Security is een ontzettend belangrijke, gelaagde oplossing. Het is een combinatie van meerdere technologieën; best-of-breed oplossingen die in de meeste gevallen afkomstig zijn van meerdere leveranciers. Deze oplossingen, denk dan aan endpoint-, firewall-, en authenticatie-oplossingen, leiden op den duur tot afgeschermde eilandjes. Het delen van informatie tussen eilandjes is logischerwijs niet makkelijk, dus als er dan onderling informatie moet worden gedeeld, valt men terug op bijvoorbeeld security information & event management (SIEM).
In het kort gezegd komt het bij SIEM simpelweg erop neer dat iedereen data stuurt naar een centrale vergaarbak. Probeer daar maar eens data uit te halen. Voor de meeste klanten is dat een onmogelijke opgave, want waar begin je? Van welke data moet je als klant iets vinden?
Terwijl het delen van die data je andere inzichten kan geven. Stel: ik zie in de firewall dat er een externe netwerkconnectie tot stand komt. Moet ik daar dan iets mee doen? Niet per se. Zie ik echter dat er vele maken kort achter elkaar op een endpoint- of een SQL-server wordt geprobeerd om in te loggen, dan is dat verdacht. Iemand kan natuurlijk een zwaar weekend hebben gehad, maar het zouden ook externe sessies kunnen zijn. Als je ervoor kunt zorgen dat je essentiële informatie filtert, dan ontstaat er een breder inzicht, op grond waarvan je veel beter kunt bepalen of je moet overgaan tot actie of niet: is een activiteit alleen suspicious of echt malicious?
Dat is in feite waarin extended detection and response (XDR) in de toekomst faciliteert: zorgen dat je veel inzichten vergaart, oplossingen aan elkaar verbindt, waardevolle informatie deelt en niet alleen data doorstuurt. SentinelOne ziet XDR als volgt: in plaats van het slechts verzamelen van data, wordt alleen de relevante informatie uit die data opgenomen. Met het delen van deze belangrijke informatie verrijk je de al beschikbare informatie, zodat je samen betere beslissingen kunt nemen en acties ook kunt automatiseren. Denk dan bijvoorbeeld aan de beveiliging van een endpoint, waarbij de gebruiker automatisch van nieuwe inlogcredentials wordt voorzien bij een eventueel incident. Dít is de kracht van XDR.
Maar dan is het wel noodzakelijk dat die verschillende technologieën met elkaar communiceren. En geautomatiseerd relevante informatie met elkaar delen. Om tot een goede XDR-oplossing te komen is een integratie met een grote diversiteit aan externe oplossingen van belang. Dit is mogelijk middels ‘open XDR’. Het liefst zeggen we tegen de klant: ‘Het maakt niet uit wat je hebt staan, want wij integreren met alles, kunnen samenwerken met derden en inzichten delen om samen tot actie over te gaan.’
API-first aanpak
Leveranciers kennen elkaar en spreken elkaar met regelmaat. Integraties komen vaak tot stand door de gedeelde wens om zaken met elkaar te combineren, zoals bijvoorbeeld network detection response. Een ander startpunt voor integratie kan zijn vanuit de wens van de klant. Die heeft misschien een niet-geïntegreerde oplossing in gebruik, maar is wel geïnteresseerd in die van ons. Voordat we integreren is het natuurlijk van belang om te bepalen wat echt waarde heeft voor de klant en voor ons, en waar vraag naar is. Onze technologie is API-first ontwikkeld: alles is configureerbaar, alles is implementeerbaar en alles is inzichtelijk. Daardoor is het voor ons heel makkelijk om te integreren met andere oplossingen. Er zijn zelfs integraties die door de klant zelf zijn gemaakt: wij leveren in zo’n geval alleen informatie over het gebruik van de API.
Er is technisch gezien veel mogelijk: we kunnen met vrijwel iedereen integreren. Om klanten de vrijheid te geven om de juiste oplossing voor hun specifieke situatie te kiezen, hebben we onze Singularity Marketplace in het leven geroepen. Op deze marketplace bieden we heel veel standaardintegraties en sandbox-oplossingen vanuit één interface aan, om de adoptie van integraties te verhogen.
Deze adoptie zou veel lager zijn als de klant alles zelf on-premises moet installeren en configureren, om de integratie daarna in de eigen omgeving te kunnen draaien. Al onze apps zijn te installeren op de centrale managementserver van de klant. Het enige wat de klant hoeft te doen, is klikken op Install Now en een API-token invoeren. Daarna kan de functie meteen in productie worden genomen en zijn integraties binnen twee minuten te realiseren. Die eenvoud en snelheid zijn uitermate belangrijk, want alleen dan komt XDR volledig tot zijn recht.
