De mogelijkheid van een bedrijf om alle mogelijke beveiligingsdreigingen voor te blijven hangt af van twee zaken: effectieve tools en sterke beveiligingsanalisten. Helaas is het moeilijk om de juiste balans te vinden tussen technologie en menselijk kapitaal.
Detectie- en preventietechnologieën zorgen dagelijks voor duizenden meldingen. Deze kunnen vaak voor meer werk zorgen dan beveiligingsteams aankunnen. De meldingen komen vaak ook van veel ontkoppelde bronnen, waardoor analisten alles bij elkaar moeten puzzelen. Er wordt dan enkel gehoor gegeven aan de meldingen met de hoogste prioriteit. Alles daaronder wordt verwaarloosd.
Het gebruik van API’s en SIEM’s
Veel organisaties gebruiken API’s om detectie- en responsdata met elkaar te integreren. Dit houdt over het algemeen het gebruik van een dure SIEM in als het centrum van hun beveiligingsoperatie. Deze verzamelt de data van de logs door ze te ontleden en normaliseren, waardoor er veel van de kostbare context verloren gaat.
Dat is natuurlijk geen perfecte opstelling. Wat hier echt nodig is, zijn een aantal technologieën die de hoeveelheid meldingen verminderen en ook analisten de kans geven om dreigingen efficiënt te beoordelen, zodat enkel meldingen met de hoogste prioriteit geëscaleerd worden.
De introductie van beveiligingsrespons-tools
Er zijn een reeks tools voor het loggen, detecteren en beantwoorden van de dreigingen om je te helpen. Deze bevatten Endpoint Detection and Response (EDR), Endpoint Protection Platform (EPP) en Security Information and Event Management (SIEM). Elk van deze tools heeft zijn eigen sterktes en zwakheden, en kan handig zijn tegen eenvoudige aanvallen, waaronder bedreigingen die zich op slechts één deel van de infrastructuur richten. De meeste hebben echter een enkelvoudig nut, waardoor ze op zichzelf niet in staat zijn om complexere problemen op te lossen.
Nieuwere tools zoals Network Detection and Response (NDR) en User and Entity Behaviour Analytics (UEBA) zijn ontworpen om deze tekortkomingen aan te pakken. Ze maken gebruik van Machine Learning (ML) om in alle activiteiten op zoek te gaan naar onregelmatigheden. Hiermee los je de problemen op van het detecteren van onbekende aanvallen middels het gebruik van SIEM.
Nieuwe generatie XDR-beveiliging
Gelukkig is er een nieuwe generatie van incident-respons-tools om aan de vraag naar een meer geavanceerde en uitgebreide detectie en respons te voldoen. XDR (waar de ‘X’ voor ‘extended’ staat en elke soort databron kan omvatten) erkent dat het niet gemaakt is om naar individuele componenten van de infrastructuur te kijken. XDR maakt gebruik van machine learning en dynamische analysetechnieken om de capaciteiten en uitkomsten van SIEM, UEBA, NDR en EDR te combineren.
XDR’s verbinden de data van de endpoint, cloud en het netwerk in één grote datapool. Bovenal geeft XDR een bredere zichtbaarheid met meer doeltreffende machine learning-analytics en geïntegreerde oplossingen om een fundamentele verandering te brengen aan het zoeken naar dreigingen, detectie, onderzoek en respons.
Wil je graag meer weten rond hoe Cortex XDR SecOps herdefinieert? Lees dan hier The Essential Guide to XDR van Palo Alto Networks.