Sophos XDR biedt inzicht
“Wij maken het dagelijks leven van IT-beheerders een stuk eenvoudiger en wij bieden hiermee onze partners gereedschap om het beveiligingsbeheer van hun klanten te optimaliseren.” Zo omschrijft Brian Schippers (foto), manager Sales Engineering bij Sophos Nederland, het nut van ‘zijn’ Extended Detection and Response (XDR)-oplossing. “Alle belangrijke gegevens in één oogopslag.”
Schippers verwijst naar de definitie die onderzoeksbureau Gartner geeft: ‘XDR is een SaaS-gebaseerde, leverancierspecifieke tool voor het opsporen van beveiligingsbedreigingen en het reageren op incidenten die meerdere beveiligingsproducten integreert in een samenhangend systeem voor beveiligingsactiviteiten waarin alle gelicentieerde beveiligingscomponenten worden samengevoegd’. “Een mond vol, maar de kernpunten zijn: SaaS-gebaseerd en integratie”, vat hij het samen.
De vier primaire functies van een XDR-systeem zijn, aldus Gartner: het verzamelen van gegevens uit gemeenschappelijke beveiligingsproducten die standaard zijn geïntegreerd. Voorts centralisatie en normalisatie van gegevens in een centrale opslagplaats voor analyse en query's. Het derde punt is verbeterde detectiegevoeligheid als gevolg van de bijdrage van meerdere beveiligingsproducten die gecoördineerd werken. En ten slotte: gecorreleerde responscapaciteit bij incidenten die de toestand van individuele beveiligingsproducten kan wijzigen als onderdeel van het herstelproces.
Schippers werkt ruim drie jaar bij Sophos. Daarvoor heeft hij ook bij een reseller gewerkt (“Ik weet hoe het aan beide kanten werkt.”) en hij heeft de tijd van de ‘floppy firewall’ nog meegemaakt. Hij vertelt hoe Sophos tot zijn XDR-aanbod is gekomen. “Wij hebben alle smaken in huis, van firewall tot aan endpoint detection and response (EDR), alsook e-mail beveiliging. Dat geeft allemaal verschillende logfiles en statussen, terwijl je als beheerder in één oogopslag wilt kunnen zien hoe gezond het systeem is. Daarom hebben we alles geïntegreerd en de resultaten zijn zichtbaar in één scherm.”
Data lake
Hij vertelt dat EDR iets is wat je doet: je moet actie ondernemen als zich iets voordoet op een endpoint. “Met XDR gaan we een stapje verder. Sophos XDR gaat verder dan het endpoint en de server en betrekt ook firewall, e-mail en andere gegevensbronnen (Sophos Cloud Optix en Sophos Mobile XDR integratie zijn onderweg). Daarmee krijg je een holistisch beeld van de cyberbeveiligingspositie van de organisatie met de mogelijkheid om naar details te gaan wanneer dat nodig is. Dat is niet alleen handig voor beheerders, maar ook voor service providers die de beveiliging voor hun klanten in goede banen willen leiden. Het mooie van onze tooling is dat je kunt terugzoeken wat er is gebeurd, mocht dat nodig zijn. Bovendien kunnen gebruikers zelf aangeven of hun gegevens in Europa moeten worden opgeslagen; soms is dat nodig.”
Alle logging en kritische info worden zowel offline op het endpoint, als online in een “data lake” bewaard. Machine learning en kunstmatige intelligentie doen de rest: er worden automatisch correlaties gelegd en zodra ‘detection’ tot ‘response’ moet leiden, dan weet Sophos XDR wat er moet gebeuren en zal dit prompt voorstellen. Beheerders hoeven minder te doen en kunnen zich op hun kerntaken concentreren”, licht Schippers toe.
De unieke benadering van het combineren van on-device en data lake forensics biedt de breedste en meest diepgaande gecontextualiseerde inzichten die kunnen worden benut door beveiligingsanalisten via Sophos Central en via open Application Programming Interfaces (API's) voor opname in beveiligingsinformatie en gebeurtenisbeheer (SIEM) en systemen voor bewaking en beheer op afstand (RMM). De partners van Sophos zijn blij met dit nieuwe aanbod, zo vertelt Schippers. “De reacties zijn positief. Het maakt hun werk eenvoudiger en zij kunnen nieuwe diensten ontwikkelen.”
ACE
Schippers neemt de gelegenheid te baat om ook Sophos' Adaptive Cybersecurity Ecosystem (ACE) te belichten. “Aanval en verdediging is constant in beweging. Je hebt veel kennis en data nodig, plus automation om te kunnen reageren op actuele bedreigingen. ACE gebruikt de kracht van automatisering en analisten om de verschuiving van beveiligingsbeheer naar beveiligingsactiviteiten mogelijk te maken. Automation kan sneller analyseren en reageren op gedragingen en gebeurtenissen, terwijl menselijke analisten beter zijn in het correleren van meerdere verdachte signalen en het interpreteren van hun betekenis. ACE is gebouwd om de onderlinge verbondenheid van onze bedrijven en online wereld te beschermen. Het beschermt systemen en gegevens waar ze ook zijn, en leert en verbetert voortdurend om toekomstige verschuivingen in technologie en aanvallen. Op die manier beschik je altijd over de jongste informatie. ACE voorkomt automatisch zoveel mogelijk kwaadaardige activiteiten, terwijl het operators in staat stelt om zwakkere signalen van een bedreiging te zoeken en te detecteren en te voorkomen dat het inbreuken worden.”
Trouwens, zo meldt Schippers, mocht een bedrijf helemaal van het kat-en-muis-spel afwillen, dan kunnen ze altijd terecht bij Sophos Managed Threat Response: 24/7 opsporing van en reactie op bedreigingen, geleverd door een deskundig team als een volledig beheerde service. Dan neemt Sophos het over.
Door: Teus Molenaar
