Google op cyber security monitoring of Detection & Reponse en de afkortingen SOC en MDR dienen zich aan. En SIEM. En EDR. En IDR. En- We kunnen zo nog wel even doorgaan.
Het cyber security jargon is een lekker ingewikkelde wirwar aan afkortingen. Bovenstaande hebben veel met elkaar gemeen, overlappen onderling én zijn verschillend van elkaar. Reden genoeg om het even simpel onder elkaar te zetten en begrijpelijk te maken.
Waarom zoveel afkortingen?
Wie cyber security afkortingen als SOC en MDR probeert te begrijpen, komt er vervolgens nog véél meer tegen. Het gevolg? Verwarring. Logisch: die afkortingen en termen zijn er ook in overvloed. Het snel veranderende threatlandschap zorgt voor meer dreigingen en dus nóg meer oplossingen.
Allemaal met eigen naam – eh – afkorting.
Of het nu gaat om een product of een dienst: cyber security innovators doen hun best met zo goed mogelijke termen te komen. Vaak een variatie op variatie: MFA (Multi Factor Authentication) is een betere versie van 2FA (Two Factor Authentication).
Daarnaast houden wij techneuten van zo specifiek en dekkend mogelijke termen. Marketing heeft er ook nog baat bij: die moedigen vernieuwende termen alleen maar aan. Hoe gaaf als securitybedrijf X bekend staat als “Uitvinder van XYZ”?
Tsja, dan rollen die termen als IDR, EDR en XDR er vanzelf uit.
Wat betekenen MDR, SOC, SIEM, IDR, EDR en XDR?
In dit artikel gaan we niet in op alle afkortingen binnen de cyber security markt. Ze zijn lang niet allemaal even relevant (of aangeslagen). We leggen daarom enkel de meest voorkomende (en dus relevantere) termen binnen de Detection & Response uit:
Wat is MDR (Managed Detection & Response)?
Van collega’s die in phishing trappen tot kwetsbaarheden in software: er kan altijd iets gebeuren waardoor uw organisatie alsnog slachtoffer is van een aanval. Met Managed Detection & Response blijven die aanvallen niet meer onder de radar.
MDR-services detecteren aanvallen en verdachte activiteiten op tijd. Daarvoor zijn doorgaans twee componenten nodig: software die de incidenten detecteert (o.a. SIEM, EDR) en experts die – vaak vanuit een SOC – de data uit de software analyseert en een response geeft.
Het “Managed” gedeelte van MDR is zo belangrijk omdat detectiesoftware – soms veel – false positives geven. Met een MDR service worden die false positives van te voren geautomatiseerd tot een minimum beperkt of handmatig door een SOC zelfs geëlimineerd. De response – een melding of zelfs een tegenactie – is dan dus altijd legitiem.
Organisaties halen het meeste uit een MDR met SOC. Dit omdat écht adequate analyse van incidenten specialistische kennis vergt: security kennis én IT-kennis.
Wat is een SOC (Security Operations Center)?
Security Operations Center: dat is waar SOC als afkorting voor staat. Het is een cyber security meldkamer: de experts binnen een SOC richten zich op het monitoren, het kwalificeren, analyseren en het vervolgens melden van security incidenten.
Het verschilt per SOC, maar over het algemeen zijn er afspraken te maken over de afhandeling van incidenten. Een zo’n afspraak is dat het SOC alleen de detectie, kwalificatie en communicatie van incidenten verzorgt. Een andere afspraak is dat het SOC de incidenten ook verhelpt.
Een Security Operations Center zorgt dus altijd voor detectie en kwalificatie en melding, maar niet per definitie voor actie. Dat hangt af van de afspraken die er met het SOC-team zijn gemaakt.
Een SOC gebruikt van oudsher SIEM-software, maar tegenwoordig is EDR ook de SOC-wereld in geslopen.
Wat is SIEM/IDR?
SIEM staat voor Security Information & Event Management. Het concept van SIEM-software stamt uit begin 2000. Nu komt de term IDR (Incident Detection & Response) soms ook voorbij als het om SIEM-software gaat.
Van de cloud tot aan software: moderne SIEMs hebben alles in het vizier. Een SIEM verzamelt namelijk gegevens (logs) over de volledige IT-omgeving. Wordt er ergens ingelogd? De SIEM weet het. Faalt een inlogpoging? De SIEM weet het.
SOCs gebruiken SIEM-software om incidenten te herkennen. De SOC-experts vertellen de SIEM als het ware wat “normaal” baseline gedrag is binnen de omgeving. Vervolgens ontvangen ze alerts bij alles wat afwijkt van die baseline. Al dat afwijkende kan een aanval zijn. Het SOC analyseert die alerts.
Let op: een SIEM detecteert alleen. Het is dus geen Detection & Response, maar een belangrijk onderdeel ervan. Er is in principe altijd een SOC nodig voor de response.
Wat is EDR/EPP?
Vroeger kenden we alleen EPP (Endpoint Protection Platform: firewall in combinatie met o.a. de klassieke antivirus voor op apparaten), maar nu is er ook EDR. EDR staat voor – u raadt het al – Endpoint Detection & Response. Het verschil tussen EPP en EDR?
EPP richt zich enkel op het opzetten van een schild (preventie). Zo’n schild houdt alleen nooit alles tegen. Dan is EDR handig: want die software richt zich juist op het detecteren én verhelpen van binnengekomen dreigingen op een apparaat. Bijvoorbeeld door een besmette laptop automatisch terug te zetten naar een moment waarop het nog niet geïnfecteerd was.
Sommige software is EPP en EDR in één. SentinelOne is daar een goed voorbeeld van.
Let op: EPP en EDR richten zich dus alleen op de beveiliging endpoints (apparaten). SOCs die alleen EDR gebruiken, geven dus geen inzicht of bescherming in de verdere IT-omgeving.
Wat is XDR?
XDR duikt op meer en meer plekken op. XDR is nog zodanig opkomend, dat de definitie wisselt per organisatie die het erover heeft. Over het algemeen is er één rode draad te vinden in die definities: XDR staat voor een holistische aanpak van Detection & Reponse. Het hoofddoel van XDR: dreigingsdetectie nog nauwkeuriger maken om de operationele efficiëntie te verhogen.
Wat dat inhoudt? We maken het simpel: het combineert de krachten van SIEM-software en EDR-software. We vertelden net dat SIEM inzicht geeft in de gehele IT-infrastructuur, maar niet geautomatiseerd ingrijpt bij aanvallen. EDR-software kan ingrijpen wanneer een apparaat geïnfecteerd is, maar beperkt zich echt enkel tot apparaten.
Wanneer organisaties het hebben over XDR, dan bedoelen ze vaak dat ze een MDR oplossing bieden waarbij ze – bijvoorbeeld – zowel SIEM als EDR gebruiken. Door meerdere technologieën samen in te zetten, zijn apparaten voorzien van autoherstelopties én heeft u inzicht over de gehele IT-infrastructuur.
Niet alle security-bedrijven noemen deze aanpak overigens XDR. Dus kijk in uw zoektocht ook naar termen als “holistische aanpak” of “SOC met SIEM én EDR”.
Tot slot: SOAR
We kunnen dit artikel niet afsluiten zonder “Security Orchestration, Automation & Response” genoemd te hebben. Net als EDR is SOAR in staat bij een incident tot actie over te gaan: maar dan wél over de gehele IT-infrastructuur. Van het resetten van firewalls tot het in quarantaine zetten van users.
SOAR is vrij nieuw op de markt en nog niet geschikt voor elke organisatie. Vragen over SOAR? Neem vrijblijvend contact op.
Meer informatie over Managed Detection & Response?
Stuur uw vragen over MDR vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.
