Betere detectie van bedreigingen door integratie
De waarde van cyberbeveiligingsinstrumenten kan groter zijn dan de som van de delen - maar alleen als ze collectief op een geïntegreerde manier worden gebruikt.
Hoofdpunten
- Voor uitgebreide informatie over bedreigingen is een reeks uiteenlopende cyberbeveiligingshulpmiddelen nodig om het steeds veranderende bedreigingslandschap bij te kunnen houden.
- Maar het gebruik van meerdere oplossingen genereert massa's gefragmenteerde gegevens die voor cyberbeveiligingsteams moeilijk te interpreteren en te gebruiken zijn.
- Om de volledige waarde van deze instrumenten te realiseren, moeten ze worden geïntegreerd, zodat beveiligingsprofessionals de puntjes op de i kunnen zetten en het totaalbeeld kunnen zien.
Zo veel cyberbeveiligingsinstrumenten, zo weinig tijd. De hoeveelheid en verscheidenheid van de gegevens die door deze tools worden gegenereerd, kunnen overweldigend zijn. Dus hoe sorteren beveiligingsteams van bedrijven dit alles om de bedreigingen te detecteren die er het meest toe doen en er prioriteit aan te geven?
Het voor de hand liggende antwoord is om al die gegevens te integreren, zodat alle bomen als één bos kunnen worden gezien.
Het doel moet zijn één totaalbeeld te krijgen dat in realtime kan worden geanalyseerd, zodat het beveiligingspersoneel tot bruikbare inzichten kan komen zonder zich in het onkruid te verliezen.
Informatie over gedistribueerde bedreigingen verstoort het grote geheel
Geen enkel hulpmiddel voor cyberbeveiliging kan alles, en voor uitgebreide informatie over bedreigingen is een uiteenlopende reeks beveiligingstools nodig om het steeds veranderende bedreigingslandschap bij te kunnen houden. Uit een onderzoek van het Ponemon Institute uit 2020 blijkt echter dat het gebruik van meer tools een organisatie in een nadelige positie plaatst en dat bedrijven die minder tools voor bedreigingsdetectie gebruikten, beter in staat waren een aanval te detecteren en erop te reageren.[1] Minder was echter niet altijd gelijk aan meer. Uit het rapport kwam ook naar voren dat het samenvoegen van gegevens van afzonderlijke tools de complexiteit van de rapportage kan helpen verminderen, en 63% van de goed presterende ondervraagde organisaties gaf aan dat het delen van gegevens tussen tools hun vermogen om op bedreigingen te reageren had verbeterd.
Met andere woorden, wijdverspreide, versnipperde gegevens leveren problemen op als ze niet goed worden geïntegreerd, en zelfs de beste tools voor informatie over bedreigingen kunnen een blok aan het been zijn als ze worden behandeld als op zichzelf staande eilanden die waarschuwingen genereren.
Te veel waarschuwingen kan duur uitpakken
Een toenemend aantal waarschuwingen is voor veel beveiligingsteams een lastige realiteit. Het is niet ongewoon dat sommige organisaties op een dag meer dan 100 waarschuwingen ontvangen - of zelfs tien keer zoveel als ze in een grote onderneming werken.[2] En net als de jongen die wolf riep, worden zo veel aanvalsmeldingen gemakkelijk te negeren.
Deze stand van zaken kan zeer kostbaar zijn. Uit een andere studie van Ponemon, deze uit 2015, blijkt dat bedrijven gemiddeld 1,27 miljoen dollar per jaar verliezen door te reageren op onnauwkeurige of foutieve waarschuwingen.[3] Dit is deels te wijten aan alle tijd die wordt verspild door de cyberbeveiligingsprofessionals die alle ruis moeten ontcijferen. Bij gebrek aan een geïntegreerde oplossing is het alsof je hen vraagt een grote legpuzzel in elkaar te puzzelen zonder hen een totaalbeeld te bieden waar ze op kunnen terugvallen. Uiteindelijk kunnen ze het misschien wel, maar de uitkomst is minder zeker, en het zal zeker veel langer duren voordat ze de klus hebben geklaard.
Zelfs met alle 'state of the threat'-oplossingen die tot hun beschikking staan, hebben beveiligingsteams, wanneer de gegevens door individuele aderen worden geleid in plaats van door een centrale slagader, moeite om de vinger aan de pols te houden. Zonder een gecentraliseerde hub, een geïntegreerd dashboard of een soortgelijk rapportagemechanisme hebben teamleden geen andere keuze dan van de ene bedreigingsinlichtingendienst naar de andere te hoppen. Hierdoor blijven ze steken in het onkruid en zijn ze niet in staat een aanvalspatroon te onderscheiden of te bepalen hoe de ene inbraak verband kan houden met de volgende. Als ze reageren op bedreigingen die zich voordoen, kunnen ze alleen maar reageren - niet in staat tot een meer proactieve benadering die anticipeert op waar de volgende aanval waarschijnlijk vandaan zal komen.
Betere detectie van bedreigingen berust op gegevensintegratie
Nu de gemiddelde tijd tot de ontdekking van een cyberinbraak maar liefst 56 dagen bedraagt,[4] lijdt het weinig twijfel dat er behoefte is aan betere informatie over de opsporing van bedreigingen. Hier komen SIEM's, SOAR's en API's om de hoek kijken, die het samen mogelijk maken om meerdere oplossingen voor informatie over bedreigingen te integreren.
Security Information and Event Management (SIEM) biedt een raamwerk voor het samenvoegen van de input van afzonderlijke beveiligingstools in één enkele feed. Door deze gegevens samen te voegen en te correleren, kunnen gebeurtenissen worden opgespoord die niet kunnen worden geïdentificeerd door afzonderlijke monitoring van afzonderlijke tools.
Security Orchestration, Automation and Response, of SOAR, vergroot de mogelijkheden van een SIEM-framework door de analyse van bedreigingen en de reactie op incidenten te automatiseren. Maar het vermogen van SOAR om programmatisch te reageren is afhankelijk van uitgebreide gegevensintegratie. Vandaar de behoefte aan API's - vooral open API's - die het samenvoegen van verschillende cyberbeveiligingstools en hun rapportagesystemen kunnen versnellen.
Met behulp van softwaretechnologieën zoals SIEM's, SOAR's en open API's kunnen beveiligingsprofessionals gebruikmaken van de collectieve kracht van de beste beschikbare informatie over bedreigingen, waardoor ze hun blik van de bomen naar het bos kunnen richten.
De kern van de zaak
Gezien het steeds veranderende landschap van cyberbedreigingen is de overvloed aan tools voor het opsporen van bedreigingen een noodzakelijk kwaad. Als deze tools op zichzelf staan, kunnen ze een blok aan het been worden, omdat ze cyberbeveiligingsteams dwingen van het ene rapportagesysteem naar het andere te switchen, waarbij ze vaak het overzicht verliezen. Maar door ze te integreren met benaderingen als SIEM, SOAR en open API's, kunnen beveiligingsprofessionals de puntjes op de i zetten en bedreigingspatronen ontdekken die anders aan detectie zouden ontsnappen.
Als u meer wilt weten over het optimaliseren van uw beveiligingsstack, ga dan naar Mimecast SecOps Virtual, een gratis evenement van een halve dag met keynotes en breakoutsessies, dat plaatsvindt op 26 en 27 januari.
[1] The 2020 Cyber Resilient Organization Study , The Ponemon Institute
[2] "56% van de grote bedrijven verwerkt meer dan 1000 beveiligingswaarschuwingen per dag," DarkReading
[3] The Cost of Malware Containment , The Ponemon Institute
[4] "FireEye Mandiant M-Trends 2020 Report Reveals Cyber Criminals Are Increasing Turning to Ransomware as a Secondary Source of Income," FireEye
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!