Wat betekent XDR voor ESET en hoe verhoudt het streven naar XDR zich tot de MITRE Engenuity’s ATT&CK® Evaluations?
Eén van de belangrijkste doelen van de MITRE Engenuity’s ATT&CK® Evaluations is ervoor zorgen dat organisaties de hoeveelheid inzicht die endpoint detection and response (EDR)-oplossingen bieden beter te begrijpen. Dit inzicht is van belang bij het realtime onderzoeken naar geavanceerde dreigingen die zich ophouden in netwerken. De hoeveelheid inzicht die een EDR-oplossing biedt, is cruciaal in het beoordelen van de oplossing voor organisaties die overwegen zo’n oplossing te gaan gebruiken, en in de eerste periode nadat de oplossing in gebruik genomen is.
ESETs resultaten in de 2022 ATT&CK EVALUATION
Het moge duidelijk zijn dat inzicht niet de enige relevante metriek is. De additionele metrieken die een rol spelen in de ATT&CK Evaluations hebben te maken met de context waarin de detectie van specifieke kwaadaardige technieken plaatsvindt. Per organisatie is het verschillend in hoeverre deze van belang is, afhankelijk van hoe volwassen de organisatie is, de verschillende regelgevingen waaraan voldaan moet worden, en een verscheidenheid aan sector-, bedrijfs- en noodzaken. Er zijn echter ook nog andere metrieken, zoals performance- en resourceverbruik, ‘alert fatigue’, integratie met andere securitysoftware, en gebruiksgemak, die in dit soort evaluaties niet meegenomen worden.
Het veelvoud aan deze metrieken is de reden waarom EDR bij uitstek het hulpmiddel van securityspecialisten geworden is. Zelfs organisaties zonder gespecialiseerd securityteam hebben interesse in dit type hulpmiddel. Er zijn echter ook bewegingen vanuit de markt om EDR nog beter te maken. Zo komt het voor dat securityspecialisten enerzijds gebruikmaken van een EDR-oplossing om dreigingen op te sporen, en anderzijds een security information and event management (SIEM)-oplossing inzetten om grote hoeveelheden data te verwerken om hun netwerk te beveiligen. SIEM-oplossingen worden dus gebruikt als aanvulling op EDR-oplossingen.
Je zou kunnen denken dat als een samensmelting tussen EDR en een security analytics-tool plaats zou kunnen vinden, dat securityanalisten het ultieme securityhulpmiddel in handen zouden hebben. De analisten van Forrester zien dit echter anders. EDR moet zich ontwikkelen tot extended detection and response (XDR), door niet alleen data van endpoints te verwerken om analyse en respons mogelijk te maken.
Daarnaast is het voor security analytics-platformen cruciaal om bepaalde EDR-features, zoals alerts van hogere kwaliteit, mogelijkheden om te reageren op dreigingen en efficiënt resourceverbruik, te hebben om competitief te blijven gezien de ontwikkeling op het gebied van XDR. Welk type oplossing de bovenhand zal krijgen, XDR-oplossingen of de geëvolueerde security analytics-platformen, valt nog te bezien. Wij menen dat XDR-oplossingen aan de winnende hand zijn, gezien de sterke basis van EDR-oplossingen waarop deze rusten. Deze oplossingen zijn bedoeld om detecties van hoge kwaliteit en met veel context te leveren, ook al zijn ze op bepaalde vlakken beperkt in het algemene inzicht dat ze bieden.
Wat betekent XDR voor ESET?
ESET neemt Forrester’s benadering als het gaat om XDR over: XDR is de volgende generatie EDR en gaat verder dan het verzamelen van data uit endpoints. Het verzamelt ook data van netwerkapparaten, e-mailservers, cloudgebaseerde diensten en andere bronnen, en zorgt ervoor dat securityanalisten meer dreigingen kunnen ontdekken en daarop kunnen reageren. Het gaat namelijk niet alleen om een tool die detectie en responsmogelijkheden heeft, maar ook om preventie.
Om meer data te kunnen verzamelen en de responsmogelijkheden uit te breiden, kan XDR twee integratiestrategieën gebruiken: hybride en native. Een hybride strategie focust zich op integratie met tools van derde partijen. Een native strategie focust zich op integraties met tools van dezelfde leverancier. Op dit moment biedt nog geen enkele leverancier een complete XDR-oplossing, wat een gewilde ideaaloplossing zou zijn.
ESET is toegewijd een volledige XDR-oplossing te bouwen door geleidelijk ESET Inspect (voorheen: ESET Enterprise Inspector) te verbeteren en door continu integraties toe te voegen aan ESETs ecosysteem en integraties met hulpmiddelen van derde partijen toe te voegen. Voorheen werd ESET Enterprise Inspector gepositioneerd als een tool voor de securityteams van Enterprises. Als ESET Inspect heeft het zich ontwikkeld als het onderdeel van ESET PROTECT-platform dat XDR mogelijk maakt, en dat in te zetten is door zowel grote Enterprise-organisaties en kleinere securityteams.
Voordat we ingaan op ESET PROTECT Enterprise, het XDR-beveiligingsniveau, lichten we de functionaliteit van ESET Inspect nader toe.
ESET Inspect: maakt het streven naar XDR mogelijk
De introductie van ESET Inspect is meer dan alleen een naamswijziging: het is een nieuwe versie met meer zichtbaarheid en herstelopties. ESET Inspect bevat daarnaast alle bekende features van de vorige versies, zoals het refereren naar de knowlegdebase van MITRE ATT&CK in de regelverzameling. Daarnaast bevat het een REST API voor integratie met security orchestration, automation, and response (SOAR), SIEM, ticketing en andere hulpmiddelen, en heeft het de mogelijkheid om op afstand een PowerShell-sessie op Windowsmachines uit te voeren, om zo precieze respons- en herstelopties mogelijk te maken.
De nieuwe versie van de oplossing (versie 1.7) ondersteunt verschillende belangrijke Linuxdistributies. In combinatie met de al aanwezige ondersteuning voor Windows en macOS is dit een belangrijke mijlpaal in de ontwikkeling van een complete XDR-oplossing. De dekking die ESET Inspect biedt voor Linuxmachines, samen met ESET Endpoint Antivirus voor Linux en ESET Server Security voor Linux (vanaf versie 9.0) geldt voor de volgende distributies:
Linuxdistributies die ondersteund worden door ESET Inspect
- Red Hat Enterprise Linux 7.6+, CentOS 7.6+
- Debian 10, Debian 11
- SUSE Linux Enterprise 15, Oracle Linux 8
- Ubuntu LTS 18.04, Ubuntu LTS 20.04
- Amazon Linux 2
ESET Inspect bevat ook een verzameling aan regels, bestaande uit bijna 1.000 regels. Deze worden gebruikt om events die plaatsvinden op endpoints, firewall- en netwerkdata, acties omtrent gebruikersaccounts en andere data te analyseren op mogelijk kwaadaardig gedrag, dat nader onderzoek door securityengineers vereist.
ESET-onderzoekers hebben een groep regels verrijkt met automatische reacties, om bijvoorbeeld een computer te isoleren of een uitvoerbaar bestand te blokkeren. Het gebruik van een automatische reactie bij specifieke regels is in te zien via de ‘Active Rule Actions’-kolom in het scherm met ‘Detection rules’:
De constante toevoeging van regels aan ESET Inspect en de integratie met andere ESET beveiligingsoplossingen is een goed voorbeeld van de ontwikkeling van een native XDR-oplossing. Voor ESET is ESET PROTECT het fundament van deze integratie. ESET PROTECT is de managementconsole voor IT-beheerders om ESET securityoplossingen uit te rollen en te configureren. Het ESET PROTECT-platform brengt endpoint security, server security, encryptie, security in de cloud en detectie- en responsoplossingen samen binnen de console om organisaties schaalbare mogelijkheden te bieden op het gebied van preventie, detectie en respons.
Het positioneren van ESET Inspect dichter bij ESET PROTECT zorgt voor een geïntegreerde ervaring voor securityanalisten die gebruikmaken van het ESET PROTECT-ecosysteem. Zoals eerder vermeld is één van de belangrijkste doelen van een XDR-oplossing om dreigingsinformatie die verdergaat dan alleen data van endpoints te integreren. Het uitbreiden van de dekking van ESET Inspect naar meer platformen en meer databronnen zijn stappen die genomen worden om dat doel te bereiken.
ESET PROTECT Enterprise als XDR-oplossing
ESET bouwt een XDR-oplossing bovenop het ESET PROTECT Enterprise-beveiligingsniveau. Dit beveiligingsniveau verenigt ESET Inspect met endpoint- en serverbescherming, cloudgebaseerde threat detection en encryptie tot een allesomvattend securityniveau.
XDR vereist meer data-inname, maar dit betekent ook dat er meer dataopslagcapaciteit nodig is. Dit kan impact hebben op performance, als dit niet optimaal geregeld wordt. Investeren in meer hardware om lokale dataopslagoplossingen te ondersteunen is een mogelijkheid, ook al is dit niet erg flexibel. Vandaar dat nadenken over de dataopslageisen voor ESET PROTECT en ESET Inspect cruciaal is.
Met deployment in de cloud is opschalen om aan deze dataopslagvereisten te voldoen flexibeler. Het aanschaffen van nieuwe hardware is namelijk niet nodig. De extra kosten die erbij komen kijken, komen tot uiting in het huren van meer opslagruimte en mogelijk krachtigere machines: veranderingen die snel doorgevoerd kunnen worden. De flexibiliteit en schaalbaarheid van de cloud zijn kwaliteiten die een XDR-oplossing moet hebben, aldus Forrester.
Eerder waren ESET PROTECT en ESET Inspect alleen beschikbaar voor on-premise deployment, wat ervoor zorgde dat een flinke investering in hardware, het onderhouden van de server en personeel op locatie nodig was. Hoewel on-premise deployment een mogelijkheid blijft, met name voor organisaties die hun data graag in de buurt willen hebben, zijn beide oplossingen nu ook beschikbaar in de cloud. Dit is een nieuwe functionaliteit van ESET Inspect sinds versie 1.7, en voldoet daarmee aan de gewenste cloud-native support van XDR.
Managed detection and response
In sommige gevallen, met name voor kleinere organisaties of organisaties die geen specifieke securityfocus hebben, kan het lastig zijn om waarde uit een XDR-oplossing te halen zonder ondersteuning. Het beheren van ESET PROTECT Enterprise vereist personeel dat fulltime met security bezig is, of een managed detection and response (MDR)-leverancier die een deel of alle dagelijkse securitytaken op zich kan nemen.
Sinds een aantal jaar hebben de ontwikkelaars van complexe producten erkend dat het nodig is om waarde toe te voegen aan hun producten, door het aanbieden van diensten. Dit vanwege het feit dat klanten moeite hadden om de toegevoegde waarde van hun aankoop te zien, aangezien zijzelf niet de benodigde expertise in huis hadden om het product correct te gebruiken. Verkeerde configuraties en niet gebruikmaken van alle features zijn daar voorbeelden van. Het aanbieden van services reflecteert ook het type relatie dat men aan wil gaan met klanten – in het geval van ESET betekent dat een nauwe securityrelatie aangaan met klanten.
ESETs MDR-dienstverlening ondersteunt securityteams om ESET-oplossingen zo goed mogelijk te configureren en optimaliseren voor hun specifieke netwerk. Daarnaast omvat deze dienst ook periodieke healthchecks om gebrekkige securitypraktijken en verkeerde configuraties aan te pakken, die er naar verloop van tijd ingeslopen zijn. Daarnaast kunnen organisaties vertrouwen op de assistentie van ESETs securityengineers voor on-demand of proactieve threat hunting met ESET Inspect.
Organisaties die interesse hebben in managed dienstverlening, kunnen terecht op de MDR-webpagina voor meer informatie.
Conclusie
Dit blog begon met een bespreking van het inzicht en andere metrieken die organisaties vereisen als het gaat om een detectie- en responsoplossing. Voor meer informatie over hoeveel inzicht ESET Inspect threat hunters kan bieden, lees de volgende blogpost: Op jacht naar Sandworm en Wizard Spider: hoe ESET het er vanaf bracht in de ATT&CK® Evaluation.
Een detectie- en responsoplossing ontwerpen die alle relevante metrieken balanceert, is geen gemakkelijke opgave. Wat de bespreking van XDR in dit blog laat zien, is dat er verschillende moeilijkheden zijn als het gaat om het ontwikkelen van native en hybride integraties voor EDR-oplossingen. Datzelfde geldt voor het opschalen in dataopslag via clouddeployments, met de garantie dat de detecties van hoge kwaliteit zijn, van genoeg context voorzien zijn, en de performance van het systeem hoog blijft.
Hoewel er zeker volwassen organisaties zullen zijn die met deze complexiteit uit de voeten kunnen, is de realiteit dat veel organisaties slechts één of twee IT-beheerders hebben. Security is slechts een klein deel van hun uiteenlopende takenset. Voor sommige organisaties kunnen dan ook de ATT&CK Evaluations, die zich richten op geavanceerde dreigingsgroeperingen en de nadruk op XDR niet erg relevant lijken.
Zowel de evaluaties als het nastreven van XDR gaan echter over de securitypraktijk in het algemeen, dat uiteenloopt van simpele configuraties en policies tot het geavanceerde finetunen en optimaliseren, die nodig zijn om ook bescherming tegen veelvoorkomende dreigingen te garanderen. XDRs nadruk op de cloud zorgt er zelfs voor dat organisaties zonder toegewijd securityteam hun beveiliging kunnen verbeteren. Zulke organisaties kunnen er namelijk achterkomen dat hun securitypraktijken tekortschieten in vergelijking met standaarden uit hun sector. De ATT&CK Evaluations en de focus op XDR kunnen op deze manier inzichten bieden voor organisaties om hun security naar een hoger niveau te brengen.