EDR, XDR, MDR: wat kun je ermee?
Het hebben van een goede beveiligingsoplossing is natuurlijk niet het enige dat moet worden geregeld.Naast de zekerheid dat je veilig bent, wil je dat ook graag inzichtelijk hebben, je wilt graag snel achterhalen wat de oorzaak van een incident is en welke prioriteit je er aan moet geven. Maar hoe passen EDR, XDR en MDR daar dan in?
Tegenwoordig werken zijn het niet meer alleen losse systemen die een beveiligingsuitdaging; systemen zijn gekoppeld, al is het maar voor de authenticatie. En vaak is dit niet meer in het 'veilige' eigen datacenter, waar je controle over hebt, maar ook online / in de cloud. Die vreemde actie op dat ene systeem (een scriptje dat start) is mogelijk op zich geen probleem. Maar wanneer je dit wereldwijd in korte tijd ineens bij heel veel organisaties ziet, is dat waarschijnlijk toch wel iets dat aandacht nodig heeft; het zou een eerste 'test' voor de grote golf kunnen zijn. Detection & Response oplossingen kunnen daar al vroeg ingrijpen!
- Met EDR (Endpoint Detection & Response) is de scope nog altijd 'per systeem', maar worden events wel met de security cloud gedeeld. Hierdoor kunnen losse events aan elkaar worden gerelateerd en is dat ene event misschien toch ineens een potentieel risico. EDR maakt daarbij ook het pad van dat event inzichtelijk: Waardoor is dit initieel getriggerd (die ene klik op een mail-linkje). Wat is momenteel de impact? Zijn er andere systemen met vergelijkbare acties? Heeft dat script eventueel ook al iets op een fileserver gedaan?
Met EDR kun je dus doeltreffender omgaan met complexe cyberaanvallen waarbij meerdere endpoints betrokken zijn.
- XDR (Extended Detection & Response) gaat weer een stapje verder: ook de cloud (Microsoft, Google, Azure, ..) en de eigen infrastructuur (virtualisatie platformen, netwerkcommunicatie) worden dan gemonitord. Worden ineens veel gebruikers uitgeschakeld? Zijn rechten of andere belangrijke instellingen aangepast? Wordt over deze gebruiker in het dark web gesproken (gelekte inloggegevens)? Worden er ook documenten aangepast?
Met XDR ben je in staat om snel incidenten te triëren en erop te reageren, het legt de volledige omvang van alle aanvallen bloot.
- Natuurlijk heb je niet altijd (24x7) de mogelijkheid om zelf op events te reageren. Met MDR (Managed Detection & Response) is het mogelijk om (delen) van die monitoring en opvolging uit te besteden. Zelf wordt je dan alleen nog maar gewaarschuwd wanneer er echt aandacht nodig is. Dit kan dus betekenen dat die ene FTE die je al maanden aan het zoeken bent (tijdelijk) hiermee kan worden opgevangen, waardoor je weer tijd krijgt voor de bedrijfsvraagstukken
We zijn allemaal bezig om onze dienstverlening aan onze klanten continue te verbeteren. Al helemaal omtrent beveiliging omdat ieder bedrijf momenteel hier meer en vaker mee te maken krijgt. Wij zien dan ook dat deze vormen van beveiliging steeds vaker ingezet worden om de bestaande service naar klanten te optimaliseren. Misschien ken of gebruik je deze vormen al, maar het is zeker de moeite waard om dit (met jullie) te delen.
