EDR og SIEM vs MDR

EDR og SIEM vs MDR

EDR og SIEM vs MDR

Introduksjon av EDR og SIEM vs MDR

Når vi diskuterer ‘EDR og SIEM vs MDR’, er EDR-systemer (Endpoint Detection and Response) og SIEM-løsninger (Security Information and Event Management). Disse blir ofte sett på som viktige komponenter i en administrert tjenesteleverandørs (MSP) første sikkerhetsstabel. De oppfattes fortsatt av noen som toppen av cybersikkerhetsinfrastruktur.

Imidlertid, dette synet undervurderer deres begrensninger i å motvirke sofistikerte cybertrusler og håndverk. På grunn av disse begrensningene kan både EDR-er og SIEM-er fange cybertrusler for sent, overse dem helt eller ikke avdekke hele omfanget av angrep.

I denne bloggen vil vi belyse svakhetene ved administrert EDR og SIEM-basert MDR. Vi vil også vise hvordan ekte MDR-teknologi, med støtte fra et døgnåpent SOC, tilbyr en sterkere og mer effektiv løsning.

Administrert EDR

EDR-systemer overvåker endepunktsenheter som datamaskiner og servere. De er flinke til å oppdage kjente trusler som skadelig programvare, gi varsler om ondsinnede aktiviteter. Samt isolere trusler og beholde viktig informasjon for analyse av trusselatferd og etterforskning av rotårsak. EDR-er forstår aktivitet på isolerte endepunkter og identifiserer vanlige angrepsstadier og -mønstre.

Imidlertid er det noen begrensninger med EDR-systemer.

De sliter med å effektivt oppdage og svare på avanserte og sofistikerte nettrusler, inkludert;

  • Bruk av legitime verktøy og etterligning av administrativ atferd
  • Utnyttelse av innfødte henrettelser
  • Avvik i trusselaktørenes atferd.

For å overvinne disse begrensningene, kommer ekte MDR-teknologi inn i bildet.

Ekte MDR-teknologi, sammen med en SOC døgnet rundt, kan oppdage og reagere på Live off the Land (LotL)-håndverk, og er utstyrt med maskin-til-maskin-forståelse i tillegg til et patentert live nettverkskart. Til sammen gjør dette SOC i stand til å forstå nettverket helhetlig, oppdage avansert ondsinnet oppførsel og anholde trusselaktører, uavhengig av rekkefølgen på operasjonene.

SIEM-baserte MDR-er

SIEM-er utfører passiv analyse av logger for hendelser som allerede har skjedd. De samler disse loggene og samler telemetri fra en rekke kilder. Til tross for deres omfattende datainnsamling, er SIEM alene ikke tilstrekkelig.

Begrensninger:

  • Er sterkt avhengig av analytikerkompetanse for å dyktig tolke og handle på loggdata i tide
  • Dyp ekspertise som kreves for å bygge effektive SIEM-regler
  • Vanskelig å korrelere hendelser, som fører til falske positive og falske negativer, noe som resulterer i varslingstretthet
  • Forsinkede varsler om trusler på separate systemer reduserer responstiden

Etter hvert som trusselaktører i økende grad fokuserer på hastighet fremfor sniking, er effektive mottiltak nøkkelen til å stoppe trusler i rask bevegelse. Med ekte MDR identifiseres og besvares cybertrusler i sanntid, alt innenfor én sammenhengende plattform.

På denne måten kan SOC korrelere hendelser og kontekstualisere trusselaktørers bevegelser på tvers av et system mens cyberangrep utfolder seg. Denne dype innsikten gjør det mulig for sikkerhetsanalytikere å reagere i de tidligste stadiene av et brudd, og dermed forhindre lateral spredning.

Konklusjon – EDR og SIEM vs MDR

EDR-systemer og SIEM-løsninger har vært viktige for cybersikkerhet. Men, i dagens raskt utviklende trussellandskap, blir begrensningene deres mer synlige. EDR-er er gode på å oppdage skadelig programvare og vanlige angrepsstadier. Men, de savner ofte sofistikerte taktikker, teknikker og prosedyrer (TTP-er) som er utenfor normen. SIEM-er lider av varslingstretthet, noe som ofte fører til at de er for trege til å fange cyberangrep i tide.

På den annen side, tilbyr Absec’s partner, Blackpoint Cybers sanne MDR-teknologi en bedre løsning. MDR identifiserer ikke bare håndverk, sideveis bevegelse og innsidetrusler. Den gir også vårt SOC-team et live nettverkskart for omfattende analyse av trusselaktøratferd. Vårt SOC-team analyserer nettverksdata for å finne og håndtere trusler effektivt. Dette forbedrer responstiden betydelig.

Som et resultat, posisjonerer denne proaktive og avanserte tilnærmingen Blackpoint som det beste valget for Absec’s kunder. De som ønsker å heve standarden for cybersikkerhet og gi sluttklientene uovertruffen beskyttelse, bør vurdere Absec’s MDR-tjeneste fra vår partner Blackpoint.

Utforsk virkelige tilfeller der vår sanne MDR utkonkurrerte EDR-løsninger i vår nyeste e-bok, The EDR Gap. 

Unngå BEC-angrep: 8 bud som beskytter din bedrift

8 viktige områder for å unngå bec angrep

8 viktige områder for å unngå bec angrep

Unngå BEC-angrep: 8 bud som beskytter din bedrift. Business email compromise (BEC) fortsetter å være en av de raskest voksende og mest risikable angrepsvektorene for selskaper, ettersom det har blitt en virksomhet på flere millioner dollar som forårsaker nesten 80 ganger mer tap enn ransomware. En fersk studie viser at registrerte BEC-angrep nesten doblet seg i løpet av 2022, og det gjennomsnittlige beløpet som ble stjålet i disse angrepene økte også og nådde $ 50,000. Beskyttelse mot disse angrepene er avgjørende for å beskytte et selskaps integritet og omdømme, uavhengig av størrelse, samt for å beskytte økonomiske eiendeler og personvernet til enkeltpersoner. Dette krever en omfattende strategi som adresserer både tekniske og menneskelige sårbarheter, med andre ord en kombinasjon av proaktive tiltak som å distribuere en enhetlig sikkerhetsplattform som samler lagdelte sikkerhetsløsninger og sikkerhetsopplæring, som spiller en viktig rolle i å utdanne ansatte om taktikken som brukes i BEC-angrep og hvordan man gjenkjenner dem.

Unngå BEC-angrep: 8 bud som beskytter din bedrift

1. Spesielt fokus på BEC-angrep:

BEC-angrep har ikke egne CIS-kontroller på plass, så det er nødvendig å følge nøye med på disse angrepene, spesielt når det gjelder prosesser knyttet til oppdatering av bankkontoer. For dette må det opprettes en kontobeholdning, inaktive kontoer må deaktiveres og tilgangsprosesser og prosesser for tilbakekalling av tilgang må etableres.

2. Bevisstgjøring og opplæring:

Brukere bør få regelmessig opplæring i taktikken som brukes i BEC-angrep og lære å gjenkjenne advarselsskilt, for eksempel mistenkelige e-postadresser eller uvanlige forespørsler.

3. Identitetsbekreftelse:

Disse angrepene starter vanligvis med en phishing-e-post som leder mottakeren til en falsk påloggingsside der trusselaktøren kan få legitimasjon. Derfor er det viktig å bekrefte identiteten til avsendere av e-post, spesielt i økonomiske transaksjoner eller forespørsler om sensitiv informasjon. Bruk av MFA kan også redusere risikoen for at en nettkriminell bruker stjålet legitimasjon for å få tilgang til en e-postkonto og utføre en BEC-svindel.

4. Sterk sikkerhetspolitikk:

Organisasjoner bør implementere klare retningslinjer og prosedyrer for validering og autorisering av økonomiske transaksjoner eller tilgang til konfidensiell informasjon. Dette inkluderer etablering av myndighetsgrenser, godkjenningsprosesser og verifisering av endringer i betalingsinformasjon.

5. Sjekk nettadresser og vedlegg:

Før du klikker på lenker eller åpner vedlegg i e-post, bør brukerne bekrefte ektheten og sikkerheten. Dette innebærer å verifisere nettadresser, bruke sikkerhetsverktøy for å skanne vedlegg for skadelig programvare og unngå å laste ned filer fra ikke-klarerte kilder.

6. Hold systemer og programvare oppdatert:

Utnyttelse av kjente programvaresårbarheter er en av de første tilgangsvektorene for nettkriminelle. For å beskytte mot BEC-angrep er det viktig å holde systemene oppdatert, da det bidrar til å sikre at viktige sikkerhetsoppdateringer er brukt. I mars 2021 måtte Microsoft gi ut nødoppdateringer for et sett med fire sårbarheter i ProxyLogon-teknologi, etter at kriminelle grupper aktivt utnyttet disse feilene i tusenvis av organisasjoner. Bruk av dette tiltaket kan redusere risikoen for å bli offer for et BEC-angrep betydelig og beskytte integriteten og konfidensialiteten til organisasjonens data.

7. Overvåking og deteksjon på avvik:

Sikkerhetsteam bør implementere overvåkings- og avviksdeteksjonsløsninger som kan identifisere uvanlige mønstre eller mistenkelig oppførsel i e-post. Dette kan omfatte gjennomgang av aktivitetslogger, oppdage endringer i kommunikasjonsmønstre og bruk av kunstig intelligensverktøy for å identifisere BEC-angrep.

8. Unngå hull i synligheten:

Bruken av ulike produkter skaper hull i synlighet og dermed i sikkerhet. Det er viktig å ha sikkerhetsløsninger som fungerer på en integrert måte for å oppnå full synlighet og dermed forhindre BEC-angrep. Å ta i bruk en XDR-tilnærming som WatchGuard ThreatSync løser utfordringen med begrenset trusselsynlighet ved å korrelere telemetri fra flere kilder for å gi bedre kontekst om et angrep. Dette gir sikkerhetsteam en fordel mot avanserte trusler som BEC-angrep ved å eliminere synlighetsgap og redusere deteksjons- og responstid, noe som gir større nøyaktighet. Kompleksiteten som er involvert i å beskytte organisasjoner mot BEC-angrep, bør ikke undervurderes. Angrep av denne typen vil sannsynligvis fortsette å øke på grunn av den store fortjenesten de genererer for ondsinnede aktører. Så å ta de nødvendige skritt for å forhindre at e-post blir kompromittert, er det beste alternativet selskaper kan gjøre for å unngå de høye kostnadene ved et datainnbrudd eller omdømmetapene som følger med det.

Hvis du vil vite mer om MFA og beskyttelsen som tilbys av en omfattende lagdelt sikkerhetsstrategi, kan du gå til følgende koblinger:

Les mer https://absec.no/10-tips-om-cybersikkerhet-for-forretningsreiser-og-eksterne-ansatte/ https://absec.no/edr-evolusjonen/ https://absec.no/stopper-ondsinnet-c2-server/ https://absec.no/7-tips-til-hvordan-du-kan-oke-sikkerheten-pa-nettsiden-din/ https://absec.no/hvorfor-er-m365-beskyttelse-og-e-postsikkerhet-viktig/

EDR-evolusjonen

EDR-evolusjonen, oppdag fordelene ved å kombinere EDR med administrerte sikkerhetstjenester

EDR-evolusjonen

Oppdag fordelene ved å kombinere EDR-evolusjonen med administrerte sikkerhetstjenester

Det finnes et stort utvalg av sikkerhetsløsninger for bedrifter. Selv om det ikke er vanskelig å finne leverandører for å fylle sikkerhetsbehovene dine, kan det være tidkrevende å velge mellom de mange alternativene. Løftene er ofte like og de tekniske mulighetene kan være uklare. Les videre for å lære mer om EDR-evolusjonen.

Den indre driften av EDR-evolusjonen

En løsning du kanskje vurderer kalles Endpoint Detection and Response (EDR). EDR:

  • Overvåke aktivitet på endepunktsenheter (tenk datamaskiner, servere, og IoT-enheter),
  • Gi varsler om og isolere trusler, samt
  • Lagre informasjon om trusselatferd, rotårsaksanalyse osv.

Mer spesifikt er EDR-programmer designet for å oppdage skadelig programvare og ondsinnet aktivitet på endepunkter. Disse løsningene er bygget med den signaturbaserte deteksjonsmotoren til et antivirusprogram (AV) og inkluderer maskinlæring (ML) for å fange opp ondsinnet atferd. Dette er en viktig del av din sikkerhetsstilling når det gjelder å oppdage skadelig programvare.

Der disse løsningene kommer til kort, er i å oppdage avanserte teknikker som brukes av angripere for å omgå selskapers cybersikkerhetstiltak. De skjuler sin oppførsel som legitim administrativ aktivitet ved å bruke IT-verktøy og kommandoer som er innebygd i operativsystemer på en ondsinnet måte. Når dette gjøres, klarer vanligvis ikke EDR-løsninger å oppdage det, siden de ikke kan skille disse handlingene fra handlingene til en IT-administrator som jobber i nettverket.

De avanserte funksjonene til Managed Deteksjon og Respons

En annen løsning som er tilgjengelig for kundene, kalles Managed Detection and Response (MDR). MDR:

  • Gir 24/7 kontinuerlig overvåking utført av høyt spesialiserte sikkerhetsanalytikere,
  • Handle med umiddelbar respons før lateral spredning, og
  • Eliminer varseltretthet og falske positiver.

Hos Blackpoint, så bygde vår partner MDR fra grunnen av, internt. Den er spesielt fokusert på å oppdage motstandere mens de er i oppdagelses- og oppregningsmodus i et nettverk. Med denne kraftige teknologien har vårt 24/7 Security Operations Center (SOC)-team innsyn i hacker-håndverksteknikker og er derfor i stand til å fjerne disse motstanderne fra nettverket i løpet av de første stadiene av et brudd før skadelig programvare installeres. Deres intervensjonstrinn er basert på konteksten av aktiviteten, i stedet for å stole på ML. Å kunne handle på denne måten resulterer i tidligere oppdagelse av brudd, rask fjerning av motstanderen og en lav falsk positiv rate.

Forskjellen mellom en EDRs og MDRs synlighet

Et annet element som gjør at MDR kan oppdage denne håndverksaktiviteten tidligere og mer nøyaktig, er at teknologien vår er bygget med maskin-til-maskin-forståelse, mens en EDR forstår aktivitet på isolerte endepunkter. Vår maskin-til-maskin-forståelse og patenterte live nettverkskart gir oss muligheten til å forstå nettverket helhetlig basert på oppførsel mellom alle endepunkter. Dette gir oss konteksten og synligheten til å spore hackernes bevegelser og kommunikasjon gjennom et helt nettverk, noe som fører til den raskeste responsen og den høyeste effektivitetsraten i markedet.

Når det er sagt, så er vi ikke her for å bare snakke negativt om EDR og fremme vår MDR. Antivirus- og EDR-løsninger er en fremtredende og viktig funksjon i våre sikkerhetsstakker. Når det er sagt, kan de ikke være den eneste løsningen du stoler på. Med flere og flere motstandere som misbruker pålitelige IT-verktøy, er beskyttelse på neste nivå avgjørende for å motstå avanserte nettrusler. Derfor, i stedet for å tvinge våre partnere til å gjøre et skifte i stabelens formasjon, kommer vi sammen med deres andre løsninger og utfyller deres innsats med våre 24/7 evner.

Koble din EDR med våre administrerte sikkerhetstjenester

Sammen med vår partner Blackpoint integrerer vi med mange av de ledende EDR-løsningene i området gjennom vårt tilbud av Managed EDR. Mens EDR gir deteksjon av skadelig programvare gjennom AV-motoren, gir vi 24/7-respons for EDR-varslene dine gjennom vårt ekspertledede SOC-team. Vi stoler ikke bare på EDR for trusseldeteksjon, men det tjener som ekstra dekning for din beskyttelse.

I 2022 fant SOC ut at i miljøer med integrert AV/EDR involverte 86 % av svarene ingen varsler fra det integrerte verktøyet. Disse løsningene er ikke omfattende og ville sannsynligvis ha varslet trusselen lenger ned i angrepskjeden når skadelig programvare var i bruk. I så fall vil virkningen av bruddet være høyere.

Hvis du er klar til å sikkerhetskopiere EDR og stå fast mot innovative trusselaktører, kan du konfigurere Managed EDR med din foretrukne løsning for endepunktsikkerhet i dag. Vi integrerer for tiden med:

  • Bitdefender
  • CrowdStrike
  • Cylance
  • Malwarebytes
  • Microsoft Defender for endepunkt
  • SentinelOne
  • Sophos

 

Sammen med vår partner Blackpoint Cyber tar vi integreringen med din foretrukne tredjepartsløsning for endepunktsikkerhet et skritt videre og gir deg et robust og strømlinjeformet økosystem for cybersikkerhet. Blackpoint SOC utbedrer raskt og effektivt angrep ved å reagere på varsler på dine vegne, i tillegg til å gi synlighet. Forbedre din generelle holdning og øk driftseffektiviteten gjennom kraften i Managed EDR.

Bestill en demo i dag

Absec tilbyr gratis sikkerhetsjekk av bedriftens RISIKO og Sårbarheter. Ikke gå glipp av denne enestående muligheten å utføre risikoreduserende tiltak, jmf GDPR og rammeverk som ISO 27001.

GRATIS RISIKORAPPORT GRATIS RISIKORAPPORT CYBERANGREP

Nyhedsbrev abonnement

Abonner og få det hele med!

Du er registreret!

Du vil nu modtage vores nyheder periodisk.