing biedt, vooral wanneer terminologieën van leverancier tot leverancier verschillen en verschillende dingen kunnen betekenen. Hopelijk is met deze blog een aantal zaken toch verduidelijkt.
Lees ook:
- Het verschil tussen EDR en Enterprise Antivirus
- SentinelOne scoort voor derde jaar op rij het hoogst op analytische detecties in MITRE Engenuity ATT&CK
