In de wereld van IT bestaat vaak al een grote hoeveelheid aan specifiek terminologie, jargon en afkortingen. Met de aandacht voor security op IT-gebied is het helemaal een overdosis waardoor je de weg moet vinden naar jouw ideale strategie of oplossing. We duiken in de wereld van SOC, SIEM, CST, EDR en MDR op zoek naar antwoorden.
CASB - Cloud Access Security Broker
Een cloud access security broker (CASB) is een on-premise of cloudgebaseerd security controle punten voor beveiligingsbeleid dat tussen afnemers van clouddiensten en leveranciers van clouddiensten wordt geplaatst om het beveiligingsbeleid van de onderneming te combineren en in te voeren wanneer toegang wordt verkregen tot cloudgebaseerde bronnen. CASB’s consolideren meerdere typen controle punten voor het handhaven van het security beleid, zoals; authenticatie, single sign on, credential mapping, device profiling, encryptie, tokenization, logging, alerting, malware detectie en preventie etcetera.
CERT - Computer Emergency Response Team
Een Computer Emergency Response Team is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Het doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie en preparatie.
CST - Continuous Security Testing
Continuous Security Testing combineert pentesten van een team van ervaren pentesters met continue scanning van applicaties, waardoor je een responsieve oplossing krijgt die een natuurlijk verlengstuk van jouw IT-team wordt. Afgestemd op het volume en de complexiteit van de IT-omgeving en applicaties wordt vooraf een doorlopend testplan en testscope opgesteld waarin vakkundig handmatig testen wordt gecombineerd met het scannen van applicaties.
EDR - Endpoint Detection & Response
Een EDR-oplossing helpt bij het opsporen, voorkomen en detecteren van bedreigingen in alle zogenaamde endpoints (bijvoorbeeld desktops, laptops, tablets en smartphones) van je netwerk. Het biedt organisaties een completere beveiliging voor hun netwerk in vergelijking met de traditionele antivirus. EDR werkt niet op basis van een lijst met virusdefinities. In plaats daarvan speurt de EDR-oplossing naar verdacht gedrag, vaak gebaseerd op machine learning-algoritmen die zijn ontworpen om nog onbekende soorten malware te herkennen. Bestanden die zonder aanleiding versleuteld worden of een .exe-bestand dat uitgevoerd wordt via een (in)actieve macro. EDR reageert hierop en zal dit gedrag onmiddellijk blokkeren. Daarna maakt EDR duidelijk waar het probleem zich voordoet en kan het bovendien de al geleden schade terugdraaien. Het hele systeem is intelligent en zelflerend zodat op een volgende soortgelijke aanval nog sneller gereageerd kan worden.
IPS - Intrusion Prevention System
Een Intrusion Prevention System is een security device dat netwerk en/of systeem activiteiten kan monitoren op ongewenst gedrag. Dit systeem de mogelijkheid om onmiddellijk actie te ondernemen bij een aanval, door het blokkeren of voorkomen van dergelijke activiteiten. Intrusion Prevention is een preventieve aanpak van netwerk security. Als een aanval wordt gedetecteerd kan de IPS de ‘verdachte’ packets stoppen (drop), terwijl het overige netwerk verkeer gewoon doorgang kan vinden.
MDR - Managed Detection & Response
Bij Managed Detection & Response ligt de nadruk niet op een technologie maar op de service. Het is een combinatie van een aantal verschillende oplossingen om een uitgebreid en kostenefficiënt 24/7 beveiligingsdienst aan te bieden. MDR bestaat onder andere uit eerdergenoemde onderdelen die autonoom van elkaar functioneren; SOC, SIEM, NDR en EDR. De combinatie van deze diensten, of specifiek onderdelen (afhankelijk van de behoefte), zorgt voor een complete dienst die de beveiliging van de gehele IT-omgeving voor langere termijn afdekt.
MFA - Multifactorauthenticatie
Multifactorauthenticatie (MFA) is een methode om de authenticiteit van een gebruiker te verifiëren op meer dan één enkele manier (met behulp van meerdere factoren). Door meerdere factoren te combineren kan de beveiliging bij toegangscontrole worden aangescherpt. Bekijk ook onze SmartBytes hierover!
NDR - Network Detection & Response
NDR zorgt voor volledig inzicht in bekende en onbekende bedreigingen die het netwerk passeren. De oplossing analyseert netwerkverkeer, detecteert verdachte situaties, bepaalt het risiconiveau en mitigeert risico’s (automatisch) dankzij integraties met andere systemen. Het zorgt ook met name voor toevoeging van context aan beveiligingsbedreigingen. De oplossingen bieden meestal een gecentraliseerde, machinegerichte analyse van het netwerkverkeer en respons, inclusief efficiënte workflows en automatisering.
RBAC - Role Based Access Control
Role Based Access Control (RBAC) is een methode om het autorisatiebeheer binnen een organisatie in te richten. Kenmerk van RBAC is dat individuen niet rechtstreeks worden geautoriseerd in informatiesystemen, maar dat ze uitsluitend rechten krijgen door een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen. Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig om de effectieve rechten van een gebruiker te bepalen. Simpel gezegd vertelt dit model dus 'Jij doet dit, dus dan mag je dat in het netwerk.'
SIEM - Security Information & Event Management
Een SIEM integreert software die wordt gebruikt om IT-landschappen te bewaken. Het is een tool die alle verdachte activiteiten op het netwerk traceert en registreert. Dit helpt actief met het creëren van inzicht in alle gebeurtenissen binnen een digitale infrastructuur. Vrij vaak wordt een Managed SIEM gelijkgesteld aan een SOC-dienst maar het is daarbij wel van belang dat de experts op het SOC ook echt door en door kennis hebben van de gebruikte oplossing. Kies daarbij dus voor een SOC in combinatie met een SIEM-oplossing, of laat deze keuze over aan de SOC van jouw keuze.
SOAR - Security Orchestration, Automation and Response
SOAR staat voor Security Orchestration, Automation and Response en richt zich voornamelijk op het beheer van bedreigingen, automatisering van beveiligingsactiviteiten en het reageren op beveiligingsincidenten. SOAR-platforms kunnen incidenten en processen direct beoordelen, detecteren, bemiddelen of doorzoeken zonder de constante behoefte aan menselijke interactie. Er lijkt een grote overlap met SIEM, maar de combinatie van SIEM en SOAR is uitstekend in te zetten. Afhankelijk van de omvang van de omgeving kan er veel gegevensanalyse nodig zijn om alle gegevens te verwerken. SOAR kan in zo’n geval worden gebruikt in combinatie met SIEM om de incidentrespons veel sneller te verwerken en te beheren, waardoor de tijdrovende en arbeidsintensieve handmatige prioriteitstelling.
SOC - Security Operation Center
Een SOC richt zich op het monitoren van dreigingen en de kwalificatie van incidenten. Hiermee hoef je niet zelf bezig te zijn met het interpreteren van de meldingen vanuit allerlei tools, maar is er een team van externe security experts dat dat voor zijn rekening neemt. Zij kijken wat voor activiteiten er plaats vinden, halen de valse meldingen eruit en maken pas een melding bij daadwerkelijke security incidenten. Een SOC heeft tegelijkertijd meerdere klanten waarvoor het werkt en heeft daarmee het voordeel dat de kosten gedeeld worden, maar tegelijkertijd ook dat de experts een correlatie kunnen leggen tussen meerdere meldingen. Indien er een incident is bij de ene klant kunnen ze die melding plotten op de andere klanten en zo de dreiging voor zijn. Over het algemeen wordt een SOC 24 uur per dag bemand, aangezien de criminelen zelden op de klok kijken.
UEBA - User and Entity Behavior Analytics
UEBA-oplossingen bouwen profielen die standaardgedrag modelleren voor gebruikers en entiteiten in een IT-omgeving, zoals servers, routers en gegevensopslagplaatsen. Dit wordt ook wel baselining genoemd. Met behulp van een breed spectrum aan analysetechnieken kan de UEBA-technologie activiteit identificeren die afwijkend is van de vastgestelde baselines, bedreigingen ontdekken en beveiligingsincidenten detecteren. Er is een nauwe relatie tussen UEBA- en SIEM-technologieën, omdat UEBA vertrouwt op organisatorische beveiligingsgegevens om de analyses uit te voeren, en deze gegevens worden doorgaans verzameld en opgeslagen door een SIEM.
WAF - Web Application Firewall
Een Web Application Firewall (WAF) is een zeer gespecialiseerde beveiligingstool die speciaal is ontworpen om online applicaties en services te beschermen. Er zijn verschillende soorten firewalls en die houden allemaal malafide informatie tegen. Een WAF kijkt specifiek naar websites, e-commerceplatformen en webapplicaties. De WAF zitten tussen de browser en de server, dus vóór de applicatie of site. De WAF monitort en analyseert het verkeer en stuurt het verkeer door en in combinatie met bijgewerkte regelsets verhoogt het de beveiliging, vermindert fout-positieven en verbetert de prestaties.
XDR - Extended Detection and Response
XDR, Extended Detection and Response, is de vervolgontwikkeling van EDR. XDR gaat een stap verder en verzamelt en correleert data van e-mail, endpoints, servers, cloud-workloads en netwerken, waardoor zichtbaarheid en context van geavanceerde bedreigingen mogelijk wordt. XDR biedt meer context en inzicht in bedreigingen. Zo worden incidenten die anders niet zouden zijn aangepakt, naar een hoger awareness-niveau gebracht, waardoor securityteams de mogelijke impact kunnen beperken en de gevolgen van een aanval kunnen verminderen.
Meer afkortingen of termen? Cyberveilig Nederland heeft het Cybersecurity Woordenboek samengesteld met zo’n 650 cybersecurity termen die uitgelegd worden in begrijpelijke taal – meer informatie: https://www.cyberveilignederland.nl/woordenboek