Wanneer het aankomt op beveiliging, zijn er verschillende aanpakken en nog meer afkortingen waaruit je kan kiezen. We maken je wegwijs door enkele veelgebruikte termen.
Het cybersecuritylandschap is voortdurend in verandering. Aanvallers tonen zich steeds innovatiever om binnen te geraken bij organisaties waardoor beveiliging mee moet blijven evolueren. Een firewall of antivirus op je laptop installeren volstaat vandaag de dag niet meer om hackers buiten te houden: beveiliging moet het volledige IT-ecosysteem van het bedrijf omvatten.
Omdat elke organisatie anders is, is er niet één manier om beveiliging aan te pakken. Cybersecurity is doorheen de jaren geëvolueerd in een jungle van termen, afkortingen en oplossingen waar de gemiddelde bedrijfsleider in verdwaalt. Met als gevolg dat er niet of in de verkeerde beveiligingsoplossingen wordt geïnvesteerd. We bespreken enkele populaire beveiligingsstrategieën en de belangrijkste verschillen ertussen, zodat je de beste aanpak voor je bedrijf kan kiezen.
EDR: waar rook is, is vuur
Beginnen doen we met het letterwoord EDR, languit endpoint detection and response. Een EDR-oplossing houdt een oogje in het zeil op alle ‘endpoints’ van het bedrijfsnetwerk. Onder endpoints vallen verschillende types apparaten. Van laptops tot smartphones en printers: elk apparaat dat aan een netwerk hangt, kan een mogelijke toegangspoort zijn voor een aanvaller om in je netwerk binnen te breken.
Een EDR-oplossing werkt volgens het paradigma protect, detect, response. In minder technisch jargon kan dat samengevat worden als ‘waar rook is, is vuur’. Bij EDR hou je dus voortdurend de activiteit op je endpoints in de gaten. Speelt er zich verdachte activiteit af op een endpoint, dan gaan de alarmbellen af.
In een eerste fase zal de endpoint in kwestie in ‘quarantaine’ worden gezet. Dit geeft tijd om een grondige analyse van het incident te maken en het vermijdt dat het virus zich kan verspreiden naar andere endpoints. Vervolgens wordt het virus onschadelijk gemaakt en mag het endpoint weer de vrije wereld in.
Het hebben van een EDR-oplossing betekent overigens niet dat je alle firewalls en antivirusscanners de vuilbak in mag gooien. EDR is bedoeld als aanvulling op klassieke preventiemiddelen. Het geeft bedrijven een extra stok achter de deur om in te grijpen wanneer een virus voorbij de omwalling is geraakt.
XDR: het ruimere plaatje
De laatste jaren komt het concept van EDR onder vuur te liggen. Menig beveiligingsexpert vindt dat EDR te beknopt is als strategie, omdat het zich beperkt tot wat er gebeurt op een afzonderlijke endpoint. Er werd gezocht naar een strategie die alle endpoints met elkaar verbindt en zo is EDR geëvolueerd naar XDR, ofwel extended detection and response.
Een XDR-platform verzamelt gegevens vanuit alle aangesloten endpoints en bundelt die in een centraal dashboard. Dit brengt ook datastromen tussen de verschillende endpoints in kaart en geeft bedrijven inzicht in wat er zich op het hele netwerk afspeelt. Zo kunnen onderzoekers naar correlaties zoeken tussen incidenten en bredere kwetsbaarheden in het IT-ecosysteem blootleggen. XDR probeert dus het bredere plaatje in beeld te brengen.
Uiteraard zit ook het detect and response-aspect verwerkt in een XDR-oplossing. De werkwijze is hiervoor gelijkaardig als hoe een EDR-oplossing ingrijpt.
XDR brengt het bredere plaatje in beeld.
MDR: wat je zelf doet, doe je niet altijd beter
Dat brengt ons tot bij MDR, ofwel managed detection and response. MDR-oplossingen maken gebruik van dezelfde technologieën als hun EDR- en XDR-tegenhangers, met het grote verschil dat een bedrijf de beveiliging uitbesteedt aan een externe leverancier in deze opstelling.
De beveiligingsleverancier houdt vanop afstand in het SOC alles in de gaten wat er op je netwerk gebeurt en grijpt in wanneer die dat nodig acht. Hier onderscheidt MDR zich van een MSSP, languit Managed Security Service Provider, die wel monitort en verwittigt, maar niet actief tussenbeide komt.
MDR is een handige oplossing voor bedrijven die zelf niet over de nodige middelen en geschoold personeel beschikken. Een gebrek aan beveiligingstalent kan leiden tot meer incidenten. Een team externe experts inschakelen moet ook de tijd tussen detectie en respons verlagen. Omdat interne beveiligingsteams hoe langer hoe meer onderbemand en overwerkt zijn, voorspelt Gartner dat tegen 2025 minstens de helft van organisaties voor MDR zal kiezen.
lees ook
Waar blijven de geschoolde en ervaren IT-beveiligingsexperts? En wat kan je doen zonder hen?
AS(R)M: beter voorkomen dan genezen
Maar intussen is er alweer een nieuwe benadering in opmars die XDR en MDR wilt vervangen: ASRM, wat staat voor attack surface risk management. ASRM draait de logica van beveiligen op zijn kop. In plaats van te wachten tot er iets gebeurt, ga je zelf zoeken naar wat er mogelijk kan gebeuren.
De achterliggende gedachte is dat het aanvalsoppervlak vandaag zo groot is geworden, dat je zelfs met XDR of MDR er niet altijd meer op tijd bij kan zijn. In plaats van je middelen gelijk te verdelen over elke individuele endpoint, ga je proberen te bepalen welke endpoints het meest interessant kunnen zijn voor aanvallers en waar dus het hoogste risico zit voor je organisatie. Bijgevolg ga je ook die endpoints als eerste aanpakken.
Die analyse kan je op verschillende manieren maken. Je kan bijvoorbeeld je beveiligingsexperts eens in de rol van hacker laten kruipen of een extern red team inhuren dat je blue team moet proberen te verschalken. Vervolgens ga je je endpoints scores toekennen om je potentiële achilleshielen te identificeren. Die scores zijn dynamisch: een nieuw ontdekte kwetsbaarheid kan van een systeem dat vandaag nog veilig is morgen je grootste zorg maken.
lees ook
Beter voorkomen dan genezen: met reactieve beveiliging ben je altijd (te) laat
ASRM moet vooral beter de vertaalslag maken naar de boardroom. Beveiligingsexperten kunnen duidelijker aantonen aan de bedrijfsleider waarom en waar investeren in beveiligingstechnologie nodig is. Dit helpt organisaties om het IT- en securitybudget beter te spenderen en het beveiligingsbeleid gerichter bij te sturen.