EDR og SIEM vs MDR

EDR og SIEM vs MDR

Introduksjon av EDR og SIEM vs MDR

Når vi diskuterer ‘EDR og SIEM vs MDR’, er EDR-systemer (Endpoint Detection and Response) og SIEM-løsninger (Security Information and Event Management). Disse blir ofte sett på som viktige komponenter i en administrert tjenesteleverandørs (MSP) første sikkerhetsstabel. De oppfattes fortsatt av noen som toppen av cybersikkerhetsinfrastruktur.

Imidlertid, dette synet undervurderer deres begrensninger i å motvirke sofistikerte cybertrusler og håndverk. På grunn av disse begrensningene kan både EDR-er og SIEM-er fange cybertrusler for sent, overse dem helt eller ikke avdekke hele omfanget av angrep.

I denne bloggen vil vi belyse svakhetene ved administrert EDR og SIEM-basert MDR. Vi vil også vise hvordan ekte MDR-teknologi, med støtte fra et døgnåpent SOC, tilbyr en sterkere og mer effektiv løsning.

Administrert EDR

EDR-systemer overvåker endepunktsenheter som datamaskiner og servere. De er flinke til å oppdage kjente trusler som skadelig programvare, gi varsler om ondsinnede aktiviteter. Samt isolere trusler og beholde viktig informasjon for analyse av trusselatferd og etterforskning av rotårsak. EDR-er forstår aktivitet på isolerte endepunkter og identifiserer vanlige angrepsstadier og -mønstre.

Imidlertid er det noen begrensninger med EDR-systemer.

De sliter med å effektivt oppdage og svare på avanserte og sofistikerte nettrusler, inkludert;

  • Bruk av legitime verktøy og etterligning av administrativ atferd
  • Utnyttelse av innfødte henrettelser
  • Avvik i trusselaktørenes atferd.

For å overvinne disse begrensningene, kommer ekte MDR-teknologi inn i bildet.

Ekte MDR-teknologi, sammen med en SOC døgnet rundt, kan oppdage og reagere på Live off the Land (LotL)-håndverk, og er utstyrt med maskin-til-maskin-forståelse i tillegg til et patentert live nettverkskart. Til sammen gjør dette SOC i stand til å forstå nettverket helhetlig, oppdage avansert ondsinnet oppførsel og anholde trusselaktører, uavhengig av rekkefølgen på operasjonene.

SIEM-baserte MDR-er

SIEM-er utfører passiv analyse av logger for hendelser som allerede har skjedd. De samler disse loggene og samler telemetri fra en rekke kilder. Til tross for deres omfattende datainnsamling, er SIEM alene ikke tilstrekkelig.

Begrensninger:

  • Er sterkt avhengig av analytikerkompetanse for å dyktig tolke og handle på loggdata i tide
  • Dyp ekspertise som kreves for å bygge effektive SIEM-regler
  • Vanskelig å korrelere hendelser, som fører til falske positive og falske negativer, noe som resulterer i varslingstretthet
  • Forsinkede varsler om trusler på separate systemer reduserer responstiden

Etter hvert som trusselaktører i økende grad fokuserer på hastighet fremfor sniking, er effektive mottiltak nøkkelen til å stoppe trusler i rask bevegelse. Med ekte MDR identifiseres og besvares cybertrusler i sanntid, alt innenfor én sammenhengende plattform.

På denne måten kan SOC korrelere hendelser og kontekstualisere trusselaktørers bevegelser på tvers av et system mens cyberangrep utfolder seg. Denne dype innsikten gjør det mulig for sikkerhetsanalytikere å reagere i de tidligste stadiene av et brudd, og dermed forhindre lateral spredning.

Konklusjon – EDR og SIEM vs MDR

EDR-systemer og SIEM-løsninger har vært viktige for cybersikkerhet. Men, i dagens raskt utviklende trussellandskap, blir begrensningene deres mer synlige. EDR-er er gode på å oppdage skadelig programvare og vanlige angrepsstadier. Men, de savner ofte sofistikerte taktikker, teknikker og prosedyrer (TTP-er) som er utenfor normen. SIEM-er lider av varslingstretthet, noe som ofte fører til at de er for trege til å fange cyberangrep i tide.

På den annen side, tilbyr Absec’s partner, Blackpoint Cybers sanne MDR-teknologi en bedre løsning. MDR identifiserer ikke bare håndverk, sideveis bevegelse og innsidetrusler. Den gir også vårt SOC-team et live nettverkskart for omfattende analyse av trusselaktøratferd. Vårt SOC-team analyserer nettverksdata for å finne og håndtere trusler effektivt. Dette forbedrer responstiden betydelig.

Som et resultat, posisjonerer denne proaktive og avanserte tilnærmingen Blackpoint som det beste valget for Absec’s kunder. De som ønsker å heve standarden for cybersikkerhet og gi sluttklientene uovertruffen beskyttelse, bør vurdere Absec’s MDR-tjeneste fra vår partner Blackpoint.

Utforsk virkelige tilfeller der vår sanne MDR utkonkurrerte EDR-løsninger i vår nyeste e-bok, The EDR Gap.