Redactie - 09 november 2020

Trend Micro analyseert alle signalen op bedreigingen

Trend Micro analyseert alle signalen op bedreigingen image

De jongste aanwinst van het wapenarsenaal tegen digitale aanvallen gaat verder dan Endpoint Detection & Response (EDR) en heet daarom eXtended Detection & Response (XDR). “Wij vangen alle relevante signalen af en analyseren die”, licht Steven Heyde (foto) toe. Hij is Regional Director Benelux bij Trend Micro.

Het slagveld is snel geschetst: de criminelen komen met steeds complexere aanvallen en mikken op meer doelwitten, verdediging kampt met kennistekort, protectie is vaak nog te versnipperd. “Tel daarbij op dat als gevolg van de pandemie de digitale transformatie in een versnelling is geraakt. De bedrijfsvoering is afhankelijker van automatisering. Steeds meer mensen werken van huis uit, buiten de firewalls van het bedrijfsnetwerk, waardoor de kwetsbaarheden zijn toegenomen”, maakt Heyde het plaatje compleet.

Het volume van logs die geanalyseerd moeten worden, is gestegen. Maar belangrijker nog is dat het geheel veel complexer is geworden. “Er komen signalen binnen van gebruikers en apparaten die niet binnen het eigen netwerk zitten. Kijk naar SaaS-applicaties, naar apparaten die je niet zelf beheert, maar wel aan het netwerk zijn verbonden. Kijk naar cloudtoepassingen, IoT-apparaten, cloud infrastructuur. Deze complexiteit plus de steeds professionelere aanvallen maken het nodig dat je verder kijkt dan endpoint detection & response. Om al deze signalen vanuit de verschillende lagen van de infrastructuur samen te brengen en diepgaand te analyseren, heb je automatisatie en XDR nodig.”

Daarbij komt dat het eigenlijk onverstandig is om hooggeschoolde beveiligingsexperts op te zadelen met dit feitelijk simpele werk; laat ze hun kennis gebruiken om de beveiliging van de complete automatiseringsomgeving van hun organisatie op het hoogste plan te brengen. Trend Micro heeft meer dan dertig jaar kennis en ervaring in IT-security en die zit gebakken in onze XDR-oplossing. Onze software en onze experts analyseren de signalen en geven alleen dat door aan onze klanten waar extra aandacht voor nodig is.”

Hij vertelt dat Trend Micro deze (SaaS-)oplossing zelf heeft ontwikkeld. “We hebben niet andere bedrijven opgekocht en de verschillende technologieën aan elkaar geknoopt. Het is ons eigen ontwikkelwerk, gebouwd met de meer dan dertig jaar kennis en ervaring die wij als bedrijf in IT-security wereldwijd hebben opgedaan.”

Meer dan endpoints

Met medewerkers die bedrijfsdata creëren en verwerken op hun eigen apparatuur (pc’s, laptops, tablets, smart phones) buiten het bedrijfsnetwerk is beveiliging van endpoints noodzakelijk. “EDR is een mooie toepassing”, reageert Heyde, “maar met alleen EDR ben je er niet. Het gaat immers om het hele ecosysteem; data zwerven overal rond: op het apparaat van de gebruiker, binnen het netwerk, in applicaties, in de cloud. Je moet een totaal overzicht hebben.”

Hij komt met een voorbeeld: “Stel dat je waarneemt dat via e-mail een endpoint besmet is geraakt. Dan kun je meteen actie ondernemen en het apparaat afschakelen en de oorzaak opsporen en vernietigen. Maar je ziet niet hoeveel apparaten binnen het netwerk dezelfde besmetting hebben opgelopen en langs welk pad. Dus kun je verdere besmettingen binnen het netwerk niet tegengaan. Waarom zou je wachten om het effect van een kwaadaardige mail pas te ontdekken met EDR terwijl XDR je toelaat in te grijpen voordat dit op de endpoint tercht komt. Daarom is XDR nodig. Als je nagaat dat negentig procent van alle malware incidenten via email starten, dan zie je het belang van een totaal overzicht.”

Samenbrengen

Volgens Heyde komen de beveiligingssignalen binnen organisaties nog teveel binnen bij silo’s: endpoints, firewalls, netwerk, cloudverkeer, servers. “Daarmee heb je dus geen overzicht. Sterker nog: alles heeft effect op elkaar, dus je moet ook weten welke correlaties er zijn. En dat moet je heel snel weten. Daarom brengen wij alle signalen – ook die van de telemetrie - samen om ze op een centraal punt te analyseren en eventueel actie voor te bereiden.”

De oplossing van Trend Micro gebruikt machine learning en kunstmatige intelligentie om een steeds verfijnder en sneller antwoord te geven op de hedendaagse bedreigingen. “Wij zien wereldwijd met welke bedreigingen onze klanten kampen en hoe deze bewegen binnen de netwerken van onze klanten. Die kennis, aangevuld met de expertise die we in de afgelopen dertig jaar hebben opgebouwd, voeden we aan onze verdedigingslinie.”

SIEM

Via de SaaS-oplossing van Trend Micro zijn data, applicaties en netwerken te beschermen. Precies datgene wat een SIEM-oplossing (Security Information and Event Management) claimt te doen.

“Ook SIEM brengt relevante gegevens samen en toont ze vervolgens aan een team van beveiligingsexperts om te bepalen of er een actie nodig is en welke. SIEM is een goede ontwikkeling”, zegt Heyde. “Maar uit onderzoek dat wij samen met Enterprise Strategy Group hebben uitgevoerd blijkt dat de meeste organisaties die SIEM hebben ingevoerd vinden dat deze oplossing moeilijk is te implementeren en een te groot beslag legt op de beschikbaarheid van de IT-beveiligingsexperts om het als een detection & reponse tool in te zetten. Daarmee lost SIEM zijn belofte niet in; hoe nuttig het ook is.”

OT en IT

Al diverse klanten gebruiken de XDR-toepassing van Trend Micro. Heyde kan geen namen noemen, maar wil de contouren wel aangeven. “Een ziekenhuis was zich al voor de corona-crisis bewust van de noodzaak tot totaalverdediging. Het beschikte over een veelheid aan beveiligingstoepassingen en zag door de bomen het bos niet meer. De bekende alert overflows en gebrek aan deskundigheid speelden parten. Met de pandemie is de kwetsbaarheid van ziekenhuizen alleen maar toegenomen. In de praktijk blijkt dat criminelen niet malen om mensenlevens om hun ‘losgeld’ binnen te harken. Wij zijn nu bezig met de implementatie van XDR for Users bij dit ziekenhuis. Het mooie is dat dit ziekenhuis ons zelf heeft benaderd, omdat het de noodzaak ziet van een gecentraliseerde verdediging die hen veel werk uit handen neemt.”

Ook de maakindustrie en nutsbedrijven staan op de stoep bij Trend Micro. “Informatietechnologie en Operations Technologie vloeien in elkaar over. Zij vereisen één antwoord op alle bedreigingen. Je kunt je voorstellen hoeveel het kost als een productielijn stil komt te liggen als gevolg van cybercrime.”

Strategisch plan

Ook al kun je, via de managed-oplossing, alles overlaten aan Trend Micro, dan nog ligt het eerste aanvalsplan op de tekentafel van het bestuur van de organisatie. Heyde: “Een goede security-aanpak begint met een stevig onderbouwd, strategisch plan. Wat wil je beveiligen? Welke rollen hebben de medewerkers? Welke stappen onderneem je bij een al dan niet geslaagde aanval? Hoe zorg je ervoor dat de verdediging geen lappendeken is? Daar moet het bedrijf antwoord op geven. Hoe en waar zet in mijn beperkt middelen in? ...”

Het kan dan wel twee, drie jaar duren voordat een complete verdedigingslinie is ingericht. “En begin bij de uitwerking van de plannen met het einddoel voor ogen. Dat is de leidraad. Onze partners en wij zijn graag bereid hierin mee te denken.”

Zo werkt XDR

XDR maakt het mogelijk om met meer inzicht verder onderzoek te doen, omdat je logische verbanden kunt maken met de verstrekte data, vanuit één weergave,

Een grafische tijdlijnweergave van de aanval laat onder meer zien:

Hoe de gebruiker is geïnfecteerd

Wat het eerste punt was van binnenkomst

Wat / wie er nog meer deel uit maakt van dezelfde aanval

Waar de dreiging vandaan kwam

Hoe de dreiging zich verspreidde

Hoeveel andere gebruikers toegang hebben tot dezelfde dreiging

Door: Teus Molenaar

Axians 12/11/2024 t/m 26/11/2024 BN+BW