AI XDR: de 6 voordelen van AI-aangedreven XDR
Op dit moment produceren de applicaties en servers die deel uitmaken van de tech-stack van uw organisatie een gestage stroom informatie. Traditioneel was deze constante stroom gegevens de nachtmerrie van beveiligingsprofessionals. De strijd tegen het spervuur van logbestanden is de afgelopen decennia een non-stop oorlog geweest, die volledig onder de radar van de dagelijkse eindgebruikers werd gevoerd.
Zelfs kleine organisaties die alleen essentiële statistieken bijhouden, verzamelen een aanzienlijke hoeveelheid loggegevens. Aan de andere kant van het spectrum kunnen grote bedrijven dagelijks honderden gigabytes aan loggegevens verzamelen. Tegenwoordig vertrouwen veel organisaties op een aantal verschillende oplossingen – zoals Security Information and Event Management (SIEM) en Network Detection and Resolution (NDR) – om alles onder controle te houden. Beide oplossingen pakken dit probleem aan door loggegevens uit het hele netwerk samen te voegen en deze te stroomlijnen in waarschuwingen. Beide hebben echter hun beperkingen: een complexe opzet en beheer en een hoog aantal valse positieven hebben beveiligingsanalisten op het scherp van de snede gehouden tussen effectief dreigingsbeheer en de massa aan voortdurende waarschuwingen. De beveiliging lijdt nog steeds onder gereedschapsilo's.
Om deze uitdagingen aan te pakken is Extended Detection and Response (XDR) ontstaan. De focus ligt op nog verder uitzoomen door logbestanden te vergelijken met andere essentiële stukjes beveiligingsgegevens. Enter, AI-integratie: geavanceerde analyse van uw hele netwerk die elke waarschuwing contextualiseert binnen zijn eigen unieke grenzen. Door gegevens uit verschillende beveiligingslagen te verenigen, belooft XDR een snelle verbetering van uw detectie- en reactiemogelijkheden.
In dit artikel leggen we uit hoe dit werkt en of AI-gestuurde XDR de hype echt waard is.
Gartner XDR-marktgids
XDR is een evoluerende technologie die uniforme mogelijkheden biedt voor het voorkomen, detecteren en reageren op bedreigingen.
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor directe detectie van bedreigingen...
Wat is AI-aangedreven XDR precies?
Laten we eerst vaststellen wat XDR is.
XDR is een soort beveiligingstechnologie die de mengelmoes van beveiligingstechnologieën die al in uw toolkit aanwezig zijn, samenvoegt tot een samenhangend en gestroomlijnd geheel. Hierdoor biedt XDR meer inzicht in de beveiligingssituatie van alle assets en apparaten en kan het in realtime bedreigingen detecteren en erop reageren.
AI biedt daarbij aanzienlijke voordelen, dankzij het vermogen om verschillende vormen van gedrag te detecteren. Neem bijvoorbeeld de traditionele antivirus: als een gebruiker op het punt staat een met malware geladen bestand te downloaden, kan de traditionele malwareverdediging het bestand alleen scannen om te proberen een vast, vooraf herkend patroon van bytes te vinden dat op bekende malware duidt. Polymorfe en nieuwe vormen van malware hebben echter enkele ernstige gaten in deze vorm van verdediging geslagen. De AI-ruimte heeft dit al ruimschoots overtroffen, dankzij de mogelijkheid om het verwachte gedrag van een bestand, gebruikersaccount of netwerkapparaat te analyseren.
De AI-gestuurde XDR-aanpak van verdacht gedrag kan in twee velden worden opgesplitst: statisch en dynamisch. Bij statische analyse wordt informatie op laag niveau over de gebeurtenis opgehaald, zoals systeemoproepen en de controle- en gegevensstroomgrafieken. Hierdoor krijgt u een bepaalde mate van diepgang aan een waarschuwing of gebeurtenis, zonder dat u te veel tijd aan elke waarschuwing besteedt. Dynamische analyse maakt het daarentegen mogelijk om een verdacht netwerkapparaat of verdacht bestand te inspecteren vanuit een runtime POV. Bij een stukje malware wordt een verdacht bestand uitgevoerd in een sandbox, om te worden geanalyseerd zonder echte productiesystemen te beïnvloeden.
Om verder te illustreren hoe generatieve AI de beveiligingsmogelijkheden in het hele veld transformeert, kunt u het gebruik ervan overwegen bij de detectie van gecompromitteerde accounts. Zonder afhankelijk te zijn van handmatig gelabelde trainingsgegevens, werden vroege AI-projecten gebouwd om de inlogactiviteit van netwerkgebruikers te verzamelen en een model te bouwen dat een verwachte basislijn van activiteit voorspelt. Als een gebruiker bijvoorbeeld na één fout opnieuw moet proberen in te loggen, wordt verwacht dat het IP-adres en de tijd ongeveer consistent blijven. Als deze waar zijn, wordt de bijbehorende risicoscore laag gehouden. Mocht het IP-adres, de tijd van de inlogpogingen of het aantal inlogpogingen boven de verwachte basislijn beginnen te groeien, dan markeert het model dit als verdacht.
De eerste succesvolle demonstratie hiervan vond plaats bij Microsoft Project Qidemon in 2021 – bij het testen van het model op gegevens uit de echte wereld heeft het met succes zeven gecompromitteerde accounts in een pool van 20,000 gebruikers gemarkeerd. De generatieve AI-evolutie is de afgelopen drie jaar alleen maar versneld. XDR-oplossingen zijn gericht op het koppelen van de unieke toepassingen van AI en bieden een zekere mate van kruisverwijzingen tussen voorheen afzonderlijke beveiligingsvelden. In wezen gaat XDR over het toestaan dat gegevens uit het ene gebied – zoals malwarepreventie – de mogelijkheden voor detectieherstel binnen een ander gebied – zoals accountbescherming – beïnvloeden. Hoewel deze twee voorbeelden slechts een korte blik werpen op de zich ontwikkelende voordelen van AI, helpen ze te verduidelijken hoe XDR-systemen en AI parallel bestaan, waardoor uw hele tech-stack profiteert van de groeiende vaardigheid in het veld.
De voordelen van AI-aangedreven XDR
AI-Driven XDR-voordelen kunnen worden opgesplitst in drie primaire velden: data-analyse, detectie van bedreigingen en aanvalsreactie. Elk van deze gebieden heeft een snelle evolutie ondergaan sinds de implementatie van AI-architectuur en -analyse.
Data-analyse
Toegang tot uitgebreide beveiligingsgegevens is altijd een hoeksteen geweest voor beveiligingsteams die zich bezighouden met verschillende kritieke activiteiten, waaronder het monitoren van aanhoudende aanvallen, het uitvoeren van forensische analyses na incidenten en het uitvoeren van jachtoperaties op bedreigingen. Deze taken vereisen het vermogen om inzicht te krijgen in de constante stroom aan gebeurtenis- en machtigingsgegevens die afkomstig zijn van elke app, gebruiker en server.
In het verleden moesten statistici en vroege pioniers op het gebied van de datawetenschap vaak vertrouwen op beperkte subsets van gegevens, waarbij ze werkten met steekproeven die representatief maar niet alomvattend waren. Dit zou vervolgens doorsijpelen naar een statische, op regels gebaseerde beveiligingsarchitectuur. AI XDR onderhandelt opnieuw over de manier waarop gegevens worden gebruikt binnen de beveiligingsfilosofie van uw organisatie, met twee analysevoordelen: de architectuur waarop deze is gebaseerd; en de analyse-engine.
Opkomst van datameren
Een deel van de reden voor de plotselinge doorbraak van AI in de mainstream was de ontwikkeling van datawarehouses tot datameren. Bij de eerstgenoemde aanpak worden gegevens in hiërarchische bestanden gesegmenteerd – waardoor ze uitstekend geschikt zijn voor menselijk gebruik – maar datameren maken de bestandshiërarchieën plat tot één enorme verzameling gegevens. Gehost op een uiterst efficiënte architectuur, is de schaal van de data waarover we beschikken groter dan ooit tevoren.
Als gevolg hiervan krijgen analisten de mogelijkheid om zich met uitgebreide datasets in hun geheel bezig te houden. Deze verschuiving maakt een diepere duik in de volledige complexiteit, nuances en gedetailleerde aspecten van gegevens mogelijk, waarbij de noodzaak van vertrouwen op louter representatieve steekproeven wordt vermeden.
Bovendien zorgt de efficiëntie van datameren ervoor dat XDR met AI veel van de problemen waarmee eerdere beveiligingssystemen te maken hadden, kan omzeilen en diep inzicht kan bieden in de unieke reeks beveiligingssystemen van uw organisatie. Door beveiligingsgegevens opnieuw te positioneren in een gecentraliseerde, voortdurend bijgewerkte database, is de weg vrij voor het gebruik van het tweede belangrijke onderdeel van XDR AI.
De analyse-engine
Hoewel datameren AI de mogelijkheid bieden om toegang te krijgen tot de grote delen van de hedendaagse beveiligingsgegevens, is er nog steeds de ML-component van de tool. Over het algemeen maakt Machine Learning gebruik van complexe wiskundige algoritmen om relaties tussen verschillende elementen en categorieën af te leiden. Deze computationele analyse stelt de systemen in staat om van gegevens te leren, miljarden datapunten te verwerken om optimale reacties op nieuwe data-instanties te ontwikkelen en in de loop van de tijd betrouwbare patronen vast te stellen.
Voor XDR is dit proces vooral belangrijk gezien de uitdagingen waarmee mensen worden geconfronteerd bij het analyseren van grote hoeveelheden gegevens en het identificeren van patronen of afwijkingen. AI- en ML-technologieën bieden onschatbare hulp. Deze technologieën zijn bedreven in het snel verwerken en beoordelen van diverse vormen van gegevens, zoals netwerkpakketinformatie, logboeken van beveiligingsgebeurtenissen en broncode. De dringende behoefte aan patroonherkenning en gedragsanalyse bij beveiligingsoperaties en risicobeheer onderstreept de groeiende afhankelijkheid van AI en ML op deze gebieden, wat hun cruciale rol bij het verbeteren van cyberbeveiligingsmaatregelen benadrukt.
Bedreigingsdetectie
Het geavanceerde raamwerk van AI is bedreven in het doorzoeken van de datasets die zijn verzameld uit een groot aantal bronnen binnen het digitale ecosysteem van een organisatie, waaronder netwerkverkeer, eindpunten, cloudomgevingen en applicatielogboeken. Deze uniforme dataset maakt een mate van detectie van bedreigingen mogelijk die veel verder gaat dan de typische, geïsoleerde beveiligingstools.
Op dezelfde manier waarop AI een stap terug doet om elk stukje data te verzamelen en te analyseren, wil het veld van XDR-tooling uitzoomen uit de alledaagsheid van individuele beveiligingstools. In plaats daarvan maakt XDR gebruik van deze uitgebreide datavolumes om snel activiteiten te analyseren en eventuele activiteiten te identificeren die verband kunnen houden met bredere patronen van kwaadaardig gedrag.
Denk bijvoorbeeld aan aanvallers die al een verbinding met een command-and-control-server tot stand hebben gebracht. Relatief geavanceerde aanvallers hebben deze kanalen mogelijk gecodeerd, wat een veel groter risico met zich meebrengt, omdat uw SOC-team moeite zou hebben om snode sessies op een dag te onderscheiden van de honderden andere, legitieme sessies. ML-modellen zijn ideaal geplaatst om kwaadaardige bakens (dat wil zeggen regelmatige verkeersstromen die consistente hoeveelheden gegevens bevatten) te identificeren die met externe domeinen communiceren. Sterker nog: deze op gedrag gebaseerde identificatie vereist geen decodering.
AI XDR maakt het mogelijk dat identificatiemaatregelen zoals de bovenstaande worden toegepast op veel complexere en onderling verbonden aanvalsoppervlakken. Hoewel een typische netwerkgebaseerde beveiligingsoplossing het proces voor het identificeren van bedreigingen zou kunnen repliceren dat we zojuist hebben besproken, kan alleen een XDR het bewijsmateriaal correleren van het klikken op een link die in een e-mail is ingebed; noteer de toegang tot de site van een bedrijfsapparaat, identificeer ongebruikelijke downloadactiviteiten – en koppel deze ten slotte aan de netwerkpatronen die wijzen op een command-and-control-server.
De rol van AI in XDR markeert een transformerende verschuiving naar proactieve beveiligingspraktijken, waardoor organisaties in staat worden gesteld voorop te lopen en voorop te blijven lopen tegen de achtergrond van de steeds evoluerende cyberdreigingen. Een belangrijk voordeel van AI in deze context is het vermogen tot continu leren en aanpassing door middel van deep learning-technieken. Naarmate het systeem evolueert met nieuwe gegevens en veranderende bedreigingslandschappen, verbetert het niet alleen de nauwkeurigheid van de detectie van bedreigingen, maar vermindert het ook de incidentie van valse positieven. Dankzij dit verfijnde onderscheidingsvermogen voor bedreigingen kunnen beveiligingsteams zich concentreren op echte risico's, waardoor de operationele efficiëntie en reactietijden worden verbeterd, wat een aanzienlijke sprong voorwaarts betekent in cyberbeveiligingsoperaties.
Aanvalsreactie
De impact van AI XDR beperkt zich niet alleen tot de identificatiefase: het bereik ervan blijft gedurende het hele triage- en responsproces bestaan.
Inzicht in de onderliggende oorzaak
Door diepgaande inzichten te bieden in de hoofdoorzaken van incidenten en de volgorde van aanvallen te schetsen, maken AI-aangedreven XDR-tools snellere en efficiëntere onderzoeken mogelijk. Dit versnelt het proces van detectie tot respons, waardoor organisaties de gevolgen van inbreuken op de beveiliging snel kunnen begrijpen en beperken.
Prioriteit voor waarschuwingen
Hoewel beveiligingstools doorgaans de neiging hebben ontwikkeld om analisten te overspoelen met eindeloze waarschuwingen, bevindt XDR zich in de unieke positie om een waarschuwing te vergelijken met de bijbehorende gegevensstromen en activiteiten eromheen. Deze contextuele focus vermindert de last voor beveiligingsteams aanzienlijk door het triageproces te automatiseren, waardoor ze zich eerst kunnen concentreren op de meest kritieke waarschuwingen.
Geautomatiseerde reactie
AI stroomlijnt de reactie op beveiligingsincidenten door automatisch acties uit te voeren, zoals het isoleren van gecompromitteerde apparaten, het blokkeren van kwaadaardige activiteiten en het in realtime implementeren van herstelmaatregelen. Dit snelle reactievermogen minimaliseert de potentiële impact van bedreigingen en zorgt ervoor dat beveiligingsmaatregelen snel worden uitgevoerd, met minder noodzaak tot handmatige interventie.
Waarom vervangt AI-aangedreven XDR SIEM?
De drijvende factor achter het huidige succes van XDR is de interne AI-engine. Met een ongeëvenaard vermogen om de honderden datapunten rond elke waarschuwing te vergelijken – en met een diepgaand, aanpasbaar dashboard dat daarbij past – zijn prijsbewuste managers slechts een steenworp verwijderd van het opnieuw evalueren van de noodzaak van andere onderdelen van de cyberbeveiligingstechnologie. . En daar is een goede reden voor: de wildgroei aan tools is al ruim een half decennium een punt van zorg, nu grote organisaties hebben geprobeerd de kloof in cybersecurityvaardigheden te dichten met een overvloed aan hyperspecifieke tools. Er zijn echter simpelweg meer tools toegevoegd aan de workflows van analisten – in plaats van één machine die waarschuwingen genereert, hebben ze te maken met tientallen. Nu duwt AI de ontwikkeling van cyberbeveiliging echter voorbij hyperspecifieke, nichetools en in de richting van een overkoepelend begrip op hoog niveau.
De consolidatierevolutie is al begonnen – Gartners voorspellingen voor 2024 laten zien dat binnen de komende drie jaar 70% van de organisaties tools voor de preventie van gegevensverlies en preventie van insiderrisico's zal hebben gecombineerd met IAM-context. De identificatie van potentiële aanvalsgegevens wordt steeds meer gedragsgericht en stelt beveiligingsteams in staat om enkelvoudig beleid uit te vaardigen dat dubbele effecten heeft op het gebied van zowel gegevensbeveiliging als insiderrisico.
SIEM-tools zijn doorgaans trots op de gedetailleerde hoeveelheid informatie die kan worden verkregen uit loganalyse. Moderne AI-gestuurde XDR-tools omvatten echter dezelfde opname en analyse van loggegevens – naast nog veel meer. Door alle beveiligingsgegevens in één enkele opslagplaats vast te leggen en te analyseren, beginnen traditionele SIEM-tools er verouderd uit te zien. Terwijl SIEM's van de volgende generatie sindsdien hun eigen AI-modellen zijn gaan implementeren – om de overvloed aan loggegevens die ze verzamelen te helpen analyseren – laat de bredere reikwijdte van XDR SIEM verder in het stof liggen. In plaats van alleen loggegevens te analyseren, neemt XDR de individuele datapunten van SIEM en contextualiseert deze binnen het bredere landschap van netwerk- en gebruikersactiviteit.
Hoe AI XDR valse positieven vermindert
SIEM, e-mailbeveiligingstools en firewalls zijn berucht vanwege het aantal waarschuwingen dat ze afgeven. Omdat er geen context of hoofdoorzaak is opgenomen, moet de menselijke analist de steeds groter wordende hoeveelheid waarschuwingen begrijpen. Het opsporen van getroffen gebruikers en het bepalen of het om echt kwaadwillige activiteiten gaat, kost allemaal tijd: er blijft meer tijd over voor andere waarschuwingen die zich opstapelen en de detectie van echte bedreigingen in de weg staan.
Marktleidende, op AI gebaseerde XDR-oplossingen bieden een manier om de rijkdom aan gegevens waarover zij beschikken in evenwicht te brengen met de eigen capaciteit van de beveiligingsanalisten. Om de maximale mate van beveiliging te bereiken zonder de gevoeligheid op te offeren, nemen XDR's waarschuwingen en correleren deze met relevante assets, gebruikers en signalen – dit gecorreleerde geheel is dan een incident. Wanneer er nieuwe waarschuwingen verschijnen, wordt elke waarschuwing automatisch toegewezen aan het relevante incident. Op deze manier kunnen complexe aanvallen worden ontdekt en actie worden ondernomen, terwijl eenmalige valse alarmen buiten het gesprek worden gelaten.
De mogelijkheid om een aanvalsverhaal te volgen op het hele apparaat, de gebruikersidentiteit of de cloudimplementatie betekent dat beveiligingsanalisten een veel groter aantal waarschuwingen op een veel samenhangendere manier kunnen afhandelen. Door de bredere context van waarschuwingen te evalueren, voorkomt AI-gebaseerde XDR een enorme tijdverspilling, waardoor gestroomlijnde beveiligingsteams zich kunnen concentreren op het zo snel mogelijk verhelpen van de meest kritieke bedreigingen. Het is deze ‘incident-first’-benadering die de weg wijst naar vereenvoudigde beveiligingstechnologie, snel herstel en minder gestresste analisten. Ontdek meer over hoe Stellar Cyber's AI-aangedreven waarschuwingen werk hier.
Kies Geavanceerde, AI-gestuurde detectie van bedreigingen
Omdat een XDR-oplossing afhankelijk is van cross-channel zichtbaarheid, is het van cruciaal belang dat de oplossing in kwestie open en zeer implementeerbaar blijft. In plaats van te worden opgesloten in de tech-stack van één leverancier, biedt de open XDR van Stellar Cyber geavanceerde detectie van bedreigingen voor uw reeds bestaande architectuur. Dit transformeert de silo-activiteiten die u mogelijk al heeft, in een volledig universele EDR-tool.
Hoewel de kern van de AI-gestuurde XDR-tool enorm ten goede komt aan slanke cyberbeveiligingsteams, heeft de toewijding van Stellar Cyber aan beveiligingsanalisten nog verdere generatieve AI-verbeteringen opgeleverd. Nu krijgen analisten zelfs de mogelijkheid om onderzoeksgerelateerde vragen te stellen aan de tool zelf. De tooling reageert met conversatie-inzicht en stelt analisten met nog in ontwikkeling zijnde vaardigheden (of met beperkte tijd) in staat om sneller dan ooit tevoren het meeste uit de intelligentie van de tool te halen.
Ontdek meer over onze open XDR-mogelijkheden en begin het volledige potentieel van uw beveiligingsteam te ontketenen.
