Veel organisaties vertrouwen op security information and event management (beter bekend als SIEM) om verdachte activiteiten op hun netwerken te helpen opsporen en bestrijden. Hoewel SIEM technologie beslist waardevol is, heeft de oplossing bepaalde beperkingen, vooral wanneer netwerken groter en complexer worden.
Om een complete en volledig operationele cybersecurity oplossing te bouwen die de groeiende stapel cyberbedreigingen kan aanpakken en adequaat afhandelen, doe je er goed aan je te verdiepen in de mogelijkheden die aanvullende beveiligingstools en strategieën als NDR en EDR bieden. In dit artikel nemen we SIEM, EDR en NDR onder de loep en laten we zien hoe de drie oplossingen de potentie hebben om elkaar effectief aan te vullen.
Maar eerst leggen we de drie begrippen kort uit.
Wat is SIEM?
SIEM is de gemeenschappelijke noemer voor softwarediensten die (verdachte) activiteit uit vele verschillende bronnen over je digitale infrastructuur samenvoegen en analyseren. De belangrijkste rol van SIEM? Het verzamelen van beveiligingsgegevens van applicaties, netwerkapparaten, servers, domeincontrollers en databases. Het toepassen van analyses op die gegevens stelt je in staat om bedreigingen op te sporen, trends te ontdekken en waarschuwingen en netwerkkwetsbaarheden te onderzoeken.
Het SIEM proces bestaat uit de volgende stappen:
- Verzamelen van gegevens uit verschillende bronnen.
- Normaliseren en samenvoegen van de verzamelde gegevens.
- Analyseren van de gegevens om bedreigingen te ontdekken.
- Inbreuken op de beveiliging opsporen en je cybersecurity experts in staat stellen waarschuwingen te onderzoeken.
Wat is EDR?
EDR (Endpoint Detection and Response) is een term die van toepassing is op cybersecurity oplossingen die zich richten op het opsporen van kwaadaardige activiteiten en software die geïnstalleerd is op endpoints (server, desktop, laptop). EDR oplossingen gebruiken vaak agents die op zo'n endpoint geïnstalleerd zijn om direct op het endpoint gegevens te verzamelen uit allerlei verschillende soorten gegevensbronnen. Vervolgens slaan ze de informatie op in een centrale databank.
EDR tools vormen een aanvulling op SIEM oplossingen. Een SIEM ziet een EDR als een andere, afzonderlijke logbron, die waardevolle aanvullende informatie kan leveren aan een SIEM.
Wat is NDR?
NDR (Network Detection and Response) is een oplossing die context toevoegt aan beveiligingsbedreigingen. Met functies als analyse van netwerkverkeer en real-time inspectie van netwerkcommunicatie kunnen NDR oplossingen bedreigingen, afwijkend gedrag en riskante activiteiten in alle hoeken van je netwerk opsporen en onderzoeken. NDR fungeert als een virtuele forensische expert die het vermogen heeft de precieze omvang en bijzonderheden van een beveiligingsincident of -inbreuk te doorgronden.
NDR oplossingen maken gebruik van de sterke punten en vrijwel onbeperkte mogelijkheden van high-end AI, machine learning en deep learning om voorspellende risicoanalyse te bieden. Wanneer je te maken hebt met grote hoeveelheden slecht gecontextualiseerde alarmen, is NDR vaak beter geschikt dan SIEM.
Hoe SIEM, EDR en NDR elkaar aanvullen
SIEM producten kunnen grondige rapporten maken over incidenten en gebeurtenissen, waaronder malware en andere kwaadaardige activiteiten. Maar ze kunnen zich niet zelf aanpassen en hebben vaak moeite om de juiste conclusies te trekken uit massale gegevensstromen. Geavanceerde NDR kan snel tientallen protocollen decoderen om aanvallen en verdachte gedragspatronen te lokaliseren met voldoende context en bewijsmateriaal voor analisten om zelfverzekerd actie te ondernemen.
NDR vult EDR ook aan door gaten in EDR agents te dichten. De combinatie van EDR en NDR vergroot en versterkt je endpoint detectie arsenaal. Waar komt het op neer? SIEM, EDR en NDR hebben elk hun specifieke sterke en zwakke punten. Door de drie te combineren kan elke component de andere vergroten, de sterke punten maximaliseren en de zwakke punten minimaliseren. SIEM is zeker niet ten dode opgeschreven, maar het kan veel baat hebben bij de extra mogelijkheden die EDR en NDR ter tafel brengen.
MDR brengt alles samen
Nomios' Managed Detection and Response (MDR) verenigt SIEM, EDR en NDR en minimaliseert zo de cyberrisico's waaraan je organisatie wordt blootgesteld. En je hoeft geen groot en duur team van cybersecurity specialisten in te huren en te onderhouden om duizenden verdachte gebeurtenissen per week door te kammen om het relatief kleine aantal echte bedreigingen eruit te pikken.
MDR biedt je de volgende mogelijkheden en voordelen:
- Security experts die je netwerk nauwlettend in de gaten houden door voortdurend gebeurtenissen, logbestanden en netwerkverkeer te observeren.
- Honderden detectieregels die verdachte activiteit binnen enkele seconden kunnen opmerken.
- Geavanceerde SIEM, NDR en EDR technologieën, versterkt door machine learning en threat intelligence, stellen de security experts in staat snel en effectief maatregelen te nemen.
- 17 jaar ervaring in het opzetten en beheren van informatiebeveiliging voor organisaties in diverse sectoren.
- De ervaring leert dat aanvallers vaak buiten kantooruren en tijdens de vakantieperiode toeslaan. Daarom analyseren, detecteren en reageren we 24 uur per dag, elke dag van het jaar, om je digitale organisatie te beschermen.
- Persoonsgegevens worden beschermd in elk systeem en proces en volgens de GDPR.
Wil je meer weten over dit onderwerp?
Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.
Updates
SIEM
De belangrijke rol van SIEM in moderne cybersecurity-strategieën.
Ontdek de rol van SIEM in moderne cybersecurity, met real-time dreigingsdetectie en gecentraliseerd logbeheer voor verbeterde beveiligingsstrategieën.
SOC
Waarom een SOC uitbesteden zinvol is
Uitbesteding aan een SOC biedt gespecialiseerde expertise op het gebied van cybersecurity, continue bewaking en kosteneffectief risicobeheer.
Cybersecurity Artificial Intelligence
AI in cybersecurity: Voordeel of gevaar?
AI speelt een dubbele rol in cybersecurity: het versterkt verdedigingen tegen cyberdreigingen en wordt tegelijkertijd door aanvallers gebruikt om geavanceerde aanvallen te ontwikkelen.