Onderzoek vanuit ESG heeft laten zien dat 66% van de organisaties het er mee eens is dat de detection/response-effectiviteit van bedreigingen beperkt is omdat het gebaseerd is op meerdere onafhankelijke point-to-point-oplossingen. Verizon geeft in hun DBIR rapport over 2019 aan dat 94% van de malware-infecties vanuit e-mail komt, wat de nummer 1 bron van cyberaanvallen is.
Josh Zelonis, analist van Forrester, is degene geweest die de term XDR in de markt gezet heeft. XDR staat voor Cross-Layer Extended Detection and Response waarbij meest belangrijk de detection en reponse over meerdere securitylagen gaat waaronder de applicatie (bijvoorbeeld Office 365) maar ook de telemetrie vanuit het netwerk en de integratie met de overige componenten zoals de Active Directory. Dit komt wel heel erg dicht in de buurt van een SIEM met detection- en responsemogelijkheden met daarnaast orchestration en automation.
XDR staat in dienst van zowel het Security Operations Center alsmede het Incident Response team binnen een organisatie. Het breidt de zichtbaarheid uit naar een bredere omgeving dan alleen het endpoint en biedt automatische detectie en correlatie over de verschillende securitylagen. Naast het (bijna) forensisch kunnen onderzoeken is er threat hunting en automatische response. In afwijking van standalone-oplossingen die alleen alerts naar een centrale omgeving sturen wordt er volledige context geboden.
Een cybersecuritydreiging begint vaak met een mailbericht, die vervolgens de gebruiker op een link probeert te laten klikken. Vervolgens komt er een download van kwaadaardige code of scripts die tot executie moeten komen en wordt er vanaf de werkplek zo snel mogelijk de route gezocht naar het datacenter en rest van het netwerk of cloud assets te gaan om verdere schade aan te richten. Dit passeert meerdere securitylagen die elk voor zich “iets” rapporteren, echter met al die alerts is er nog geen onderling verband gevonden. Met XDR ontstaat er een significante toevoeging voor de SIEM-oplossing.
We gaan in deze markt richting een omgeving waar een cloudgebaseerde data lake alle events, alerts en logboeken samenbrengt vanuit de Office 365 omgeving, de Endoint met EDR, de Active Directory met de domeininformatie, de Cloud Applicaties en de netwerkactiviteit zelfs gecombineerd met informatie vanuit I(OT)-devices. XDR zorgt voor collectie, normalisatie, correlatie, detectie en visualisatie van de vergaarde data in een eenvoudig en duidelijk begrijpbaar formaat voor IT-Security beheerders en Security en Compliance verantwoordelijken. Deze informatie wordt vervolgens richting een SIEM en Security Orchestration (SOAR)-oplossing gevoed. Cloud-gebaseerd heeft de voorkeur aangezien deze altijd beschikbaar is en (extern) ook bereikbaar, mocht de omgeving volledig besmet en proactief offline zijn. Alle data van cloudomgevingen en applicaties weer on-site brengen is ongewenst en vereist een grote storage-omgeving om de steeds grotere verzameling van vergaarde data op te blijven slaan. De processing power voor correlatie en visualisatie is eenvoudig en schaalbaar beschikbaar in de cloud. Ons advies hier is om deze redenen te gaan voor cloud-managed EDR/XDR.
Is het dan een SIEM ?
Nee. Een SIEM ziet alle security alerts, maar niet alle events van wat er gebeurt is. Een alert kan zijn een detectie van een Command & Control (C&C) server waar contact toe gezocht wordt om verdere instructies van de cybercriminelen te krijgen. Een phishing poging, het openen van een mail, het openen van een Word-document, het opstarten van Powershell, het toegang zoeken tot Microsoft Azure credentials, het opstarten van een container of lateraal verkeer tussen containers wordt niet zomaar doorgestuurd. De zojuist geschreven korte beschrijving van een aanval is dus niet eenvoudig te herleiden, slechts de stap van de C&C server die komt na het lanceren van het Powershell-commando is zichtbaar.
Met EDR ontstaat er al een verrijking waarbij gebaseerd op alle endpointactiviteit (dus niet alleen maar alerts) de SIEM gevoed wordt. Met XDR en gebruikmaking van een data lake in de cloud wordt alle activiteit van alle betrokken componenten in de aanval meegenomen. Richting de SIEM komen er dan minder waarschuwingen, minder ruis en minder false positives, meer context en wordt er een compleet verhaal gepresenteerd. Hiermee ontstaat veel meer inzicht en een krachtig en volwassen securityplatform. Dit bespaart in tijd en (security)kennis waarmee de algehele securitykosten verlaagd worden.