Blog

Waarom kiezen voor een XDR oplossing?

Waar de meeste mensen kampen met een allergie voor pollen of huisstofmijt, heb ik last van een allergie voor nieuwe marketing termen die een overtreffende trap bevatten.  Ik krijg er weliswaar geen fysieke jeuk van, maar ik krijg wel een sterke behoefte om keihard te l.. Continue

Waarom kiezen voor een XDR oplossing?

Category
Security

Published on
Written by
Quirine Bredero-Claassens

Waar de meeste mensen kampen met een allergie voor pollen of huisstofmijt, heb ik last van een allergie voor nieuwe marketing termen die een overtreffende trap bevatten.  Ik krijg er weliswaar geen fysieke jeuk van, maar ik krijg wel een sterke behoefte om keihard te lachen en een tikkeltje rebels te worden.

Ik heb geleerd dat ik deze allergie maar op één manier kan bestrijden; door eens goed te gaan graven in de materie, de term tot op het bot te ontleden en mijn eigen oordeel te vellen. Is de term echt zo hol als hij op het eerste oog doet vermoeden? Of zit er wel degelijk een steekhoudend concept achter?

Zo raasde er onlangs een nieuwe marketing term langs; XDR, Extended Detection and Response. “Extended” is zo’n heerlijk woord die bovengenoemde overtreffende trap bevat. “Next gen” is ook zo’n beauty.

In deze blog zal ik antwoord proberen te geven op de vragen; Wat is XDR? Waarom hebt u het nodig? Uit welke XDR oplossingen kunt u kiezen? Hoe moet u een XDR oplossing beoordelen? En zijn er risico’s aan verbonden?

 

Wat is XDR?

Gartner definieërt XDR als volgt: “a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed components” (Gartner, Firstbrook & Lawson, 2020).

Dit is een nogal een lange zin, die grotendeels klopt. Laten we hem eens ontleden;

  • Saas-based”.   Oftewel aangeboden in de cloud. Oftewel zorg dat u verbinding hebt met het internet en u kunt er gebruik van maken.
  • Vendor-specific”.  Dit kan, maar hoeft niet. Er zijn ook oplossingen verkrijgbaar waarbij u niet gebonden bent aan één vendor.
  • Security threat detection and incident response tool”.  Ok, dus u kunt er cyber dreigingen mee detecteren en erop reageren.
  • Integrates multiple security products into a cohesive security operations system”.  Ok, dus het is een tool waarmee u een beveiligingsoperatie / afdeling kan optuigen, waarin meerdere beveiligingsproducten samenkomen.
  • That unifies all licensed components”. Dit laatste betekent dat u alle producten die u middels een licentie afneemt in één tool / dashboard te zien krijgt en kunt bedienen.

SecBI definiëert XDR op een eenvoudigere wijze als een nieuwe technologie die diverse, geïsoleerde beveiligingsproducten consolideert in één detectie en respons oplossing (The Definitive Guide to XDR. What you need to know before buying an XDR platform, 2020).

 

Gartner spreekt over de volgende conceptuele architectuur die aan XDR ten grondslag ligt:

XDR blog foto 1

 

Waarom hebt u XDR nodig? Welk probleem lost het voor u op?

Security Operations teams hebben lange, drukke dagen. Alle diverse oplossingen, die worden ingezet om lokale netwerken en cloud omgevingen te scannen op verdachte activiteiten, genereren een astronomische hoeveelheid alerts. Teveel alerts om individueel te triëren, analyseren en oplossen.

Daarnaast is er een groot tekort aan mensen in de arbeidsmarkt met de benodigde skills om bovengenoemde taken te kunnen uitvoeren. De mensen die er wel zijn hebben een grote behoefte aan een vereenvoudiging van hun werkzaamheden.

Een element wat het voor deze cyber responders lastig maakt is de grote hoeveelheden informatie die verzamelt wordt; knoop het maar eens aan elkaar en maak er heldere soep van.

Er is dus een grote behoefte in cyber security land aan oplossingen die het leven van de SOC medewerker eenvoudiger maken. Dit kan enerzijds door automatisering, anderzijds door een betere presentatie en correlatie van verzamelde data.

Aldus Gartner, is de primaire toegevoegde waarde van een XDR product dat het de productiviteit van beveiligingsoperaties vergroot en de detectie en respons capaciteiten verbeterd.

 

Uit welke XDR oplossingen kunt u kiezen?

In de relatief jonge XDR markt komen we twee smaken tegen; 1) Proprietary XDR en 2) Universal XDR.

In gewoon Nederlands; een XDR oplossing die geleverd wordt door één specifieke vendor (proprietary), of een XDR oplossing die samenwerkt met oplossingen van diverse vendoren (universal).

De proprietary XDR oplossing integreert een leveranciers eigen portfolio van beveiligingsproducten in één holistisch XDR platform. In deze context is de XDR oplossing van McAfee zeker het onderzoeken waard.

De universele XDR oplossing biedt een overkoepelende XDR laag bovenop een (multi-)vendor security architectuur, welke de integratie en samenwerking tussen reeds geïmplementeerde endpoint, netwerk en cloud beveiligingsproducten verbeterd. Dit houdt bijvoorbeeld is dat legacy systemen niet vervangen hoeven te worden en dat u als enterprise geen last krijgt van een vendor lock-in.

De proprietary XDR optie heeft het uitgesproken voordeel dat men heel snel up-and-running kan zijn met een out-of-the-box integratie en perfect afgestemde detectie mechanismen, aldus Gartner (Firstbrook & Lawson, 2020).

 

Hoe moet u een XDR oplossing evalueren / beoordelen?

Wanneer u serieus overweegt om een XDR oplossing toe te voegen aan uw beveiligingsarchitectuur zult u met name de volgende criteria in overweging willen nemen:

  •  Kwaliteit en maturiteit van de beveiligingstool
  •  Productiviteitswinst van uw SOC;
    • Verlaging van MTTD – mean time to detection
    • Verlaging van MTTR – mean time to response
    • Verlaging van het aantal gegenereerde alerts
  • Het aantal producten dat geïntegreerd wordt in de XDR oplossing – hoe meer visibiliteit, hoe beter
  • De diepte van de integratie van de componenten – wordt alleen er op data niveau geïntegreerd? Of is het ook mogelijk om wijzigingen door te voeren over alle componenten vanuit het centrale XDR platform?
  • De accuratesse van de correlaties tussen alerts en incidenten
  • Voor een volledige lijst zie Gartner (Firstbrook & Lawson, 2020).

 

Ook SecBI biedt een handige checklist:

XDR blog foto 2

Bron: SecBI “The Definitive Guide to XDR. What you need to know before buying an XDR platform.” 2020

 

Zijn er risico’s verbonden aan het implementeren van een XDR oplossing?

Ieder voordeel heeft zijn nadeel. Dus ja, er zijn risico’s verbonden aan de oplossing die u kiest. Bijvoorbeeld als u voor de proprietary XDR oplossing kiest, dan loopt u het risico op een verhoogde afhankelijkheid van een vendor, een verhoogde kans op een single point of failure (SPoF) of een eenzijdige manier van verdedigen tegen dreigingen.

Daarentegen heeft een universele XDR oplossing dan weer het nadeel dat uw beveiligingsarchitectuur zal (blijven) bestaan uit diverse vendoren. Dit maakt beheer en behoud van kennis complexer en intensiever. Ook zal op de langere termijn de vraag rijzen of integratie met “oudere” security onderdelen en het “nieuwere” XDR platform mogelijk blijft.

 

Meer informatie? 

Bent u nieuwsgierig geworden naar XDR? Lees dan eens het Gartner rapport “Innovation Insight for Extended Detection and Response” van P. Firstbrook en C. Lawson van 19-03-2020. Of neem contact op met een Pre Sales Engineer van Ingram Micro voor verhelderend gesprek. 

Neem voor meer informatie contact op met ons software team via software@ingrammicro.nl of op tel. 030 246 40 85.

 

Neem contact met ons op

Word lid van de grootste cloud marketplace ter wereld