Na geruime tijd met Software-as-a-Service-modellen (SaaS) te hebben gewerkt, zijn we nu steeds meer bezig met vergelijkbare plannen voor het verstrekken van volledige infrastructuren (IaaS) en platforms (PaaS). En wij denken dat dat een goede stap is voor organisaties over de hele wereld. Het gebruik van een turnkey-oplossing helpt bedrijven om op hun kerntaken te focussen. Maar is het mogelijk om bedrijven op ondernemingsniveau volledig geïntegreerde bescherming te bieden binnen een Security-as-a-Service-model?
Onze opvatting over turnkey-bescherming
Om die vraag te beantwoorden, moeten we eerst uitleggen wat we met volledig geïntegreerde bescherming bedoelen. Als we het over ondernemingen hebben, betekent dit bescherming van de infrastructuur in alle fases van reacties op dreigingen:
- Bij de preventiefase van incidenten, met gebruik van eindpunt-oplossingen op eindpunten;
- Bij de fase van dreigingsdetectie, door gegevens te controleren en analyseren, die van client-side beveiligingsoplossingen naar het security operations center (SOC) gaan;
- Bij de threat-hunting-fase, die het testen van hypotheses over nieuwe dreigingen en het uitvoeren van retrospectieve scans van de historische data voor nieuwe aanvalsdreigingsindicators (IoCs/IoAs) omvat.
- Bij de dreigingsvalidatiefase, waarbij het SOC-team bepaalt of een bepaalde verdachte gebeurtenis een echte dreiging is of een legitieme actie (vals alarm);
- Bij de reactiefase op het incident, waarbij we de aanvalsketen recreëren en aanbevelingen voor herstel bieden.
Endpoint Protection Platform en Endpoint Detection and Response-oplossingen (EDR) handelen de eerste fase in automatische modus af. In alle volgende fases is de rol van SOC-experts essentieel. Maar niet elk bedrijf kan zich een intern SOC veroorloven.
En de bedrijven zonder SOC dan?
Over een intern SOC beschikken is geen vereiste voor uitgebreide bescherming. De meerderheid van de grote bedrijven heeft er zelfs geen — slechts 20% wel, als we het totaal aantal reviews voor eindpuntbeveiliging–achtige platforms vergelijken met het aantal reviews voor oplossingen van EDR-klasse (die wijzen op de beschikbaarheid van een SOC) op het Gartner Peer Insights-platform.
Hoe doet die andere 80% het? Een verstandige optie voor de meeste is om de beveiligingsfuncties te delegeren. Experts werken om dreigingen op te zoeken, deze te evalueren en bevestigen, en reageren op incidenten die kunnen worden uitgevoerd door een managed security service provider (MSSP) of een verkoper van oplossingen die in principe het gedeelte van de MSSP-functies overneemt (zoals bij ons het geval is).
Bij deze aanpak ontvangen klanten een reeks oplossingen met een veel uitgebreidere functionaliteit dan gewone EDR. Het omvat zowel dreigingsdetectie door afwijkingen in het netwerkverkeer te analyseren (Network Detection and Responde of NDR) en de optie om de informatie van incidenten door experts te laten interpreteren (Managed Detection and Response of MDR). Ons SOC is uniek omdat de experts snelle toegang tot informatie over incidenten en nieuwe dreigingen over de hele wereld hebben, op basis waarvan ze stappen kunnen nemen in het belang van de klant. En hoewel de dreigingsdetectie en reactieprocessen (EDR + NDR = XDR) al redelijk geautomatiseerd zijn, maken we continue verbeteringen op dit gebied en willen we deze in de toekomst nog sterker maken.
De ATT&CK Evaluation-methodologie heeft de effectiviteit van onze aanpak al geverifieerd. Vanwege de specifieke aard van de aanpak, focust MITRE ATT&CK Evaluation Round 2 exclusief op het detectievermogen van onze oplossingen. Daarom zijn incident response, preventie en threat hunting (waar onze SOC-experts zeer vaardig in zijn) met opzet buiten beschouwing gelaten.
Onze EDR-oplossingen hebben ook bewezen betrouwbaar en geschikt te zijn voor zowel interne als uitbestede SOCs. Volgens het bovengenoemde Gartner Peer Insights-portaal is onze oplossing Kaspersky Anti Targeted Attack de top 3 binnengekomen en is deze erkend als een Customers’ Choice for Endpoint Detection and Response. We willen graag al onze klanten die de tijd hebben genomen om een review achter te laten enorm bedanken.
Algehele ranglijst van EDR-oplossingen volgens Gartner Peer Insights. Bron: Gartner.
In het kort geloof ik dat de toekomst van informatiebeveiliging ongetwijfeld toebehoort aan Security-as-a-Service, maar met de optie voor de klant om de mate van automatisering van de door hun gekozen toolkit te selecteren en om hun turnkey-station met aanvullende features te upgraden.
Tips