MDR: security op topniveau binnen handbereik

Om het concept correct te duiden, kijken we even terug op de evolutie van cybersecurity. “In de begindagen werd de computer of laptop gezien als een eindpunt; de laatste stap in de verdedigingslinie. De focus van de securitysector lag op het verbeteren van de firewalls die de perimeter beschermen. Dit leidde er echter toe dat cybercriminelen hun aandacht verlegden naar de werkplekken, omdat die nog met een verouderde techniek beschermd werden”, vertelt Bastiaan Germs, cybersecurity expert bij Proximus NXT.

Eigenlijk was het principe heel eenvoudig: securitybedrijven lijstten alle bekende virussen op. Hun antivirussoftware checkte vervolgens of één van die virussen in een bestand of e-mailbericht verstopt zat. “Alleen bleek die aanpak op termijn niet houdbaar. Er verschenen te snel te veel nieuwe virussen en varianten. Denk aan de zogenaamde zero-day attacks, die sneller plaatsvinden dan je je antivirussoftware kan updaten.”

Gedragsanalyse

De securitysector stuurde zijn aanpak daarom bij en begon ook de werkplekbeveiliging te verbeteren. Het gaat er niet alleen om te zoeken naar de gevaren die je kent, maar ook naar wat je nog niet kent. Gedragsanalyse speelt daarin een belangrijke rol. “En dat gebeurt door het toestel continue te monitoren”, legt Bastiaan. “Wanneer een net gedownload bestand ineens je computer begint te encrypteren, dan klopt er iets niet.” Belangrijk is vooral ook dat het niet blijft bij de vaststelling dat er iets fout is, maar dat de securityoplossing er ook een concrete actie aan koppelt.

Bredere kijk

Zo evolueerde de sector van klassieke endpoint protection naar endpoint detection and response (EDR). Die benadering past binnen het besef dat 100% bescherming niet bestaat. Wanneer er een incident is, kun je dat maar beter zo snel mogelijk opmerken en er gepast op reageren. “Daaruit ontstond het concept van XDR of extended detection and response”, gaat Bastiaan verder. “Het zorgt voor een bredere kijk. XDR verzamelt niet alleen data bij de endpoints, maar bijvoorbeeld ook op het netwerk. Analyse en correlatie van al die data laat toe sneller en beter afwijkende situaties op te sporen.”

XDR levert de risico-analyse, MDR zorgt voor de juiste menselijke interpretatie.

Bastiaan Germs, cybersecurity expert bij Proximus NXT.

Is XDR dan niet hetzelfde als een SIEM (Security Information & Event Management)? “Dat vind ik niet”, zegt Bastiaan. “Een SIEM is een heel krachtige en flexibele tool, maar ook typisch een lege doos waar je zelf alle regels moet instellen en alle correlatie use cases moet uitschrijven. Met XDR kan je veel sneller aan de slag.

De leverancier brengt zelf alles samen, zet AI in en maakt verregaande geautomatiseerde respons mogelijk.” Dat laat bijvoorbeeld toe heel gericht en automatisch een endpoint te isoleren, zodat een infectie zich niet kan verspreiden. “In een SIEM blijft dat vooral een manueel verhaal. Bij een incident moet je zelf de respons opzetten, tegen de klok.”

Best of suite benadering

XDR werkt in hoofdzaak met oplossingen van dezelfde leverancier. Een combinatie van diverse tools – best of breed – kan dan niet. “Maar bij een incident wil je vooral de snelst mogelijke respons. En daar is best of suite – alles van één leverancier – beter in, omdat de data-uitwisseling tussen de tools meestal vlotter verloopt.” Het neemt niet weg dat de markt op zoek is naar een meer open benadering van XDR. “We zien de eerste aanzetten, waarbij je bijvoorbeeld tools van Cisco zou kunnen combineren met Microsoft of Palo Alto”, zegt Bastiaan. “Maar voorlopig blijft het toch vooral bij theorie.”

Bastiaan Germs, cybersecurity expert bij Proximus NXT.

Menselijke interpretatie met MDR

Zo komen we uiteindelijk op het terrein van MDR of managed detection and response. “XDR levert een risico-analyse op”, legt Bastiaan uit. “Op het overgrote deel van de vaststellingen volgt een geautomatiseerde actie. Maar er zijn ook risicopercentages die menselijke interpretatie vragen. Een specialist moet die alerts bekijken en beslissen wat de volgende stap is.” Grote bedrijven hebben daar een eigen team voor. Maar securityspecialisten zijn op de arbeidsmarkt heel moeilijk te vinden. En ze blijven al helemaal buiten het bereik van kleine en middelgrote ondernemingen, ook al moeten die steeds vaker afrekenen met dezelfde bedreigingen als grote organisaties.

Het is in die context dat een bedrijf als Proximus NXT kan optreden als MDR-partner. De XDR-technologie staat in voor het technische luik, de specialisten van Proximus NXT voor het menselijke aspect. “In eerste instantie halen we de alerts binnen”, zegt Bastiaan. “We doen de analyse en schatten het risico in.” Daarna volgt de juiste actie door Proximus of het bedrijf zelf, afhankelijk van de afspraken die ze daarover hebben. “Via MDR slaagt de organisatie erin zo toch het gewenste securitybeleid te voeren, zonder dat daarbij een investering nodig is in eigen specialisten.”