De IT-omgeving ligt tegenwoordig vanuit allerlei hoeken onder vuur. IT-beveiligingsteams zijn onderbemand en overwerkt en zijn nog steeds bezig met een inhaalslag na de coronapandemie. Het einde is helaas nog niet in zicht. De kloof tussen IT-vaardigheden en de complexiteit rond IT-beheer wordt alsmaar groter. Snel geïmplementeerde innovaties die organisaties door de lockdowns hielpen, bijvoorbeeld voor werken op afstand, zijn inmiddels ‘business as usual’. Cybercriminelen en staatsgesteunde hackers worden met de dag geraffineerder. Het is nog nooit zo moeilijk geweest om een organisatie veilig te houden.
Het is dan ook geen wonder dat veel CISO’s en CIO’s in de val zijn getrapt van het steeds maar toevoegen van meer beveiligingstools. Elke oplossing belooft op een bepaald vlak de beste technologie te zijn en daarom denken CISO’s dat meer lagen in de beveiliging de risico’s zal verminderen. Was het maar zo eenvoudig. Het toevoegen van meer technologie kan weliswaar sommige problemen oplossen, maar kan ook nieuwe problemen veroorzaken. Bovendien vertroebelt het de aandacht van het team, wat na verloop van tijd nog meer problemen veroorzaakt.
Het is voor IT-professionals al lastig om alle nieuwe ontwikkelingen bij te houden. Op bestuursniveau heerst echter nog veel meer verwarring. Directieleden krijgen een stortvloed aan acroniemen voor beveiliging over zich heen: SIEM, SOAR, EDR, om er maar een paar te noemen. De laatste tijd gaat het steeds om XDR. Hoe kan men in de directiekamer nog begrijpen wat welke waarde oplevert?
Het echte probleem ligt natuurlijk niet bij de tooling. Elke oplossing is waardevol op zijn eigen manier, of het nu Security Incident and Event Management (SIEM), Security Orchestration Automation and Response (SOAR) of Endpoint Detection and Response (EDR) is. Maar elke nieuwe toepassing zorgt bij organisaties voor weer een op zichzelf staande gegevenssilo. Elk dashboard rapporteert alleen maar de cijfers en bevindingen over zijn eigen hoekje van het bedrijfsnetwerk. Analisten moeten vervolgens omgaan met een spervuur van waarschuwingen van alle verschillende oplossingen.
Meldingmoeheid
Dit leidt tot problemen. Dezelfde waarschuwing kan bijvoorbeeld terecht komen bij meerdere teams, of juist door de mazen van het net glippen. Bovendien kan een waarschuwing over iets relatief onschuldigs gaan of om een bedrijfskritieke situatie. Een securityspecialist krijgt uit diverse verschillende bronnen alarmsignalen die hij zelf moet combineren, analyseren en er het belang van inschatten. Dat brengt het gevaar voor ‘meldingmoeheid’ met zich mee: je ziet dan door de alarmen de dreiging niet meer.
Daarom gaat het tegenwoordig zo vaak over Extended Detection and Response (XDR). Een XDR-oplossing vormt de bovenste laag van de beveiliging. Het onderzoekt elk potentieel incident in de IT-omgeving in realtime en biedt de inzichten die nodig zijn om hierop te reageren. Maar niet alle XDR-oplossingen zijn gelijk.
Sommige XDR- oplossingen geven gegevens door aan de gebruikers, wat alleen maar extra werk oplevert voor de analist. Deze moet al die data interpreteren en talloze handmatige beslissingen nemen over de vereiste actie. De huidige SIEM- en XDR-oplossingen verzamelen passief en reactief ongelijksoortige, niet-gerelateerde gegevens, wat het aantal meldingen alleen maar verhoogt. Bovendien legt dit de last van correlatie en prioritering bij de beveiligingsanalist. Wederom moet de gebruiker de waarschuwingen doorzoeken om bedreigingen te detecteren en onderzoeken om prioriteit te geven aan respons en herstel. Daar heeft elk team een flinke kluif aan, vooral als er ook nog sprake is van valse meldingen die tijd verspillen en de specialisten afhouden van hun kernactiviteit.
Inzicht in context
Hier komt de waarde van inzicht in context om de hoek kijken. In één oplossing ziet een gegevenslog of waarschuwing er misschien net zo uit als alle andere. Maar in combinatie met externe bedreigingsinformatie en andere beveiligingsgegevens krijgt dat onschuldige verzoek plotseling een nieuwe betekenis en stijgt het snel op de prioriteitenlijst. XDR moet gegevenssilo’s doorbreken en analisten meer inzicht geven door een eenduidig beeld te creëren van de IT-omgeving én de bedreigingen. Door alle beveiligingsoplossingen en -functies samen te brengen op één platform, kunnen analisten vanuit één overzicht precies begrijpen wat er in hun omgeving gebeurt.
Als analisten de context kunnen duiden over wat er gaande is, kunnen zij hier direct en effectief op reageren. Die context ontstaat door een volledige inventarisatie te maken van alle IT-middelen. Vervolgens moet de analist de gegevens van deze middelen kunnen correleren met informatie over kwetsbaarheden, telemetrie van netwerkeindpunten, patchlevels en informatie over bedreigingen en loggegevens van derden.
Context maakt het verschil tussen verspilling van tijd en gericht onderzoek. Onderbezette en overwerkte IT-beveiligingsteams worstelen met het ondersteunen van werken op afstand en het afhandelen van meer aanvallen. Daarom is het bieden van context met behulp van XDR een effectieve manier om de risicopositie te bepalen en de beveiligingsaanpak te verbeteren. Zonder context is het voor teams lastig om alle taken te beheren en potentiële problemen tijdig aan te pakken.
Chantal ’t Gilde, managing director Benelux & Nordics van Qualys.