Een SOC heeft de verantwoordelijkheid om uw organisatie veilig te houden. De technologieën SIEM, EDR en NDR vormen samen belangrijke wapens van het SOC in de strijd tegen computercriminaliteit. Maar niet iedere organisatie heeft de beschikking over een SOC of het budget om in een keer alle benodigde technologieën te implementeren. In dit blog helpen wij u bij het stellen van prioriteit en leggen wij uit hoe u stap voor stap uw security-niveau naar een hoger niveau tilt.
De vier onderdelen van uw strijd tegen cybersecurity-bedreigingen
In de blog “Snel veranderende cybersecurity-bedreigingen vereist vernieuwde middelen en aanpak” bespraken we de ideale aanpak van cybersecuritybedreigingen in een snel veranderende wereld. We leggen de onderdelen van die aanpak nog eens kort uit:
- Een Security Operations Center (SOC) bestaat uit analisten die uw organisatie monitoren op mogelijke (cyber) beveiligingsinbreuken.
- Een Security Information & Event Management (SIEM) verzamelt logs van allerlei bronnen en levert realtime analyses en meldingen op van verdachte gebeurtenissen.
- Network Detection and Response (NDR) analyseert netwerkverkeer, bepaalt het risiconiveau, detecteert anomalieën en kan door middel van integraties met andere systemen deels automatisch daarop reageren. Een kwaadaardige connectie kan zo bijvoorbeeld meteen door de firewall worden geblokkeerd. De SOC-analisten evalueren de meldingen van de NDR en reageren daarop als dat nodig is.
- Endpoint Detection and Response (EDR) monitort het gebruik van endpoints (computers of mobiele apparaten), detecteert afwijkend gedrag en mitigeert risico’s. Het laat de SOC-analisten toe om rechtstreeks met de endpoints te verbinden, informatie en data op te halen en in te grijpen waar nodig. Zo kan een endpoint in geval van een inbraak meteen van het netwerk worden verwijderd. Op die manier wordt eventuele schade tot een minimum beperkt.
SIEM, NDR en EDR, de drie systemen waarop een SOC een beroep kan doen, worden door analistenbureau Gartner de SOC Visibility Triad genoemd. Ze hebben elk hun unieke voordelen en vullen elkaar op die manier aan, zodat de SOC zijn werk optimaal kan uitvoeren op het gebied van detectie en reactie.
Start klein, breid later uit
Hoewel de combinatie van een SIEM, NDR en EDR de ideale gereedschapskist voor een SOC vormt, kunt u perfect met één of twee componenten beginnen. Het gaat immers om componenten die ook elk afzonderlijk te gebruiken zijn. U start dan met één component om de kosten laag te houden en voegt daar andere componenten aan toe naarmate u meer ervaring opdoet met uw beveiligingsaanpak.
SIEM is al meer ingeburgerd dan NDR en EDR. Daarom zijn er twee scenario’s mogelijk:
- U hebt al een SIEM en wilt meer inzicht in bedreigingen en wilt efficiënt kunnen reageren.
- U hebt nog geen SIEM en wilt uw beveiligingsarsenaal zo efficiënt mogelijk opbouwen.
We bespreken hierna beide scenario’s.
Van SIEM naar een volledige beveiligingsarchitectuur
Als uw organisatie al langer actief is in beveiliging, dan heeft uw SOC wellicht al een SIEM, ofwel on-premise ofwel in de cloud of zelfs in een hybride architectuur. Maar zoals we in de blog “Snel veranderende cybersecurity-bedreigingen vereist vernieuwde middelen en aanpak” bespraken, is een SIEM alleen niet meer voldoende om de geavanceerde beveiligingsaanvallen van vandaag te detecteren. Bovendien mist u snelle responsmogelijkheden.
De meest kostenefficiënte stap in deze situatie is daarom dat u uw SIEM aanvult met EDR. Dat verhoogt de visibiliteit in bedreigingen, geeft een antwoord op de toenemende dreiging van inbreuken op endpointsystemen en optimaliseert de kostprijs van uw SIEM. Bovendien kunt u zo sneller reageren op bedreigingen, waardoor de operationele impact vermindert. Wilt u nog een stap verder gaan, implementeer dan NDR voor visibiliteit in het netwerk en zeker in die omgevingen waar u geen EDR kunt uitrollen. Op die manier bereikt u een volledige integratie en de snelst mogelijke responstijden.
Een nieuwe start
Hebt u nog geen SIEM, maak dan van EDR de eerste prioriteit. Deze technologie is de meest kostenefficiënte, en het geeft u vanaf het begin ook de mogelijkheid om snel te reageren op bedreigingen.
Daarna kunt u de visibiliteit uitbreiden met SIEM. Zo voegt u immers logs van allerlei kritieke bronnen toe, zelfs uit de cloud. Uw beveiligingssysteem zal zo veel meer data analyseren op verdachte gebeurtenissen. In een derde stap kunt u het netwerkperspectief toevoegen met een NDR.
Altijd up-to-date
De regels rond compliance worden steeds strikter. U dient dan ook op de hoogte te zijn van de nieuwste vereisten en te begrijpen wat u nodig hebt om aan deze vereisten te voldoen.
Neem daarbij dat de cybersecuritybedreigingen snel evolueren, zoals we in de blog “Snel veranderende cybersecurity-bedreigingen vereist vernieuwde middelen en aanpak” uitgelegd hebben. De cybercriminelen van vandaag zijn professioneler geworden en voeren geavanceerdere en gerichtere aanvallen uit dan vroeger.
Het is een hele uitdaging om continu bij te blijven met de nieuwste regelgeving en het veranderende beveiligingslandschap. De IT-afdeling heeft een diepgaande expertise nodig om te verifiëren welke oplossingen goed zijn.
Voor vele bedrijven – zonder of met een CISO in dienst - is het daarom onmisbaar om met een externe partij samen te werken.
24/7 toegang tot beveiligingsexperts
Er is een tekort aan beveiligingsexperts op de arbeidsmarkt. Niet alle organisaties hebben daardoor de juiste beveiligingsprofielen in hun werknemersbestand. Als er dan een beveiligingsincident is, heeft u waarschijnlijk niet de expertise en vaardigheden in huis om daar snel en adequaat op te reageren.
Hou er ook rekening mee dat cybercriminelen niet slapen. Vaak gaat het om bendes die internationaal actief zijn en de klok rond proberen bij u in te breken. Maar weinig organisaties hebben de middelen om 24/7 cyberbedreigingen te detecteren en erop te reageren.
Door uw Detection & Response uit te besteden, hoeft u zich hier allemaal geen zorgen over te maken. Met Cegeka Managed Detection and Response vertrouwt u op experts die dagelijks talloze organisaties veilig houden. Door onze schaalgrootte kunnen we dat kostenefficiënter doen. Daardoor kunt u zich op uw kernactiviteiten focussen.
Wilt u weten wat de investeringen in MDR u opleveren? Download dan solutionsheet 'Houd controle over security met Managed Detection & Response' die dieper ingaat op de businesscase.
Managed Detection and Response bij Cegeka
Cegeka biedt met Managed Detection and Response het hele gamma van de SOC Visibility Triad aan als een modulaire dienstverlening :
- Cegeka Security Operations Centers zijn de klok rond het hele jaar door bemand met gespecialiseerde beveiligingsanalisten die de detectie- en responsdiensten verlenen.
- Cegeka Managed Security Analytics biedt een SIEM-platform aan als een flexibel model. Bovendien zijn er meer dan driehonderd aangepaste detectiescenario’s voorzien.
- Cegeka Managed Network Detection and Response Services geeft u netwerkvisibiliteit. Het biedt talloze mogelijkheden om onmiddellijk accounts en netwerken te blokkeren om de impact van een cyberbedreiging te minimaliseren.
- Cegeka Managed Endpoint Detection and Response Services biedt EDR aan met een schaalbaar as-a-service-model, zowel afzonderlijk als deel van Managed Detection and Response.
In dit modulaire portfolio is er een combinatie voor elke nood, elke organisatie en elk budget:
- Managed Security Analytics: SOC + SIEM
- Managed Endpoint Detection and Response: SOC + EDR
- Managed Security Analytics + EDR: SOC + SIEM + EDR
- Full Spectrum Managed Detection and Response: SOC + SIEM + EDR + NDR
Door de as-a-service-aanpak betaalt u alleen voor wat u echt gebruikt en houdt u de kosten onder controle. Door de modulaire aanpak stapt u bovendien in een toekomstgerichte dienstverlening die groeit met uw budget en in lijn met de uitvoering van uw beveiligingsplan. Met de geavanceerde Threat & Brand Intelligence van Cegeka MDR kunt u snel en accuraat beveiligingsproblemen in uw omgeving detecteren.