FortiXDR - Geautomatiseerde detectie van bedreigingen, onderzoek en reactie
Fortinet
Digitale innovatie heeft ondernemingen en de netwerken die zij gebruiken om kritieke toepassingen uit te voeren, online transacties te verrichten, externe werknemers met elkaar te verbinden en belangrijke gegevens vast te leggen en te verwerken, ingrijpend veranderd. En net als in het verleden heeft deze vooruitgang nieuwe beveiligingsuitdagingen met zich meegebracht die hebben geleid tot nieuwe beveiligingsoplossingen om deze uitdagingen aan te gaan. Door de snelheid van de transformatie hebben bedrijven echter weinig tijd gehad om bij de implementatie van deze oplossingen rekening te houden met de bredere beveiligingsinfrastructuur. Het resultaat is dat beveiligingsteams nu meer dan ooit moeten proberen een enorme verzameling beveiligingstools van meerdere leveranciers te beheren en een zekere mate van zichtbaarheid en consistente orkestratie en handhaving van beleidslijnen in de hele onderneming te bereiken. Naast andere uitdagingen worstelen beveiligingsteams om een toenemend aantal - en steeds schadelijker - cyberaanvallen op te sporen en erop te reageren via een complexe en grotendeels geïsoleerde set beveiligingstools.
In gesprekken met klanten, meestal via online executive briefings, begrijpen de meesten de logistieke en technologische uitdagingen van deze complexiteit en willen zij graag overgaan van tientallen verschillende beveiligingsleveranciers en -producten naar een handvol of minder beveiligingsplatforms, zo nodig aangevuld met op zichzelf staande producten. Het verbaast me dan ook niet dat volgens Gartner 80% van de organisaties momenteel beveiligingsleveranciers consolideert of van plan is dat te doen. Maar de vraag die rijst is: "Hoe beslis ik welke leverancier(s) ik kies als onderdeel van de consolidatie?".
Naast pragmatische overwegingen zoals tevredenheid over de leverancier, de omvang van de in zijn platform beschikbare controles, de doeltreffendheid en functies van elke controle, en nog veel meer, is er een organiserend principe ontstaan dat dit proces vereenvoudigt en integreert - XDR, of eXtended Detection and Response. XDR, door Gartner gedefinieerd als "een platform voor detectie van beveiligingsincidenten en respons dat automatisch gegevens van meerdere beveiligingsproducten verzamelt en correleert", maakt een essentieel integratieprincipe mogelijk dat gebruik maakt van bestaande technologieën om een uniforme visie op en controle van complexe, gedistribueerde omgevingen te creëren. Dit is een veel zinvoller consolidatieprincipe dan inkoopgedreven besluitvorming ("de leverancier gaf ons een geweldige deal voor een pakket producten"). Dankzij XDR kunnen verschillende beveiligingsoplossingen gegevens zien, delen en analyseren, zodat ze doeltreffender bedreigingen kunnen detecteren en een gecoördineerde reactie kunnen leveren die het hele aanvalsoppervlak bestrijkt.
Hoewel dit klinkt als een geweldig idee - en dat is het ook - is het veel ingewikkelder dan het op het eerste gezicht lijkt. Sommige XDR-oplossingen komen van grote beveiligingsleveranciers die meerdere producten in hun portfolio kunnen integreren, en andere van kleinere start-ups die proberen een normalisatielaag te creëren tussen componenten van verschillende leveranciers. Elke aanpak heeft voor- en nadelen. In het eerste geval (leverancier van één oplossing) mag men een uniforme visie, gemeenschappelijke beleidservaring, nauwe productrelaties en andere voordelen verwachten. Het grootste nadeel is waarschijnlijk de beperkte keuze binnen het portfolio van die leverancier. De keuze voor een "open" XDR-aanpak daarentegen maakt de beperking van één leverancier losser, maar schiet waarschijnlijk tekort op andere gebieden zoals integratie, analyse of automatisering. Onze ervaring is dat de inspanning die nodig is voor het centraal beheren van vele producten (en meerdere versies daarvan) aanzienlijk is. Vermenigvuldig deze inspanning exponentieel over het diverse leverancierslandschap, om nog maar te zwijgen van de enorme taak van analyse en automatisering buiten het beheer, en het resultaat is een enorme overhead voor die leveranciers en een veelheid aan beperkingen voor de eindgebruiker.
FortiXDR - De enige XDR-oplossing om cyberincidenten van begin tot eind autonoom te beheren.
Bij Fortinet hebben we geïntegreerde, multi-product oplossingen ontwikkeld die werken als een enkel, samenhangend systeem; eerst met het Advanced Threat Protection Framework en meer recent met de Fortinet Security Fabric. De Security Fabric is een uitgebreid, geïntegreerd en geautomatiseerd cyberbeveiligingsplatform aangedreven door FortiGuard Labs beveiligingsdiensten die de digitale onderneming beschermt vanaf het endpoint en IoT via het netwerk en de cloud. FortiXDR is ontworpen om de Fortinet Security Fabric uit te breiden, de complexiteit te verminderen, de detectie te versnellen, het onderzoek van waarschuwingen te automatiseren en de reactie op cyberaanvallen te coördineren. Als onderdeel van de Fortinet Security Fabric is FortiXDR in staat om gebruik te maken van de gemeenschappelijke data fabric, gecorreleerde telemetrie, uniforme zichtbaarheid, native integratie en naadloze interoperatie van Fortinet's portfolio van fabric-enabled oplossingen. Hierop voortbouwend worden geautomatiseerde analyses, incident onderzoeken en vooraf gedefinieerde reacties direct out of the box uitgevoerd. FortiXDR biedt deze geavanceerde mogelijkheden voor alle drie de stappen van detectie en herstel van beveiligingsincidenten:
- Geavanceerde detectie: FortiXDR begint met het gebruik van de rijkdom aan beveiligingsinformatie die wordt gedeeld in de Fortinet Security Fabric voor correlatie en analyse. En omdat het informatie kan verzamelen over het breedste portfolio van de industrie, hoe meer bedreiging telemetrieën kunnen worden gebruikt om een actieve bedreiging te vinden - met name degenen die zijn ontworpen om detectie te vermijden.
- Geavanceerd onderzoek: FortiXDR is de eerste XDR-oplossing die gebruik maakt van kunstmatige intelligentie (AI) om gedetecteerde bedreigingen te onderzoeken - een proces dat elke andere XDR-oplossing overlaat aan een overwerkte menselijke beveiligingsanalist, waardoor het proces wordt vertraagd en systemen kwetsbaar blijven voor menselijke fouten. En gezien de hoeveelheid waarschuwingen die de meeste netwerken genereren, hebben veel beveiligingsteams eenvoudigweg niet de middelen om elke potentiële bedreiging te onderzoeken.
Traditioneel moet een beveiligingsanalist, zodra de detectie is gestart, het potentiële incident bekijken, beslissen hoe het moet worden onderzocht en geverifieerd, de omvang en bijbehorende componenten beoordelen om te bepalen of het wijst op een diepere bedreiging die op het eerste gezicht misschien niet duidelijk is, en vervolgens de juiste reactie bepalen - of de waarschuwing moet worden geclassificeerd als een vals alarm of dat de XDR-oplossing moet reageren.
- Geavanceerde reactie: Omdat FortiXDR volledig is geïntegreerd in de Security Fabric, is het inherent in staat om alle beschikbare middelen te mobiliseren die nodig zijn voor een effectieve, geautomatiseerde en gecoördineerde reactie. En omdat de reactiemogelijkheden zijn meer verenigd dan de meeste veiligheidsinformatie formaten, kunnen klanten ook connectors gebruiken om zelfs vele oplossingen van derden op te nemen in hun reactie.
Belangrijkste voordelen van FortiXDR
FortiXDR versnelt niet alleen detectie, onderzoek en respons, maar biedt ook een overtuigend argument voor organisaties om onafhankelijke beveiligingsproducten te consolideren.
Early adopters laten zien dat, gemiddeld, het aantal waarschuwingen die onderzoek vereisen met 77% of meer wordt verminderd. En zoals eerder vermeld is FortiXDR de enige XDR-oplossing die is uitgebreid met AI in alle elementen van het detectie-, onderzoeks- en reactieproces. Dit vermindert de last op security teams door het voltooien van complexe taken in seconden die experts met gespecialiseerde tools 30 minuten of meer zouden kosten. En dat zonder menselijke fouten.
En met zijn brede portfolio van onafhankelijk best beoordeelde controles die kunnen worden ingezet om de cyber kill chain van eind tot eind aan te pakken, zijn er veel mogelijkheden om in de loop der tijd steeds meer leveranciers te consolideren.
Dit alles stelt organisaties in staat de gemiddelde tijd tot detectie (MTTD) en de gemiddelde tijd tot reactie (MTTR) te verkorten, waardoor de impact van cyberincidenten afneemt en tegelijkertijd de efficiëntie van beveiligingsoperaties en de algehele beveiligingshouding worden verbeterd. Hierdoor komen ervaren beveiligingsprofessionals vrij voor waardevolle bijdragen aan de beveiliging van de organisatie en kan de organisatie zelf effectief blijven concurreren, terwijl de proliferatie van beveiliging en leveranciers wordt aangepakt door middel van strategische consolidatie van oplossingen en geautomatiseerde detectie en reactie op bedreigingen in het gedistribueerde netwerk.