De volgende generatie beveiligingsarchitectuur is hier

ExtraHop is een leverancier van enterprise cyber analytics oplossingen en biedt uw klanten complete visibility in East-West traffic. ExtraHop Reveal(x) zorgt voor realtime detectie en guided investigation voor security teams, waardoor de tijd om bedreigingen te detecteren met 95% wordt verkort en de duur van onderzoek van dagen tot minuten wordt beperkt.

De SOC-zichtbaarheidstriad—bestaande uit security information and event management (SIEM), endpoint detection and response (EDR), en network detection and response (NDR)—is al jarenlang een krachtige combinatie voor beveiligingsanalisten. Maar net zoals aanvallers hun tactieken ontwikkelen en steeds sneller worden, moeten beveiligingsteams ook evolueren.

De volgende generatie beveiligingsarchitectuur transformeert de SOC-triad naar iets meer. Kunstmatige intelligentie (AI) verbetert analyse en onderzoek. Cloud-gebaseerde architecturen maken efficiënter loggen, schalen en analyseren mogelijk. En de integratie van bredere gegevensbronnen in next-gen SIEM-technologie stelt beveiligingsteams in staat om bedreigingen effectiever te correleren, identificeren en verhelpen. Het resultaat: betrouwbaardere en relevantere beveiligingsdetecties, sneller geleverd en met diepere contextuele inzichten.

Wat is Next-Gen SIEM?

Traditionele SIEM’s zijn een geweldige hulpbron, vooral tijdens incidentonderzoeken. Maar het kan moeilijk zijn om te bepalen welke waarschuwingen betekenisvol zijn zonder een hoog niveau van vaardigheid in de toepassingen en systemen die de logs genereren. Bovendien is er het obstakel van hoge kosten voor logopslag. CrowdStrike Falcon® Next-Gen SIEM verenigt eerste- en derde-partij gegevens, native bedreigingsinformatie, AI en Crowdstrike Falcon Fusion SOAR—a security orchestration, automation, and response platform—om de capaciteiten van SOC’s te vergroten, waardoor teams bedreigingen veel sneller kunnen detecteren, onderzoeken en erop reageren dan met een traditioneel SIEM. Falcon Next-Gen SIEM is ook native voor de cloud, in tegenstelling tot traditionele SIEM-oplossingen. Het schaalt gemakkelijker, is beter ontworpen om hybride en gedistribueerde omgevingen native te ondersteunen, en maakt gebruik van strakke integraties met andere bronnen van beveiligingstelemetrie.

De Rol van RevealX in Next-Gen Beveiligingsarchitecturen

Het ExtraHop RevealX™ NDR-platform kan de overgang van uw organisatie naar een moderne beveiligingsarchitectuur gebaseerd op next-gen SIEM versnellen. Zodra RevealX op uw netwerk is ingezet, begint het gegevens direct uit pakketten te verzamelen, in plaats van uit eindpuntagents, en biedt zo zichtbaarheid in anders verborgen netwerklagen.

Netwerkgegevens van RevealX kunnen de output optimaliseren door verhelderende context te bieden aan de uiteenlopende en soms tegenstrijdige gegevensbronnen die naar next-gen SIEM-oplossingen stromen. Bijvoorbeeld, een op regels of beleid gebaseerde gegevensbron kan een bepaalde actie als hoog risico aanduiden, terwijl een andere aangeeft dat er niets aan de hand is. Deze ambiguïteit kan het moeilijk maken voor beveiligingsteams om de juiste actie te bepalen. Daar kan RevealX helpen: het platform voert gedragsanalyse uit om patronen van activiteit te begrijpen en gerichte detecties te genereren, in plaats van binaire beleidschendingen die cruciale context kunnen missen. Het eindresultaat? Verbeterde zichtbaarheid en context voor een betrouwbare, genormaliseerde gegevensbron voor next-gen SIEM’s.

Network telemetry from RevealX in a Falcon Next-Gen SIEM dashboard

De netwerkgebaseerde telemetrie die door RevealX wordt geleverd, biedt verschillende extra voordelen voor beveiligingsteams:

Het netwerk biedt beveiligingsteams een uitzonderlijk betrouwbare bron van gegevens over hun beveiligingspositie. Het netwerk levert een krachtige bron van waarheid en transparantie in de activiteiten van bedreigingsactoren. Wanneer aanvallers een eindpunt compromitteren en zijwaarts beginnen te bewegen, contact opnemen met command-and-control-servers, of proberen doelen te inventariseren en hun privileges te verhogen, wordt al deze post-compromisactiviteit vastgelegd in netwerkpakketten.

RevealX combineert volledige pakketcaptatie met krachtige mogelijkheden voor het ontsleutelen van TLS 1.3- en SSL-verkeer en is bekend met meer dan 90 netwerk-, applicatie-, database- en internetprotocollen. Hierdoor kan RevealX precies zien waar netwerkpakketten vandaan komen, waar ze naartoe gaan en wat ze bevatten—het biedt de rijkste gegevensbron voor dreigingsdetectie, onderzoek en respons.

Aangezien het netwerk alles ziet, zal uw beveiligingsteam dat ook doen.

The five layers of network-based detection provided by RevealX

RevealX vult de aanzienlijke zichtbaarheidsgaten op waar andere beveiligingsmaatregelen stoppen.

    • Traditionele Endpoint Detectie en Respons (EDR): Eindpuntagents bieden krachtige zichtbaarheid, maar niet elk eindpunt kan een traditionele agent draaien. Uit gegevens van ExtraHop blijkt zelfs dat tot 60% van de eindpunten van een organisatie niet wordt beschermd door EDR-agents. Bedreigingsactoren kunnen ook traditionele EDR-agents uitschakelen of volledig omzeilen met gestolen inloggegevens. RevealX biedt organisaties zicht op grote delen van hun infrastructuur die niet door traditionele EDR-agents worden gedekt en geeft hen een cruciale back-upcontrole wanneer bedreigingsactoren deze uitschakelen.
    • Traditionele Security Information and Event Management (SIEM): Oude SIEM-logs zijn niet gebouwd om live aanvallen te detecteren, omdat ze gebaseerd zijn op geïndexeerde gegevens. Ze zijn ook luidruchtig omdat uiteenlopende logs zonder effectieve verrijking context missen, en vereisen aanzienlijke overhead om in te zetten.
    • Intrusion Detection Systems (IDS) / Intrusion Prevention Systems (IPS): Een IDS vangt alleen bekende bedreigingen en biedt geen context. Daarentegen biedt RevealX vijf lagen van netwerkgebaseerde detectie, waaronder gedragsdetecties aangedreven door machine learning, netwerkindicator-detecties, detecties van routinematig misbruikte kwetsbaarheden, detecties van opkomende exploits, en netwerk-malware-detecties.
    • Next-Gen Firewalls (NGFW’s): NGFW’s hebben geen zicht op oost-west verkeer, en gegevens van NGFW’s kunnen omslachtig zijn om in onderzoek workflows te integreren in oudere systemen.

Door de krachtige netwerkinzichten van RevealX te combineren met de geavanceerde, AI-native mogelijkheden van de CrowdStrike Falcon Next-Gen SIEM, kunnen beveiligings- en IT-teams de toekomst van het Security Operations Center (SOC) betreden en zich beter verdedigen tegen geavanceerde bedreigingen.

DE originele blog

 

 


Wilt u graag meer informatie over ExtraHop of een offerte aanvragen?
Aarzel dan niet om contact met ons op te nemen. Bel naar tel. +31 (0) 499 462121 of stuur een e-mail: info@exclusive-networks.nl