What's next: van Intelligente "Next-Gen" EDR naar meerlagen EDR (XDR)
In mijn vorige blog - What’s next: “Next-Gen”- Endpoint Detection and Response - heb ik een verdere verdieping gegeven van de specifieke verschillen met Endpoint Security (Antivirus/Endpoint-protectie), de uitdagingen met standalone EDR-oplossingen en de verschillen met een SIEM. Zodat organisaties weten waar ze naar toe zullen moeten gaan om maximaal inzicht en grip te krijgen en te houden op de IT-assets binnen (en buiten) de organisatie.
In dit artikel, bedoelt voor iedereen actief in de IT-Security, ga ik in op de trend richting Managed Detection and Response, Cross Layer Detection and Response- en SOAR-oplossingen. Daarnaast adviseer ik waar naar te kijken bij selectie en evaluatie van EDR-tooling.
Endpoint Detection & Response (EDR) genereert uiteindelijk meer alerts waar de IT-Security experts analyse op moeten doen. We zien dat veel organisaties dit als een barrière zien om met EDR aan de slag te gaan. Dit vanwege gebrek aan tijd en expertise om onderzoek te doen naar de diversiteit van alerts, deze te analyseren en daar weer vervolgens conclusies aan te verbinden. Hiervoor is er door een aantal vendoren MDR ontwikkeld (Managed Detection & Reponse) als aanvullende dienst op de EDR-oplossing.
Met MDR worden de meest tijdrovende taken uit handen genomen. Indicators of Compromise (IoC’s) worden gedetecteerd, geanalyseerd en onderzocht. Hierna wordt er advies uitgebracht hoe je een actuele dreiging kunt verwijderen of hoe je deze in de toekomst kunt voorkomen. Tevens worden naast de periodieke rapportages ook per incident rapporten opgesteld en gedeeld met de klant.
Dreigingen kunnen hier door het slim gebruik maken van Machine Learning technieken gedetecteerd en geprioriteerd worden. Verdachte events worden weergegeven in een overzicht met naam, datum van detectie, threat score en het aantal endpoints waar deze zich op bevindt. Analyse van de ‘threat’ dient volkomen automatisch te gebeuren – on-demand – gevoed door de threat intelligence van de leverancier.
Per proces moet de reputatie getoond worden en de detectiestatus. Ook hier moet live de laatste threat intelligence bij de security-leverancier uitgevraagd kunnen worden. Een match weergeven met de gebruikte exploitatie technieken uit het MITRE ATT&CK framework wordt steeds vaker gemeengoed, aangezien de beschikbare tactieken, technieken en procedures die gebruikt worden door cybercriminelen uitgebreid gedocumenteerd zijn.
Onderzoek vanuit ESG heeft laten zien dat 66% van de organisaties het er mee eens is dat de detection/response-effectiviteit van bedreigingen beperkt is omdat het gebaseerd is op meerdere onafhankelijke point-to-point-oplossingen. Verizon geeft in hun DBIR rapport over 2019 aan dat 94% van de malware-infecties vanuit e-mail komt, wat de nummer 1 bron van cyberaanvallen is.
Josh Zelonis, analist van Forrester, is degene geweest die de term XDR in de markt gezet heeft. XDR staat voor Cross-Layer Extended Detection and Response waarbij meest belangrijk de detection en reponse over meerdere securitylagen gaat waaronder de applicatie (bijvoorbeeld Office 365) maar ook de telemetrie vanuit het netwerk en de integratie met de overige componenten zoals de Active Directory. Dit komt wel heel erg dicht in de buurt van een SIEM met detection- en responsemogelijkheden met daarnaast orchestration en automation.
XDR staat in dienst van zowel het Security Operations Center alsmede het Incident Response team binnen een organisatie. Het breidt de zichtbaarheid uit naar een bredere omgeving dan alleen het endpoint en biedt automatische detectie en correlatie over de verschillende securitylagen. Naast het (bijna) forensisch kunnen onderzoeken is er threat hunting en automatische response. In afwijking van standalone-oplossingen die alleen alerts naar een centrale omgeving sturen wordt er volledige context geboden.
Een cybersecuritydreiging begint vaak met een mailbericht, die vervolgens de gebruiker op een link probeert te laten klikken. Vervolgens komt er een download van kwaadaardige code of scripts die tot executie moeten komen en wordt er vanaf de werkplek zo snel mogelijk de route gezocht naar het datacenter en rest van het netwerk of cloud assets te gaan om verdere schade aan te richten. Dit passeert meerdere securitylagen die elk voor zich “iets” rapporteren, echter met al die alerts is er nog geen onderling verband gevonden. Met XDR ontstaat er een significante toevoeging voor de SIEM-oplossing.
We gaan in deze markt richting een omgeving waar een cloudgebaseerde data lake alle events, alerts en logboeken samenbrengt vanuit de Office 365 omgeving, de Endoint met EDR, de Active Directory met de domeininformatie, de Cloud Applicaties en de netwerkactiviteit zelfs gecombineerd met informatie vanuit I(OT)-devices. XDR zorgt voor collectie, normalisatie, correlatie, detectie en visualisatie van de vergaarde data in een eenvoudig en duidelijk begrijpbaar formaat voor IT-Security beheerders en Security en Compliance verantwoordelijken. Deze informatie wordt vervolgens richting een SIEM en Security Orchestration (SOAR)-oplossing gevoed. Cloud-gebaseerd heeft de voorkeur aangezien deze altijd beschikbaar is en (extern) ook bereikbaar, mocht de omgeving volledig besmet en proactief offline zijn. Alle data van cloudomgevingen en applicaties weer on-site brengen is ongewenst en vereist een grote storage-omgeving om de steeds grotere verzameling van vergaarde data op te blijven slaan. De processing power voor correlatie en visualisatie is eenvoudig en schaalbaar beschikbaar in de cloud. Ons advies hier is om deze redenen te gaan voor cloud-managed EDR/XDR.
Is het dan een SIEM ?
Nee. Een SIEM ziet alle security alerts, maar niet alle events van wat er gebeurt is. Een alert kan zijn een detectie van een Command & Control (C&C) server waar contact toe gezocht wordt om verdere instructies van de cybercriminelen te krijgen. Een phishing poging, het openen van een mail, het openen van een Word-document, het opstarten van Powershell, het toegang zoeken tot Microsoft Azure credentials, het opstarten van een container of lateraal verkeer tussen containers wordt niet zomaar doorgestuurd. De zojuist geschreven korte beschrijving van een aanval is dus niet eenvoudig te herleiden, slechts de stap van de C&C server die komt na het lanceren van het Powershell-commando is zichtbaar.
Met EDR ontstaat er al een verrijking waarbij gebaseerd op alle endpointactiviteit (dus niet alleen maar alerts) de SIEM gevoed wordt. Met XDR en gebruikmaking van een data lake in de cloud wordt alle activiteit van alle betrokken componenten in de aanval meegenomen. Richting de SIEM komen er dan minder waarschuwingen, minder ruis en minder false positives, meer context en wordt er een compleet verhaal gepresenteerd. Hiermee ontstaat veel meer inzicht en een krachtig en volwassen securityplatform. Dit bespaart in tijd en (security)kennis waarmee de algehele securitykosten verlaagd worden.
Security Orchestration, Automation and Response (SOAR) is al wat langer een kreet die we horen in de wereld van cybersecurity. De mogelijkheden die SOAR biedt zijn de volgende stap in de beveiliging van bedrijven. Gartner beschrijft SOAR als “technologieën die organisaties in staat stellen om vanuit verschillende bronnen data en alerts te verzamelen over securitydreigingen, waarmee incidentanalyse en -beoordeling kunnen worden uitgevoerd met behulp van een combinatie van de kracht van mens en machine, om gestandaardiseerde incident-responsactiviteiten volgens een standaard workflow te definiëren, te prioriteren en aan te sturen”. Zij voorspellen dat tegen het einde van 2020 vijftien procent van de organisaties met een beveiligingsteam bestaande uit meer dan vijf mensen gebruik zal maken van SOAR – dat is nu maar een paar procent.
SOAR biedt securityteams aanpasbare workflows en controles om het onderzoek en neutraliseren van geconstateerde cyberdreigingen te stroomlijnen en te versnellen. Ook automatiseert het veel van de alledaagse taken waar securityteams vaak mee te maken krijgen. Bovendien kunnen analisten – door het gebruik van case playbooks – binnen één platform reageren en handelen. Het gevolg? Hogere efficiëntie en effectiviteit, juist op het moment dat het er echt toe doet. Bovendien verbetert SOAR zowel de productiviteit van organisaties alsmede het vermogen van IT-teams om sneller te kunnen reageren op cyberbedreigingen en ze op te lossen.
Op dit moment worden dedicated SOAR-oplossingen vooral in de grotere bedrijfsomgevingen neergezet in combinatie met een SIEM. De SOAR doet dan de feitelijke (automatische) opvolging op basis van de informatie die in het SIEM-systeem terechtgekomen en gecorreleerd is. Veel traditionele securitypartijen bieden in hun securityplatformen – zoals die vaak door SoftwareONE geadviseerd worden – SIEM-mogelijkheden met dekking van alle securitylagen en geïntegreerde automatische SOAR clean-upmogelijkheden. Een van de usecases kan zijn het automatisch verwijderen van een phishing e-mail uit alle Office 365 E-mailboxen nadat gebleken is dat er een malicious link in zat, die geconstateerd is nadat de gebruiker in het weekend erop klikte terwijl deze link op het moment van binnenkomst van de mail nog als veilig beoordeeld was.
XDR biedt door de correlatie van de securitylagen ontzettend veel toegevoegde waarde ten opzichte van wat er uit EDR-oplossingen te halen is. XDR is dus ook een tak van sport die ideaal aangeboden kan worden door die partijen in de markt die een compleet scala – platform – van security-oplossingen aan kunnen bieden. Naast het effectief en eenvoudig kunnen inzetten van Data Leakage Prevention (DLP) en vermindering van het aantal securityvendoren binnen uw organisatie is XDR een aanvullende reden om ook naar een securityplatform te gaan.
Een volwassen EDR-oplossing biedt de mogelijkheden tot cross-estate hunting waarmee er gezocht kan worden op mogelijke dreigingen binnen het volledige bedrijfsnetwerk. Er moet gezocht kunnen worden op SHA256-bestandshashes of -bestandsnamen. Het proces moet met een brede set van karakteristieken uitgebreid geanalyseerd kunnen worden met bij voorkeur een wereldwijd overzicht van de totale hoeveelheid ‘known good’ en ‘known bad’, wat een accurate voorspelling geeft.
Mocht er alsnog een incident doorkomen, dan is het belangrijk om de scope en impact van het incident te begrijpen. Aanvallen die tot op dit moment onopgemerkt zijn moeten gedetecteerd worden. Er moet gezocht kunnen worden naar Indicators of Compromise (IOC’s) binnen het hele bedrijfsnetwerk. Gebeurtenissen moeten geprioriteerd worden om verder onderzoek te kunnen doen. Bestanden moeten geanalyseerd kunnen worden om te bepalen of ze een bedreiging zijn of mogelijk ongewenst. Dit om op welk moment in tijd met vertrouwen te kunnen rapporteren over de totale securitypositie.
Naast inzicht in de threat cases op het level van welke werkplek, welke applicatie, welk proces, wanneer gedetecteerd, het aantal betrokken businessbestanden en bijbehorende actie vanuit de oplossing (block/clean), is het belangrijk om zo duidelijk mogelijk richting te krijgen wat de volgende stap moet worden in het proces. Het heeft waarde om per case de status bij te kunnen houden en prioriteiten te kunnen zetten. Er moet automatisch een grafisch overzicht geboden kunnen worden van processen die een onzekere reputatie hebben. Voorgestelde stappen kunnen het isoleren van de computer zijn (zo lang het onderzoek nog gaande is) of het expliciet (on-demand) scannen van de werkplek.
In een onderzoek naar EDR-oplossingen is het aan te bevelen om onderstaande zaken specifiek uit te vragen als ‘must-haves’ gezien deze ontzettend veel toegevoegde waarde bieden:
Naast de bovenstaande must-haves adviseer ik ook om te kijken naar:
Dit kan vragen beantwoorden als waarom het device traag werkt, is het in afwachting van een herstart?
Zijn registry keys of bestanden van processen recent gewijzigd ? Welke processen proberen netwerkverbindingen te maken op niet-standaard poorten?
EDR geeft meer kennis, meer inzicht en een betere bescherming tegen hedendaagse dreigingen. Er worden significante voordelen geboden ten opzichte van de mogelijkheden van de traditionele endpoint-tools. Ook in EDR is een evolutie gaande waarin we vanuit intelligente EDR, vaak geïntegreerd in de moderne “Next-Gen” Endpoint Protectie-oplossingen richting cross-layer XDR-oplossingen gaan. De markt is ondertussen volwassen en ook voor jouw organisatie een must om van de vaak reactieve modus naar proactieve bescherming te gaan.
Het securityteam van SoftwareONE helpt graag om samen de eisen en wensen te bepalen voor de juiste security-oplossingen die passen binnen jouw omgeving, budget en randvoorwaarden. Naast het geven van advies en het opstellen van een Security Roadmap zijn wij in staat om de oplossing(en) te leveren, te implementeren en te onderhouden gedurende de hele Software Lifecycle.
Zelf ben ik al meer dan 10 jaar actief in het speelveld van IT-security waarbij we keer op keer zien dat zowel door IT-trends als evolutie van het dreigingslandschap er de noodzaak blijft om maximaal inzicht te hebben en zo veel mogelijk proactief nieuwe bedreigingen te voorkomen. Door gebruik te maken van de next-generation EDR-tooling wordt de algehele security-posture vergroot zonder daarbij een explosie aan securityresources of budgetoverschrijdingen tot gevolg te hebben. Daarom is het een topic dat ik graag met onze klanten in een complete securitydialoog bespreek.
Ons Securityteam adviseert over passende security-oplossingen voor organisaties. Samen brengen wij de huidige situatie in kaart en ontwikkelen vanaf hier een roadmap die leidt tot nog meer volwassenheid en inzicht in de security-omgeving. Wil je eens met ons sparren, neem dan contact op met mij of met een van mijn collega’s Eric Bruseker, Wouter Poppenk of Tim Jonker.
Neem contact op
Laat een reactie achter om ons te laten weten wat je van dit onderwerp vindt!
Laat een bericht achter
William Jansen
Senior Solution Advisor Security
