• Globe Netherlands International Belgium Denmark Germany Netherlands Norway Sweden United Kingdom
  • Incident Response Hotline
SecureLink logo
  • Security voor
    • Enterprise
    • Mid market
  • Resources
    • Insights & Trending
    • Kalender
    • ThreatBuster Podcast
    • Referentiecases
    • Webinars
    • Academy
  • Solution Areas
    • Cloud security
    • Endpoint security
    • Identity & Access Management
    • Data-centric Security
    • OT/IoT
    • Security Intelligence
    • Secure Infrastructure
  • Services
    • Overzicht
    • Advise & Architect
    • Design & Implement
    • Operate & Support
    • Detect & Respond
  • Onze aanpak
  • Contact & Support
  • Part of Orange Cyberdefense

All SecureLink

  • Enterprise

    Lees verder
  • Mid market

    Lees verder
  • Insights & Trending

    Lees verder
  • Kalender

    Lees verder
  • ThreatBuster Podcast

    Lees verder
  • Referentiecases

    Lees verder
  • Webinars

    Lees verder
  • Academy

    Lees verder
  • Cloud security

    Lees verder
  • Endpoint security

    Lees verder
  • Identity & Access Management

    Lees verder
  • Data-centric Security

    Lees verder
  • OT/IoT

    Lees verder
  • Security Intelligence

    Lees verder
  • Secure Infrastructure

    Lees verder
  • Overzicht

    Lees verder
  • Advise & Architect

    Lees verder
  • Design & Implement

    Lees verder
  • Operate & Support

    Lees verder
  • Detect & Respond

    Lees verder
  • Home
  • Security voor
    • Enterprise
    • Mid market
  • Resources
    • Insights & Trending
    • Kalender
    • ThreatBuster Podcast
    • Referentiecases
    • Webinars
    • Academy
  • Solution Areas
    • Cloud security
    • Endpoint security
    • Identity & Access Management
    • Data-centric Security
    • OT/IoT
    • Security Intelligence
    • Secure Infrastructure
  • Services
    • Overzicht
    • Advise & Architect
    • Design & Implement
    • Operate & Support
    • Detect & Respond
  • Onze aanpak
  • Contact & Support
  • Part of Orange Cyberdefense

  • Werken bij
  • Nieuws
  • Over ons
  • Management
  • Partners

  • Werken bij
  • Nieuws
  • Over ons
  • Management
  • Partners
14301

Home / Managed Detection & Response

Managed Detection & Response

Blog door Martijn Doedens, Security Consultant en Architect

Tegenwoordig hebben we geaccepteerd dat niet alles te voorkomen is, preventieve technologie en dienstverlening biedt geen 100% bescherming. Waar vroeger maximaal ingezet werd op dit soort maatregelen zien we nu een meer gebalanceerde aanpak, waarbij ook het detecteren van incidenten en het reageren op deze gedetecteerde incidenten onderdeel is van de aanpak. Als het gaat om detectie en response neemt de complexiteit en inspanning toe: waar bij preventie alles wat fout is, geblokkeerd wordt, en alles wat (blijkbaar) goed is, doorgelaten wordt (ik noem het wel eens zwart of wit), is het bij detectie eigenlijk altijd grijs. Detectie technologie vindt iets dat misschien fout is, maar zeker weet de technologie het niet. Als de technologie het zeker zou weten, zou het namelijk preventie zijn en kan het incident voorkomen worden.

Oftewel, detectie technologie genereert indicaties dat er mogelijk iets aan de hand is en met deze indicatie gaat een security analist aan de slag. Met alle mogelijke middelen die voorhanden zijn wordt de indicatie geanalyseerd en wordt er een oordeel geveld: true positive of false positive. In het geval van een true positive is het de taak van de analist om een mitigerende maatregel voor te stellen, oftewel, de response. Afhankelijk van deze response wordt deze door het SOC en zelfs mogelijk door diezelfde analist uitgevoerd. Als het SOC waar we het over hebben dit voor klanten doet vanuit een Managed Security Service Provider (MSSP), dan wordt het Managed Detection & Response geleverd. Dit klinkt heel simpel, maar is natuurlijk een stuk ingewikkelder. Als het gaat om detectie technologie zien we drie verschillende categorieën:

  • Log based detection
  • Network based detection
  • Endpoint based detection

Elke vorm van detectie technologie vereist analyse capaciteit en elke vorm van detectie is in meer of mindere mate geschikt voor een vraagstuk: het is afhankelijk van de behoefte. Gaat het om compliance ten behoeve van bijvoorbeeld AVG of moet er zo snel mogelijk zo effectief mogelijke threat detection en response gedaan worden.

managed-detection-response

Log based detection

Voorheen werd er primair met een Security Information & Event Management (SIEM) systeem gewerkt als vorm van log based detection waar door middel van regels die van tevoren beschreven, gedefinieerd en gemonitord werden, use cases ingericht zijn. Het SIEM systeem is hier de detectie technologie en genereert de indicaties. De analist kijkt hier naar. Tegenwoordig biedt een traditioneel SIEM met de gedefinieerde use cases nog steeds een mate van security, maar we moeten op zoek naar hetgeen waarvan we niet weten dat we er naar op zoek zijn. Een van de mogelijkheden is om een analist ‘tijd’ te geven om door de enorme berg aan data te grasduinen (threat hunten) die in een log management of SIEM systeem aanwezig is en op basis hiervan verdacht gedrag te vinden. Het aantal beschikbare analisten is echter beperkt en dus ook de beschikbare tijd, dus om bij log based detection hier toch de ‘unknowns’ te vinden moet er gekeken worden naar patronen van gedrag. Afwijkingen en verdacht gedrag kunnen een indicatie zijn die vervolgens door een analist onderzocht worden. Het gebruik van log based detection werkt goed als alle systemen die relevant zijn op een betrouwbare manier log informatie genereren. Door de toename van IoT, cloud en alle andere trends kunnen we niet meer alleen met log based detection uit de voeten. Zo vult log based detection nog steeds een behoefte in, maar niet de volledige behoefte. Ik zie hier met name de vraag om compliancy ingevuld worden. Door de relatief lange doorlooptijd voordat een SIEM effectief en betrouwbaar werkt, is het zo snel mogelijk optimaal detection & response leveren vaak niet te realiseren met log based detection.

webinar-splunk-web

Webinar Automation and Orchestration in Security Operations

4 September om 11 uur, en hierna on-demand.

Bekijk dit webinar

Network based detection

Een andere aanpak is de detectie te doen op basis van netwerk data. Door netwerk sensors te plaatsen in een omgeving als fysieke, virtuele of cloud appliances kan passief meegeluisterd worden met het netwerk verkeer. Dit wordt ook wel Network Threat Detection & Response (NTDR) genoemd. Door supervised en unsupervised machine learning modellen op het verkeer los te laten kunnen hier, net als bij log based detection, indicators gegenereerd securedetect-networkworden en ook hier is het ‘misschien’: er moet een security analist naar kijken om een oordeel te vellen. Door deze manier van detectie toe te passen zonder gebruik te maken van log informatie kunnen incidenten gedetecteerd worden, ook als er simpelweg geen log informatie gegenereerd kan worden (denk hier aan IoT omgevingen). Omdat voor NTDR detectie technologie geen SIEM ingericht hoeft te worden en de detectie gebaseerd is op machine learning, hoeven er alleen maar op de juiste plaatsen in het netwerk sensors geplaatst te worden. Vanaf dat moment leert het systeem (als het gaat om de unsupervised ML modellen) wat normaal is en worden er indicaties gegenereerd dat er mogelijk iets mis is. Het is dan aan de security analist om hier een oordeel over te vellen.

Endpoint based detection

Wat op dit moment een van de meeste effectieve manieren is om MDR te leveren is door gebruik te maken van een endpoint detection & response (EDR) oplossing. Door agents te gebruiken op endpoints waar dit mogelijk is (vaak kan dit niet op IoT-achtige endpoints) kan hier verdacht gedrag gedetecteerd worden dat niet voorkomen kon worden. Groot voordeel is dat encryptie van data in transit geen uitdaging meer vormt aangezien het op het endpoint uiteindelijk leesbaar gaat zijn. EDR is zoals de naam al zegt een detectie & response oplossing: een detectie moet geanalyseerd worden en vervolgens kan een response gedaan worden. Groot voordeel is dat doordat er gebruik gemaakt wordt van die agent de response ook uitgevoerd kan worden. Bij het passief geplaatste SIEM systeem en de passief geplaatste NTDR oplossing kan dit niet: response zal dan altijd door het aansturen van andere oplossingen gedaan worden. EDR kan doordat het op het endpoint aanwezig is processen stoppen (op initiatief van de SOC analist) of een endpoint direct in quarantine plaatsen.

Ook interessant voor u…

SecureDetect Intelligence

Meer over onze Detect & Respond Services

Gartner

SecureLink erkent door Garner als Managed Detection & Response leverancier

thumb-website-page-newsletter

Meer content ontvangen? Meld u aan voor de nieuwsbrief!

Martijn Doedens2019-09-04T14:08:22+01:00augustus 13th, 2019|Detect & Respond, Frontpage Insights, Insights & Trending, MDR|Reacties uitgeschakeld voor Managed Detection & Response

About the Author: Martijn Doedens

Martijn Doedens is Security Consultant en Architect bij SecureLink. Hij is na het afronden van zijn studie Computer Science begonnen als engineer op het gebied van networking en security en heeft de rol van Security Consultant en Architect.

Related posts

  • SecureLink publiceert Annual Security Report 2019

  • “Passwordless”-authenticatie: veiliger, eenvoudiger en sneller

  • OT-Security maatregelen bepalen: Stap 3

  • Download CISO-file e-book

  • SecureLink is Great Place to Work Certified

Focus

  • Schiphol Group gaat intensief samenwerken met SecureLink

  • OT-Security maatregelen bepalen: Stap 3

  • Een bezoek aan Dr. Blackhat

  • Algemene voorwaarden
  • Cookie Policy
  • Disclaimer
  • Privacy Policy
© 2019 SecureLink. All rights reserved worldwide.
SecureLink logo