De cyberindustrie is inmiddels doordrenkt met afkortingen en jargon waardoor voor velen, met name de beslissers (CISO, IT managers), door de bomen het bos niet meer te zien is. In dit blog artikel ga ik dieper in op deze afkortingen en hoe de verschillende technieken of oplossingen helpen bij het beter beveiligen van een IT infrastructuur.
Kortom:
- Wat is EDR?
- Wat is XDR en hoe verschilt dit van EDR?
- Wat is SOAR en hoe verhoudt zich dit tegenover SIEM en EDR/XDR?
Wat is EDR?
EDR staat voor Endpoint Detection and Response. We kennen allemaal de traditionele virus- of malware scanner, De EDR techniek is hieraan toegevoegd. Eigenlijk lijkt het ook nog steeds erg op wat een virusscanner doet alleen wordt er nu meer gebruik gemaakt van het correleren van informatie om meer geavanceerde aanval technieken te herkennen. Hiervoor wordt veelal gebruik gemaakt van de artificial intelligence (AI) bronnen die beschikbaar gesteld en onderhouden worden door de leverancier. Daarnaast kijk het ook naar het gedrag van andere hosts, van hetzelfde type, in de architectuur.
Vervolgens is het mogelijk om een geïnfecteerde of verdachte host automatisch te isoleren van het netwerk.
Wat is XDR?
XDR is een evolutie van EDR. XDR staat voor Extended Detection and Response. Kortom de EDR technologie is verder ontwikkeld en gaat een stap verder. Het integreert en correleert met en over álle type hosts in een infrastructuur. Dat kan dus bijvoorbeeld een SIEM, Next-Gen Firewall, Linux machine, Windows server, IOT device, etc. zijn. Hierbij is het niet relevant of de hosts of workloads on-premise of in public/private cloud draaien. Daarmee is het dus ook vendor onafhankelijk.
Voor zowel EDR als XDR geldt dat er een (geconsolideerd) dashboard aanwezig is waarbij inzicht wordt geboden voor security analisten om opvolging uit te voeren vanuit het incident response proces of vanuit forensisch (post-incident) perspectief.
Hiermee verhoogt XDR de efficiëntie, slagvaardigheid en productiviteit van analisten of security operations. Mede door betere, snellere en geautomatiseerde threat detectie. Hiermee is het voordeel dat de analist meer tijd heeft voor andere activiteiten.
Wat is XDR en hoe verhoudt zich dit tot SIEM?
Je zou kunnen stellen dat XDR erg veel lijkt op een Security Information Event Management (SIEM) oplossing. Er zijn inderdaad overeenkomsten maar er is wel degelijk een verschil. SIEM is een log collector, die IT infrastructuur breed wordt ingezet om relevante informatie weer te geven op basis van eerder vastgestelde use cases. Veelal is dit handig voor compliancy doeleinden en periodieke rapportages.
Het kost relatief veel tijd en complexiteit om een SIEM goed te kunnen utiliseren en dus in te richten voor het herkennen van bedreigingen. Daarnaast worstelen organisaties vaak met het vaststellen van de relevante use cases en worden analisten in de security operatie overladen met events. Het kost teveel tijd en specialisme om waarde uit een SIEM te halen.
XDR heeft als doel om dit op te lossen; een effectieve detectie en response op basis van bekende patronen en threat intelligence. Daarnaast is er ook een ontwikkeling dat XDR geïntegreerd wordt in bestaande SIEM oplossingen en dus niet als een separaat platform wordt aangeboden.
Wat is SOAR en hoe verhoudt zich dit tegenover SIEM en EDR/XDR?
Security Orchestration and Automated Response (SOAR) is vrij nieuw in de markt en nog volop in ontwikkeling. Het kan eigenlijk pas ingezet worden wanneer bestaande security operations een hoge volwassenheid heeft.
SOAR gaat over het inrichten van playbooks op de verschillende bedreigingen die vastgesteld worden door een XDR of SIEM. Eigenlijk wordt er door de analist extra context gegeven, met kennis van de eigen IT infrastructuur en het dreigingsbeeld wat past bij de organisatie waarvoor men werkt. Vervolgens wordt er een playbook gebouwd hoe er nu en in de toekomst automatisch gehandeld wordt op de set van events. Deze analist is veelal een senior of principal, die zelf (multilaags) automatische responses bouwt en verfijnt waardoor SOAR optimaal werkt. Het verfijnen van SOAR is daarmee ook een continu proces.
Maar waarom zou mijn organisatie XDR of SOAR nodig hebben en welke waarde haal ik hieruit?
Als organisatie is het belangrijk dat je bedreigingen en aanvallen snel herkend. XDR en SOAR helpen hierbij en voorkomen of beperken dus mogelijke schade. Deze technologie biedt de mogelijkheid om een beter inzicht te krijgen van bedreigingen of aanvallen op de IT Infrastructuur.
Uiteindelijk gaat het om de volgende KPI’s. Waarbij het doel is om de tijd voor iedere, bedreiging, aanval of finding zo kort mogelijk te maken:
- Mean time to detect (MTTD)
- Mean Time to Investigate (MTTI)
- Mean time to respond (MTTR)
Meer info over SIEM, EDR, XDR en SOAR?
Contact tom@lockitsecurity.nl of maak gebruik van de socials onderaan de webpagina.