EDR vs SIEM: wat is het verschil en waarom heb je beide nodig?

In het verleden waren antivirus en firewall een solide eerste verdedigingstactiek, maar de tijd is veranderd. Cybercriminelen zijn geavanceerder en werken harder om netwerken aan te boren en datacenters te bereiken om bedrijven vast te houden voor losgeld. De beste verdediging is een meer-laagse benadering van beveiliging.

Laten we dit scenario opnieuw bekijken en jouw datacenter zien als een koning in een kasteel: jij wilt hem koste wat kost beschermen. Om dit te doen, heb je een buitenmuur om vijanden op afstand te houden; dit is je firewall en antivirus. Maar wat gebeurt er als de slechteriken een weg over de muur vinden? Is de koning dan gevangen? Nee natuurlijk niet. Er zijn beschermingslagen: een gracht, een ophaalbrug, ridders en misschien zelfs een draak. Omdat alles binnen het fort - vooral de koning - koste wat kost moet worden beschermd. MSP's moeten zo gaan nadenken over hun veiligheid en de veiligheid van hun klanten. Ze hebben een gelaagde aanpak nodig die meer doet dan alleen de vijanden op afstand houden.

Endpoint Detection and Response (EDR) 

Eindpunten dienen in wezen als toegangspoorten tot een netwerk, denk aan ondergrondse tunnels naar het kasteel of de sleutels van de achterdeur. Dit zijn je hardwareapparaten zoals desktops, smartphones, Internet of Things (IoT)-apparaten en servers. Deze zijn allemaal gevoelig voor kwetsbaarheden die kwaadwillende actoren meedogenloos aanvallen in de hoop het netwerk te infiltreren.

Om deze bedreigingen te bestrijden, verzamelt en analyseert Endpoint Detection and Response informatie over beveiligingsbedreigingen van computerwerkstations en andere eindpunten om beveiligingsinbreuken op te sporen zodra ze zich voordoen. EDR werkt proactief en zorgt voor snellere reacties op ontdekte of potentiële bedreigingen.

Een EDR-systeem kan ook sterk variëren, afhankelijk van de leverancier en implementatie, maar kan profiteren van leveranciergestuurde analyse. Andere belangrijke voordelen zijn onder meer het gebruik van rollback-mogelijkheden, de mogelijkheid om snel eindpuntgegevens op te vragen en bedreigingen op het eindpunt in te dammen.

Security Information and Event Management (SIEM) 

SIEM detecteert, voorkomt en helpt bij het oplossen van cyberaanvallen terwijl het beveiligingsgebeurtenissen van apparaten binnen jouw netwerk centraliseert. Door log- en gebeurtenisgegevens te verzamelen van netwerkapparaten, systemen en gegenereerde applicaties en services, kan SIEM alle informatie op één platform samenbrengen. Dit geeft beveiligingsteams meer inzicht in wat er gebeurt met alle elementen in de IT-ecosystemen via een "single pane of glass".

Omdat al deze informatie gemakkelijk toegankelijk is, geeft dit je team een ​​voorsprong in de strijd tegen cybercriminaliteit, omdat je een strategische detectie kan uitvoeren, gebeurtenisgegevens kan analyseren, logboeken kan verrijken, aan nalevingsvereisten kan voldoen en gegevens uit vele bronnen in het netwerk kan accepteren. Dit zijn jouw ogen en oren die het fort proactief beschermen.

EDR en SIEM werken samen beter

De gelaagde aanpak werkt het beste als het gaat om het implementeren van EDR en SIEM. Een EDR kan de bedreigingen die gericht zijn op de eindpunten van je klanten sneller detecteren, blokkeren, inperken en verhelpen. Het analyseert en onderzoekt ook deze bedreigingen en keert indien nodig terug naar "veilige" versies. Samen helpt SIEM-technologie jouw klanten effectiever te beschermen door volledig inzicht te bieden in de IT-infrastructuur van een organisatie door gegevens uit meerdere bronnen te verzamelen voor analyse. Dit stelt beveiligingsteams in staat om gebeurtenissen op te vangen wanneer de preventiemaatregel mislukt.

Hier is een klassiek voorbeeld:
Vaak zijn EDR-oplossingen beperkt in hun vermogen om zeer geavanceerde bestandsloze malware te detecteren en af ​​te weren. Deze malware is gevaarlijk, omdat het misbruik maakt van kwetsbaarheden die aanvallers administratieve controle kunnen geven en de mogelijkheid kunnen geven om gegevens te verzamelen voor toekomstige aanvallen, zoals een zeer gerichte phishing-aanval.

De malware-dreiging zonder bestanden is slechts één reden waarom steeds meer TSP's geavanceerde SIEM- en EDR-platforms samen gaan gebruiken. Door deze lagen van geavanceerde verdediging aan hun beveiligingstechnologiestapel toe te voegen, kunnen TSP's in realtime een compleet beeld krijgen van de dreigingen die op hun klanten zijn gericht.

Wil je meer weten over EDR, SIEM of andere security mogelijkheden? Wij hebben de kennis is huis, plan via deze link een gesprek met één van onze adviseurs om jouw cyber security onder de loep te nemen. Of download via onderstaande knop het eBook SIEM vs EDR, voor meer informatie.

Delen

Lees hier het originele artikel van ConnectWise.
Aanmelden om een reactie achter te laten