Wat is de SOC visibility triad?

Cybersecurity is een groeiende zorg voor organisaties wereldwijd, aangezien ze steeds meer technologie integreren in hun steeds uitgebreidere IT-netwerken. Helaas worden cybercriminelen en hackers ook steeds slimmer en geavanceerder, mede dankzij de kracht van automatisering. Hierdoor kunnen ze gemakkelijker grootschalige aanvallen uitvoeren op diverse doelen.

Een van de grootste uitdagingen voor beveiligingsteams is het verkrijgen van de nodige zichtbaarheid in steeds complexere IT-omgevingen. Om dit te vergemakkelijken, heeft Gartner het netwerkgerichte concept van de SOC-visibility triad (zichtbaarheidstriade) geïntroduceerd. Wat houdt dit concept precies in en wat zijn de belangrijkste voordelen ervan? In dit artikel zullen we antwoord geven op deze prangende vragen.

SIEM

SIEM heeft zijn sterke punten en voordelen, maar ook een paar zwakke punten als het gaat om het omgaan met geavanceerde security bedreigingen. De methode vertrouwt voornamelijk op logboekmechanismen om bedreigingen en kwetsbaarheden te detecteren. Het probleem is dat bepaalde systeemexploits en kwetsbaarheden niet of nauwelijks zichtbaar zijn in logbestanden. Ook staan bepaalde technologieën en systemen het verzamelen van logs niet toe of ondersteunen ze dit niet.

NDR

EDR

De derde component van de SOC Visibility Triad is endpoint detection and response (EDR). EDR is een overwegend gedragsgerichte security technologie die zich richt op de detectie van kwaadaardige activiteiten die direct plaatsvinden op een endpoint (server, desktop, laptop). Het belang van EDR in combinatie met SIEM en NDR? Het geeft je de mogelijkheid om de tekenen van een aanval in een zo vroeg mogelijk stadium te herkennen. Vervolgens kan je cybersecurity-team de host op afstand isoleren van het netwerk voor verder onderzoek, op zo'n manier dat alleen de analist toegang heeft tot die specifieke machine.

De kracht van de SOC Visibility Triad

Maar wat maakt de SOC Visibility Triad zo'n sterk en nuttig wapen in de voortdurende wapenwedloop tussen cybercriminelen en security professionals? Het belangrijkste voordeel is dat de oplossing de sterke punten benut en de zwakke punten vermindert van de afzonderlijke beveiligingsoplossingen die de triade vormen.

We illustreren dit met een paar voorbeelden.

De enorme hoeveelheid gegevens die je moet analyseren is een complicatie die bij NDR hoort. Door SIEM en EDR aan de mix toe te voegen, kunnen beveiligingsanalisten NDR herdefiniëren in situaties waarin de zichtbaarheid van het netwerk een punt van zorg is. End-to-end versleutelde netwerkverbindingen zijn een goed voorbeeld.

NDR vult EDR ook aan door gaten in EDR-agenten te dichten (EDR is afhankelijk van agenten om monitoringprocessen uit te voeren, maar deze agenten zijn niet altijd beschikbaar). Het belangrijkste voordeel van deze sterke EDR-NDR combinatie? Het wordt een stuk eenvoudiger om malware te detecteren die probeert te ontsnappen aan EDR-monitoring.

Elk van de drie componenten van de SOC Visibility Triad heeft zijn eigen unieke sterke en zwakke punten. De waarde van de SOC Visibility Triad ligt in het feit dat de oplossing elke component in staat stelt de andere te versterken, waardoor de sterke punten worden gemaximaliseerd en de zwakke punten geminimaliseerd. De SOC Visibility Triad creëert dus kracht door diversiteit en biedt een gelaagde en holistische benadering van netwerkbeveiliging die een duidelijk signaal afgeeft aan cyberaanvallers: wegwezen en wegblijven!