Wat is de SOC visibility triad?

Cybersecurity is een groeiende zorg voor organisaties wereldwijd, aangezien ze steeds meer technologie integreren in hun steeds uitgebreidere IT-netwerken. Helaas worden cybercriminelen en hackers ook steeds slimmer en geavanceerder, mede dankzij de kracht van automatisering. Hierdoor kunnen ze gemakkelijker grootschalige aanvallen uitvoeren op diverse doelen.

Een van de grootste uitdagingen voor beveiligingsteams is het verkrijgen van de nodige zichtbaarheid in steeds complexere IT-omgevingen. Om dit te vergemakkelijken, heeft Gartner het netwerkgerichte concept van de SOC-visibility triad (zichtbaarheidstriade) geïntroduceerd. Wat houdt dit concept precies in en wat zijn de belangrijkste voordelen ervan? In dit artikel zullen we antwoord geven op deze prangende vragen.

Drie kernonderdelen van de SOC visibility triad

Zoals de naam al doet vermoeden, vertrouwt de SOC-zichtbaarheidstriade op drie bekende kernonderdelen van security.

  • Gebruikers- en entiteitsgedrag via security information and event management, een beveiligingsstrategie die beter bekend staat als SIEM.
  • Network detection and response (NDR).
  • Endpoint detection and response (EDR).

Laten we deze beveiligingspijlers eens nader bekijken en ontdekken hoe ze elkaar aanvullen en versterken.

Placeholder for SOC Visibility TriadSOC Visibility Triad

SIEM

SIEM heeft zijn sterke punten en voordelen, maar ook een paar zwakke punten als het gaat om het omgaan met geavanceerde security bedreigingen. De methode vertrouwt voornamelijk op logboekmechanismen om bedreigingen en kwetsbaarheden te detecteren. Het probleem is dat bepaalde systeemexploits en kwetsbaarheden niet of nauwelijks zichtbaar zijn in logbestanden. Ook staan bepaalde technologieën en systemen het verzamelen van logs niet toe of ondersteunen ze dit niet.

Hoewel een moderne SIEM-oplossing een goed hulpmiddel is om een eerste verdedigingslinie voor het netwerk te vormen, moet het worden aangevuld met een extra beveiligingslaag. Elke SIEM is slechts zo krachtig als zijn gegevensbron. Zonder betrouwbare feeds en voldoende dekking is de SIEM zo goed als blind.

NDR

En dat is waar NDR zijn intrede doet in de moderne security vergelijking. NDR is een aanvulling op de logboekanalyse die een SIEM-oplossing uitvoert. Het doet dit door gedetecteerde bedreigingen te correleren met netwerkactiviteiten en zo (mogelijke) gaten in de logbestanden op te vullen. NDR levert de belangrijke netwerkgegevens die de SIEM nodig heeft om context toe te voegen aan de verschillende bedreigingen en kwetsbaarheden die het detecteert.

Door de combinatie van moderne SIEM- en NDR-technologie kun je gegevens uit een groter aantal bronnen gebruiken. Het resultaat? Beter zicht op het netwerk, grondiger analyses en de mogelijkheid om sneller te reageren op potentiële bedreigingen en inbreuken op de beveiliging. NDR helpt je om de beschermingsomvang van een stand-alone SIEM oplossing te vergroten.

EDR

De derde component van de SOC Visibility Triad is endpoint detection and response (EDR). EDR is een overwegend gedragsgerichte security technologie die zich richt op de detectie van kwaadaardige activiteiten die direct plaatsvinden op een endpoint (server, desktop, laptop). Het belang van EDR in combinatie met SIEM en NDR? Het geeft je de mogelijkheid om de tekenen van een aanval in een zo vroeg mogelijk stadium te herkennen. Vervolgens kan je cybersecurity-team de host op afstand isoleren van het netwerk voor verder onderzoek, op zo'n manier dat alleen de analist toegang heeft tot die specifieke machine.

De kracht van de SOC Visibility Triad

Maar wat maakt de SOC Visibility Triad zo'n sterk en nuttig wapen in de voortdurende wapenwedloop tussen cybercriminelen en security professionals? Het belangrijkste voordeel is dat de oplossing de sterke punten benut en de zwakke punten vermindert van de afzonderlijke beveiligingsoplossingen die de triade vormen.

We illustreren dit met een paar voorbeelden.

De enorme hoeveelheid gegevens die je moet analyseren is een complicatie die bij NDR hoort. Door SIEM en EDR aan de mix toe te voegen, kunnen beveiligingsanalisten NDR herdefiniëren in situaties waarin de zichtbaarheid van het netwerk een punt van zorg is. End-to-end versleutelde netwerkverbindingen zijn een goed voorbeeld.

NDR vult EDR ook aan door gaten in EDR-agenten te dichten (EDR is afhankelijk van agenten om monitoringprocessen uit te voeren, maar deze agenten zijn niet altijd beschikbaar). Het belangrijkste voordeel van deze sterke EDR-NDR combinatie? Het wordt een stuk eenvoudiger om malware te detecteren die probeert te ontsnappen aan EDR-monitoring.

Elk van de drie componenten van de SOC Visibility Triad heeft zijn eigen unieke sterke en zwakke punten. De waarde van de SOC Visibility Triad ligt in het feit dat de oplossing elke component in staat stelt de andere te versterken, waardoor de sterke punten worden gemaximaliseerd en de zwakke punten geminimaliseerd. De SOC Visibility Triad creëert dus kracht door diversiteit en biedt een gelaagde en holistische benadering van netwerkbeveiliging die een duidelijk signaal afgeeft aan cyberaanvallers: wegwezen en wegblijven!

Whitepaper

Download de whitepaper over 'Understanding the basics of cybersecurity'

70+ pagina's om meer te leren over cybersecurity en je comfortabel te voelen in een gesprek over security (Engelstalig).

Neem contact op
Placeholder for Basics of cyber securityBasics of cyber security