XDR is de meest recente ontwikkeling op het gebied van cloud security. Met de inzet van XDR ben je als organisatie sneller in staat om aanvalspatronen te identificeren én hier direct op te reageren. In dit artikel gaan we in op XDR, wat het is en wat de voordelen van deze holistische vorm van security zijn.
Wat is XDR?
XDR staat voor Extended Detection and Response. Het is in zekere zin een uitbreiding op EDR (Endpoint Detection and Response). Waar EDR zich alleen richt op de beveiliging van endpoints, zoals laptops, telefoons of servers, gaat XDR een stap verder. XDR richt zich op het grotere geheel, dus ook op de gebruikersaccounts, servers, cloudapplicaties en de losse applicaties binnen je organisatie, bijvoorbeeld.
Je kunt als bedrijf niet langer verwachten dat je veilig blijft door afzonderlijke gebieden zoals e-mail of eindpunten te beschermen. XDR is ontworpen om intelligente, geautomatiseerde en geïntegreerde beveiliging te bieden over meerdere entiteiten. Het is in staat om incidenten die schijnbaar niets met elkaar te maken hebben, met elkaar te verbinden.
XDR is een benadering die optimale beveiliging biedt door beveiligingsproducten en gegevens te integreren in vereenvoudigde oplossingen. Beveiligingsuitdagingen worden namelijk steeds complexer met multi-cloud, hybride omgevingen.
Cyberaanvallen zijn tegenwoordig namelijk niet meer op één entiteit gericht, maar gaan over meerdere entiteiten heen. Als we security zien als een huis, dan beveiligde je voorheen alleen de voordeur – zodat er niemand binnenkomt. Met XDR zorg je dat je hele huis beveiligd is, inclusief de ramen en deuren in alle verschillende ruimtes.
XDR herkent patronen over meerdere entiteiten heen
Het voordeel daarvan is dat XDR in staat is om patronen te herkennen die over meerdere entiteiten gaan. XDR past correlatie toe, waardoor een completer beeld ontstaat van een beveiligingsincident of -aanval en analisten tijd kunnen investeren in gerichter onderzoek. Zo kunnen de juiste prioriteiten worden toegekend aan de te ondernemen acties.
Een voorbeeld: een bedrijf heeft medewerkers in dienst die veel thuis werken, maar ook regelmatig vanuit het buitenland aan het werk zijn. Wanneer iemand dan inlogt vanuit China, hoeft dit niet direct als verdacht worden beschouwd. Maar, als het om een gebruiker gaat die altijd vanuit Nederland werkt, kan het wel een indicatie zijn dat er iets niet klopt.
We kunnen dan een controle inbouwen door te zeggen: bij deze activiteit moet de gebruiker zich verifiëren met Multi-Factor Authentication.
Op het moment dat er dan binnen aanzienlijke tijd nog verdacht gedrag bijkomt, zoals het downloaden van data vanaf OneDrive, wordt het eerste incident verrijkt met deze informatie. XDR signaleert dan dat er een hoger risico op een beveiligingsprobleem is en zal de nodige protocollen in werking stellen.
XDR correleert activiteiten voor meer zekerheid
Wat XDR dus doet, is het correleren van verschillende verdachte activiteiten om zo met meer zekerheid te kunnen zeggen dat er iets mis is. Vervolgens kan er automatisch actie worden ondernomen. Het account kan bijvoorbeeld direct dichtgezet worden, de data kan worden beveiligd en er kan contact opgenomen worden met de eindgebruiker voor een validatie.
Wanneer je alleen gebruik maakt van EDR, zou je dit kunnen missen, omdat je dan alleen naar de activiteiten op de endpoint kijkt.
XDR gebruikt grote hoeveelheden gegevens die binnenkomen uit meerdere bronnen (zoals identiteiten, eindpunten, e-mail, gegevens, netwerken, opslag, Internet of Things en applicaties). XDR analyseert deze gegevens en geeft analisten zo de mogelijkheid om eenvoudiger bedreigingen op te sporen die anders onopgemerkt blijven.
Voorkomen van schade door automatisch ingrijpen
Een groot voordeel van XDR is het kunnen nemen van geautomatiseerde acties naar aanleiding van achtereenvolgende activiteiten. XDR past AI en machine learning toe om bedreigend gedrag te monitoren en automatisch te reageren. XDR kan zo ook profielen van verdacht gedrag opstellen en analisten dit laten controleren. XDR is in staat om uitgebreide datapunten te analyseren en kwaadaardig gedrag in realtime te lokaliseren. Dit gaat een stuk sneller dan wanneer beveiligingsteams handmatig proberen incidenten te correleren en bedreigingen te verhelpen.
Dat kan bijvoorbeeld voorkomen als een gebruiker inlogt vanaf een mogelijk verdacht IP-adres. Zoals een openbare Wifi hotspot waar iemand eerder misbruik van heeft gemaakt. Op zichzelf hoeft dit geen bedreiging te zijn, maar de hotspot kan natuurlijk geïnfecteerd zijn. Zo kunnen hackers zonder dat je het in de gaten hebt meekijken en kan er zomaar data op straat komen te liggen.
Er ontstaat meer context voor een security incident, wanneer de ene verdachte situatie (inloggen op de hotspot) wordt gecombineerd met een andere. Zoals, wanneer er malware op een laptop wordt gedetecteerd of wanneer er ongebruikelijk netwerkverkeer plaatsvindt vanaf dezelfde laptop.
Een dergelijke situatie geeft meer zekerheid dat er iets ongewenst plaatsvindt en daar kun je met XDR geautomatiseerde acties op uitzetten. Denk hierbij aan het isoleren van de laptop (zodat bedrijfsdata niet verloren gaat) of het dichtzetten van het account (zodat hier geen verder misbruik van gemaakt kan worden).
XDR, de Cyber Kill Chain en het MITRE ATT&CK Framework
De Cyber Kill Chain is een gestandaardiseerde methode waarop hackers doorgaans te werk gaan. Hierbij doorloopt een hacker een aantal fasen, te weten: reconnaissance, weaponization, delivery, exploitation, installation, command and control en actions on target.
XDR is in staat om verschillende fasen in de Cyber Kill Chain te herkennen, detecteren en aan te pakken. Deze fases bestaan uit activiteiten die weer zijn vastgelegd in het MITRE ATT&CK Framework (een verzameling matrices waarin verschillende types van tactieken, technieken en procedures gebruikt bij cyberaanvallen georganiseerd en gecategoriseerd is).
Hierdoor kun je door middel van XDR functionaliteit acties ondernemen, nog voordat de hacker overgaat op een volgende activiteit van het MITRE framework of een volgende fase van de Cyber Kill Chain. Zo voorkom je dat verdere schade toegebracht kan worden aan de systemen.
Volledig in controle en lagere MTTR (MeanTime to repair)
Met XDR ben je als organisatie volledig in controle. Alle signalen dat er mogelijk iets mis is, ontvang je. Het is een totaaloplossing waarmee je kokervisie voorkomt. Je ziet namelijk niet alleen de endpoints, maar je totale infrastructuur.
Bovendien neemt met XDR de mean time to repair af. Dat is de tijd die je nodig hebt om te herstellen van een hack. Het platleggen van een onderdeel van een server kan heel veel impact hebben. En met XDR zet je automatische acties uit, waarmee je kunt voorkomen dat het zover komt.
Een gehackte server blijft dan een gehackte server en wordt geen groter probleem, doordat deze direct automatisch geïsoleerd wordt en er geen verdere schade kan worden aangericht.
Effectiever werk door analisten
Dankzij XDR besteden security analisten in een organisatie minder tijd aan het handmatig onderzoeken van bedreigingen. Door gerelateerde waarschuwingen te verzamelen en te bundelen en bovendien de prioriteiten van de meldingen te bepalen, verhoogt een XDR-systeem de efficiëntie en geeft het een completer beeld van het incident. Dit draagt bij aan een effectievere werkwijze voor analisten.
XDR met Microsoft Defender
Bij InSpark zijn we Microsoft Partner, wat betekent dat we Microsoft Defender gebruiken als XDR oplossing. Daarbinnen valt de beveiliging van de volledige cloud infrastructuur, bestaande uit de assets identiteiten, endpoints, data, applicaties en infrastructuur.
Breng je dit allemaal samen, dan heb je een complete XDR oplossing voor je organisatie. Zo kun je aanvalspatronen vroegtijdig herkennen en direct actie ondernemen.
Security Assessment
Krijg in 2,5 dag in kaart hoe veilig jouw organisatie werkt.
