EDR og SIEM vs MDR

EDR og SIEM vs MDR

EDR og SIEM vs MDR

Introduksjon av EDR og SIEM vs MDR

Når vi diskuterer ‘EDR og SIEM vs MDR’, er EDR-systemer (Endpoint Detection and Response) og SIEM-løsninger (Security Information and Event Management). Disse blir ofte sett på som viktige komponenter i en administrert tjenesteleverandørs (MSP) første sikkerhetsstabel. De oppfattes fortsatt av noen som toppen av cybersikkerhetsinfrastruktur.

Imidlertid, dette synet undervurderer deres begrensninger i å motvirke sofistikerte cybertrusler og håndverk. På grunn av disse begrensningene kan både EDR-er og SIEM-er fange cybertrusler for sent, overse dem helt eller ikke avdekke hele omfanget av angrep.

I denne bloggen vil vi belyse svakhetene ved administrert EDR og SIEM-basert MDR. Vi vil også vise hvordan ekte MDR-teknologi, med støtte fra et døgnåpent SOC, tilbyr en sterkere og mer effektiv løsning.

Administrert EDR

EDR-systemer overvåker endepunktsenheter som datamaskiner og servere. De er flinke til å oppdage kjente trusler som skadelig programvare, gi varsler om ondsinnede aktiviteter. Samt isolere trusler og beholde viktig informasjon for analyse av trusselatferd og etterforskning av rotårsak. EDR-er forstår aktivitet på isolerte endepunkter og identifiserer vanlige angrepsstadier og -mønstre.

Imidlertid er det noen begrensninger med EDR-systemer.

De sliter med å effektivt oppdage og svare på avanserte og sofistikerte nettrusler, inkludert;

  • Bruk av legitime verktøy og etterligning av administrativ atferd
  • Utnyttelse av innfødte henrettelser
  • Avvik i trusselaktørenes atferd.

For å overvinne disse begrensningene, kommer ekte MDR-teknologi inn i bildet.

Ekte MDR-teknologi, sammen med en SOC døgnet rundt, kan oppdage og reagere på Live off the Land (LotL)-håndverk, og er utstyrt med maskin-til-maskin-forståelse i tillegg til et patentert live nettverkskart. Til sammen gjør dette SOC i stand til å forstå nettverket helhetlig, oppdage avansert ondsinnet oppførsel og anholde trusselaktører, uavhengig av rekkefølgen på operasjonene.

SIEM-baserte MDR-er

SIEM-er utfører passiv analyse av logger for hendelser som allerede har skjedd. De samler disse loggene og samler telemetri fra en rekke kilder. Til tross for deres omfattende datainnsamling, er SIEM alene ikke tilstrekkelig.

Begrensninger:

  • Er sterkt avhengig av analytikerkompetanse for å dyktig tolke og handle på loggdata i tide
  • Dyp ekspertise som kreves for å bygge effektive SIEM-regler
  • Vanskelig å korrelere hendelser, som fører til falske positive og falske negativer, noe som resulterer i varslingstretthet
  • Forsinkede varsler om trusler på separate systemer reduserer responstiden

Etter hvert som trusselaktører i økende grad fokuserer på hastighet fremfor sniking, er effektive mottiltak nøkkelen til å stoppe trusler i rask bevegelse. Med ekte MDR identifiseres og besvares cybertrusler i sanntid, alt innenfor én sammenhengende plattform.

På denne måten kan SOC korrelere hendelser og kontekstualisere trusselaktørers bevegelser på tvers av et system mens cyberangrep utfolder seg. Denne dype innsikten gjør det mulig for sikkerhetsanalytikere å reagere i de tidligste stadiene av et brudd, og dermed forhindre lateral spredning.

Konklusjon – EDR og SIEM vs MDR

EDR-systemer og SIEM-løsninger har vært viktige for cybersikkerhet. Men, i dagens raskt utviklende trussellandskap, blir begrensningene deres mer synlige. EDR-er er gode på å oppdage skadelig programvare og vanlige angrepsstadier. Men, de savner ofte sofistikerte taktikker, teknikker og prosedyrer (TTP-er) som er utenfor normen. SIEM-er lider av varslingstretthet, noe som ofte fører til at de er for trege til å fange cyberangrep i tide.

På den annen side, tilbyr Absec’s partner, Blackpoint Cybers sanne MDR-teknologi en bedre løsning. MDR identifiserer ikke bare håndverk, sideveis bevegelse og innsidetrusler. Den gir også vårt SOC-team et live nettverkskart for omfattende analyse av trusselaktøratferd. Vårt SOC-team analyserer nettverksdata for å finne og håndtere trusler effektivt. Dette forbedrer responstiden betydelig.

Som et resultat, posisjonerer denne proaktive og avanserte tilnærmingen Blackpoint som det beste valget for Absec’s kunder. De som ønsker å heve standarden for cybersikkerhet og gi sluttklientene uovertruffen beskyttelse, bør vurdere Absec’s MDR-tjeneste fra vår partner Blackpoint.

Utforsk virkelige tilfeller der vår sanne MDR utkonkurrerte EDR-løsninger i vår nyeste e-bok, The EDR Gap. 

EDR-evolusjonen

EDR-evolusjonen, oppdag fordelene ved å kombinere EDR med administrerte sikkerhetstjenester

EDR-evolusjonen

Oppdag fordelene ved å kombinere EDR-evolusjonen med administrerte sikkerhetstjenester

Det finnes et stort utvalg av sikkerhetsløsninger for bedrifter. Selv om det ikke er vanskelig å finne leverandører for å fylle sikkerhetsbehovene dine, kan det være tidkrevende å velge mellom de mange alternativene. Løftene er ofte like og de tekniske mulighetene kan være uklare. Les videre for å lære mer om EDR-evolusjonen.

Den indre driften av EDR-evolusjonen

En løsning du kanskje vurderer kalles Endpoint Detection and Response (EDR). EDR:

  • Overvåke aktivitet på endepunktsenheter (tenk datamaskiner, servere, og IoT-enheter),
  • Gi varsler om og isolere trusler, samt
  • Lagre informasjon om trusselatferd, rotårsaksanalyse osv.

Mer spesifikt er EDR-programmer designet for å oppdage skadelig programvare og ondsinnet aktivitet på endepunkter. Disse løsningene er bygget med den signaturbaserte deteksjonsmotoren til et antivirusprogram (AV) og inkluderer maskinlæring (ML) for å fange opp ondsinnet atferd. Dette er en viktig del av din sikkerhetsstilling når det gjelder å oppdage skadelig programvare.

Der disse løsningene kommer til kort, er i å oppdage avanserte teknikker som brukes av angripere for å omgå selskapers cybersikkerhetstiltak. De skjuler sin oppførsel som legitim administrativ aktivitet ved å bruke IT-verktøy og kommandoer som er innebygd i operativsystemer på en ondsinnet måte. Når dette gjøres, klarer vanligvis ikke EDR-løsninger å oppdage det, siden de ikke kan skille disse handlingene fra handlingene til en IT-administrator som jobber i nettverket.

De avanserte funksjonene til Managed Deteksjon og Respons

En annen løsning som er tilgjengelig for kundene, kalles Managed Detection and Response (MDR). MDR:

  • Gir 24/7 kontinuerlig overvåking utført av høyt spesialiserte sikkerhetsanalytikere,
  • Handle med umiddelbar respons før lateral spredning, og
  • Eliminer varseltretthet og falske positiver.

Hos Blackpoint, så bygde vår partner MDR fra grunnen av, internt. Den er spesielt fokusert på å oppdage motstandere mens de er i oppdagelses- og oppregningsmodus i et nettverk. Med denne kraftige teknologien har vårt 24/7 Security Operations Center (SOC)-team innsyn i hacker-håndverksteknikker og er derfor i stand til å fjerne disse motstanderne fra nettverket i løpet av de første stadiene av et brudd før skadelig programvare installeres. Deres intervensjonstrinn er basert på konteksten av aktiviteten, i stedet for å stole på ML. Å kunne handle på denne måten resulterer i tidligere oppdagelse av brudd, rask fjerning av motstanderen og en lav falsk positiv rate.

Forskjellen mellom en EDRs og MDRs synlighet

Et annet element som gjør at MDR kan oppdage denne håndverksaktiviteten tidligere og mer nøyaktig, er at teknologien vår er bygget med maskin-til-maskin-forståelse, mens en EDR forstår aktivitet på isolerte endepunkter. Vår maskin-til-maskin-forståelse og patenterte live nettverkskart gir oss muligheten til å forstå nettverket helhetlig basert på oppførsel mellom alle endepunkter. Dette gir oss konteksten og synligheten til å spore hackernes bevegelser og kommunikasjon gjennom et helt nettverk, noe som fører til den raskeste responsen og den høyeste effektivitetsraten i markedet.

Når det er sagt, så er vi ikke her for å bare snakke negativt om EDR og fremme vår MDR. Antivirus- og EDR-løsninger er en fremtredende og viktig funksjon i våre sikkerhetsstakker. Når det er sagt, kan de ikke være den eneste løsningen du stoler på. Med flere og flere motstandere som misbruker pålitelige IT-verktøy, er beskyttelse på neste nivå avgjørende for å motstå avanserte nettrusler. Derfor, i stedet for å tvinge våre partnere til å gjøre et skifte i stabelens formasjon, kommer vi sammen med deres andre løsninger og utfyller deres innsats med våre 24/7 evner.

Koble din EDR med våre administrerte sikkerhetstjenester

Sammen med vår partner Blackpoint integrerer vi med mange av de ledende EDR-løsningene i området gjennom vårt tilbud av Managed EDR. Mens EDR gir deteksjon av skadelig programvare gjennom AV-motoren, gir vi 24/7-respons for EDR-varslene dine gjennom vårt ekspertledede SOC-team. Vi stoler ikke bare på EDR for trusseldeteksjon, men det tjener som ekstra dekning for din beskyttelse.

I 2022 fant SOC ut at i miljøer med integrert AV/EDR involverte 86 % av svarene ingen varsler fra det integrerte verktøyet. Disse løsningene er ikke omfattende og ville sannsynligvis ha varslet trusselen lenger ned i angrepskjeden når skadelig programvare var i bruk. I så fall vil virkningen av bruddet være høyere.

Hvis du er klar til å sikkerhetskopiere EDR og stå fast mot innovative trusselaktører, kan du konfigurere Managed EDR med din foretrukne løsning for endepunktsikkerhet i dag. Vi integrerer for tiden med:

  • Bitdefender
  • CrowdStrike
  • Cylance
  • Malwarebytes
  • Microsoft Defender for endepunkt
  • SentinelOne
  • Sophos

 

Sammen med vår partner Blackpoint Cyber tar vi integreringen med din foretrukne tredjepartsløsning for endepunktsikkerhet et skritt videre og gir deg et robust og strømlinjeformet økosystem for cybersikkerhet. Blackpoint SOC utbedrer raskt og effektivt angrep ved å reagere på varsler på dine vegne, i tillegg til å gi synlighet. Forbedre din generelle holdning og øk driftseffektiviteten gjennom kraften i Managed EDR.

Bestill en demo i dag

Absec tilbyr gratis sikkerhetsjekk av bedriftens RISIKO og Sårbarheter. Ikke gå glipp av denne enestående muligheten å utføre risikoreduserende tiltak, jmf GDPR og rammeverk som ISO 27001.

GRATIS RISIKORAPPORT GRATIS RISIKORAPPORT CYBERANGREP

Nyhedsbrev abonnement

Abonner og få det hele med!

Du er registreret!

Du vil nu modtage vores nyheder periodisk.