Wat is XDR (Uitgebreide opsporing en reactie)?

Door op afstand/hybride werken en andere trends worden de aanvalsgebieden groter, terwijl dreigingsactoren tegelijkertijd geavanceerder en agressiever worden. Traditionele verdedigingsmethoden zijn onvoldoende flexibel of intelligent gebleken. Naarmate bedreigingen toenemen, hebben organisaties manieren nodig om ze te beheersen die coherenter, holistischer, geautomatiseerder en geïntegreerder zijn. Enter Extended Detection and Response (XDR), een voorgestelde benadering voor het samenvoegen van detectie, opsporing, onderzoek en reactie op bedreigingen. XDR optimaliseert al deze functies door gebruik te maken van hecht geïntegreerde realtime of bijna-realtime telemetrie uit de belangrijkste bronnen in de hele organisatie.

Vóór XDR toonden EDR-systemen (Endpoint Detection and Response) de waarde aan van realtime detectie en respons door gebruik te maken van endpointtelemetrie. Opkomende cloud-native XDR-systemen gaan verder dan endpoints en integreren ook waardevolle telemetrie van e-mailgateways, identiteits- en toegangsbeheersystemen, netwerk- en cloudbeveiligingshulpmiddelen en andere belangrijke bronnen. Met behulp van geavanceerde machine learning analyseren ze voortdurend deze gerichte datastromen, waardoor meer bedreigingen aan het licht komen en en vervolgens geautomatiseerde of semi-geautomatiseerde reacties sturen via dezelfde geïntegreerde systemen.

XDR Uitgelegd: Hoe XDR werkt

XDR-systemen leggen voortdurend gerichte gegevens en waarschuwingen vast van alle belangrijke systemen die op hen zijn aangesloten en voeren al deze gegevens in een gecentraliseerd gegevensmeer, waar ze worden opgeschoond en genormaliseerd. Net als EDR begint XDR met al uw steeds diverser wordende endpoints - computers, mobiele apparaten, IoT, enzovoort. Maar het maakt ook gebruik van gegevensfeeds uit e-mailbeveiligingssystemen, tools voor netwerkanalyse en -zichtbaarheid, platforms voor identiteits- en toegangsbeheer, systemen ter bescherming van de werklast in de cloud, enzovoort.

Met behulp van deze uniforme, actuele gegevens passen XDR-systemen geavanceerde machine learning toe die verder gaat dan traditionele correlatie om opkomende bedreigingen in uw gehele infrastructuur te identificeren, terwijl er ook minder valse meldingen worden gegenereerd. De resultaten van deze analyse sturen specifieke acties aan. Veel van deze acties kunnen volledig worden geautomatiseerd binnen het XDR-systeem, dat aangesloten systemen zoals endpoints en e-mailgateways kan sturen om specifieke acties te ondernemen zonder menselijke tussenkomst. Andere, complexere aanbevelingen kunnen visueel worden gepresenteerd, en analisten kunnen alle noodzakelijke acties ondernemen vanaf één console, zonder tussen tools te hoeven schakelen.

XDR vs. EDR

EDR-systemen hebben aangetoond dat organisaties bedreigingen effectiever kunnen beheren als ze zich richten op de huidige activiteit op al hun endpoints, gebruikmaken van geavanceerde machine learning om deze activiteit te begrijpen en reacties te specificeren, en gebruikmaken van automatisering om snel actie te ondernemen waar dat nodig is.

XDR-systemen bouwen voort op dit principe door gegevensstromen van buiten de endpoints te integreren, zoals netwerken, e-mail, cloudworkloads, toepassingen, apparaten, identiteit, gegevensassets, IoT en mogelijk nog andere. Door deze toe te voegen is het mogelijk om meer bedreigingen, inbreuken en aanvallen te ontdekken en effectiever te reageren, omdat u niet alleen op endpoints, maar op uw hele infrastructuur acties kunt aansturen. Omdat XDR bovendien dieper inzicht kan krijgen in wat er precies gebeurt, belooft het minder valse meldingen te geven die beveiligingsanalisten frustreren en hun tijd verspillen.

Waarom ondernemingen XDR-beveiliging nodig hebben

In een tijdperk waarin er in wezen geen netwerkperimeters zijn en rampzalige inbreuken altijd en overal vandaan kunnen komen, moeten beveiligingsteams zich nog meer richten op detectie van en reactie op bedreigingen. In veel organisaties zijn eerdere benaderingen, zoals SIEM-systemen (Security Information and Event Management) van de eerste generatie, onhandelbaar gebleken. Ze zijn soms moeilijk in te zetten en te integreren, te duur en te vatbaar voor valse meldingen. Het koppelen van SIEM aan Security Orchestration and Response (SOAR) systemen heeft sommige organisaties geholpen om respons playbooks op te stellen voor het automatiseren van reacties op bepaalde bedreigingen, maar het opstellen hiervan is vaak complexer en moeilijker geweest dan verwacht.

Cloud-native XDR-oplossingen beloven elk van deze problemen op te lossen door meer gerichte en bruikbare gegevens, betere integratie, relevantere inzichten, minder valse positieven en eenvoudigere automatisering van reacties te bieden. Naarmate XDR-oplossingen verder gaan dan EDR-oplossingen die alleen endpoints bevatten, beloven ze een vollediger overzicht en snellere respons te bieden die met eerdere tools niet mogelijk waren.

Aangezien XDR-oplossingen betrekkelijk nieuw zijn, zullen ondernemingen zorgvuldig moeten evalueren of zij deze doelstellingen daadwerkelijk in de praktijk zullen bereiken, zonder op dezelfde problemen van complexiteit en ontoereikende integratie te stuiten als eerdere benaderingen.

Benaderingen van XDR: propriëtair vs. open

Analisten maken vaak onderscheid tussen twee brede categorieën van XDR-oplossingen. De eerste, die soms "proprietary XDR" of "native XDR" wordt genoemd, gaat ervan uit dat een organisatie de beveiligingsstack van een leverancier grotendeels of volledig afneemt. De XDR-leverancier zorgt voor integratie van de beveiligingssystemen die XDR voeden en voert de instructies uit door zelf de meeste of alle systemen te leveren. Klanten krijgen één aanspreekpunt, maar nemen de aanzienlijke risico's van een beveiligingsmonocultuur van één leverancier op zich - van lock-in van leveranciers tot suboptimale subsystemen en de vrees dat aanvallers de sleutels van het koninkrijk in handen kunnen krijgen door slechts één verdediger te omzeilen. Bovendien kan de invoering van monocultuuroplossingen ertoe leiden dat organisaties subsystemen voor beveiliging die nog goed werken, moeten afdanken.

Daarentegen gaan "open XDR"-systemen (soms ook "hybride XDR" genoemd) ervan uit dat klanten willen blijven vertrouwen op "best-in-breed"-oplossingen zoals e-mail gateways. Deze systemen integreren hoofdzakelijk via open API's. Ze werken het best wanneer de aangesloten technologieën API's hebben die robuust, volwassen, goed gedocumenteerd en modern zijn - bijvoorbeeld streaming in plaats van traditionele REST API's.

Open XDR vereist diepgaande integratie tussen meerdere systemen. Om dit te bevorderen, komen XDR-aanbieders en andere deelnemers aan XDR-ecosystemen nu samen in allianties om gedeelde XDR-normen, architecturen, API's, workflows, playbooks en beste praktijken te definiëren en te ontwikkelen.

Voordelen en gebruikssituaties van XDR

XDR levert waarde in alle drie lagen van het typische SecOps-team, van minder ervaren Tier 1-analisten die doorgaans netwerken bewaken en reageren op eenvoudige problemen, tot ervaren Tier 3-analisten die jagen op bedreigingen en zeer complexe incidenten aanpakken. Door gerichte, real-time/near-real-time gegevens te integreren met geavanceerde machine learning-analyses in een cloud-native omgeving, kunnen XDR-systemen worden gebruikt om:

• Doelgerichte aanvallen sneller identificeren, ook die waarbij het risico bestaat dat waardevolle klantgegevens of intellectuele eigendom (IP) verloren gaan.
• Herkennen van nieuwe bedreigingen die door kwaadwillige of onvoorzichtige insiders worden gecreëerd.
• Ontdek aangetaste endpoints die door EDR-systemen worden gemist.
• Geef analisten op lager niveau de kennis om complexere bedreigingen te herkennen.
• Stroomlijn onderzoeken en kom sneller tot de hoofdoorzaak.
• Leer van eerdere aanvallen om te voorkomen dat ze zich in de toekomst herhalen.
• Automatiseer veel reacties op bedreigingen en vereenvoudig de reacties die niet volledig kunnen worden geautomatiseerd.
• Integreer meer proactieve threat hunting in uw beveiligingsactiviteiten.

XDR: Waar moet je op letten, wat moet je nu doen en welke fouten moet je vermijden

Neem deze stappen en houd rekening met deze punten om uw kansen op succes met XDR op lange termijn te vergroten:

• Beoordeel zorgvuldig of u klaar bent om over te stappen op XDR. Bent u bijvoorbeeld bereid om silo's te doorbreken tussen endpoint-, netwerk-, cloud-, web- en andere beveiligingscontroles, en tussen SecOps en IT? XDR zal veel meer waarde opleveren als u dat bent - dus misschien wilt u eerst mensen- en proceskwesties aanpakken voordat u XDR gaat implementeren.
• Bij het bepalen van uw XDR-strategie moet u de aanschaf van andere beveiligingsproducten en -diensten - en de buitengebruikstelling daarvan - daarop afstemmen.[1] XDR maakt diepgaande integratie van cruciaal belang, dus alle systemen die u aanschaft of behoudt, moeten een gemakkelijke integratie ondersteunen, met name via open API's.
• Begrijp wat XDR momenteel wel en niet kan. De meeste XDR-systemen lossen bijvoorbeeld nog geen belangrijke compliance- en archiveringsproblemen op die van oudsher met SIEM's worden aangepakt, maar uw SIEM kan XDR-systemen vaak wel voeden wanneer deze het bedreigingsbeheer op zich nemen.
• Beoordeel grondig de huidige staat van elk XDR-product dat u overweegt, inclusief de toekomstige routekaart en uw vertrouwen in het vermogen van de XDR-aanbieder om die routekaart uit te voeren.
• Overweeg hoe XDR u kan helpen bij het toepassen van het MITRE ATT&CK® -raamwerk voor het begrijpen van en reageren op het gedrag van tegenstanders gedurende de gehele levenscyclus van een aanval. Begrijp hoe XDR-producten die u overweegt wel of niet bedreigingsbeheer en -jacht met MITRE ATT&CK vergemakkelijken.[2]
• Duidelijk inzicht in de wisselwerking tussen propriëtaire en open XDR-systemen, met name de gevaren en kosten van een beveiligingsmonocultuur van één leverancier.

De kern van de zaak

Vandaag de dag zijn detectie van en reactie op bedreigingen belangrijker dan ooit tevoren, en naarmate organisaties de richting van 'zero trust' opgaan, zullen deze nog onmisbaarder worden. Oudere oplossingen reageren te traag en inefficiënt op bedreigingen, waardoor inbreuken onopgemerkt en onopgelost blijven gedurende ondraaglijke perioden. XDR is ontwikkeld om dit probleem op te lossen. Het doet dit door alle meest relevante telemetrie die binnen een organisatie wordt gegenereerd samen te brengen, geavanceerde machine learning op die gegevens toe te passen, reacties te vereenvoudigen door effectiever te automatiseren dan SIEM- en SOAR-systemen doen, en - waar volledig geautomatiseerde reacties niet mogelijk zijn - meer waardevolle/actievere inzichten te bieden aan analisten op alle niveaus. Met XDR kunnen organisaties proactiever reageren op bedreigingen in plaats van te wachten tot ze zich manifesteren.

Maar XDR is nieuw. XDR-oplossingen veranderen en worden snel volwassen. Voor organisaties betekent dit dat zij zorgvuldig moeten plannen en beoordelen. Beveiligingsteams moeten veel vragen stellen over XDR-technologie, -processen en -mensen. En aangezien XDR een ongekende mate van integratie vereist, moeten zij aanvullende systemen kiezen die integratie gemakkelijker maken, niet moeilijker.

XDR FAQs

Welke problemen lost XDR op?

XDR belooft het opsporen en tegengaan van bedreigingen en het onderzoek en de reactie daarop te verbeteren, te versnellen en te vereenvoudigen. Het doet dit door:

• Bundeling en correlatie van de meest waardevolle stromen van gerichte real-time/near-realtime telemetrie, om nieuwe bedreigingen sneller en betrouwbaarder te identificeren.
• Automatisering van de respons via dezelfde systemen die telemetrie leveren - bijvoorbeeld e-mailgateways en tools ter bescherming van de werklast in de cloud.
• Betere ondersteuning van analisten, zodat zij sneller en doeltreffender kunnen reageren op complexe bedreigingen die niet volledig via geautomatiseerde antwoorden kunnen worden afgehandeld.

Wat is detectie en respons in cyberbeveiliging?

In cyberbeveiliging betekent bedreigingsdetectie het gebruikmaken van relevante gegevensbronnen om tekenen van een mogelijke inbraak of andere bedreiging te identificeren door middel van correlatie van gebeurtenissen, geavanceerde analyse, machinaal leren of andere middelen. Reactie op bedreiging betekent het identificeren en ondernemen van acties om de bedreiging te verhelpen - bijvoorbeeld het isoleren van een systeem van het netwerk of het uitschakelen van gecompromitteerde toegangsgegevens.

Omdat bedreigingen die niet worden afgehandeld snel gevaarlijker worden, moeten de opsporing van en reactie op bedreigingen snel gebeuren, en dat betekent dat er zoveel mogelijk op automatisering en kunstmatige intelligentie moet worden vertrouwd. Vaak bouwen bedrijven geautomatiseerde afspeellijsten die complexe actiereeksen activeren wanneer een bedreiging van een bepaald type wordt gedetecteerd.

Hoe werkt XDR met SIEM?

Hoewel sommige onderzoeksanalisten denken dat XDR's uiteindelijk SIEM's zullen vervangen, zullen veel organisaties op de korte tot middellange termijn beide blijven gebruiken. Een organisatie kan bijvoorbeeld overstappen op XDR voor bedreigingsbeheer, maar behoudt haar SIEM voor logverzameling, archivering en compliance. Een XDR-platform kan waarschuwingen ontvangen die door een SIEM worden gegenereerd, vervolgens verder onderzoek en analyses automatiseren en vervolgens ofwel een geautomatiseerde reactie aansturen of analisten op hoger niveau betere inzichten geven voor een tijdiger handmatige reactie.

Wat is MDR, en hoe verhoudt het zich tot XDR?

Managed Detection & Response (MDR) is een dienst, geen platform. Met MDR delegeren organisaties 24x7-bewaking van bedreigingen, opsporing van bedreigingen, proactieve opsporing van bedreigingen en sommige of alle reacties aan een serviceprovider die in deze taken is gespecialiseerd. Sommige organisaties gebruiken MDR-diensten om hun eigen detectie- en reactiemogelijkheden aan te vullen en uit te breiden in plaats van deze volledig te vervangen.

Hoe ondersteunt XDR klanten met zero trust aspiraties?

Het "zero trust"-paradigma houdt in dat u nooit enige poging vertrouwt om toegang te krijgen tot een systeem, applicatie of digitaal gegevensmiddel. In plaats daarvan moet elke poging worden geverifieerd, zelfs als deze afkomstig is van uw netwerk of een bedrijfslocatie, of als een gebruiker al voor een ander doel is geverifieerd. Een verbintenis tot zero trust vereist dat organisaties veel aspecten van beveiliging opnieuw bekijken vanuit een mentaliteit van voortdurende, op risico gebaseerde waakzaamheid. Naast de erkenning dat elke toegangspoging een inbreuk kan zijn ( ), erkennen organisaties ook dat sommige inbreuken onvermijdelijk zullen zijn en snel moeten worden opgespoord en verholpen. Accenture suggereert dat XDR in potentie kan dienen als het centrale zenuwstelsel dat een end-to-end zero trust architectuur integreert die endpoints, netwerken, e-mail, cloud workloads, applicaties, apparaten, identiteit, data assets, IoT en meer omvat.[3] Real-time zichtbaarheid en snelle, geautomatiseerde respons zullen essentieel zijn voor zero trust. Naarmate XDR volwassener wordt, belooft het voor veel organisaties de beste manier te zijn om dit te bereiken.

[1] Innovation Insight for Extended Detection and Response, Gartner

[2] Adapt or Die: XDR is on a Collision Course with SIEM and SOAR, Forrester Research

[3] Growing zero trust security with an XDR strategy, Accenture