Afgelopen week was ik jarig en dronk ik champagne ter gelegenheid hiervan. Op de ene of andere manier maakte mijn brein de link tussen deze gebeurtenis, de uitdrukking “drinking your own champagne” (die ik altijd fijner vind dan het alternatief “eating your own dog food”) en het feit dat wij, Valid, dat doen op gebied van cybersecurity. In ieder geval met betrekking tot het onderdeel “Managed Detection and Response” (MDR).
We zijn hier zo tevreden mee dat we deze dienstverlening hebben geïmplementeerd voor een aantal klanten . Wat houdt MDR in? Waarom zou jij zoiets in willen zetten? En hoe komt het dat we er blij mee zijn? Deze vragen beantwoord ik kort in dit stuk.
Over Managed Detection and Response (MDR)
MDR betreft een Security Incident en Event Management (SIEM) systeem welk beheerd wordt door een Security Operations Center (SOC). Het grote verschil is dat je met MDR de SOC-activiteiten (deels) uitbesteed aan een partner die 24x7x365 jouw omgeving(en) monitort en acteert wanneer dat nodig is, daar waar een intern traditioneel SOC-team deze activiteiten zelf moet uitvoeren. Heb je al SOC-analisten in dienst? Heb je die in voldoende getallen om 24x7 de uitkomst van de SIEM te analyseren? Wanneer het antwoord op die vragen “nee” is, overweeg om de dienst uit te besteden. Valid heeft in 2018 besloten om een SIEM-SOC combinatie in te richten om zichzelf optimaal te beschermen. Dit vonden we een logische stap in de invulling van onze security roadmap.
In gesprek met een van onze klanten kwam ik erachter dat ze als alternatief voor een SIEM-SOC combinatie keken naar een cybersecurityverzekering. Dat kan, want in feite is de MDR-dienstverlening een soort van verzekering. Het verschil zit hem in het sneller voorkomen en sneller genezen. Een SIEM waarschuwt je, een verzekering betaalt een deel van de schade terug als je gehackt bent. Ik begrijp overigens dat verzekeraars een lagere premie vragen als je een SIEM hebt geïmplementeerd. Je kunt aanvallen immers vroegtijdiger identificeren en stoppen, waardoor je voorkomt en niet geneest. Wat ons betreft is het nog beter om beide aan te schaffen. De keuze hang natuurlijk af van je ‘risk appetite’ en de inschatting die je maakt: hoe groot zijn de security-risico’s en eventueel impact ervan voor jouw organisatie?
Alfabetsoep: SIEM, SOC, XDR
In het kort wat een SIEM doet: het integreert data van allerlei bronnen en correleert signalen om patronen te ontdekken. Wat bronnen betreft denk bijvoorbeeld aan firewalls, antivirus systemen en belangrijke applicaties zoals Microsoft 365 . Het systeem distilleert vervolgens en signaleert risico’s uit die patronen. Wanneer je acuut actie moet nemen dan genereert het SIEM-systeem een "critical” alert.
Voor sommige specialisten (ik ben dat niet voor de duidelijkheid) is het hebben van een Extended Detection and Response (XDR) oplossing voldoende en heb je geen SIEM nodig. XDR is de evolutie van EDR, Endpoint Detection and Response. Wat Valid betreft bestaat XDR uit een combinatie van Endpoint Detection & Response (EDR) op de werkplek met Network Detection & Response (NDR) in het netwerk. In die combinatie kan je andere bronnen missen, vandaar de meerwaarde van een SIEM.
In een SOC werken securityspecialisten die onder andere de output van een SIEM-systeem analyseren. Waar en wanneer nodig zetten ze acties uit om het hoofd te bieden aan de achterliggende security bedreigingen.
Wikken en (af)wegen
Als je je oriënteert op de security-markt dan wordt het snel lastig om onderscheid te maken tussen alle mogelijke oplossingen en leveranciers. Toen Valid naar de SIEM-markt keek was die enigszins overzichtelijker en we kwamen snel tot de conclusie dat Rapid 7 InsightIDR de beste keuze voor ons was. De oplossing kwam overeen met onze requirements, de klik met het bedrijf was er en de implementatie-tijd was kort. Ondertussen hebben Rapid 7 en andere organisaties zoals Microsoft en Palo Alto Networks grote stappen gemaakt. Echter steekt Rapid 7 er in onze ogen met kop-en-schouders bovenuit. Wij blijven echter de marktontwikkelingen volgen om voor onszelf en onze klanten de beste oplossingen aan te bieden.
Een SIEM-keuze maken heeft niet alleen te maken met de technische mogelijkheden. Kies een partij die je kan helpen met de inrichting van de oplossing en ook snapt welke operationele consequenties je tegen gaat komen. Tijdens de implementatie kom je snel tegen de noodzaak om de output van het systeem te fine tunen: je wil niet voor elke alert uit je bed gebeld worden. Daarom is het fijn om met een partner te werken die begrijpt waar je risico’s liggen en dit met jouw afstemt. Daarnaast is het meer dan handig wanneer het SOC-team naast het SIEM-systeem leunt op andere signalen. Bijvoorbeeld informatie van autoriteiten zoals in Nederland het NCSC. Het analyseren van data is een ding. Het weten dat sommige hacker communities nieuwe vindingrijke tactieken toepassen is een heel andere ding. Die twee soorten benaderingen heb je nodig in een SOC.
Last but not least: heb je een SOC-team nodig die 24x7x365 “eyes on glass” heeft en snel reageert op alle signalen? Of is het voor je voldoende om enkel in actie te komen voor de eerdergenoemde “criticals”?
Vieren!
Zijn we en onze klanten beter beschermd? Dat gevoel heb ik zeker. Tijdens een penetratietest, uitgevoerd door een extern bedrijf, werden we heel snel gewaarschuwd dat een hackpoging aan de gang was. In dit geval wist onze Chief Security Officer (CISO) dat het een ethische hack betrof en werd ons responsteam gerustgesteld. Voor ons, het managementteam van Valid, was dit voorbeeld ook een geruststelling. Uiteraard bestaat er geen garantie op 100% veiligheid, dus op je lauweren rusten zit er niet in en blijven we investeren in onze security-roadmap.
Is dit onderwerp interessant voor jouw organisatie? Wil je er mee over weten? Kijk je uit naar een glaasje champagne --- of een alcoholvrij alternatief -- na een succesvolle implementatie? Aarzel niet om contact met mij op te nemen. Ik breng je graag in contact met de juiste expert om je vragen te beantwoorden.
Kijk ook gerust op onze Kennisbank voor relevante stukken. Heb je vragen of opmerkingen? Laat je bericht achter alsjeblieft.
