Vad är skillnaden på SOC, SIEM, MDR, EDR?

Vad är skillnaden på SOC, SIEM, MDR, EDR? Akronymer dominerar jargongen av incidentidentifiering och respons. Här är vad de betyder.

SOC står för Security Operation Center. En SOC fokuserar vanligtvis inte enbart på drift av den tekniska säkerhetsmiljön, utan också på sårbarhetsanalys, proaaktiv hotövervakning och kvalificering av incidenter.

• SOC – hanterar drift och övervakning av säkerhetslösningarna, implementerar förändringar, tar hand om support och felsökning.
• CyberSOC – det operativa cybersäkerhetscentret monitorerar trafik, samt analyserar och triagerar larm som kommer från olika plattformar. De gör en inledande hantering av ev incidenter exempelvisi form av isolering av infekterade enheter.
• CERT – star för Computer Emergency Response Team. Detta team agerar på distans vid en incident men har också resurser för att sköta en incidenthantering på plats.  Inom CERT teamet finns olika funktioner:

Cert- bidrar med hot- och sårbarhetsinformation till kunder, och andra team. CSIRT funktioner (mer detaljer nedan) som bistår med extern proaktiv monitorering av hotbild och kunders digital risk som finns. Detta görs genom att sammanställa open source information såväl som information insamlad från ex Dark-web (siter som inte är nåbara från en standard internet browser, och ofta förknippat med den krypterade delen av webben och olagligheter. Där ip-adresser anonymiseras och användares aktivitet är svåra att spåra)

För att hantera proaktiv monitorering, använder analytiker ett verktyg som kallas ”SIEM“, Security Information and Event Management. SIEM samlar logg-data från olika typer av säkerhetssystem (brandväggar, klientsäkerhet etc) och andra utvalda källor (ActiveDirectory, DNS, DHCP) som används för att hantera infrastrukturen. I detta fall, konfigurerar tekniker en uppsättning regler för att korrelera data och för att detektera hot, enligt den rekommenderade säkerhetspolicyn.

Programvaran EDR övervakar terminaler (datorer, surfplattor, mobiltelefoner etc.) och inte nätverket.

Programvaran EDR analyserar användningen av de övervakade terminalerna, speciellt genom beteendeanalys. Detta möjliggör, efter en inlärningsfas, igenkänning av beteenden som avviker från en norm eller typiska beteenden vid attacker. EDR kan även övervaka eventuellt utnyttjande av sårbarheter som finns.

Fördelen med EDR-lösningar är att de tillåter företag att skydda sig mot både kända (t.ex. virus) och okända attacker genom analys av misstänkt beteende.

Programvaran för NDR ger en ökad synlighet i hela nätverket för SOC-teamet. NDR upptäcker avvikaande beteenden, hos potentiellt dolda angripare som är inriktade på den fysiska, virtuella och/eller molninfrastrukturen. Den kompletterar EDR- och SIEM-verktygen.

NDR-metoden ger en överblick och fokuserar på interaktionen mellan nätverkets olika noder. Att få ett bredare underlag för detektering av hot kan verkligen avslöja hela attackens omfattning och möjliggöra snabbare och mer riktade åtgärder.

Programvaran XDR hjälper säkerhetsteam att lösa problem med att upptäcka hot genom att centralisera, standardisera och korrelera säkerhetsdata från flera källor. Detta tillvägagångssätt ökar detekteringsförmågan jämfört med specifika lösningar som exempelvis Endpoint detection and response (EDR).

Exempelvis ger XDR fullständig överblick genom att använda nätverksdata för att hantera sårbara (icke managerade) klienter, vilket inte EDR-verktyget kan.

XDR analyserar data från flera källor (mejl, klienter, servrar, nätverk, molnet) för att validera larm, minska ”false positives” och därmed den totala volymen av larm. Denna korrelation av indikatorer från flera källor gör att XDR kan förbättra effektiviteten hos säkerhetsteam.

Sammanfattning:  

• EDR: Ger mer detaljer men har mindre nätverkstäckning
• NDR: Täcker nätverket men övervakar inte klienter
• XDR: Tar bort begränsningarna för detekterings, ger automatisering för att påskynda undersökningar och upptäcka sofistikerade attacker
• SIEM: Möjliggör inte enbart standardiserad hantering av loggdata (inklusive loggar från EDR, NDR, XDR), utan kan inkludera övervakning av applikationer eller kundspecifika lösningar

Förkortningen MDR står för Managed Detection och Response. Dessa lösningar erbjuds av en tjänsteleverantör inom cybersäkerhet och möjliggör en komplett hantering av cyberhot.

En analytiker kan utföra åtgärder när ett hot upptäcks och bekräftats genom automatisering, vilket omfattar användning av ett orkestreringsverktyg (SOAR for Security Orchestration Automation and Response). Beroende på företagets cybersäkerhetsnivå är det också fullt möjligt att tillämpa automatisering av åtgärder vid incidenter. Dessa lösningar möjliggör en snabbare hantering av larm.

CSIRT står för Computer Security Incident Response Team. Detta team hanterar åtgärder på incidenter.

CSIRT-teamen arbetar med förutsägelser: De berikar våra olika verktyg för hotinformation (Threat Intelligence). De ingriper även i nödsituationer för att stödja företag i hanteringen av kriser kopplats till cybersäkerheten.

Vad är skillnaden på SOC, SIEM, MDR, EDR?

Varje företag har unika behov, och att upptäcka och reagera på incidenter varierar från ett till ett annat.

Det är dock lämpligt att arbeta med flera lösningar i kombination. Sedan 2015 har Gartner förespråkat denna idé. Enligt analytikern räcker inte enbart SIEM för att uppnå fullständig överblick av hotbilden. I synnerhet har Corona-krisen och den utbredda användningen av distansarbete visat att det är viktigt att säkra upp klienter.

Vilka är då de bästa lösningarna för detect och respons för er?