De cyberbeveiligingsbranche zit vol met jargon, afkortingen en acroniemen. Nu zij worden geconfronteerd met steeds meer complexe aanvalsvectoren, van endpoints tot netwerken tot de cloud, gaan veel ondernemingen geavanceerde bedreigingen op een nieuwe manier te lijf: Extended Detection and Response, wat alweer een nieuw acroniem oplevert: XDR. En ondanks het feit dat XDR dit jaar al aardig ingeburgerd is geraakt bij toonaangevende bedrijven in de branche en de analistengemeenschap, is het nog steeds een evoluerend concept, wat gepaard gaat met de nodige verwarring.
- Wat is XDR?
- Hoe verschilt XDR van EDR?
- Is het hetzelfde als SIEM & SOAR?
Als een leider in de EDR-markt en een pionier op het gebied van de opkomende XDR-technologie krijgen wij vaak verzoeken om te verduidelijken wat het betekent en hoe het de klant uiteindelijk kan helpen betere resultaten te leveren. Met deze post willen we wat vaak gestelde vragen beantwoorden rondom XDR en de verschillen tussen XDR en EDR, SIEM en SOAR.
Wat is EDR?
EDR stelt een organisatie in staat endpoints te monitoren op verdacht gedrag en alle activiteiten en gebeurtenissen vast te leggen. Vervolgens spoort het geavanceerde bedreigingen op dankzij de aan gecorreleerde informatie ontleende kritieke context en geeft tenslotte een geautomatiseerde reactie, bijv. door een geïnfecteerd endpoint praktisch in real-time van het netwerk te isoleren.
Wat is XDR?
XDR is de volgende evolutie van EDR (Endpoint Detection and Response). Waar EDR de activiteiten in meerdere endpoints verzamelt en correleert, gaat XDR verder en verzorgt detectie, analyse en reactie voor endpoints, netwerken, servers, cloud workloads, SIEM en nog veel meer.
Hierdoor kunnen meerdere tools en aanvalsvectoren op één enkel scherm in het oog worden gehouden. Dit verbeterde inzicht stelt de gebruiker in staat bedreigingen te contextualiseren, wat de triage, het onderzoek en het herstel sterk ten goede komt.
XDR voert de verzameling en correlatie van gegevens in meerdere beveiligingsvectoren automatisch uit. Dit versnelt de bedreigingsdetectie, waardoor beveiligingsanalisten kunnen reageren voordat de bedreiging toeneemt. Directe integreerbaarheid en vooraf ingestelde detectiemechanismen die compatibel zijn met een scala aan producten en platformen zorgen voor verbeterde productiviteit, bedreigingsdetectie en forensische gegevens.
Hoe verschilt XDR van SIEM?
Wanneer wij het over XDR hebben, denken mensen wel eens dat dit een andere manier is om een Security Information & Event Management (SIEM)-tool te beschrijven. XDR en SIEM zijn echter twee verschillende dingen.
SIEM verzamelt, aggregeert en analyseert grote hoeveelheden loggegevens van overal in de onderneming en slaat deze op. De aanvankelijke opzet van SIEM was zeer breed: het verzamelen van beschikbare log- en gebeurtenisgegevens uit praktisch overal in de onderneming om deze op te slaan voor diverse usecases, zoals bestuur en naleving van voorschriften, regelgebaseerde patroonvergelijking, heuristische/gedragsgebaseerde bedreigingsdetectie zoals UEBA en het doorspitten van telemetriebronnen op IOC’s of atomic indicators.
Bij de implementatie van SIEM-tools komen echter veel fine-tuning en inspanning kijken. Verder kunnen beveiligingsteams overweldigd raken door het grote aantal waarschuwingen dat ze van een SIEM ontvangen, waardoor de SOC kritieke waarschuwingen over het hoofd zou kunnen zien. Bovendien is het nog steeds een passieve analytische tool die waarschuwingen geeft, ook al vangt een SIEM gegevens op van tientallen bronnen en sensoren.
Het XDR-platform streeft ernaar de uitdagingen van de SIEM-tool voor doeltreffende detectie van, en reactie op, gerichte aanvallen op te lossen en omvat gedragsanalyse, bedreigingsinformatie, gedragsprofilering en mogelijkheden voor analytisch onderzoek.
Hoe verschilt XDR van SOAR?
Security Orchestration & Automated Response (SOAR)-platformen worden gebruikt door volgroeide beveiligingsteams voor het samenstellen en draaien van uit meerdere stadia bestaande playbooks die processen automatiseren in een op een API aangesloten ecosysteem van beveiligingsoplossingen. XDR daarentegen maakt de integratie van ecosystemen mogelijk via Marketplace en biedt mechanismen voor de automatisering van eenvoudige acties overeenkomstig beveiligingsmiddelen van derden.
SOAR is complex en duur en vereist een zeer volgroeide SOC voor de implementatie en het onderhoud van integraties en playbooks van partners. XDR is bedoeld als een ‘Lite’ versie van SOAR: een eenvoudige, intuïtieve, codevrije oplossing die het XDR-platform verbindt met de erop aangesloten beveiligingstools.
Wat is MXDR?
Managed Extended Detection and Response (MXDR) maakt MDR-diensten overal in de onderneming beschikbaar en zorgt zodoende voor een volledig beheerde oplossing die bestaat uit beveiligingsanalytica en -operaties, opsporing van geavanceerde bedreigingen, detectie en snelle reactie in omgevingen zoals endpoints, netwerken en de cloud.
MXDR breidt de XDR-capaciteiten van de klant uit met MDR-diensten voor extra monitoring, onderzoeken, opsporing van bedreigingen en reactie.
Waarom krijgt XDR tractie en zoveel buzz?
XDR vervangt silovormige beveiliging en helpt organisaties bij het aanpakken van cyberbeveiligingsuitdagingen vanuit een verenigd gezichtspunt. XDR maakt gebruik van één enkele verzameling ruwe gegevens die informatie omvat vanuit het hele ecosysteem en maakt snellere, diepere en doeltreffendere bedreigingsdetectie en -reactie mogelijk dan EDR, omdat de gegevens vanuit een breder scala aan bronnen worden verzameld en samengevoegd.
XDR biedt meer inzicht in bedreigingen en verschaft meer context; incidenten die voorheen niet zouden zijn aangepakt komen nu duidelijker naar voren, zodat beveiligingsteams gepaste actie kunnen ondernemen en de impact van de aanval kunnen minimaliseren.
Een typische ransomware-aanval doorkruist het netwerk, komt in een mailbox terecht en valt vervolgens het endpoint aan. Een beveiligingsaanpak waarbij al deze incidenten apart worden bekeken plaatst organisaties in het nadeel. XDR omvat afzonderlijke beveiligingsmiddelen en verschaft overal in het beveiligingssysteem van de onderneming geautomatiseerde of met een enkele klik activeerbare reacties, zoals het deactiveren van gebruikerstoegang, het forceren van multi-factorverificatie wanneer besmetting van een account wordt vermoed, het blokkeren van inkomende domeinen en file hashes etc. – allemaal via door de gebruiker of door in de prescriptieve responsengine ingebouwde logica op maat geschreven regels.
XDR maakt gebruik van één enkele verzameling ruwe gegevens die informatie omvat vanuit het hele ecosysteem en maakt snellere, diepere en doeltreffendere bedreigingsdetectie en -reactie mogelijk dan EDR, omdat de gegevens vanuit een breder scala aan bronnen worden verzameld en samengevoegd.
Dit uitgebreide inzicht levert diverse voordelen op, zoals:
- Vermindering van de Mean Time to Detect (MTTD) doordat informatie met talrijke gegevensbronnen wordt gecorreleerd.
- Vermindering van de Mean Time to Investigate (MTTI) doordat de aanvankelijke triage wordt versneld en doordat het onderzoek en de bepaling van de omvang sneller kunnen verlopen.
- Vermindering van de Mean Time to Respond (MTTR) doordat eenvoudige, snelle en relevante automatisering wordt ingeschakeld.
- Verbetering van het inzicht in het volledige beveiligingssysteem.
Bovendien bespaart XDR beveiligingsanalisten veel handmatig werk dankzij AI en automatisering. Een XDR-oplossing kan complexe bedreigingen op proactieve manier snel opsporen, wat de beveiliging en de productiviteit van het SOC-team sterk ten goede komt en de ROI van de organisatie enorm verhoogt.
Tot slot
Het vinden van de juiste leverancier is voor veel ondernemingen een moeilijke taak, vooral als het om het zoeken naar een detectie- en reactieoplossing gaat. De grootste hindernis is vaak begrijpen wat elke oplossing te bieden heeft, helemaal wanneer de terminologie van leverancier tot leverancier varieert en verschillende betekenissen kan hebben.
Net als bij iedere nieuwe technologie die wordt geïntroduceerd, is er veel hype en dient de koper met gezond verstand te werk te gaan. Kort en goed: niet alle XDR-oplossingen zijn vergelijkbaar. SentinelOne Singularity XDR bundelt en verhoogt de detectie- en reactiecapaciteit in meerdere beveiligingslagen, wat beveiligingsteams gecentraliseerd end-to-end inzicht, krachtige analytische mogelijkheden en geautomatiseerde reactiefunctionaliteit biedt op elk punt in de technologiestack.
Wilt u meer te weten komen over het SentinelOne Singularity Platform? Neem dan contact met ons op of vraag een gratis demo aan.