Wat is uitgebreide opsporing en reactie (XDR)?

Nu het landschap van cyberdreigingen voortdurend evolueert, belooft XDR het onderzoek en de reactietijd van beveiligingsteams drastisch te verbeteren. Maar zoals bij elke nieuwe aanpak kan er verwarring ontstaan over wat XDR is, hoe het verschilt van traditionele beveiligingsoplossingen en welke beveiligingsresultaten gebruikers ervan kunnen verwachten. Lees verder voor meer informatie.

Betekenis en definitie van XDR

Extended detection and response, of XDR, is een meerlagige beveiligingstechnologie die de IT-infrastructuur beveiligt. Het doet dit door het verzamelen en correleren van gegevens van meerdere beveiligingslagen, waaronder endpoints, apps, e-mail, clouds en netwerken, waardoor meer inzicht wordt verkregen in de technologische omgeving van een organisatie. Hierdoor kunnen beveiligingsteams cyberdreigingen snel en doeltreffend opsporen, onderzoeken en aanpakken.

XDR wordt beschouwd als een meer geavanceerde versie van endpoint detection and response (EDR). Terwijl EDR zich richt op endpoints, richt XDR zich breder op meerdere beveiligingscontrolepunten om bedreigingen sneller te detecteren, met behulp van diepgaande analyses en automatisering.

Het moderne cyberdreigingslandschap

Het cyberbeveiligingslandschap evolueert en breidt zich snel uit. De afgelopen tien jaar is er een wildgroei geweest aan tools voor het opsporen en bestrijden van bedreigingen, die allemaal proberen de nieuwste cyberdreigingen voor te blijven. Met de opkomst van werken op afstand en de verplaatsing van meer bedrijfsfuncties naar de cloud, is detectie en respons niet altijd een eenvoudige taak - niet in de laatste plaats omdat rampzalige inbreuken altijd en overal vandaan kunnen komen.

In deze risicovolle digitale omgeving is het essentieel om te weten hoe cyberdreigingen coherent en holistisch kunnen worden beheerd. Beveiligingsteams moeten vertrouwen op diepere integratie en meer automatisering om cybercriminelen voor te blijven.

De kenmerken van het moderne dreigingslandschap zijn onder meer

• Kwaadwillenden investeren nu veel tijd in het vooraf verzamelen van inlichtingen om te bepalen wie zij als doelwit zullen kiezen, hoe zij dat zullen doen en wat de optimale timing van hun aanval is. Dit niveau van planning vooraf maakt de aanvallen geraffineerder en dus moeilijker te onderscheppen.
• Aanvallers werken steeds vaker met elkaar samen om verschillende vaardigheden te benutten. Zo kan een team dat gespecialiseerd is in het bereiken van een eerste toegang samenwerken met een team dat gespecialiseerd is in zijwaartse bewegingen. Zij kunnen dan toegang verkopen aan een ander team dat zich richt op ransomware en gegevens steelt met het oog op afpersing. Dit niveau van samenwerking zorgt voor extra complexiteit.
• Cyberaanvallen doorkruisen nu vele gebieden van het netwerk - ze kunnen bijvoorbeeld beginnen op het werkstation van een werknemer via een phishing e-mail of een open IP die kan worden gecompromitteerd, maar nadat ze het netwerk snel in kaart hebben gebracht, kunnen aanvallers overgaan naar datacenters, cloud-infrastructuren en OT-netwerken. De digitale transformatie van veel organisaties, gekoppeld aan de toename van werken op afstand, betekent dat het aanvalsoppervlak voor de meeste ondernemingen is gegroeid.
• Aanvallers zijn steeds beter geworden in het verbergen van hun activiteiten. Zij doen dit via counter-incident response om hun acties te verbergen voor verdedigers - dat wil zeggen, met behulp van legitieme hulpmiddelen kwaadwillig hun sporen wissen.
• Afpersingsmethoden zijn uitgebreider geworden - inclusief het stelen van gegevens, DDoS, ransomware, en in extreme gevallen, het contacteren van uw klanten om u onder druk te zetten om hun afpersingskosten te betalen.
• Binnen sommige organisaties kan de beveiligingsinfrastructuur over het netwerk in silo's zijn verdeeld. Als onafhankelijke beveiligingsoplossingen niet zijn geïntegreerd, kunnen ze leiden tot te veel waarschuwingen zonder context, waardoor beveiligingsteams worden overweldigd en hun zicht op het hele aanvalsoppervlak wordt beperkt.

Nu criminelen meer geavanceerde technieken gebruiken om traditionele beveiligingscontroles te misbruiken, kunnen organisaties moeite hebben om kwetsbare digitale activa zowel binnen als buiten de traditionele netwerkperimeter te beveiligen. Nu beveiligingsteams onder druk staan door de verschuiving naar werken op afstand, is de druk op de middelen nog groter geworden. Organisaties hebben proactieve, uniforme beveiligingsmaatregelen nodig om hun technologische activa, waaronder verouderde endpoints, mobiele, netwerk- en cloud-workloads, te verdedigen zonder het personeel en de interne middelen te overweldigen.

Als gevolg hiervan overwegen meer leiders op het gebied van beveiliging en risicobeheer in ondernemingen de voordelen en de productiviteitswaarde van XDR-beveiliging.

Hoe werkt XDR?

XDR zorgt voor efficiëntere beveiliging door de detectie- en reactiemogelijkheden te verbeteren door overzicht en controle over endpoints, netwerken en cloud te verenigen.

Door gegevens van afzonderlijke beveiligingsoplossingen met elkaar te verbinden, wordt het zicht op bedreigingen verbeterd en wordt de tijd die nodig is om een aanval te identificeren en erop te reageren verkort. XDR vergemakkelijkt geavanceerd onderzoek en mogelijkheden voor het opsporen van bedreigingen in meerdere domeinen vanaf één console.

In grote lijnen zijn er drie aspecten aan de werking van XDR-beveiliging:

1. Verzamelen van gegevens: De eerste stap is het verzamelen en normaliseren van grote hoeveelheden gegevens van eindpunten, cloud workloads, e-mail, netwerkverkeer, virtuele containers en meer. Alle gegevens zijn geanonimiseerd en omvatten alleen die elementen die nodig zijn om potentiële anomalieën en bedreigingen vast te stellen.
2. Detectie: Vervolgens ligt de nadruk op het ontleden en correleren van gegevens om met behulp van geavanceerde kunstmatige intelligentie (AI) en machine learning (ML) automatisch heimelijke bedreigingen op te sporen.
3. Reactie: Vervolgens gaat het om het prioriteren van bedreigingsgegevens naar ernst, zodat beveiligingsteams nieuwe gebeurtenissen tijdig kunnen analyseren en triageren en onderzoek en responsactiviteiten kunnen automatiseren. Het reactieproces moet plaatsvinden vanuit één enkel centrum, met relevante gegevens, context en instrumenten.

XDR-technologie is nuttig om analisten te laten zien welke stappen een aanvaller heeft genomen door de opeenvolging van processen voor de uiteindelijke aanval te onthullen. De aanvalsketen wordt verrijkt met informatie uit de inventaris van bedrijfsmiddelen, zoals kwetsbaarheden met betrekking tot het bedrijfsmiddel, de eigenaar of eigenaren van het bedrijfsmiddel, de zakelijke rol en de waarneembare reputatie uit informatie over bedreigingen.

Omdat beveiligingsteams vaak dagelijks met een grote hoeveelheid waarschuwingen te maken krijgen, is het automatiseren van het triageproces en het verstrekken van contextuele informatie aan analisten de beste manier om het proces te beheren. Met XDR kunnen beveiligingsteams hun tijd efficiënt gebruiken door zich te concentreren op waarschuwingen die de meeste schade kunnen aanrichten.

Waarom bedrijven XDR nodig hebben

XDR coördineert de afzonderlijke beveiligingsinstrumenten, verenigt en stroomlijnt analyse, onderzoek en respons. Dit biedt organisaties aanzienlijke voordelen, waaronder:

Geconsolideerd overzicht van bedreigingen:

XDR-beveiliging biedt geanonimiseerde gegevens op een endpoint in combinatie met netwerk- en applicatiecommunicatie. Dit omvat informatie over toegangsrechten, geraadpleegde bestanden en gebruikte toepassingen. Dankzij volledige zichtbaarheid in je systeem kun je aanvallen sneller opsporen en blokkeren.

Verbeterde preventiemogelijkheden:

Threat Intelligence en adaptieve machine learning bieden gecentraliseerde configuratie en hardening mogelijkheden met begeleiding om mogelijke aanvallen te voorkomen.

Effectieve respons:

Dankzij de uitgebreide verzameling en analyse van gegevens kunnen beveiligingsteams het verloop van een aanval traceren en de acties van de aanvaller reconstrueren, waardoor de kans groter wordt dat de daders worden geïdentificeerd. De gegevens leveren ook waardevolle informatie op die je kunt gebruiken om je verdediging te versterken.

Meer controle:

De mogelijkheid om verkeer en processen op de lijst zowel te blokkeren als toe te staan, zorgt ervoor dat alleen goedgekeurde acties en gebruikers in je systeem terechtkomen.

Verhoogde productiviteit:

Centralisatie vermindert het volume van waarschuwingen en verhoogt de nauwkeurigheid ervan, wat betekent dat er minder fout-positieven moeten worden uitgezocht. Aangezien XDR een uniform platform is, in plaats van een combinatie van verschillende oplossingen, is het gemakkelijker te beheren en vermindert het het aantal interfaces waartoe de beveiliging tijdens een reactie toegang moet hebben.

Hosts herstellen na een compromis:

XDR kan beveiligingsteams helpen snel te herstellen van een aanval door schadelijke bestanden en registersleutels te verwijderen en beschadigde bestanden en registersleutels te herstellen met behulp van herstelvoorstellen.

Voorbeeld van XDR-gebruikersgevallen

De XDR-technologie is geschikt voor een breed scala van netwerkbeveiligingstaken. De specifieke toepassing ervan zal afhangen van de behoeften van je organisatie en de maturiteit van je beveiligingsteam. Voorbeelden van gebruik zijn:

Triaging:

XDR kan worden gebruikt als het belangrijkste instrument voor het verzamelen van gegevens, het bewaken van systemen, het detecteren van gebeurtenissen en het waarschuwen van beveiligingsteams.

Onderzoek:

Organisaties kunnen XDR-oplossingen gebruiken als opslagplaats van informatie over gebeurtenissen. Zij kunnen deze informatie in combinatie met informatie over bedreigingen gebruiken om gebeurtenissen te onderzoeken, hun reactie te bepalen en beveiligingspersoneel op te leiden.

Dreigingsopsporing:

De door XDR-oplossingen verzamelde gegevens kunnen worden gebruikt als basis voor het uitvoeren van Dreigingsopsporings-operaties. Op hun beurt kunnen de gegevens die worden gebruikt voor en verzameld tijdens dreigingsjachtoperaties worden gebruikt om nieuwe dreigingsinformatie te creëren om de beveiligingsprotocollen en -systemen te versterken.

Wat zijn de voordelen van XDR?

Uitgebreide detectie en respons voegt waarde toe door meerdere beveiligingstools te consolideren in een coherent, uniform platform voor detectie en respons van beveiligingsincidenten. De belangrijkste voordelen van XDR zijn:

• Consolidatie van een grote hoeveelheid waarschuwingen in een veel kleiner aantal incidenten die voor handmatig onderzoek prioriteit hebben.
• Het bieden van geïntegreerde opties voor incidentrespons die voldoende context bieden zodat waarschuwingen snel kunnen worden opgelost.
• Responsopties bieden die verder gaan dan infrastructuurcontrolepunten, inclusief netwerk, cloud en endpoints, om uitgebreide bescherming te bieden.
• Herhaalde taken automatiseren om de productiviteit te verhogen
• Een gemeenschappelijke beheer- en workflowervaring voor alle beveiligingscomponenten, waardoor meer efficiëntie ontstaat

In wezen zijn de belangrijkste voordelen een betere bescherming, detectie en responscapaciteit, een hogere productiviteit van het operationele beveiligingspersoneel en lagere totale eigendomskosten voor effectieve detectie en respons van beveiligingsdreigingen.

Wat te zoeken in een XDR-oplossing

De belangrijkste kenmerken van een XDR-oplossing zijn onder meer:

Controle-agnostisch:

De mogelijkheid om met meerdere technologieën te integreren zonder dat u zich aan een leverancier hoeft te binden.

Machinale correlatie en detectie:

Om de tijdige analyse van grote gegevensreeksen te vergemakkelijken en het aantal fout-positieven te verminderen.

Vooraf opgestelde gegevensmodellen:

Om informatie over bedreigingen te integreren en detectie en respons te automatiseren zonder dat software-ingenieurs hoeven te programmeren of regels hoeven op te stellen.

Productie-integratie:

In plaats van de vervanging van SIEM-oplossingen (Security Information and Event Management), SOAR-technologieën (Security Orchestration and Response) en case management tools, moet een XDR-oplossing hiermee integreren om organisaties in staat te stellen de waarde van hun investering te maximaliseren.

Integratie met beveiligingsvalidatie:

wanneer XDR en beveiligingsvalidatie samenwerken, weten beveiligingsteams beter hoe goed hun beveiligingsstack presteert, waar kwetsbaarheden zitten en welke acties moeten worden ondernomen om prestatiegaten aan te pakken.

XDR vergeleken met andere detectie- en reactietechnologieën

XDR onderscheidt zich van andere beveiligingstools door het centraliseren, normaliseren en correleren van gegevens uit meerdere bronnen - om volledig inzicht te bieden en geavanceerde bedreigingen bloot te leggen.

Door gegevens uit meerdere bronnen te verzamelen en te analyseren kan de XDR-technologie waarschuwingen beter valideren, waardoor het aantal fout-positieven afneemt en de betrouwbaarheid toeneemt. Dit bespaart tijd voor beveiligingsteams en maakt snellere, meer geautomatiseerde reacties mogelijk.

XDR verschilt van EDR. EDR-systemen helpen organisaties bedreigingen te beheren door zich te richten op de huidige activiteit op al hun endpoints, geavanceerde machine learning te gebruiken om deze activiteit te begrijpen en reacties te specificeren, en automatisering te gebruiken om waar nodig snel actie te ondernemen.

XDR-systemen bouwen voort op dit principe door niet-endpoint datastromen te integreren - zoals netwerken, e-mail, cloud workloads, applicaties, apparaten, identiteit, data assets, Internet of Things, en mogelijk andere. Deze extra elementen maken het mogelijk om meer bedreigingen, inbreuken en aanvallen te ontdekken, en om effectiever te reageren, omdat je acties kunt aansturen in je bredere infrastructuur, niet alleen op endpoints. XDR geeft ook meer inzicht in wat er precies gebeurt.

Sommige organisaties proberen cyberdreigingen te beheren door een combinatie van EDR en Security Information and Event Management (SIEM) oplossingen. Maar terwijl SIEM-oplossingen ondiepe gegevens uit vele bronnen verzamelen, verzamelt XDR diepere gegevens uit gerichte bronnen. Hierdoor kan XDR meer context bieden voor gebeurtenissen en is handmatige afstemming of gegevensintegratie niet meer nodig. De waarschuwingsbronnen zijn native in de XDR-oplossing, wat betekent dat de integratie- en onderhoudsinspanning die nodig is voor het monitoren van waarschuwingen in een SIEM vervalt.

Hoe langer een bedreiging binnen het netwerk van een organisatie blijft, hoe meer mogelijkheden een aanvaller heeft om systemen te beschadigen en waardevolle gegevens te stelen. Dat betekent dat het cruciaal is om zo snel mogelijk te reageren op elke waargenomen bedreiging. Beveiligingsteams hebben betere manieren nodig om te weten wanneer bedreigingen aanwezig zijn - en snellere manieren om ze te signaleren en te neutraliseren wanneer ze toeslaan om potentiële verliezen tot een minimum te beperken. Uiteindelijk is dat de uitdaging waarvoor XDR is ontworpen.

FAQs over XDR

Veel gestelde vragen over XDR-beveiliging, XDR-technologie en XDR-cyberveiligheid zijn onder meer:

Wat is XDR?

XDR staat voor extended detection and response en verwijst naar een technologie die cyberbeveiligingsdreigingen bewaakt en beperkt. XDR verzamelt en correleert automatisch gegevens over meerdere beveiligingslagen - waaronder endpoint-, netwerk- en cloudgegevens - waardoor bedreigingen sneller kunnen worden opgespoord en er sneller en nauwkeuriger kan worden gereageerd.

Hoe werkt XDR?

XDR zorgt voor een proactieve aanpak van het opsporen van en reageren op bedreigingen. Door inzicht te bieden in alle gegevens en gebruik te maken van analyses en automatisering kan XDR de huidige cyberbeveiligingsbedreigingen aanpakken. XDR verzamelt waarschuwingen over e-mail, endpoints, servers, cloud workloads en netwerken en analyseert deze gegevens om bedreigingen te identificeren. Bedreigingen worden vervolgens geprioriteerd, opgejaagd en verholpen om inbreuken op de beveiliging te voorkomen.

Wat is het verschil tussen XDR en EDR?

Endpoint detection and response (EDR) richt zich op continue bewaking en detectie van bedreigingen in combinatie met geautomatiseerde respons. Het is echter beperkt omdat het die functies alleen op eindpuntniveau uitvoert. XDR heeft daarentegen dezelfde prioriteiten als EDR, maar breidt deze uit tot buiten de endpoints, zodat ook cloudworkloads, toepassingen, gebruikersidentiteiten en het hele netwerk zelf eronder vallen.

Gerelateerde producten:

• Kaspersky Managed Detection and Response
• Kaspersky Endpoint Detectie en Respons Expert en Kaspersky Anti Targeted Attack Platform.

Verder lezen:

• Wat is endpointbeveiliging en hoe werkt het?
• Hoe het zero trust-concept vorm geeft aan cyberbeveiliging op schaal
• Hoe datalekken gebeuren