SOC, SIEM, UEBA,
EDR, XDR, MDR

Hva betyr egentlig alle disse forkortelsene?

IT-sikkerhetsbransjen har mange forkortelser og begreper, men hva betyr de egentlig? Dette tar jeg en titt på i denne bloggen.

Hva er SOC?

SOC eller Security Operations Center er den delen av organisasjonen som håndterer et bredt spekter av sikkerhetsrelevante områder. Det er IKKE de som driver selskapets brannmur eller annet sikkerhetsutstyr, men følgende oppgaver ligger naturlig i SOC:

  • Asset og asset inventory – HW / SW
  • Forebyggende vedlikehold av sikkerhetsløsninger (sikkerhetsoppdateringer, FW-policyer eller andre sikkerhetspolicyer, detektere innsidetrusler)
  • Logginnsamling (sikkerhetsrelatert), logghåndtering
  • SIEM (Security Information and Event Management), use cases samt utvikling og vedlikehold av use cases og deteksjonsregler
  • Oppdagelse av sikkerhetshendelser og brudd på retningslinjene – logganalyse, triage og sikkerhetsanalyse
  • Sikkerhetshendelser og kritikalitet
  • Analyse, studie og dokumentasjon av sikkerhetstrender
  • Årsaksanalyser (root causes) og hvorfor / hvordan det skjedde – feede tilbake til policyer og oppsettpolicyer
  • Sårbarheter, oppdateringshåndtering og white listing
  • Sikkerhetskontroller
  • Pentest, scoping, skanning og rapportering
  • Samsvarsrevisjon (Compliance audit)
  • Rapportering om sikkerhetskontroller i forhold til kontrollrammeverk
  • Råd om verktøyene som organisasjonen bruker, inkl. tredjepartsleverandører, for å sikre at de kan løse sikkerhetsproblemer og kontrollkrav
  • Håndheving av sikkerhetspolicy og prosedyrer
  • Sikkerhetskopiering, lagring og gjenoppretting

 

Den typiske rollefordelingen vil se slik ut:

SOC Manager: Personen som er ansvarlig for SOC – vanligvis med rapportering til enten CISO eller administrerende direktør i organisasjonen
Compliance auditor: Spiller en nøkkelrolle i standardisering av prosesser, og sikrer at retningslinjer og prosedyrer etterleves.
Incident responder: Svarer raskt på alarmer
SOC-analytiker: Gjennomgår tidligere hendelser, finner årsaken til hendelser og gir innspill for å endre policyinnstillinger eller konfigurere sikkerhetskontroller
Threat hunter: Utfører tester på tvers av nettverket for å identifisere sårbarheter før de kan utnyttes. Målet er å finne sårbarheter før en hacker kan utnytte dem til et angrep. Pentest kan være en viktig informasjonskilde for å støtte dette arbeidet eller en BAS-løsning (Breach and Attack Simulation)

Når organisasjoner sier de er ute og leter etter ‘SOC-as-a-Service’, mener de vanligvis noe annet. Dette fordi et bredt spekter av oppgaver er vanskelig å kjøpe som en tjeneste, da det krever en dyp kontekst / innsidekunnskap om organisasjonen og kan være vanskelig å sette ut til andre. De ønsker nok mer oppgavespesifikt å avlaste SOC med de tunge standardiserte oppgavene hvor det kan være vanskelig å få tak i ansatte. Det kan og vil vanligvis være:

  • Managed log management
  • Managed SIEM
  • Managed Detect and Respons Service
  • Managed vulnerability scanning og management
  • Pentesting eller Managed Breach and Attack simulation

Hva er SIEM?

Kort fortalt er SIEM (Security Information and Event Management) en sikkerhetsløsning som hjelper organisasjonen med å gjenkjenne potensielle sikkerhetstrusler og sårbarheter før de har mulighet til å ramme virksomheten. Den gir typisk sanntid eller nesten sanntid overvåking og analyse av hendelser, samt sporing og logging av sikkerhetsdata for samsvar og revisjonsformål.

SIEM inkluderer vanligvis loggadministrasjon for innsamling, normalisering og berikelse av en lang rekke datakilder fra infrastrukturen. Typiske logger og flytdata fra brukere, applikasjoner, HW/SW-ressurser, sky, nettverk samles inn, lagres og analyseres i sanntid, slik at IT- og sikkerhetsteam automatisk kan administrere nettverkshendelsesloggen og nettverksflytdata på ett sentralt sted, noe som f.eks  anbefales i CIS-kontroll 8.

Hendelseskorrelasjon og -analyse er en viktig del av enhver SIEM-løsning. Ved å bruke avansert analyse for å identifisere og forstå komplekse datamønstre, gir hendelseskorrelasjon innsikt så du raskt kan lokalisere og redusere potensielle trusler mot selskapets sikkerhet. SIEM-løsninger forbedrer gjennomsnittlig tid til deteksjon (MTTD) og gjennomsnittlig tid til å svare (MTTR) for IT-sikkerhetsteam ved å avlaste de manuelle arbeidsflytene knyttet til dybdeanalysen av sikkerhetshendelser.

Fordi de muliggjør sentralisert administrasjon av lokal og skybasert infrastruktur, er SIEM-løsninger i stand til å identifisere og gjennomføre hendelsesovervåking og sikkerhetsvarsler for alle enheter i IT-miljøet. Dette gjør det mulig for SIEM-teknologi å overvåke sikkerhetshendelser på tvers av alle tilkoblede brukere, enheter og applikasjoner mens den klassifiserer unormal atferd ettersom den oppdages i nettverket. Ved å bruke tilpassede, forhåndsdefinerte korrelasjonsregler, kan administratorer varsles umiddelbart og iverksette passende tiltak for å redusere det før det eskalerer til mer betydelige sikkerhetsproblemer.

Noen SIEM-løsninger integreres også med tredjeparts feeds for trusselintelligens for å sammenstille deres interne sikkerhetsdata med tidligere anerkjente trusselsignaturer og profiler. Integrasjon med trusselintelligens i sanntid gjør det mulig for team å blokkere eller oppdage nye typer angrepssignaturer.

SIEM er den grunnleggende byggesteinen i enhver løsning der du bruker infrastrukturens digitale fotavtrykk (logger, flyt osv.) for å oppdage uønsket aktivitet i infrastrukturen. SIEM-funksjonaliteten kan forekomme i mange forskjellige varianter, men den grunnleggende funksjonen er typisk som ovenfor.

Hva er User Entity and Behavior Analytics – UEBA?

User Entity and Behavior Analytics (UEBA) er en relativt ny teknologi som, basert på avanserte maskinlæringsalgoritmer (ML), kan finne anomaliteter i de store mengdene loggdata. Begrensningen til en SIEM-løsning er at den vanligvis gjør oppdagelser basert på statisk fastsatte regler, akkurat som IDS (Intrusion Detection System, som kun gjør oppdagelser basert på signaturer eller regler).

Det er et kappløp å utvikle regler for å oppdage atferdesendringer i takt med angripernes endrede teknikker. Dette er derfor det nye våpenet i kampen mot hackere. Å oppdage anomaliteter avslører vanligvis et angrep uten å ha en regel for det i SIEM-en. Disse deteksjonsmetodene kan enten være basert på noen forhåndsdefinerte algoritmer (overvåket) eller utelukkende basert på avvik i store mengder av data, hvor man uten noen form for regler baserer seg på oppførsel for de enkelte enhetene og for enhetene i forhold til sammenligningsgrupper (uovervåket) og derfra kan man finne unormal atferd som potensielt avslører et kompromittert system. UEBA-systemer er tilgjengelige enten som integrerte elementer i noen SIEM-systemer eller som frittstående produkter.

Hva er Endpoint Detection and Response (EDR)?

Endpoint Detection and Response (EDR) er en integrert endepunktsikkerhetsløsning som kombinerer kontinuerlig overvåking og innsamling av sanntids endepunkts-telemetridata med regelbaserte automatiserte respons- og analysefunksjoner. Noen systemer inkluderer også ML-teknologi (Machine Learning) for å støtte atferdsdeteksjon. Begrepet ble foreslått av Anton Chuvakin hos Gartner for å beskrive nye sikkerhetssystemer som oppdager og undersøker mistenkelige aktiviteter på hoster og endepunkter, og som bruker en høy grad av automatisering for å gjøre det mulig for sikkerhetsteam å raskt identifisere og reagere på trusler.

De primære funksjonene til et EDR-sikkerhetssystem er å:

  • Overvåke og samle inn telemetri-/aktivitetsdata fra endepunkter som kan indikere en trussel
  • Analysere disse dataene for å identifisere trusselmønstre
  • Svare automatisk på identifiserte trusler for å fjerne eller isolere dem, og varsle sikkerhetspersonell
  • Etterforsknings- og analyseverktøy for å undersøke identifiserte trusler og søke etter mistenkelige aktiviteter
  • Noen EDR-systemer er kombinert med EPP (End Point Protection), slik at du også får den tradisjonelle endepunktbeskyttelsen som skanning av skadevare, utnyttelsesbeskyttelse, atferdsbeskyttelse osv. Dermed får du i ett enkelt endepunktsprodukt både anbefalte forebyggende beskyttelsestiltak og evnen til å oppdage de mer sofistikerte angrepene.

Hva er XDR eller eXtended Detection and Respons?

XDR eller eXtended Detection and Respons gjør det mulig for et selskap å gå utover typiske deteksjonskontroller ved å gi et helhetlig, men likevel enklere syn på trusler på tvers av hele teknologilandskapet. I følge Gartner er XDR «et SaaS-basert, leverandørspesifikt verktøy for å oppdage sikkerhetstrusler og hendelsesresponser, som integrerer flere sikkerhetsprodukter i ett sammenhengende sikkerhetsoperativsystem, som forener alle lisensierte komponenter.» XDR gir sanntidsinformasjonen som er en nødvendighet for å oppdage trusler mot forretningsdrift for bedre og raskere resultater.

XDR tar på seg oppgaven med å konsolidere flere produkter til en sammenhengende, enhetlig deteksjons- og responsplattform for sikkerhetshendelser. XDR er en logisk utvikling av Endpoint Detection and Response (EDR)-løsninger til ett primært hendelsesresponsverktøy.

XDR leverer:

  • Overvåking og innsamling av telemetri-/aktivitetsdata på tvers av infrastruktur (endepunkt, nettverk, sky) som kan indikere en trussel
  • Analysering av disse dataene for å identifisere trusselmønstre
  • Automatisk respons på identifiserte trusler for å fjerne eller isolere dem, og varsle sikkerhetspersonell
  • Etterforsknings- og analyseverktøy for å undersøke identifiserte trusler og søke etter mistenkelige aktiviteter
  • Maskinlæring for å identifisere anomaliteter som oppstår fra ukjente angrepsteknikker

Hva er Managed Detection and Respons (MDR)?

Managed Detection and Response (MDR) er en tjeneste som sikrer den overordnede prosessen rundt deteksjon og respons.

Deteksjon og respons er til syvende og sist en kombinasjon av mennesker og teknologi. Selv om vi ser en trend mot økende grad av automatisering, er alle kunder forskjellige. Bak mange endepunkter står folk som noen ganger endrer atferd, gjør ting de ikke burde, og så er det hackerne, som også gjør sitt for å komme seg rundt i systemene.

Mange av de ovennevnte systemene leverer et stort antall falske positiver som noen må se på, forholde seg til og rydde opp i. Selv om det totale antallet alarmer minimeres betraktelig, vil det fortsatt være en stor mengde hendelser/alarmer som må vurderes av noen som er opplært i oppgaven- støttet av en teknologistack.

Av det totale antallet oppgaver i SOC er følgende deler sammenhengende og tunge å løfte for SOC både når det gjelder investering i teknologi og i menneskelige spesialister, derfor egner de seg for outsourcing til en partner som er opplært i å ta det «tunge løftet»

  • Utvikle og vedlikeholde SIEM-brukstilfeller for å kontinuerlig forbedre deteksjonsevnen
  • Vedlikeholde EDR / XDR-systemer med oppdatering av tilpassede brukstilfeller, tuning, kontinuerlig forbedring av den generelle deteksjonsevnen, basert på Threat Intel-rapporter
  • Vurdere indikatorer for alarmer og reelle alarmer fra verktøyene ovenfor og sette dem i kontekst til kundens infrastruktur og Threat Intelligence for å finne ut hvem som angriper og hvor kritisk hendelsen er.
  • Beskrive anbefalt handling/respons for en gitt hendelse til de som skal utføre de avbøtende handlingene i infrastrukturen
  • I noen tilfeller utføre handlingene i kundens infrastruktur avhengig av verktøy
  • Utføre målrettet trusseljakt for å se om det er angrep skjult i kundens infrastruktur.

Den konseptuelle jungelen rundt sikkerhetsløsninger er komplisert og løsninger passer inn i hverandre. Herfra vil anbefalingen alltid være å starte med et rammeverk, for sikkerhetsarbeidet og en analyse av hva du allerede har i hyllene, før du kaster inn nye investeringer. CIS-kontrollrammeverket fungerer som et skript for sikkerhetsarbeidet ditt. Hvis du ikke allerede kjenner rammeverket, ta en titt her.

Er det noe du lurer på?

KONTAKT OSS

Kontakt
Ta kontakt med Conscias eksperter