De vier onderdelen van uw strijd tegen cybersecuritybedreigingen
In de blog "Wordt cyber resilient: snel en efficiënt omgaan met cyberaanvallen dankzij Managed Detection & Response" bespraken we de ideale aanpak van cybersecuritybedreigingen in een snel veranderende wereld. We leggen de onderdelen van die aanpak nog eens kort uit:
- Een Security Operations Centre (SOC) bestaat uit analisten die uw organisatie monitoren op mogelijke (cyber) beveiligingsinbreuken.
- Een Security Information & Event Management (SIEM) verzamelt logs van allerlei bronnen en levert realtime analyses en meldingen op van verdachte gebeurtenissen.
- Network Detection and Response (NDR) analyseert netwerkverkeer, bepaalt het risiconiveau, detecteert anomalieën en kan door middel van integraties met andere systemen deels automatisch daarop reageren. Een kwaadaardige connectie kan zo bijvoorbeeld meteen door de firewall worden geblokkeerd. De SOC-analisten evalueren de meldingen van de NDR, en reageren daarop als dat nodig is.
- Endpoint Detection and Response (EDR) monitort het gebruik van endpoints (computers of mobiele apparaten), detecteert afwijkend gedrag en kan deels automatisch daarop reageren. Het laat de SOC-analisten toe om rechtstreeks met de endpoints te verbinden, informatie en data op te halen, en in te grijpen waar nodig. Zo kan een endpoint in geval van een inbraak meteen van het netwerk worden verwijderd. Op die manier wordt eventuele schade tot een minimum beperkt.
De drie systemen waarop een SOC een beroep kan doen, worden door analistenbureau Gartner de SOC Visibility Triad genoemd. Ze hebben elk hun unieke voordelen en vullen elkaar op die manier aan, zodat de SOC zijn werk optimaal kan uitvoeren op het gebied van detectie en reactie.
Start klein, breid later uit
Hoewel de combinatie van een SIEM, NDR en EDR de ideale gereedschapskist voor een SOC vormt, kunt u perfect met één of twee componenten beginnen. Het gaat immers om componenten die ook elk afzonderlijk te gebruiken zijn. U start dan met één component om de kosten laag te houden en voegt daar andere componenten aan toe naarmate u meer ervaring opdoet met uw beveiligingsaanpak.
SIEM is al meer ingeburgerd dan NDR en EDR. Daarom zijn er twee scenario’s mogelijk:
- U hebt al een SIEM en wilt meer inzicht in bedreigingen en wilt efficiënt kunnen reageren
- U hebt nog geen SIEM en wilt uw beveiligingsarsenaal zo efficiënt mogelijk opbouwen
We bespreken hierna beide scenario’s.
Van SIEM naar een volledige beveiligingsarchitectuur
Als uw organisatie al langer actief is in beveiliging, dan heeft uw SOC wellicht al een SIEM, ofwel on-premise ofwel in de cloud, of zelfs in een hybride architectuur. Maar zoals we in de blog “Cybersecuritybedreigingen in een veranderende wereld: detecteer en reageer” bespraken, is een SIEM alleen niet meer voldoende om de geavanceerde beveiligingsaanvallen van vandaag te detecteren. Bovendien mist u snelle responsmogelijkheden.
De meest kostenefficiënte stap in deze situatie is daarom dat u uw SIEM aanvult met EDR. Dat verhoogt de visibiliteit in bedreigingen, geeft een antwoord op de toenemende dreiging van inbreuken op endpointsystemen en optimaliseert de kostprijs van uw SIEM. Bovendien kunt u zo sneller reageren op bedreigingen, waardoor de operationele impact vermindert. Wilt u nog een stap verder gaan, implementeer dan NDR voor visibiliteit in het netwerk en zeker in die omgevingen waar u geen EDR kunt uitrollen. Op die manier bereikt u een volledige integratie en de snelst mogelijke responstijden.
Een nieuwe start
Hebt u nog geen SIEM, maak dan van EDR de eerste prioriteit. Deze technologie is de meest kostenefficiënte, en het geeft u vanaf het begin ook de mogelijkheid om snel te reageren op bedreigingen.
Daarna kunt u de visibiliteit uitbreiden met SIEM. Zo voegt u immers logs van allerlei kritieke bronnen toe, zelfs uit de cloud. Uw beveiligingssysteem zal zo veel meer data analyseren op verdachte gebeurtenissen. In een derde stap kunt u het netwerkperspectief toevoegen met een NDR.
Altijd up-to-date
De regels rond compliance worden steeds strikter. U dient dan ook op de hoogte te zijn van de nieuwste vereisten en te begrijpen wat u nodig hebt om aan deze vereisten te voldoen.
Neem daarbij dat de cybersecuritybedreigingen snel evolueren, zoals we in de blog “Cybersecuritybedreigingen in een veranderende wereld: detecteer en reageer” uitgelegd hebben. De cybercriminelen van vandaag zijn professioneler geworden en voeren geavanceerdere en gerichtere aanvallen uit dan vroeger.
Het is een hele uitdaging om continu bij te blijven met de nieuwste regelgeving en het veranderende beveiligingslandschap. Als IT-afdeling in elk bedrijf heeft u een diepgaande expertise nodig om te verifiëren welke oplossingen goed zijn.
Voor vele bedrijven – zonder of met een CISO in dienst - is het daarom onmisbaar om met een externe partij samen te werken.
24/7 toegang tot beveiligingsexperts
Er is een tekort aan beveiligingsexperts op de arbeidsmarkt. Niet alle organisaties hebben daardoor de juiste beveiligingsprofielen in hun werknemersbestand. En als er dan een beveiligingsincident is, heeft u waarschijnlijk niet de expertise en vaardigheden in huis om daar snel en adequaat op te reageren.
Hou er ook rekening mee dat cybercriminelen niet slapen. Vaak gaat het om bendes die internationaal actief zijn en de klok rond proberen bij u in te breken. Maar weinig organisaties hebben de middelen om 24/7 cyberbedreigingen te detecteren en erop te reageren.
Door uw Detection & Response uit te besteden, hoeft u zich hier allemaal geen zorgen over te maken. Met Cegeka Managed Detection and Response vertrouwt u op experts die dagelijks talloze organisaties veilig houden. En door onze schaalgrootte kunnen we dat kostenefficiënter doen. Daardoor kunt u zich op uw kernactiviteiten focussen.