Organisaties vertrouwen op Endpoint Detection and Response (EDR) als middel om te reageren op cybersecurity-incidenten. Naarmate cybercriminelen en hun tactieken geavanceerder zijn geworden, is de tijd om inbreuken te identificeren en in te dammen echter alleen maar toegenomen. Dit betekent dat er ruimte is ontstaan voor een nieuwe aanpak voor detectie en respons.
XDR maakt het mogelijk om snel bedreigingen in de hele organisatie te detecteren en te reageren op bedreigingen die zich uitstrekken over het netwerk, de cloud en de endpoints.
XDR biedt hiermee een alternatief voor traditionele, reactieve benaderingen die alleen een gelaagd inzicht bieden in aanvallen, zoals EDR (Endpoint Detection and Response), NTA (Network Traffic Analyses) en SIEM (Security Information and Event Management). Gelaagd inzicht zorgt voor belangrijke informatie, maar kan ook leiden tot problemen, zoals:
-
Te veel alerts die incompleet zijn en waarbij context ontbreekt.
EDR detecteert slechts 26 procent van de initiële aanvalsvectoren1, en het grote aantal security-alerts maakt dat 54 procent van de securityprofessionals alerts negeert die wel moeten worden onderzocht.2
-
Tijdrovende, complexe onderzoeken die gespecialiseerde kennis vereisen.
Met EDR is de gemiddelde tijd om een inbreuk vast te stellen toegenomen tot 197 dagen3 en de gemiddelde tijd om een inbreuk in te dammen tot 69 dagen3.
-
Focus op tools in plaats van op de gebruiker of het bedrijf gerichte bescherming.
EDR richt zich meer op technologische mogelijkheden dan op de operationele behoeften van gebruikers en organisaties. In een gemiddeld Security Operations Center wordt gewerkt met zo’n 40 tools4, en 23 procent van de securityteams besteedt tijd aan het onderhouden en beheren van deze tools, terwijl deze tijd ook besteed zou kunnen worden aan het uitvoeren van beveiligingsonderzoeken.5
Het nettoresultaat voor de toch al drukbezette securityteams bestaat uit een eindeloze reeks events, meer tools en informatie om naar te kijken, een langere tijd om inbreuken vast te stellen, en hogere security-uitgaven die niet optimaal worden besteed.
XDR wordt gekenmerkt door een meer proactieve aanpak. Het biedt inzicht in data verspreid over netwerken, clouds en endpoints, en het maakt gebruik van analyses en automatisering om de steeds geavanceerdere threats van vandaag de dag aan te pakken.
Met XDR kunnen beveiligingsteams:
- Verborgen en geavanceerde bedreigingen snel en proactief identificeren
- Bedreigingen volgen ongeacht de locatie binnen de organisatie
- De productiviteit verhogen van de mensen die over de technologie gaan
- Meer rendement halen uit hun investeringen in security
- Onderzoeken efficiënter afronden
XDR stelt organisaties in staat om succesvolle cyberaanvallen te voorkomen en beveiligingsprocessen te vereenvoudigen en te verbeteren. Wanneer gebruikers, gegevens en applicaties goed worden beschermd, hebben organisaties meer tijd om zich te richten op hun core business.
Bronnen:
1 Endpoint Protection and Response: A SANS Survey, SANS Institute, 2018
2 2017: Security Operations Challenges, Priorities, and Strategies, ESG, 2017
3 2018 Cost of a Data Breach Study, Ponemon Institute, 2018
4 SANS 2018 Security Operations Center Survey, SANS Institute, 2018
5 Investigation or Exasperation? The State of Security Operations, IDC, 2017
