Sjoerd de Jong - SentinelOne: XDR is geen product, maar een strategie

Anders dan eerdere acroniemen in IT-beveiliging als EDR en EPP is Extended Detection & Response (XDR) geen product, maar een strategie. Dat vindt Sjoerd de Jong van SentinelOne, de cyberbeveiliger die op basis van deze 'holistische' benadering van detectie en respons het succesvolle platform Singularity ontwikkelde. “XDR blust niet alleen brandjes, maar kijkt bij een incident naar de bredere context.”

SentinelOne, het cyberbeveiligingsbedrijf uit Californië dat volgend jaar tien kaarsjes uitblaast, laat er geen twijfel over bestaan: de toekomst van cybersecurity is de autonome en proactieve benadering van XDR, een holistische manier van beveiligen waarmee gebruikers niet alleen een incident overleven, maar écht de strijd winnen. Sjoerd de Jong, sinds februari 2020 Sales Engineer Enterprise & Major Accounts bij SentinelOne, ziet XDR als de verdere evolutie van het al langer bestaande Endpoint Detection & Response (EDR). “Anders dan EDR of bijvoorbeeld een Endpoint Protection Platform (EPP) is XDR veel meer dan een (enkelvoudig) product. Ik noem het liever een strategie.”

'Extended'
Om dat uit te leggen maakt De Jong een knip tussen de twee onderdelen die in XDR samenkomen: detectie en respons. “Extended Detection houdt in dat de detectie van een incident in de basis wordt gedaan door een standaard endpoint securityfunctie, vergelijkbaar met een EDR, maar dat de gewonnen informatie over het incident vervolgens wordt aangevuld met contextuele data uit andere IT-oplossingen binnen het eigen netwerk, en zelfs daarbuiten: in het ecosysteem van de betreffende organisatie. Op die manier overziet een analist in één keer alle mogelijke gebruikers die bij een incident betrokken kunnen zijn (geweest), tot welke groep zij behoren en of er de afgelopen periode een trend van (bijvoorbeeld) authenticatiefouten of abnormale e-mailactiviteiten rondom deze gebruikers zijn geweest. In één blik wordt duidelijk waar een incident om draait en wat de (bredere) context is.”

Dan Extended Response. “Een goed werkende endpoint securityoplossing mitigeert een dreiging zodra die wordt geconstateerd op een endpoint”, veronderstelt De Jong. “Zo'n oplossing blust vervolgens de brand, maar daar blijft het bij omdat een EDR of andere securityoplossing niet verder kijkt dan die ene desktop, laptop of andere endpoint. Met Extended Response daarentegen, kan een analist direct acties uitvoeren in de héle organisatie. Hij kan bijvoorbeeld overal, op alle endpoints het account van een gebruiker uitschakelen, mailboxen sluiten, de gebruiker 'challengen' met een verzoek tot multifactor authenticatie en in één keer overal uitloggen waar die was ingelogd.”

Toegenomen dreiging
Criminelen zijn innovatief in het omzeilen van de (vaak gefragmenteerde) beveiliging van ICT-systemen. Cyberdreigingen veranderen daardoor voortdurend. Een bijkomend probleem is dat organisaties hun workflows draaien op steeds meer verschillende plekken, denk aan de gedistribueerde clouddiensten die in de plaats zijn gekomen van de sterk begrensde en daardoor overzichtelijke on-premises infrastructuren van vroeger. Organisaties worden bovendien kwetsbaarder door het werken op afstand en doordat ze digitaal meer en meer in contact staan met partners, klanten en andere relaties.

Ook volgens Sjoerd de Jong is het gevaar van ransomware aanvallen hierdoor sterk toegenomen. “Dan praat ik over threats die op zich gemakkelijk kunnen worden herkend door endpoint securityoplossingen. Maar wat dus ontbreekt in een EDR of andere 'traditionele' oplossing, is een directe, autonome respons. Een EDR of EPP maakt geen nauwkeurige correlatie zichtbaar van alle gedragingen die met het oog op een aanvalspoging relevant zijn.”

SentinelOne Singularity
XDR gaat duidelijk een stap verder dan EDR, dat alleen endpoints en servers beveiligt. Het is een cyberbeveiligingstechnologie die dreigingen continu bewaakt en vermindert door niet alleen traditionele endpoints, maar het hele ICT-netwerk van een organisatie te bewaken, inclusief cloudomgevingen, mobiele telefoons, IoT-devices en bijvoorbeeld containers. XDR-platforms, zoals Singularity van SentinelOne, integreren de beveiliging van een heel netwerk en verzamelen informatie over veiligheidsrisico's en kwetsbaarheden uit meerdere bronnen. Ze werken uniform en komen in de plaats van de verschillende 'silo's' die we in moderne ICT-omgevingen steeds vaker zien: tools die elk slechts een (klein) deel van de beveiliging doen.

SentinelOne Singularity XDR werkt bovendien geautomatiseerd: door gebruik te maken van artificial intelligence (AI) en machine learning (ML) kunnen dreigingen op 'machine speed', dus zonder tussenkomst van mensen worden aangepakt. “Vanaf het begin van de productontwikkeling is het gebruik van AI en ML leidend geweest”, vertelt De Jong. “Singularity moest autonoom kunnen werken en op geen enkele manier afhankelijk zijn van voorkennis over dingen als virus- of patroondefinities. De detectie in het platform moest altijd hetzelfde kwaliteitsniveau hebben, ongeacht of een endpoint of server online of offline is. En op het kritieke pad van detectie en mitigatie wilden we geen afhankelijkheid van mensen (analisten). Door te innoveren met AI en ML hebben we de time-to-containment – de tijd tussen de start van een dreiging en het in de kiem smoren daarvan – enorm teruggebracht.”

Waarom SentinelOne?
Waarin verschilt SentinelOne Singularity van andere XDR-platformen, zoals van Palo Alto, Cybereason of Rapid7? Volgens De Jong zit het verschil in de genoemde autonomie van threat detectie, in de automatisering van respons acties door het gebruik van AI en ML, en in de mogelijkheid om cyberincidenten volledig geautomatiseerd ongedaan te maken door middel van rollback en remediation. “Een belangrijk voordeel van Singularity is bovendien de mogelijkheid om data te correleren. Alle data die te maken heeft met een en hetzelfde incident, is zichtbaar in slechts één alert. Een analist krijgt direct alle informatie voorgeschoteld die relevant is voor de keuzes die hij moet maken. Correlatie van data voorkomt trouwens ook de 'alert-moeheid' die optreedt als een securityteam voortdurend van alle kanten wordt overspoeld door (ongecorreleerde) data.”

Onderscheidend is verder dat SentinelOne via de eigen Marketplace integraties aanbiedt die meteen bruikbaar zijn en volledig onderhouden worden door SentinelOne zelf. “Wij verwachten van onze klanten geen diepgaande kennis over de data die onze oplossingen delen”, besluit De Jong. “Een integratie configureren via de SentinelOne Marketplace kost hooguit een minuut en geeft direct leesbare input en hapklare Extended Response acties. Ook dat doet de concurrentie ons niet na.”.

Auteur: Jeroen Bordewijk