Blog

Cortex XDR vergroot jouw verdedigingslinie

EDR, XDR; het lijkt op elkaar, maar onderling verschillen ze behoorlijk. Met Palo Alto Cortex XDR als voorbeeld leggen we je uit op welke manier XDR verder kijkt dan EDR.

Wij denken dat je met hetzelfde probleem zit als veel andere IT-professionals. Dat het aantal bedreigingen simpelweg te groot is tegenwoordig. En dat het beheer van alle IT-processen rond Cyber Security zonder extra hulp niet meer te doen is. Omdat je er het personeel niet voor hebt. Of omdat applicaties binnen jouw organisatie voor netwerkbeveiliging onvoldoende beschermen.



Brede blik met Cortex XDR

Dat probleem herkennen wij en XDR komt daarin tegemoet. Waarom? Een van de belangrijkste redenen is dat het ontwerp van Palo Alto Cortex XDR ervan uit dat de wereld er morgen weer heel anders uitziet, als het gaat om netwerkbeveiliging. Niemand weet op welke manier er in de toekomst een aanval wordt ingezet. XDR weet dat ook niet, maar heeft wel een bredere blik en voegt daar intelligentie aan toe, zodat het bedreigingen eerder herkent en kan neutraliseren.

In veel gevallen is de detectie van bedreigingen bij organisaties endpoint-gebaseerd. Endpoint detection and response tools (EDR) houdt pc’s, smartphones, tablets en servers in de gaten en grijpt in als een bedreiging wordt vastgesteld. Dat doet het bijvoorbeeld met telemetrie; het monitoren van wat er gebeurt op andere plekken van het netwerk.

EDR legt daarnaast verbanden tussen verdachte gebeurtenissen. Met andere woorden; een prima tool voor endpoints en een methode die zich heeft bewezen.  

Beperkt zicht

Maar dat is wél uitsluitend bij endpoints. En dat is tegenwoordig niet meer toereikend. Want daarmee heb je nog geen zekerheid over jouw bedrijfsnetwerk als geheel.    

Het kan zijn dat je een SIEM-tool (Security information and event management) hebt om de blinde vlekken tussen de endpoints toch te kunnen zien. SIEM software-tools zijn oorspronkelijk ontworpen voor het overzichtelijk aanbieden van datalogs. Na enige tijd werd dit uitgebreid met detectie. Om deze reden is SIEM vaak een onmisbaar onderdeel van een Security Operations Center (SOC). 

SIEM mist in vergelijking met XDR de diepgang in de analyse en interpretatie van incidenten. Terwijl je met EDR weer een beperkte horizon hebt.

Daarnaast is er een praktisch bezwaar. Een probleem dat waarschijnlijk bekend voorkomt. Je hebt simpelweg niet de tijd en personeel om te switchen van SIEM-dashboard naar EDR-Console en vice versa. En ook had je de tijd wel, dan is het aantal alerts waarschijnlijk zo groot dat je moet filteren. Bijvoorbeeld door alleen de meldingen met de hoogste prioriteit op te pakken. Voor de rest wordt je eigenlijk – geef het maar toe- doof.

“53% van de ondervraagde IT-professionals geeft aan dat ze de helft van alle alerts moeten laten liggen. Als jij daar ook bij hoort, kunnen Palo Alto-oplossingen van Aumatics daar bij helpen.”
Lees verder >>>

Alert Fatigue

Dat is de welbekende ‘alert fatigue’. Je wil niet meer meldingen, maar uitsluitend relevante meldingen. Schaam je niet, je bent niet de enige. Onze Solution Partner Palo Alto ondervroeg een groep eerlijke IT-professionals. 53% Van de ondervraagden gaf aan dat ze meer dan de helft van alle meldingen niet lezen. Gewoon omdat ze daar niet aan toe komen.  

Al in 2018 liep het water bij IT-professionals al over de schoenen. Palo Alto introduceerde Cortex XDR bij monde van Nir Zuk, de chief technology officer van Palo Alto (en een van de oprichters). Nir gaf aan dat XDR in staat is om het werk deels zelf uit te voeren op de achtergrond. Daarmee reken je af met een ellelange lijst mogelijke bedreigingen, die dat achteraf gezien meestal niet zijn.

Daarnaast werd XDR voorgesteld omdat het de al aanwezige tools gebruikte om er zelf beter van te worden. Tools voor het opmerken van bedreigingen werkte vanaf dat moment dus niet meer naast elkaar, maar samen.  

Toegepaste technieken

XDR combineert dus ook zoveel mogelijk data van het complete netwerk. Zo vergroot Cortex XDR het werkgebied. Eenmaal actief in dat vergrote werkveld past het vervolgens de volgende technieken toe voor meer en slimmere detectie:

Gedragsanalyse. Afwijkende patronen kunnen wijzen op een aanval. XDR herkent de technieken die worden gebruikt, om er zo snel mogelijk mee te kunnen afrekenen. Ongeacht of dit wordt uitgevoerd op een endpoint of andere netwerkonderdelen.

Machine learning. Gebeurtenissen bij jou (en anderen) worden door Palo Alto Cortex XDR benut om jouw versie scherp te houden.

Combineren en samenvatten van meldingen. Zo voorkom je dat je beeldscherm volloopt met incidenten, waarin je het verband niet kan ontdekken. Misschien zijn 5 alerts wel onderdeel van één grote aanval. XDR ontdekt dit wel en zal je dit op die manier ook laten weten.

Vulnerability assesment. Voorkomen is beter dan genezen. Cortex XDR wijst je op kwetsbaarheden op endpoints, voordat aanvallers ze gebruiken om toegang te krijgen.

XDR is hiermee effectiever en past beter in het Cyber Security landschap van vandaag. Ja, het laat alle alarmbellen afgaan als aanvaller hun slag slaan op jouw netwerk. Dat heeft het eerder door dankzij het combineren van data van andere systemen.

Maar bovenal: Cortex XDR grijpt in voordat de ellende begint. Het wacht niet totdat je netwerk wordt binnengedrongen, maar herkent en neutraliseert de voorbereiding van een aanval.

Cortex XDR vergroot jouw verdedigingslinie