EDR og SIEM vs MDR

EDR og SIEM vs MDR

EDR og SIEM vs MDR

Introduksjon av EDR og SIEM vs MDR

Når vi diskuterer ‘EDR og SIEM vs MDR’, er EDR-systemer (Endpoint Detection and Response) og SIEM-løsninger (Security Information and Event Management). Disse blir ofte sett på som viktige komponenter i en administrert tjenesteleverandørs (MSP) første sikkerhetsstabel. De oppfattes fortsatt av noen som toppen av cybersikkerhetsinfrastruktur.

Imidlertid, dette synet undervurderer deres begrensninger i å motvirke sofistikerte cybertrusler og håndverk. På grunn av disse begrensningene kan både EDR-er og SIEM-er fange cybertrusler for sent, overse dem helt eller ikke avdekke hele omfanget av angrep.

I denne bloggen vil vi belyse svakhetene ved administrert EDR og SIEM-basert MDR. Vi vil også vise hvordan ekte MDR-teknologi, med støtte fra et døgnåpent SOC, tilbyr en sterkere og mer effektiv løsning.

Administrert EDR

EDR-systemer overvåker endepunktsenheter som datamaskiner og servere. De er flinke til å oppdage kjente trusler som skadelig programvare, gi varsler om ondsinnede aktiviteter. Samt isolere trusler og beholde viktig informasjon for analyse av trusselatferd og etterforskning av rotårsak. EDR-er forstår aktivitet på isolerte endepunkter og identifiserer vanlige angrepsstadier og -mønstre.

Imidlertid er det noen begrensninger med EDR-systemer.

De sliter med å effektivt oppdage og svare på avanserte og sofistikerte nettrusler, inkludert;

  • Bruk av legitime verktøy og etterligning av administrativ atferd
  • Utnyttelse av innfødte henrettelser
  • Avvik i trusselaktørenes atferd.

For å overvinne disse begrensningene, kommer ekte MDR-teknologi inn i bildet.

Ekte MDR-teknologi, sammen med en SOC døgnet rundt, kan oppdage og reagere på Live off the Land (LotL)-håndverk, og er utstyrt med maskin-til-maskin-forståelse i tillegg til et patentert live nettverkskart. Til sammen gjør dette SOC i stand til å forstå nettverket helhetlig, oppdage avansert ondsinnet oppførsel og anholde trusselaktører, uavhengig av rekkefølgen på operasjonene.

SIEM-baserte MDR-er

SIEM-er utfører passiv analyse av logger for hendelser som allerede har skjedd. De samler disse loggene og samler telemetri fra en rekke kilder. Til tross for deres omfattende datainnsamling, er SIEM alene ikke tilstrekkelig.

Begrensninger:

  • Er sterkt avhengig av analytikerkompetanse for å dyktig tolke og handle på loggdata i tide
  • Dyp ekspertise som kreves for å bygge effektive SIEM-regler
  • Vanskelig å korrelere hendelser, som fører til falske positive og falske negativer, noe som resulterer i varslingstretthet
  • Forsinkede varsler om trusler på separate systemer reduserer responstiden

Etter hvert som trusselaktører i økende grad fokuserer på hastighet fremfor sniking, er effektive mottiltak nøkkelen til å stoppe trusler i rask bevegelse. Med ekte MDR identifiseres og besvares cybertrusler i sanntid, alt innenfor én sammenhengende plattform.

På denne måten kan SOC korrelere hendelser og kontekstualisere trusselaktørers bevegelser på tvers av et system mens cyberangrep utfolder seg. Denne dype innsikten gjør det mulig for sikkerhetsanalytikere å reagere i de tidligste stadiene av et brudd, og dermed forhindre lateral spredning.

Konklusjon – EDR og SIEM vs MDR

EDR-systemer og SIEM-løsninger har vært viktige for cybersikkerhet. Men, i dagens raskt utviklende trussellandskap, blir begrensningene deres mer synlige. EDR-er er gode på å oppdage skadelig programvare og vanlige angrepsstadier. Men, de savner ofte sofistikerte taktikker, teknikker og prosedyrer (TTP-er) som er utenfor normen. SIEM-er lider av varslingstretthet, noe som ofte fører til at de er for trege til å fange cyberangrep i tide.

På den annen side, tilbyr Absec’s partner, Blackpoint Cybers sanne MDR-teknologi en bedre løsning. MDR identifiserer ikke bare håndverk, sideveis bevegelse og innsidetrusler. Den gir også vårt SOC-team et live nettverkskart for omfattende analyse av trusselaktøratferd. Vårt SOC-team analyserer nettverksdata for å finne og håndtere trusler effektivt. Dette forbedrer responstiden betydelig.

Som et resultat, posisjonerer denne proaktive og avanserte tilnærmingen Blackpoint som det beste valget for Absec’s kunder. De som ønsker å heve standarden for cybersikkerhet og gi sluttklientene uovertruffen beskyttelse, bør vurdere Absec’s MDR-tjeneste fra vår partner Blackpoint.

Utforsk virkelige tilfeller der vår sanne MDR utkonkurrerte EDR-løsninger i vår nyeste e-bok, The EDR Gap. 

Blackpoint Cyber Cloud Response

Blackpoint Cyber Cloud Response

Absec Blackpoint Cloud Response for M365 and Google Workspace

Hvordan beskytte din virksomhet i skyen med Blackpoint Cyber Cloud Response?

Blackpoint Cyber Cloud Response: Beskytt din virksomhet i skyen

Skyen er et fantastisk verktøy for å øke produktiviteten, samarbeidet og fleksibiliteten i din virksomhet. Men det er også et attraktivt mål for cyberkriminelle som vil utnytte dine data, identiteter og ressurser. Derfor trenger du en robust og pålitelig løsning for å sikre din skybaserte infrastruktur. I dette blogginnlegget skal jeg fortelle deg om Blackpoint Cyber Cloud Response, en banebrytende løsning for skybasert cybersikkerhet som vi i Absec er stolte av å tilby i samarbeid med Blackpoint Cyber.

Blackpoint Cyber Cloud Response: Beskyttelse for Microsoft 365 og Google Workspace

Nå tar vi et stort skritt videre ved å inkludere Google Workspace i vårt beskyttelsestilbud. Dette betyr at vi nå kan tilby markedets mest omfattende beskyttelse i skyen, både for Microsoft 365 og Google Workspace, gjennom Blackpoint Cyber Cloud Response.

Målet med Blackpoint Cyber Cloud Response

Vi er begeistret for denne utvidelsen, da det gir oss muligheten til å beskytte enda flere bedrifter mot de stadig mer sofistikerte cybertruslene vi ser i dag. Vårt mål er å gi bedriftene trygghet, slik at de kan fokusere på det de gjør best, nemlig å drive virksomheten sin.Vi er begeistret for denne utvidelsen, da det gir oss muligheten til å beskytte enda flere bedrifter mot de stadig mer sofistikerte cybertruslene vi ser i dag. Vårt mål er å gi bedriftene trygghet, slik at de kan fokusere på det de gjør best, nemlig å drive virksomheten sin.

Blackpoint Cyber Cloud Response: Forpliktelse til Cybersikkerhet

Ved å utvide vårt tilbud til å inkludere Google Workspace, viser vi vår forpliktelse til å være i forkant av cybersikkerhet. Vi er dedikert til å tilby de beste løsningene for våre kunder, og vi ser frem til å fortsette å utvikle og forbedre våre tjenester i takt med den teknologiske utviklingen.

Takk fra Absec: Din partner i Blackpoint Cyber Cloud Response

Takk for at du velger Absec som din partner i cybersikkerhet. Vi ser frem til å fortsette å beskytte din virksomhet i skyen med Blackpoint Cyber Cloud Response.

Blackpoint lanserer Cloud Response for Google Workspace – en MDR-tjeneste i skyen

Hva er Cloud Response for Google Workspace?

Blackpoint introduserte først Cloud Response for Microsoft 365, den første ekte MDR-tjenesten (Managed Detection and Response) i skyen, til partnere i juni 2022. Fra begynnelsen av oktober 2023 vil Cloud Response beskytte både Microsoft 365- og Google Workspace-miljøer.

Hvorfor trenger du Cloud Response for Google Workspace?

Denne utvidelsen forbedrer sikkerheten til Google Workspace og beskytter brukere gjennom 24/7 deteksjon og forebygging av uautorisert Google-kontotilgang og ondsinnet Gmail-aktivitet. Cloud Response for Google Workspace blir tilgjengelig via Blackpoint Response, en kostnadseffektiv pakke med integrerte nettsikkerhetsløsninger. Med en strømlinjeformet innføringsprosess eliminerer Cloud Response for Google Workspace inntaksgebyrer og lokal konfigurering.

Dette tilbudet fortsetter utvidelsen av Blackpoint Response, en pakke med sikkerhetsprodukter tilpasset velprøvde sikkerhetsrammeverk som NIST. Med denne produktpakken kan bedrifter bruke en enhetlig forsvarsstrategi mot mylderet av cybertrusler på tvers av angrepsflater.

Xavier Salinas om Behovet for Administrert Sikkerhet

«Etter hvert som bedrifter, sykehus, akademia og enkeltpersoner fortsetter å stole sterkt på skyplattformer som Microsoft 365 og Google Workspace, innså vi det presserende behovet for et lag med administrert sikkerhet som oppdager og motvirker nettrusler i disse innstillingene», sier Xavier Salinas, teknologisjef i Blackpoint. «Cloud Response for Google Workspace integreres problemfritt med økosystemet vårt og gir optimal beskyttelse for både partnerne våre og kundene deres på deres viktigste skyangrepsoverflate.

Denne sikkerheten er avgjørende for bedriftens levetid. Vi har observert at skytrusler forekommer nesten dobbelt så ofte som lokale trusler. I tillegg beriker Cloud Response for Google Workspace datautvalget for SOC-teamet vårt og går utover innebygde sikkerhetstiltak og muliggjør mer informerte og kontekstuelle svar.»

Blackpoint utnyttet ekspertisen deres innen skysikkerhet, spesielt de viktigste varslene som Security Operations Center (SOC) brukte for å gi Google Workspace-brukere økt kontekst rundt påloggingsanalyse, i tillegg til konstante oppdateringer basert på SOC-innsikten. Med støtte fra det interne teamet for trusseletterretning, Adversary Pursuit Group (APG), vil Cloud Response for Google Workspace kontinuerlig forbedres for å beskytte mot moderne, avanserte trusler.

Hvordan fungerer Cloud Response for Google Workspace?

Funksjonene for registrering av Cloud Response for Google Workspace omfatter følgende:

  • Innloggingsanalyse for skadelige Google-kontoer, for eksempel pålogging fra land som ikke er godkjent, og mistenkelig pålogging
  • Skadelige Gmail-oppdagelser, for eksempel oppretting av mistenkelige regler for e-postfilter og regel for videresending av ekstern e-post opprettet
  • Muligheten til å svare på og deaktivere en Google-konto

Hvordan kan du få tilgang til Cloud Response for Google Workspace?

Ved oppdagelse av disse ondsinnede aktivitetene, tar Blackpoints 24/7 SOC rask handling. “Vi deaktiverer kontoer når ondsinnet aktivitet oppdages på vegne av partneren for å holde informasjonen og dataene deres sikre mot utviklende trusler. MSP-er kan være trygge på at de er beskyttet mot selv de mest sofistikerte cybertruslene, slik at de kan fokusere på kjernevirksomheten og betjene virksomhetene de fører tilsyn med», sier Wilfredo Santiago, SVP, response operations center, hos Blackpoint.

Om Blackpoint Cyber

Blackpoint Cyber er drevet av ideen om at alle organisasjoner skal ha tilgang til cybersikkerhetsfunksjoner på nasjonalstatnivå. Gjennom sitt nettverk av partnere bringer selskapet en strømlinjeformet sikkerhetsstabel, proprietær MDR-teknologi og ekspertisen til analytikere i verdensklasse til bedrifter over hele verden. Blackpoint ble grunnlagt i 2014 av tidligere sikkerhets- og etterretningseksperter fra forsvarsdepartementet, og bruker hardt kjempet kunnskap om angriperhåndverk for å tilby en SOC-as-a-Service-plattform som er uten sidestykke. Blackpoint er forpliktet til å styrke MSP-er og gjør det mulig for partnerne å skalere og vokse gjennom sterk sikkerhet som vinner den urettferdige kampen mot nettrusler.

Om Absec

Bli med nå!

Kontekstualisering av identitetsbaserte angrep for en sikrere sky

Microsoft’s 365 service including Azure Active Directory (AD), Exchange, and SharePoint big

Microsoft’s 365 service including Azure Active Directory (AD), Exchange, and SharePoint

Absec leverer kontekstualisering av identitetsbaserte angrep for en sikrere sky. Siden lanseringen av Cloud Response i fjor har Security Operations Center (SOC) sett en jevn økning i skyangrep. Denne våren har tempoet sparket opp enda mer. Faktisk ser SOC-en vår for øyeblikket ni skyangrep for hvert angrep på endepunktnivå.

Årsaken er enkel: Skyen tilbyr en bredere og enklere angrepsflate enn tradisjonell lokal hacking. Trusselaktører trenger ganske enkelt å signere på samme måte som en vanlig bruker ville gjort. Disse identitetsbaserte angrepene er enkle og relativt lavteknologiske. Angripere kan høste legitimasjon fra dumper fra kompromitterte tjenester eller sende phishing-e-poster for å lure brukere til å gi fra seg legitimasjon.

Dessuten, selv om enkel pålogging (SSO) eksisterer for å lette friksjonen for brukere, gjør det også en angripers liv enklere. Med SSO trenger en angriper bare å kompromittere ett sett med legitimasjon for å få tilgang til et helt sett med tjenester. Økningen i identitetsbaserte angrep har fått oss til å lete etter bedre måter å oppdage dem på, stoppe dem og rydde opp etter dem.

Det er derfor vi i dag kunngjør en banebrytende ny funksjon i Cloud Response for Microsoft 365 som muliggjør alt det ovennevnte: Identity Response for Azure AD. Denne nye funksjonen forbedrer sikkerheten til Microsoft-miljøet og eventuelle tredjepartsprogrammer som er koblet til via Azure SSO-godkjenning.

Bedre kontekst, bedre beskyttelse

Når vi oppdager en ondsinnet pålogging til våre partneres Microsoft-miljøer, deaktiverer vi kontoen for å låse angriperen ute. Det er det vi har gjort hele tiden med Cloud Response. Men nå med Identity Response for Azure AD kan vi også kontekstualisere pålogginger til miljøet, slik at vi kan se nøyaktig hvilket program som er åpnet. Denne ekstra konteksten resulterer i et bedre informert SOC-svar.
Det betyr også at vi kan gi partnerne og sluttkundene våre kritisk kontekst og forståelse av omfanget av angrepet og hvilke data som kan ha blitt avslørt, noe som muliggjør raskere utbedring og veiledning av partnernes og deres sluttkunders revisjons- og skadevurderingsarbeid. Identity Response for Azure AD beskytter også mot angrep som lurer brukere til å godkjenne ondsinnede programmer, slik at angripere får tilgang til en leiers Azure-miljø.
I disse angrepene, kjent som samtykkephishing, blir brukeren bedt om å gi et program tilgang til organisasjonens Microsoft-ressurser. Dette gir programmet (og dermed angriperen) tilgang til et sett med tillatelser, for eksempel tilgang til e-post, kontakter og filer. Med Identity Response for Azure AD vet Blackpoints SOC at påloggingen skjedde via et ondsinnet program, og kan iverksette nødvendige tiltak for å sikre miljøet.

Banebrytende identitetsrespons

Da vi lanserte Cloud Response i fjor, var vi de første til å overvåke Microsoft 365-miljøer og iverksette tiltak på varsler. Med Identity Response for Azure AD viser vi enda et spor, som det eneste selskapet som beriker e-posthendelsene dine i Microsoft 365 med identitetsinformasjon – helt ned til navnet på appen som ble brukt – og plasserer dem foran SOC-en for svar.
Det er ingen vei tilbake fra skyen – ja, det øker angrepsoverflaten, men det forvandler også driften og skalerer virksomheten. Veien fremover er å fortsette den banebrytende utviklingen av beskyttelse, deteksjon og respons på trusler som utnytter denne nye grensen. Bestill en demo for å se hvordan Blackpoint Cloud Response, nå med Identity Response for Azure AD, kan beskytte deg.

Hva er et zero day angrep, og hvorfor er det så vanskelig å stoppe?

zero-day attack

zero-day attack

Hva er et zero day angrep, og hvorfor er det så vanskelig å stoppe?

 

Et zero day angrep er et cyberangrep som utnytter en sårbarhet som ikke er kjent eller fikset av programvareutvikleren. Det betyr at det ikke finnes noen sikkerhetsoppdatering eller antivirusprogram som kan beskytte mot angrepet. Et zero day angrep kan ramme alle typer systemer, fra datamaskiner og smarttelefoner til nettverk og skytjenester.

Et zero day angrep er en stor trussel fordi det kan gjøre stor skade før det blir oppdaget og stoppet. Angriperne kan stjele sensitiv informasjon, installere skadevare, kryptere filer, ta kontroll over enheter eller tjenester, eller sabotere operasjoner. Et zero day angrep kan også være en del av en større kampanje som kombinerer flere angrepsvektorer og mål.

Hvorfor ikke alle SOC og MDR leverandører kan stoppe zero day angrep? Et SOC (Security Operations Center) er et team av sikkerhetseksperter som overvåker, analyserer og responderer på sikkerhetshendelser i et nettverk. Et MDR (Managed Detection and Response) er en tjeneste som leverer SOC-funksjonalitet til kunder som ikke har eget SOC eller ønsker å forbedre sitt eksisterende SOC.

Et SOC eller MDR kan hjelpe med å oppdage og håndtere mange typer cyberangrep, men de har også sine begrensninger. En av dem er at de ofte baserer seg på signaturbasert deteksjon, som bruker kjente mønstre eller indikatorer for å identifisere ondsinnet aktivitet. Dette fungerer bra mot kjente trusler, men ikke mot zero day angrep som ikke har noen signatur. Et annet problem er at et SOC eller MDR kan ha forsinkelse i å oppdage og reagere på et zero day angrep, spesielt hvis det er godt skjult eller kamuflert. Dette gir angriperne mer tid til å utføre sine mål og spre seg i nettverket.

Hvorfor Blackpoint cyber kan stoppe zero day angrep? Blackpoint cyber er en MDR-leverandør som har utviklet en unik teknologi som kan stoppe zero day angrep i sanntid. Teknologien heter SNAP-Defense, og den bruker atferdsbasert deteksjon, som analyserer nettverkstrafikken og enhetenes oppførsel for å oppdage unormal eller mistenkelig aktivitet. SNAP-Defense bruker også en patentert teknikk som kalles Network Lockdown, som isolerer enheter eller segmenter som er infisert eller kompromittert, og forhindrer videre spredning av angrepet.

Blackpoint cyber har flere fordeler over andre SOC og MDR leverandører når det gjelder å stoppe zero day angrep. For det første har de en raskere og mer nøyaktig deteksjon, som reduserer risikoen for falske positiver og falske negativer. For det andre har de en automatisk og effektiv respons, som begrenser skadeomfanget og gjenoppretter normal drift. For det tredje har de en proaktiv og kontinuerlig beskyttelse, som oppdaterer seg selv med nye trusselintelligensdata og lærer av hver hendelse. For det fjerde har de en transparent og samarbeidsvillig service, som gir kundene full innsikt i hva som skjer i deres nettverk og hvordan Blackpoint cyber håndterer det.

Hvis du vil vite mer om hvordan Blackpoint cyber kan stoppe zero day angrep i din organisasjon, kan du besøke deres nettside eller kontakte dem for en gratis demo.

Bestill en demo i dag

Absec tilbyr gratis sikkerhetsjekk av bedriftens RISIKO og Sårbarheter. Ikke gå glipp av denne enestående muligheten å utføre risikoreduserende tiltak, jmf GDPR og rammeverk som ISO 27001.

GRATIS “HUMAN” RISIKORAPPORT GRATIS EKSTERN SÅRBARHETSSKANNING

Nyhedsbrev abonnement

Abonner og få det hele med!

Du er registreret!

Du vil nu modtage vores nyheder periodisk.