ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

De SOC Visibility Triad: een heilige drieëenheid?

Door 23 februari 2023 juni 23rd, 2023 Blog
SOC visibility triad podcast

Deze podcast heeft een actuele aanleiding, want kort voor het gesprek bracht Tesorion een persbericht uit: het heeft Vectra gekozen als partner voor NDR. Daarom gaat host Lex Borger dit keer in gesprek met Rudi Jager, cybersecurity-expert bij Vectra. De tweede gast is Geert van den Berg, consultant bij Tesorion.

SIEM leek ooit de heilige graal van actieve beveiliging. Inmiddels is die status flink bijgesteld: in de SOC Visibility Triad van Gartner moet SIEM samenwerken met NDR en EDR. Rudi: “Die zorgen voor de input van gegevens die in de SIEM worden geanalyseerd.”

“Maar als je moet kiezen?” vraagt Lex. “Met mijn achtergrond heb ik misschien een gekleurd beeld”, zegt Rudi. “Het voordeel van NDR is dat je geen agents hoeft te installeren en je netwerkverbindingen niet hoeft te onderbreken. Het heeft dus geen impact op je latency of applicatie-performance.”

Er zijn wel meerdere smaken in NDR-platformen. Ze kunnen gebruik maken van threat-intelligence, anomaly-detection en/of gedragsanalyse. Belangrijk is dat ze een referentiekader hebben naar het MITRE ATT&CK-framework: dat beschrijft technieken en methodes van aanvallers. Zo weet NDR waar het naar moet zoeken. “Alles wat vreemd is én verdacht”, vat Lex samen.

Nadeel wordt voordeel

“Heeft NDR geen problemen met encryptie van netwerkverkeer?” wil Geert weten. Dat is inderdaad een issue. Rudi: “Straks krijgen we TLS 1.3. Dan wordt decryptie nog moeilijker. Verder zit je met privacy en compliance-problemen. En Zero Trust! Want als je de sleutels aan een andere leverancier geeft, is er altijd kans op misbruik, al dan niet bewust.”

Maar het encryptie-nadeel lijkt een voordeel te worden. “Er zijn slimme algoritmes ontwikkeld die kijken naar het gedrag van die versleutelde gegevensstromen. Aan de hand van parameters zoals intervallen, timings, de hoeveelheid verstuurde en ontvangen data. Zo kun je zien of er hackers bezig zijn. En doordat je niet hoeft te decrypten, heb je ook minder hardware-resources nodig: het is een stuk efficiënter en goedkoper.”

IJzersterk duo

Je zou bijna denken dat NDR alles is wat je nodig hebt. Maar het moet volgens Rudi hand in hand gaan met EDR: “Alleen daarmee kun je rechtstreeks in een systeem kijken: de kernel, memory en dergelijke.”

Geert is het daar roerend mee eens: “Je ziet dan of bepaalde processen met elkaar praten. En EDR kan een script intern tijdig stoppen. Zo krijg je een gelaagde verdediging. En die wordt nog krachtiger als je EDR en NDR kunt integreren, zodat ze elkaars informatie gebruiken, al vóór die in de SIEM komt.”

Tijd en geld besparen

De SIEM lijkt zo steeds minder belangrijk. Lex: “Bij SIEM denkt men vaak aan kreunende SOC-analisten die eindeloos analyses moeten doen voor ze weten of ze een alert prioriteit moeten geven.” Geert: “Maar dan missen ze de metadata die EDR/NDR kan geven over aanvallen.”

Door goed gebruik te maken van die informatie, kun je bovendien niet alleen tijd maar ook geld besparen. Lex: “Toen SIEM’s nieuw waren, had je nauwelijks genoeg data om ze te voeren. Maar nu is dat totaal omgeslagen: het is zoeken naar een naald in een hooiberg. Dat is alleen leuk voor de SIEM-leveranciers, want die krijgen betaald per event dat je erin stopt.”

Rudi: “Dan gaan bedrijven dus selectief voeren. Maar daarmee creëer je blinde vlekken in je IT-omgeving. Met EDR/NDR kun je hoogwaardige alerts naar de SIEM sturen. Dat is een paar MB per dag. En die kun je mooi correleren met de logdata die er ook in gaat. Zo weet de security-analist snel wat prioriteit moet krijgen.”

“Voor die threat management is de SIEM een hartstikke goede tool”, bevestigt Geert. Zo is de Triad van Gartner compleet.

Ziekenhuis

In veel gevallen is EDR niet mogelijk. Neem een ziekenhuis: daar is volgens Rudi vaak de helft van alle devices vanuit een cybersecurity-oogpunt unmanaged: “Apparaten naast het bed of in operatiekamers worden onderhouden door de leveranciers, maar het security-team van het ziekenhuis kan en mag er niets op installeren. Dit is een heel mooie business-case voor NDR, want dat kijkt passief mee vanaf het netwerk.”

Ook in andere omgevingen vindt je tal van unmanaged devices: “Denk aan een appliance van een leverancier, een netwerkswitch waar je geen EDR op kunt zetten, toegangspoortjes voor het gebouw, camerasystemen. Die data heb je niet. En aanvallers werken liever op een systeem zonder EDR. Dus de combinatie met NDR is superbelangrijk.”

Andermans computer

De cloud is feitelijk ook een ‘unmanaged device’, zo zegt Geert. EDR kun je dus vergeten, maar wat zijn de mogelijkheden voor NDR?

Dat varieert volgens Rudi. “IaaS is eigenlijk een netwerk van het bedrijf zelf in de cloud. Dat kun je goed monitoren met een NDR-platform. Je kunt virtuele taps gebruiken: Microsoft, AWS en Google hebben allerlei technieken ontwikkeld om het verkeer af te tappen.”

“Bij PaaS moet je vooral kijken naar het management-platform van de cloudomgeving, want de inlogpagina voor beheerders is voor iedereen beschikbaar, ook voor hackers. Er zijn NDR-vendoren die ook die omgeving monitoren.”

Bij SaaS-toepassingen werk je al helemaal op andermans computer, waar je een applicatie deelt met de andere gebruikers. “Dus mijn advies voor SaaS: gebruik vooral een identity-provider waar je wel controle over hebt, zodat je de toegang tot jouw tenant kunt monitoren.”

Lex: “En maak afspraken met de SaaS-leverancier over hoe hij zelf zijn eigen monitoring doet. Dat is een kwestie van een SLA opstellen en regie daarop uitvoeren.”

Conclusie

Voorkomen blijft beter dan genezen, maar het lukt niet altijd, zo concludeert Rudi: “Je leest dagelijks in de krant dat preventie niet voldoende is voor cybersecurity. Dus welke detectie heb je nodig? Begin met je netwerk en je endpoints, en ga dan kijken wat je eventuele gaps zijn, en wat je risk-appetite is om daar ook nog monitoring voor te gaan inregelen. Dat zal uiteraard variëren met het soort bedrijf en het budget dat je ervoor hebt.”

Meer weten?
In de podcast werd meer besproken dan we in deze blog kwijt konden. Wilt u meer weten? Bijvoorbeeld over het gevaar van tv in de boardroom, NDR en OT, of hoe het drietal de toekomst van NDR ziet? Beluister Tesorion Podcast 53.

Close Menu