Naar inhoud gaan

Trending thema's

SIEM, EDR of MDR – Wat is de juiste oplossing voor jou?

Martijn

12.09.18 5 min. lezen

SIEM, SOC, EDR en MDR. Wat betekenen deze afkortingen eigenlijk? Hoe selecteer je de juiste aanpak om jouw organisatie te beschermen tegen bedreigingen die preventieve lagen hebben omzeild?

Wat is de beste oplossing? Bekijk het eens vanuit het perspectief van risicomanagement. Hoe waardevol zijn de kroonjuwelen van je bedrijf? Werk je in een sterk gereguleerde branche? Wat heb je te verliezen in het geval van een breach? Hoe hoog zijn de kosten om alles weer op orde te krijgen?

Als je deze vragen beantwoordt, kom je erachter of je moet investeren in eigen middelen en technologie, of dat outsourcing naar een managed service provider de beste oplossing is.

Laten we de verschillende opties eens bekijken.

SIEM-oplossing: vakbekwaam personeel vereist

Implementatiehulpmiddelen zoals Security Information en Event Management (SIEM) en forensische software kunnen kostbaar en tijdrovend zijn. Het duurt doorgaans 1 tot 2 jaar om een ​​SIEM-oplossing te implementeren. En vaak overstijgen de implementaties het budget en de planning. Een SIEM-oplossing vraagt niet alleen een investering in technologie, maar ook een investering in het team.

Alleen als je experts in huis hebt, kun je bruikbare gegevens uit een interne oplossing verkrijgen, zoals een SIEM-systeem. Maar goed cybersecurity talent aantrekken en behouden is ook meteen de grootste uitdaging bij het opbouwen van detection & response capaciteiten. Frost & Sullivan voorspelt dat we in 2022 een tekort van 1,8 miljoen cybersecurity-professionals hebben. De middelen zijn dus schaars en schaarse middelen zijn duur.

Het feit dat cyberaanvallen niet alleen tijdens kantooruren plaatsvinden, draagt ​​ook bij aan de kosten. Als je een bekend doelwit bent, heb je een Security Operations Center (SOC) nodig dat 24 uur per dag actief is. Waar mensen dus in ploegendiensten werken.

Interior hallway and skylight. Entirely in-camera effect, single exposure, natural light.

EDR-oplossing: kosten en beschikbaarheid in balans brengen

Het implementeren van een Endpoint Detection en Response (EDR)-oplossing is een snelle manier om capaciteiten beschikbaar te maken voor het detecteren van en reageren op geavanceerde bedreigingen en gerichte aanvallen, die traditionele endpoint-oplossingen kunnen omzeilen.

EDR biedt zichtbaarheid en intelligentie, maar bedrijven staan voor dezelfde uitdagingen ​​als hierboven beschreven met SIEM. Je hebt gekwalificeerd personeel nodig om false positives te filteren, bruikbare gegevens te vinden en te reageren op de ontdekte bedreigingen. En opnieuw, het vinden en behouden van cybersecurity talent is een probleem dat de komende jaren alleen maar urgenter wordt.

De meest geavanceerde EDR-oplossingen automatiseren de monitoring om de behoeften 24/7 te dekken. Het IT-team kan dan tijdens kantooruren de detecties bekijken en automatisering zorgt voor de rest. Bovendien kunnen de oplossingen helpen de bedreigingen snel te isoleren en op te lossen.

Het is belangrijk om het verschil tussen Endpoint Protection Platforms (EPP) en Endpoint Detection en Response (EDR)-oplossingen te begrijpen. EPP werkt met minimale supervisie, terwijl EDR bedreigingen detecteert die aandacht vereisen. Er zal altijd iemand de detecties moeten bekijken.

IT-teams met beperkte resources kunnen de monitoring van de detecties uitbesteden aan een beheerde EDR-serviceprovider.

Beheerde MDR-service: hoge beschikbaarheid tegen lagere kosten

Een andere optie die 24/7/365 beschikbaar is tegen veel lagere kosten dan je eigen cybersecurity-specialisten, is een Managed Detection en Response (MDR)-service.

Cybersecurity-specialisten hebben te maken met een enorme hoeveelheid gegevens. Een voorbeeld:

Onze sensoren verzamelen ongeveer 2 miljard events op een klantinstallatie bij een willekeurige klant gedurende een maand. De systemen filteren dat aantal terug naar 900.000 verdachte gebeurtenissen. Slechts 15 daarvan wordt uiteindelijk bevestigd als echte bedreigingen.

Ter vergelijking: met een in-house SIEM-oplossing zou jouw eigen personeel of uitbestede middelen door die 900.000 verdachte gebeurtenissen moeten kammen om de ruis en false positives te onderscheiden van de echte dreigingen. Moeizame banen kunnen vermoeidheid veroorzaken bij zelfs de meest ijverige analisten, om nog maar te zwijgen over de noodzaak van 24/7 beschikbaarheid van zo’n team.

Volgend op bovenstaand voorbeeld gaat deze presentatie dieper in op een van de belangrijkste redenen waarom je misschien beter een beheerde security service kunt overwegen in plaats van een in-house SIEM-implementatie voor breach detection en response:

[slideshare id=76055011&doc=costs-of-mdr-vs-siem-170517120940]

Het opbouwen van interne breach detection- en response mogelijkheden is moeilijk. In het juiste geval wordt een MDR-serviceprovider daadwerkelijk jouw cybersecurity-partner: de capaciteiten worden een verlengstuk van die van je eigen bedrijf.

Daarom adviseren we een managed detection en response service boven een doe-het-zelf-benadering.

De beslissing: welke security-investering doe je?

De opties hierboven sluiten elkaar niet uit. Er zijn genoeg bedrijven die een combinatie van SIEM, MDR en SOC gebruiken. De MDR wordt gebruikt voor detectie en als leidraad voor het SOC-team om te reageren op bedreigingen. MDR- of EDR-oplossingen kunnen het interne SOC-team uitbreiden, bijvoorbeeld met 24/7 beschikbaarheid.

Je hebt een goede risicoanalyse nodig om het investeringsniveau voor cybersecurity te bepalen. Een overzicht van de bedrijfsrisico’s maakt het mogelijk om weloverwogen beslissingen te nemen over de aanpak. Met tools zoals de Cyber Breach Impact Quantification-service bepaal je nauwkeurig de waarde van security en risicobeheer. Als je precies weet wat een overtreding jouw organisatie kan kosten, is het eenvoudig om investeringen te rechtvaardigen.

Wil je meer weten? Lees onze Guide to detection & response.

Martijn

12.09.18 5 min. lezen

Uitgelicht artikel

Verwante berichten

Newsletter modal

Bedankt voor je interesse in de cybersecurity update. Je ontvangt binnen enkele momenten een e-mail om je inschrijving te bevestigen.

Gated Content modal

Gefeliciteerd – Je kunt de content nu bekijken door op onderstaande button te klikken.