XDR vanuit technisch oogpunt: weg met de silo's
Naast de digitale trip die bedrijven maken, evolueren ook de aanvalstechnieken zeer snel. En hoe complexer ze worden, hoe moeilijker de detectie wordt. Je ziet dat een aanval niet meer bestaat uit één actie, zoals vroeger.
“Als je IT-security goed wilt doen, dan moet je met gemak jouw team verdubbelen. En afhankelijk van jouw IT-omgeving is dat soms zelfs nog niet genoeg.” We stellen het misschien simplistisch voor, maar er zit een grote waarheid in. De evolutie van het “threat landscape” in combinatie met de digitale transformatie en de shift naar de cloud, maakt een effectieve beveiliging complex. De werkdruk verlichten en jouw beschermingsniveau verbeteren tegen geavanceerde type aanvallen, daarbij kan Trend Micro XDR je helpen.
Cybercriminelen en hackers hebben hun tactieken, technieken en procedures (TTP’s) ook aangepast, om nog beter te kunnen infiltreren en onder de radar te blijven van beveiligingsprofessionals en hun oplossingen. De overgang naar meer gerichte aanvalsmethoden blijkt de belangrijkste pijler te zijn onder de bedreigingsactoren. Dit moet organisaties ertoe aanzetten om hun zichtbaarheid in de gehele levenscyclus van de aanval te verbeteren. De tijd dat aanvallen alleen maar op het einddoel (klanten) gericht zijn, is al lang voorbij. En dus is een uitgebreide, coherente verdediging tegen deze dreigingen van cruciaal belang.
IT- en beveiligingsteams staan voor grote uitdagingen. Tot op vandaag heeft de meerderheid van de organisaties nog een eigen bedrijfsinfrastructuur voor IT. Maar ze hebben hun traject naar de cloud ingezet, vaak sneller dan gedacht omdat de business dit aanstuurt. De cloud-technologie maakt het ook mogelijk om nu veel sneller apps uit te rollen. Het applicatiedomein verschuift daarbij ook naar de cloud (multi-cloud en hybride). Dat vraagt niet alleen de middelen om de apps af te stemmen zodat ze cloud-ready zijn, het brengt ook uitdagingen met zich mee op vlak van veiligheid. Denk maar aan mogelijke misconfiguraties in de cloudomgeving. En blijf de controle behouden over zowel de on-premise als de cloudinfrastructuur.
Daarnaast: de sterke opkomst van thuiswerk en de exponentiële groei van cloud-gebaseerde diensten van de gebruiker. Denk aan Office 365 ter vervanging van de eigen MS Exchange Server. In industriële omgevingen is de OT-omgeving (Operational Technology) in toenemende mate gekoppeld aan de IT-omgeving. Ook dit vraagt de nodige aandacht en assets en wekt trouwens meer interesse van hackers op. Dit zijn veel veranderingen die ook de IT-security beïnvloeden.
Waarom geautomatiseerde Detection & Response?
Veel van de huidige IT-beveiligingsmaatregelen zijn gebaseerd op een traditionele manier van protection. Denk maar aan de klassieke firewall. ‘Dit ziet er verdacht uit, ik blokkeer dit,‘ of ‘Dat is een bekende aanval, we stoppen het…’ Bij voorkeur is dit uitgebreid met de functionaliteit om ook onbekende aanvallen op basis van gedrag te stoppen.
Maar naast de digitale trip die bedrijven maken, evolueren ook de aanvalstechnieken zeer snel. En hoe complexer ze worden, hoe moeilijker de detectie wordt. Je ziet dat een aanval niet meer bestaat uit één actie, zoals vroeger. Een aanval wordt uitgevoerd in verschillende lagen en verschillende onderdelen. Los daarvan zijn deze componenten soms niet eens als kwaadaardig te herkennen. Het is ook niet meer één tool die gebruikt wordt voor de exploitatie; de componenten dringen stap voor stap dieper in de verschillende systemen en het netwerk. En dan kan het nog weken of maanden duren voordat ze effectief actief worden. Je hebt dus een overzicht nodig dat alle telemetriegegevens analyseert. Mogelijk met behulp van Artificiële Intelligentie (AI) en Threat Intelligence, kan je snel(ler) de puzzelstukjes in elkaar steken en de naald in de hooiberg vinden. Vóórdat de aanval je treft.
Er is nog meer. De best-of-breed aanpak heeft bedrijven door de jaren heen opgezadeld met te veel verschillende tools, die tot extra kosten hebben geleid, meer complexiteit, moeilijker beheer en gaten in de beveiliging. Dit draagt bij aan een nog hogere werkdruk voor de nu al drukbezette beveiligingsteams.
Voetbalstadion
Als je zelf naar alle telemetriegegevens moet kijken – kun je die het beste vergelijken met een groot voetbalstadion in pre-coronatijden. Gevuld met zo’n 50.000 supporters en 22 spelers op het veld. Wel, met die 22 pionnen op het veld moet je nagaan of één persoon in het stadion iets fout doet. Daarbij moet je rekening houden dat een eerste controle al 10 minuten duurt en dat het stadion ook elk uur opnieuw wordt gevuld met 50.000 andere supporters. Dat is in cijfers uitgedrukt hoe snel en hoeveel data je als beveiligingsspecialist moet verwerken.
Verder dan Endpoint Detection & Response (EDR)
Veel organisaties hebben EDR (Endpoint Detection & Response) ingezet als een manier om meer data over aanvallen op een endpoint te vergaren. Maar zoals we zelfs bij sommige ransomwares hebben gezien, wordt de eindgebruiker steeds minder het doelwit. In plaats daarvan bewegen aanvallen zich (ongezien) binnen het netwerk van een organisatie om kritieke systemen te vinden. Daardoor zien ze hun kansen aanzienlijk vergroten op de effectieve betaling van ransomware door die organisatie.
Dit betekent dat de actoren achter de veelal financieel gemotiveerde en gerichte aanvallen zich over het netwerk zullen verplaatsen. En dat hun sporen ook in andere delen van het netwerk zullen worden achtergelaten. Dus niet alleen op de endpoint. Het uitbreiden van EDR naar die andere gebieden, dat is de kern van XDR. Die ‘X’ kan gaan over netwerkgegevens, e-mail- of webgegevens, data van cloud-instanties en andere. Dit stelt een organisatie in staat om een volledig zicht te krijgen op de gehele levenscyclus van de aanval, inclusief infiltratie, laterale beweging in het netwerk en ex–filtratie. Dit verbetert het vermogen van de organisatie om de diefstal van kritieke gegevens of het compromitteren van kritieke systemen binnen hun netwerk te voorkomen.
Een leider in XDR
Hierin blinkt Trend Micro XDR uit. Het is ontworpen om verder dan het endpoint te kijken en om data uit de gehele organisatie te verzamelen en te correleren, met inbegrip van e-mail, endpoints, servers, cloud-workloads en netwerken. Dankzij deze verbeterde context, samen met de kracht van Trend Micro’s AI-algoritmen en deskundige security-analyses, is het platform in staat om bedreigingen eenvoudiger te identificeren en effectiever te neutraliseren.
Contacteer ons om de mogelijkheden voor jouw organisatie te analyseren.