Context XDR van Qualys prioriteert cyberdreigingen en vermindert alert-moeheid
Auteur: Kim Loohuis
Digitale dreigingen komen van alle kanten op ons af en het beveiligen van de volledige IT-omgeving wordt een steeds complexere klus voor organisaties. Zeker wanneer ze niet precies weten welke assets er allemaal binnen het bedrijf in omloop zijn. “Je kunt niet beschermen wat je niet in beeld hebt”, waarschuwt Chantal ’t Gilde, managing director Benelux & Nordics bij securityspecialist Qualys.
Inventory is de basis van een goede cybersecurity. Zeker wanneer organisaties werken met steeds meer verspreide informatie en systemen. “Bijna iedere organisatie heeft moeite om overzicht te krijgen op alle assets binnen het bedrijf. Terwijl cybersecurity dáár begint, in onze ogen. Als je niet weet wat je hebt, kun je het immers niet beveiligen”, zegt ’t Gilde.
Prioritering dreigingsmeldingen
Qualys is bij veel bedrijven vooral bekend als leverancier van vulnerability oplossingen, maar het platform dat de securityspecialist heeft gebouwd, behelst inmiddels veel meer. Een van de belangrijkste zaken is dat met de toevoeging van de nieuwe module Context XDR (extended detection and response) veel meer geautomatiseerd kan worden. “Het systeem neemt de inventory van de klant als basis en combineert dit met dreigingsinformatie om zo prioriteit te kunnen geven aan meldingen.” Daarmee ondervangt het de toenemende alert-moeheid of ‘alarm fatique’ die in veel bedrijven optreedt.
Alert-moeheid
Het grote aantal alerts dat bedrijven tegenwoordig te verwerken krijgen is enerzijds het gevolg van het toenemende aantal cyberdreigingen en het feit dat deze continu aan verandering onderhevig zijn. Anderzijds worden securityoplossingen steeds beter in het fijnmazig analyseren en detecteren van aanvallen en geven daardoor meer waarschuwingen. “Maar omdat veel van deze oplossingen op zichzelf staan, voeren ze vaak eenzijdige analyses uit. Een securityspecialist krijgt op die manier uit diverse verschillende bronnen dreigingsinformatie die hij zelf moet combineren en analyseren om zo te kunnen bepalen welke dreiging het meest kritiek is”, legt ’t Gilde uit. “Te veel meldingen uit al die verschillende systemen zorgt voor die alert-moeheid. Je ziet dan door de alarmen de dreiging niet meer.”
Complexiteit automatiseren
Juist die analyse is iets dat bijzonder goed geautomatiseerd kan worden. Zeker wanneer een organisatie veel verspreide systemen en informatie bezit. “Alles wordt digitaler, delen van de IT-omgeving staan in de cloud, je hebt wellicht nog een deel in huis, maar ook steeds meer IT-middelen zijn bij je werknemers thuis. Dat maakt cybersecurity voor een organisatie zeer complex. Hoe monitor je al die assets die thuis of onderweg worden gebruikt? En hoe ga je om met OT, met productiemachines bijvoorbeeld? Hoe houd je overzichtelijk bij wat daar gebeurt en waar de gevaren zitten?”
Centraal overzicht
Om over de gehele breedte van de organisatie inzicht te hebben in mogelijke kwetsbaarheden, is het cruciaal om al die informatie centraal te verzamelen. Zodat op basis van de inventory van het bedrijf niet alleen gekeken kan worden naar technische misconfiguraties van systemen, maar ook naar benodigde patches van software, of software die end-of-life is. ’t Gilde: “Zo hebben we een ransomware-dashboard ontwikkeld waarbij het systeem automatisch kijkt naar kwetsbaarheden die vaak gebruikt worden in ransomware-aanvallen. Gecombineerd met jouw eigen inventaris aan IT-middelen en de technische configuraties daarvan, geeft het systeem je inzage op welke punten je netwerk kwetsbaar is. En die kan het systeem veelal geautomatiseerd oplossen, door bijvoorbeeld patches uit te rollen of misconfiguraties te herstellen.”
Tijdwinst
Op die manier kan een organisatie tijd besparen doordat de IT’er of securityspecialist niet meer zelf de verschillende informatiebronnen hoeft te combineren en analyseren. “Door dit geautomatiseerd te doen, kun je al zo’n 30 procent van je kwetsbaarheden door het systeem laten oplossen. De tijd die je daarmee wint, kun je besteden aan de complexere securityuitdagingen. En doordat je alle relevante informatie in Context XDR op één centrale plek beschikbaar hebt, kun je dat ook nog eens een stuk effectiever doen.”
Zinvolle context
Met het inzicht dat het systeem biedt, kunnen IT-securityteams prioriteit geven aan de vele waarschuwingen, incidenten en dreigingen. “Wanneer je een melding krijgt van een kwetsbaarheid op een systeem dat niet van buitenaf te benaderen is, hoef je die niet als eerste op te lossen, maar kun je je richten op de melding op het systeem dat wél een serieuze cyberdreiging vormt voor je organisatie”, legt ’t Gilde uit. Het uiteindelijke doel is het integreren, correleren en transformeren van de gegevens zodat een zinvolle context en bruikbaar inzicht ontstaat.
Zuinig op schaars talent
“Iedere organisatie, groot of klein en ongeacht de markt waarin je actief bent, moet bij zichzelf te rade gaan of ze cybersecurity voldoende aandacht geven. Alles begint met inzicht in je inventory en assets. Als je geen idee hebt welke IT-middelen er in je bedrijf zijn, kun je onmogelijk een goede beveiliging opzetten. En zorg dat je automatiseert wat je kunt automatiseren. Het is zonde om het schaarse IT-talent binnen je bedrijf security-analyses en patches te laten uitvoeren die net zo goed door een systeem gedaan kunnen worden.”
Chantal 't Gilde