Plats / språk
Go to
Kontakt

SOC, SIEM, UEBA, EDR, XDR & MDR – förkortningar inom IT-säkerhet du bör känna till

Hem » Blogg » SOC, SIEM, UEBA, EDR, XDR & MDR – förkortningar inom IT-säkerhet du bör känna till
Peter Koch Security Evangelist
18. maj 2022

Det kryllar av förkortningar inom IT-säkerhet. Men vad betyder SOC, SIEM, UEBA, EDR, XDR och MDR egentligen? Det reder jag ut här.

Vanliga förkortningar inom IT-säkerhet:

Vad är SOC (Security Operations Center)?

Conscia SOC Security Operations Center

SOC  hanterar en lång rad säkerhetsrelevanta områden. De driver INTE företagets brandvägg eller annan säkerhetsutrustning. Däremot ligger följande arbetsuppgifter inom SOC:

  1. Tillgångar / tillgångsinventering av hårdvara och mjukvara 
  2. Förebyggande underhåll av säkerhetslösningar såsom säkerhetskorrigeringar, säkerhetspolicyer och spaning efter insiderhot
  3. Säkerhetsrelaterad logginsamling och logghantering
  4. SIEM (Security Information and Event Management), utveckling och underhåll av användarfall & övervakningspolicy
  5. Spårning av säkerhetsincidenter och policyöverträdelser – logganalys, triage och säkerhetsanalys
  6. Säkerhetsincidenter
  7. Analys av varför och hur incidenter uppstår samt policy-feedback
  8. Säkerhetstrender
  9. Sårbarheter, patch management och frilista
  10.   Säkerhetskontroller
  11.   Pentest, scoping, scanning och rapportering
  12.   Compliance-rapporter
  13.   Rapporter om säkerhetskontroller i relation till ramverk
  14.   Rådgivning som säkrar att organisationens och tredjepartsleverantörers verktyg hanterar aktuella säkerhetsutmaningar och säkerhetskrav
  15.   Löpande uppdatering av säkerhetspolicyer
  16.   Säkerhetskopiering, lagring och återställning

Den typiska rollfördelningen ser ut så här:

  • SOC Manager: Ansvarig för SOC. Rapporterar vanligtvis till CISO eller driftansvarig
  • Compliance: Spelar en nyckelroll för att standardiserar processer som säkrar att policyer, rutiner och compliance
  • Incident Responder: Reagerar vid larm
  • SOC Analyst: Granskar och fastställer orsaker till tidigare incidenter och input för att uppdatera policyinställningar och konfigurera säkerhetskontroller
  • Threat Hunter: Genomför nätverkstester som identifierar sårbarheter innan de hunnit utnyttjas. Pentest och Breach and Attack Simulation är exempel på informationskällor

När en organisation letar efter ’SOC-as-a-Service’ menar de oftast något annat eftersom en lång rad uppgifter kräver så mycket in-house-kunskap att de är svårt att köpa som en tjänst. Det brukar istället handla om att de letar efter någon som kan avlasta SOC genom att utföra tunga standardiserade uppgifter såsom täcks av ytterligare några förkortningar inom IT-säkerhet:

  1. Logghantering Managed Log
  2. SIEM-hantering
  3. Managed Detect and Response Service (MDR)
  4. Sårbarhetsskanning och hantering
  5. Pentester och Breach and Attack-simulering

Vad är SIEM (Security Information and Event Management)?

Förkortningar inom IT-säkerhet: SIEM (Security Information and Event Management)Kort sagt är en SIEM en säkerhetslösning som hjälper organisationen att identifiera potentiella säkerhetshot och sårbarheter innan de kan stoppa verksamheten. Den ger vanligen realtidsövervakning eller  snudd på realtidsövervakning såväl som  incidentanalys samt spårning och loggning av säkerhetsdata för att säkra compliance.

SIEM inkluderar oftast logghantering som samlar en mängd datakällor från infrastrukturen. Loggar och flödesdata från användare, applikationer, HW/SW-tillgångar, moln och nätverk samlas, lagras och analyseras i realtid för att IT- och säkerhetsteam automatiskt ska kunna hantera nätverkshändelselogg och nätverksflödesdata på en central plats   som CIS-kontroll 8 rekommenderar.

Händelsekorrelation och analys är en central del av alla SIEM-lösningar. Med avancerad analys som identifierar och förstår komplexa datamönster kan händelsekorrelation snabbt lokalisera och mildra potentiella säkerhetshot. SEIM-lösningar avlastar den manuella arbetsprocessen när säkerhetsincidenter analyseras och förkortar den genomsnittlig tiden till upptäckt (MTTD) såväl som den  genomsnittliga svarstiden (MTTR).

Central hantering av lokal och molnbaserad infrastruktur betyder att SIEM-lösningar kan identifiera och utföra incidentövervakning och säkerhetsvarningar för alla enheter i IT-miljön. SIEM kan därmed övervaka säkerhetsincidenter för alla anslutna användare, enheter och applikationer samtidigt som onormalt beteende klassificeras omedelbart vid upptäckt. Med anpassade, fördefinierade korrelationsregler kan administratörer varnas omgående och får möjlighet att utföra lämpliga åtgärder innan incidenten eskalerar.

Vissa SIEM-lösningar kan samspela i realtid med en tredjepartsleverantörs threat intelligence och därmed integrera ytterligare säkerhetsdata. Det betyder att team tidigt kan blockera och upptäcka nya attacksignaturer.

SIEM är den grundläggande byggstenen i alla lösningar där du använder digitala fotavtryck såsom loggar och flöde för att upptäcka oönskad aktivitet. SIEM-funktionaliteten kan förekomma i många olika varianter, men den grundläggande funktionen beskrivs ovan.

Vad är UEBA (User Entity and Behavior Analytics)?

UEBA, EDR, XDR & MDR – förkortningar inom IT-säkerhetUEBA är en relativt ny teknik som använder avancerade maskininlärningsalgoritmer (ML) för att hitta anomalier i stora mängder loggdata. Begränsningen med en SIEM-lösning är att den, precis som IDS (Intrusion Detection System, oftast gör upptäcker baserat på statiskt fastställda regler. När angripare byter teknik blir det kapplöpning med tiden för att att utveckla nya regler. UEBA motverkar detta.

UEBA kan avslöja en attack utan att det finns en regel för det i din SIEM. UEBA baseras antingen på några fördefinierade algoritmer (övervakad) på avvikelser i den stora mängden data, där enskilda enheters beteende analyseras i relation till jämförelsegrupper för att på det sättet hitta onormalt beteende som potentiellt avslöjar ett komprometterat system. UEBA-Systemen finns antingen som integrerade element i vissa SIEM-system eller som fristående produkter.

Vad är EDR (Endpoint Detection and Response)?

UEBA, EDR, XDR & MDR – förkortningar inom IT-säkerhetEDR är en integrerad slutpunktssäkerhetslösning som kombinerar kontinuerlig övervakning och insamling av telemetridata från realtidsslutpunkter med regelbaserade automatiska svars- och analysfunktioner. Vissa system stödjer beteendededektering genom att inkluderar ML-teknik (Machine Learning). Termen initierades av Anton Chuvakin på Gartner och definiera säkerhetssystem som använder en hög grad av automatisering för att göra det möjligt för säkerhetsteam att snabbt identifiera och reagera på hot.

De primära funktionerna för ett EDR-säkerhetssystem är att:

  1. Övervaka och samla in telemetri-/aktivitetsdata från slutpunkter som kan indikera ett hot
  2. Analysera dessa data för att identifiera hotmönster
  3. Automatiska svar som eliminera eller isolerar identifierade hot eller varnar säkerhetspersonal
  4. Utrednings- och analysverktyg som undersöker identifierade hot och söker efter misstänkta aktiviteter

Vissa EDR-system kombineras med EPP (End Point Protection), så att även traditionellt endpoint-skydd som skanning av skadlig kod, exploateringsskydd, beteendeskydd etc. inkluderas. Därmed får du i en övergripande endpoint-produkt både det rekommenderade förebyggande skyddet och åtgärder samt detektionsförmågan, där osynliga slutpunktsenheter (endpoints) förflyttas över infrastrukturen för att upptäcka sofistikerade attacker.

Vad är XDR (Extended Detection and Response)?

XDR  tar organisationen förbi vanliga övervakningskontroller och ger en holistisk och tydlig bild av hot i hela landskapet. Gartner definierar Extended Detection and Response (XDR) som ”ett SaaS-baserat, leverantörsspecifikt verktyg som upptäcker säkerhetshot och incidenter genom att integrera flera säkerhetsprodukter i ett sammanhängande säkerhetsoperativsystem”.

Genom att konsolidera flera produkter till en sammanhängande, enhetlig plattform ger XDR den realtidsinformation som är krävs för att snabbt och säkert upptäcka hot mot affärsverksamheten. Det här är en logisk utveckling när Endpoint Detection and Response (EDR)-lösningar får ett primärt hanteringsverktyg.

XDR ger:

  1. Övervakning och insamling av telemetri-/aktivitetsdata (slutanvändare, nätverk, moln) i hela infrastrukturen som indikerar ett hot
  2. Analys av dessa data för att identifiera hotmönster
  3. Automatiska svar för att eliminera eller isolera identifierade hot alternativt varna säkerhetspersonalen
  4. Undersöknings- och analysverktyg för att undersöka identifierade hot och söka efter misstänkta aktiviteter
  5. Maskininlärning som identifiera de anomalier som uppstår vid okända attacktekniker

Vad är MDR (Managed Detection and Response)?

UEBA, EDR, XDR & MDR – förkortningar inom IT-säkerhetMDR  säkrar den övergripande processen vid upptäckt och respons. Detektion och svar är i slutändan en kombination av människa och teknik. Även om det finns en trend mot ökande automatisering är alla organisationer olika. Bakom många endpoints  finns människor som ibland ändrar beteende eller gör saker de inte borde göra. Samtidigt finns hackare som gör allt för att lura systemen.

Flera av lösningarna ovan ger ett stort antal falska positiva svar som någon måste titta på, hantera och rensa ur. Även om det totala antalet larm minskar avsevärt kommer det fortfarande finnas en stor mängd incidenter/larm som behöver bedömas av någon som kan området.

När det handlar om SOC finns några sammanhängande och krävande uppgifter, både i form av teknikinvesteringar och mänskliga resurser, som passar bra att outsourca till en partner som kan hantera tunga delar själva. Hit hör:

  1. Kontinuerligt förbättrad övervakningsförmåga genom att utveckla och underhålla SIEM-användarcase.
  2. Underhåll av EDR/XDR-system med uppdaterade skräddarsydda användarfall, anpassning och kontinuerlig förbättrad övervakningsförmåga utifrån Threat Intel-rapporter.
  3. Avgöra vem som står bakom attacken och händelsen genom att sätta larmindikatorer i relationen till kundens infrastruktur och threat intelligence med hjälp av verktygen ovan.
  4. Rekommendera åtgärder för de som ska utföra mildrande en given incident.
  5. I vissa fall utföra åtgärden i kundens infrastruktur.
  6. Avgöra om det finns dolda attacker i organisationens infrastruktur genom riktad threat hunting.

CIS ControlsSäkerhetslösningar består av en djungel av förkortningar inom IT-säkerhet där olika lösningar hakar i varandra. Rekommendationen är att börja med att inventera existerande lösningar innan man gör nya investeringar. Här kan du läsa mer om CIS-säkerhetsramverk, som fungerar som ett script för ditt säkerhetsarbete.

Har du frågor om dessa förkortningar inom IT-säkerhet?

 

Hör av dig

 

Kontakta oss!
Svar inom 24h