EDR og SIEM: Fortidens Beskyttelse

av | jun 10, 2024 | Blackpoint Cyber MDR, IT-sikkerhet, Sikkerhetsstrategi, SOC og MDR

Introduksjon

Systemer for Endpoint Detection and Response (EDR) og Security Information and Event Management (SIEM), ofte sett på som essensielle komponenter i en Managed Service Provider’s (MSP’s) opprinnelige sikkerhetsstakk, blir fortsatt av noen oppfattet som toppen av cybersikkerhetsinfrastruktur.

Dette synet undervurderer imidlertid deres begrensninger når det gjelder å motvirke sofistikerte cybertrusler og håndverk. På grunn av disse begrensningene kan både EDRer og SIEMer fange cybertrusler for sent, gå glipp av dem helt, eller mislykkes i å avdekke hele omfanget av angrep.

I denne bloggen har vi som mål å forklare manglene ved administrert EDR og SIEM-basert MDR, og å fremheve hvordan ekte Managed Detection and Response (MDR) teknologi, støttet av et 24/7 Security Operations Center (SOC), presenterer en mer robust og effektiv løsning.

Administrert EDR

EDR-systemer overvåker endepunktenheter som datamaskiner og servere. De er dyktige til å oppdage kjente trusler som skadelig programvare, gir varsler om ondsinnede aktiviteter, isolerer trusler, og beholder viktig informasjon for analyse av trusselatferd og rotårsaksundersøkelse. EDRer forstår aktivitet på isolerte endepunkter og identifiserer vanlige angrepsstadier og mønstre.

Begrensninger:

  • Kjemper for å effektivt oppdage og svare på avanserte og sofistikerte cybertrusler, inkludert:
    • Bruk av legitime verktøy og etterligning av administrativ atferd
    • Utnyttelse av innfødte utførelser
    • Avvik i trusselaktørens atferd

Ekte MDR-teknologi, sammen med et døgnet rundt SOC, kan oppdage og svare på live-off-the-land (LotL) håndverk, og er utstyrt med maskin-til-maskin-forståelse i tillegg til et patentert live nettverkskart. Alt i alt gjør dette at SOC kan forstå nettverket helhetlig, oppdage avansert ondsinnet atferd, og fange trusselaktører, uavhengig av deres operasjonsrekkefølge.

SIEM-baserte MDRer

SIEMer utfører passiv analyse av logger for hendelser som allerede har skjedd. De samler disse loggene og samler telemetri fra en rekke kilder. Til tross for deres omfattende datainnsamling, er ikke SIEMer alene tilstrekkelige.

Begrensninger:

  • Sterkt avhengig av analytikerens ekspertise for å dyktig tolke og handle på loggdata i tide
  • Dyp ekspertise kreves for å bygge effektive SIEM-regler
  • Vanskelig å korrelere hendelser, noe som fører til falske positiver og falske negativer, noe som resulterer i varseltretthet
  • Forsinkede varsler for trusler på separate systemer bremser responstider

Ettersom trusselaktører i økende grad fokuserer på hastighet over stealth, er effektive mottiltak nøkkelen til å stoppe hurtigbevegelige trusler. Med ekte MDR blir cybertrusler identifisert og svart på i sanntid, alt innenfor en sammenhengende plattform. På denne måten kan SOC korrelere hendelser og kontekstualisere trusselaktørers bevegelser over et system mens cyberangrep utspiller seg. Denne dype innsikten gjør at sikkerhetsanalytikere kan svare i de tidligste stadiene av et brudd, og dermed forhindre lateral spredning.

Avslutning

Mens EDR-systemer og SIEM-løsninger har spilt sentrale roller i cybersikkerhet i fortiden, blir deres begrensninger stadig mer tydelige i dagens raskt utviklende trussellandskap. EDRer, mens de er effektive i å oppdage skadelig programvare og vanlige angrepsstadier, går ofte glipp av sofistikerte taktikker, teknikker og prosedyrer (TTPer) utenfor normen. SIEMer er plaget av varseltretthet, og er derfor ofte for sene i å fange cyberangrep i tide.

I motsetning til dette tilbyr Blackpoint Cyber’s Managed Detection Response & Remediation (MDR+R) teknologi en overlegen tilnærming. Vår MDR+R identifiserer ikke bare håndverk, lateral bevegelse og interne trusler, men gir også vårt SOC et live nettverkskart for omfattende analyse av trusselaktørens atferd. Vårt SOC-team analyserer nettverksdata for å lokalisere og fange trusler effektivt, noe som betydelig forbedrer responstidene. Denne proaktive og avanserte tilnærmingen posisjonerer Blackpoint som det ideelle valget for MSPs som søker å heve sin cybersikkerhetsstakk, og gir deres sluttbrukere uovertruffen beskyttelse.

Utforsk virkelige tilfeller der vår sanne MDR utkonkurrerte EDR-løsninger i vår nyeste e-bok, EDR Gapet.

Relaterte lenker

Vår ekte 24/7 MDR og proaktive SOC samler inn og tolker loggene dine effektivt. Sammenlign Blackpoint-økosystemet med SIEM i dag. SIEM Whitepaper – ABSec: Beskyttelse i Verdensklasse

Sikre din virksomhet! Abonner på vårt nyhetsbrev for de nyeste innsiktene og tipsene om cybersikkerhet.