De tijd van SIEM is voorbij, tijd voor XDR?

Veel organisaties vinden het implementeren en onderhouden van een Security Information and Event Management (SIEM) een complexe en tijdrovende taak. Dit zorgt voor een grote uitdaging op het gebied van veiligheid. Vooral voor kleine en middelgrote bedrijven die niet over de middelen beschikken om een volledig intern SOC-team te onderhouden.

In dit artikel bespreken we de moeilijkheden van het implementeren van een SIEM-oplossing en de nadelen die dit met zich meebrengt. Maar ook hoe eXtended Detection and Response (XDR) een praktische aanpak biedt om snel solide beveiliging te implementeren door informatie uit meerdere bronnen te combineren. Denk aan Endpoint Detection & Response, Network Detection & Response en Multi-Factor Authentication logs.

De uitdagingen van het implementeren van een SIEM-oplossing

SIEM-oplossingen genereren enorme hoeveelheden log-gegevens van verschillende beveiligingsapparaten en toepassingen in het netwerk. Dit zorgt voor grote uitdagingen in het verwerken en analyseren van deze gegevens. Vooral omdat deze doorgaans ongestructureerd en van verschillende bronnen afkomstig zijn.

Een ander probleem betreft de noodzaak om aangepaste regels en rapporten te creëren om bedreigingen te identificeren. Dit vereist vaak complexe en dure ontwikkeling en onderhoud van aangepaste scripts en regels, waardoor veel organisaties afhaken bij hun pogingen om een SIEM-oplossing te implementeren.

Daarnaast is het moeilijk om snel te reageren op bedreigingen, omdat het analyseproces veel tijd in beslag neemt. Dit maakt het voor aanvallers mogelijk lange aanvallen uit te voeren zonder dat deze worden gedetecteerd. Dit brengt de cybersecurity van de organisatie in gevaar.

De nadelen van een SIEM-oplossing

Naast de bovengenoemde moeilijkheden, zijn er nog andere nadelen aan het gebruik van een SIEM-oplossing. De belangrijkste zijn een gebrek aan correlatie, geen context en slechte ROI.

Correlatie is de basis van een effectieve SIEM-oplossing, maar veelal worden alleen gebeurtenissen van dezelfde bron gecorreleerd. Dit betekent dat de SIEM-oplossing niet in staat is om verbanden te leggen tussen verschillende gebeurtenissen en de incidenten op de juiste manier te detecteren. Hierdoor moet er veel handmatige tuning plaatsvinden van de use-cases en rules.

Daarnaast ontbreekt er regelmatig context die meer inzicht kan geven in de oorzaak en omvang van een bedreiging. Dit komt omdat je voor het implementeren van een SIEM een goed overzicht moet hebben over de informatie die naar het SIEM gestuurd moet worden. Daarnaast moet de informatie genormaliseerd worden. Vanwege de complexiteit van een SIEM-oplossing zijn de kosten van implementatie en onderhoud zeer hoog, waardoor deze oplossingen als niet rendabel worden beschouwd.

De voordelen van XDR

eXtended Detection and Response (XDR) is een nieuwe beveiligingsoplossing die de nadelen van SIEM-oplossingen oplost. XDR biedt een praktische aanpak waarmee organisaties snel solide beveiliging kunnen implementeren door informatie uit meerdere bronnen te combineren. Een aantal voordelen:

• XDR-oplossingen voegen context toe aan de gegevens door een gedetailleerd beeld te geven van de aanvalsvector, de identiteit van de aanvaller en de impact van de aanval. Dit geeft beveiligingsteams de informatie die ze nodig hebben om snel en effectief op bedreigingen te reageren.
• XDR-oplossingen zijn ook beter in staat om bedreigingen te detecteren door middel van uitgebreide correlatiemogelijkheden. Dit stelt beveiligingsteams in staat om snel afwijkingen te identificeren, zelfs als deze zich over meerdere bronnen verspreiden.
• XDR-oplossingen zijn eenvoudiger te implementeren en gemakkelijker te gebruiken, wat ze ook voor kleine en middelgrote ondernemingen toegankelijk maakt. Dit leidt tot een betere ROI en snellere time-to-value voor organisaties.

Bovendien is een belangrijk aspect van XDR de mogelijkheid van automatische remediatie, zoals bijvoorbeeld het automatisch isoleren van endpoints. XDR stelt beveiligingsteams in staat om snel en automatisch te reageren op bedreigingen, waardoor de aanval wordt gestopt en de schade tot een minimum wordt beperkt.

Endpoint Detection and Response (EDR)

EDR-oplossingen zijn een belangrijk onderdeel van XDR. Deze oplossingen bieden ongeëvenaarde zichtbaarheid en controle over workloads, met continue bewaking en analyse van endpoint-gebeurtenissen. Door EDR te combineren met andere beveiligingsgegevensbronnen (zoals Network Detection and Response), krijgt u een volledig beeld van de beveiligingsgebeurtenissen in uw organisatie.

Network Detection and Response (NDR)

NDR-oplossingen zijn ook een cruciaal onderdeel van XDR. Deze oplossingen bieden realtime inzicht in netwerkverkeer met gedetailleerde analyse van bedreigingen en directe reactie op incidenten. Door deze gegevens te combineren met andere gegevensbronnen (zoals EDR), krijgt u een volledig beeld van de beveiligingsgebeurtenissen in uw organisatie.

Multi-Factor Authentication (MFA) logs

Tot slot is MFA een belangrijke beveiligingslaag die een cruciale rol speelt in het beschermen van toegang tot bedrijfsgegevens en applicaties. Door MFA-loggegevens te integreren in de XDR-oplossing, krijgt u beter inzicht in inlogpogingen en kunt u pogingen tot identiteitsmisbruik identificeren.

Tot slot

Het implementeren en onderhouden van een SIEM-oplossing is voor veel organisaties een uitdaging vanwege de hoge kosten en de complexiteit van de ontwikkeling en het onderhoud van aangepaste regels en scripts. XDR biedt een praktische oplossing die de nadelen van SIEM-oplossingen oplost door informatie uit meerdere bronnen te combineren en tegelijkertijd robuuste beveiliging te bieden. Door EDR, NDR en MFA-logs te combineren, biedt XDR een diepgaand inzicht in de beveiligingsgebeurtenissen binnen uw organisatie.

XDR is niet bedoeld als een drop-in vervanging voor SIEM, omdat SIEM meer flexibiliteit en configureerbaarheid biedt, maar XDR stelt organisaties in staat om snellere resultaten te behalen. XDR heeft zichzelf bewezen als een praktische oplossing voor organisaties die snel en effectief willen reageren op beveiligingsdreigingen en strenge compliance vereisten. Bovendien biedt XDR de mogelijkheid van automatische remediatie, waardoor de aanval snel wordt gestopt en de schade wordt beperkt.