Warum immer mehr Firmen auf externe Dienstleister setzen
Viele Unternehmen arbeiten bei der Abwehr von Cyber-Threats bereits mit hochspezialisierten Experten zusammen – und es werden immer mehr. Kein Wunder, denn die IT-Landschaft wird ständig komplexer, während die Zahl der Bedrohungen stetig steigt. Um dieser dynamischen Bedrohungsentwicklung effektiv zu begegnen, setzen Unternehmen daher vermehrt auf spezialisierte Managed Detection & Response (MDR)-Dienstleister. So kann eine aktive, schnelle und umfassende Gefahrenerkennung, -analyse und -abwehr dauerhaft gewährleistet werden – eine Aufgabe, die viele Unternehmen sonst an ihre Grenzen brächte. Doch was ist das Besondere an MDR und wie unterscheidet es sich von inhouse betreuten Detection & Response Systemen?
Managed Detection & Response ist eine umfassende Sicherheitsdienstleistung, die darauf ausgerichtet ist, Cyber-Bedrohungen zu erkennen, auf sie zu reagieren und sie zu neutralisieren. Im Gegensatz zu herkömmlichen IT-Dienstleistungen, bietet MDR einen ganzheitlichen Ansatz, um Unternehmen vor, während und nach einem Sicherheitsvorfall zu unterstützen. Auch ermöglicht MDR eine große Auswahl an verschiedenen Überwachungsmodulen sowie deren Zusammenspiel. Somit sind die Kunden von MDR-Dienstleistungen bestmöglich vor Cyber-Gefahren geschützt, ohne intern massiv in Knowhow und Personal investieren zu müssen.
Umfassende Abwehr von Cyber-Gefahren
Unternehmenseigene IT-Teams besitzen oft weder die Expertise noch die notwendigen Ressourcen, um Cyber-Bedrohungen effizient zu erkennen und zu stoppen. Aufgrund umfangreicher, administrativer Tätigkeiten kann die Betreuung der IT-Security in vielen Firmen nur eine von vielen Aufgaben der IT-Abteilung sein. Bei der akuten Bedrohungslage kann dies jedoch fatale Auswirkungen haben.
Das Security-Monitoring als Managed Service bietet hingegen eine Rund-um-die-Uhr-Überwachung auf hochprofessionellem Niveau, welches mit dem eigenen IT-(Security)-Team einen unverhältnismäßig hohen Aufwand an Zeit und Budget bedeuten würde. Die Expertenteams der Dienstleister sind auf die Überwachung der IT-Systeme und die Erkennung und Analyse von IT-Sicherheitsvorfällen spezialisiert. Bemerken sie eine akute Bedrohung, können sie diese umgehend isolieren und ihre Auswirkungen eindämmen. Dazu bringen MDR-Dienstleister eigene Software-Lösungen mit, die an die Kundenumgebung angepasst werden. Um die Lizensierung und die technischen Details des Einsatzes dieser Tools muss sich der Kunde keine Gedanken mehr machen, was grade für viele KMU eine große personelle und finanzielle Entlastung darstellt.
Flexibler Einsatz – mit und ohne Cloud
MDR-Dienstleistungen sind also schlüsselfertige Gesamtlösungen, die auf die bekannten Anforderungen verschiedener Kundengruppen zugeschnitten sind. Dabei sind Lösungen etwa unter Einbeziehung der Microsoft Cloud auf Basis der Defender-Produktfamilie genauso möglich wie auf Basis von Lösungen, die ohne Cloud auskommen und entsprechenden Datenschutzansprüchen gerecht werden. Letzteres ist für Unternehmen wichtig, die keine Cloud-Systeme einsetzen wollen oder dürfen.
Für viele Unternehmen, die auf einen MDR-Service setzen ist der vordefinierte Umfang des Services kein Nachteil, sondern ein Teil des Verkaufsarguments. Schließlich spart sich der Kunde strategische und taktische Überlegungen zur Auswahl von Software & Detektionsmechanismen, sowie die Ausgestaltung der erforderlichen Prozesse.
Natürlich bedarf es auch in diesem Fall eines stetigen Austausches zwischen Dienstleister und Kunden und trotz der Auslagerung des Großteils der Arbeit wird der Kunde im Laufe der Zusammenarbeit eine gewisse Kompetenz im Umgang mit (potenziellen) Sicherheitsvorfällen aufbauen, da er in kritische Entscheidungsprozesse stets mit einbezogen werden muss.
Technische Basis: SIEM, XDR & Co.
Das Herzstück eines MDR-Service bildet typischerweise das Security Information & Event Management (SIEM). Zur logbasierten Angriffserkennung verarbeitet es sämtliche relevanten Log-Daten des Unternehmens. Zudem dient es als zentralisiertes Log-Management und die Speicherung aller relevanter Informationen. Ergänzt wird die logbasierte Angriffserkennung durch Alarme von EDR-Systemen, welche Ereignisse direkt auf den Hosts erkennen und unterbinden sowie von NDR-Systemen, die diese Aufgaben im Netzwerkbereich übernehmen.
Als weitere Bestandteile des technischen Fundaments wird auf Basis von Threat Feeds nach bekannten Indicator of Compromise (IoC) gesucht und verdächtigen Aktivitäten in den Datenquellen, während die Cyber Deception versucht, Angreifer durch Täuschungsmanöver von den eigentlichen Kronjuwelen im Unternehmensnetzwerk abzulenken und Hacker in die Falle zu locken. Präventiv kann ein Baustein für Vulnerability-Management Schwachstellen in der IT-Infrastruktur durch zyklische Scans und Analysen systematisch aufdecken und somit widerstandsfähiger machen.
Um alle Ereignisse und Alarme im Überblick zu behalten, nutzen Security Analysten eine SOAR-Lösung (Security Orchestration Automation and Response). SOAR, bietet die Möglichkeit eingehende Alarme aus unterschiedlichen IT-Sicherheitssystemen wie SIEM oder NDR innerhalb des Unternehmens zentralisiert und effizient zu bearbeiten. Dazu sind an das SOAR-System neben allen Alarmquellen auch Tools zur Informationsgewinnung angebunden. Zudem können bestimmte Analysetätigkeiten anhand von zuvor definierten Playbooks automatisch durchgeführt werden.
Modular aufgebautes MDR-Angebot mit Basis-Komponenten, SOAR und Monitoring-Services. (Quelle: SECUINFRA)
24/7 Abwehr durch Cyber Defense Experten
Einen Cyber-Angriff zu erkennen und zu analysieren ist eine Sache. Eine andere ist es, ihn so schnell wie möglich professionell abzuwehren. Für einen effektiven Schutz benötigt man deshalb auch eine gehörige Portion menschliches Know-how als entscheidende Ergänzung zu automatisierten Response-Technologien wie EDR, NDR und SOAR. Erst in Kombination mit der Expertise erfahrener Cyber-Defense-Analysten, die in den unterschiedlichsten Sicherheitsbereichen zu Hause und rund um die Uhr im Einsatz sind, entfaltet MDR sein volles Potenzial. So können im richtigen Moment kompromittierte Konten gesperrt, infizierte Systeme vom Netz genommen oder andere im Incident-Response-Plan vereinbarte Maßnahmen ergriffen werden.
Die notwendigen Alarme und Informationen für ein rechtzeitiges und angemessenes Handeln erhalten die MDR-Spezialisten aus ihrem Werkzeugkasten mit SIEM, EDR, NDR, Threat Intelligence und Cyber Deception. Alle Meldungen fließen in das SOAR-System ein, wo viele Prozesse bereits automatisiert ablaufen. Ergänzend dazu werten die Sicherheitsexperten die erkannten Ereignisse aus und reagieren entsprechend. Im Rahmen eines professionellen Incident Managements werden zudem Malware-Analysen durchgeführt, um potenzielle oder bestätigte Schadsoftware möglichst umfassend zu verstehen und die Abwehr zu optimieren. Sollte es dennoch zu einem Sicherheitsvorfall gekommen sein, kann ein zeitnahes Compromise Assessment betroffene Systeme anhand von Indicator of Compromise (IoCs) identifizieren und für eine tiefgreifende Untersuchung priorisieren. Für die detaillierte Untersuchung nutzen Dienstleister forensische Methoden, um Cyber-Sicherheitsvorfälle zu untersuchen und zeitnah geeignete Gegenmaßnahmen einzuleiten. So können sie akute Schäden effektiver minimieren und die Arbeitsfähigkeit schnellstmöglich wiederherstellen.
Nahtlose Integration, laufender Austausch
Doch wie sieht die Zusammenarbeit mit einem MDR-Dienstleister konkret aus? Für eine lückenlose Integration der relevanten MDR-Tools und -Prozesse müssen Dienstleister und IT-Teams Hand in Hand zusammenarbeiten. Schließlich ist es wichtig, dass die spätere Cyber-Abwehr schnell und reibungslos ablaufen kann. Dazu zählt eine klare Definition der Aufgaben und Analyse-Tätigkeiten genauso wie eine Abgrenzung der möglichen Reaktionsmaßnahmen, um den operativen Betrieb nicht unnötig zu stören. Zudem sind regelmäßige Besprechungen und Updates empfehlenswert, damit beide Seiten stets über die aktuelle Sicherheitslage und mögliche Herausforderungen informiert sind. Gleichwohl sollte nicht vergessen werden, dass jedes Unternehmen einzigartig ist, weshalb MDR-Anbieter ihre Dienstleistungen unbedingt auf die kundenspezifischen Anforderungen und Ziele abstimmen müssen.
Fazit
Die zunehmende Notwendigkeit, auf Bedrohungen zu reagieren, macht ausgelagerte Managed Detection and Response (MDR) Services immer attraktiver. Denn mit Hilfe dieser fortschrittlichen Cybersicherheitsdienstleistung lässt sich das Schutzniveau zu kalkulierbaren Kosten auf Unternehmensebene anheben, was intern mitunter kaum darstellbar ist. Mit einem erfahrenen MDR-Partner, der die aktuelle Cyber-Bedrohungslandschaft kennt und die notwendigen Ressourcen für eine 24/7-Abwehr bereitstellt, können Unternehmen jeder Größe daher gut gerüstet in die digitale Zukunft blicken.
Auswahlkriterien für einen MDR-Dienstleister
Die Zusammenarbeit mit einem MDR-Dienstleister bietet Unternehmen die Möglichkeit, einen umfassenden Cyber-Sicherheitsansatz zu implementieren, der über die internen Kapazitätsgrenzen hinausgeht. Welcher MDR-Dienstleister letztlich in Frage kommt, hängt von der Unternehmensgröße und der vorhandenen Sicherheitslandschaft ab. Auch die Personalstärke und Security-Expertise des eigenen IT-Teams sowie die zu berücksichtigenden Compliance-Vorschriften sind in die Anbieterentscheidung miteinzubeziehen. Für die Anbieterauswahl gilt es neben dem Nachweis von Expertise und Branchenerfahrung darauf zu achten, dass dieser Notfall schnell reagiert, transparent und regelmäßig berichtet und das Preis-Leistungsverhältnis zum erwartbaren Schutzniveau passt.
Autor: Simon Hanke, Cyber Defense Consultant, SECUINFRA GmbH