Managed Detection and Response (MDR)

Was ist Managed Detection and Response (MDR)?

Bei Managed Detection and Response lagern Unternehmen ihre IT-Sicherheit im Bezug auf die Erkennung und Reaktion auf Bedrohungen an Dienstleister aus. Je nach MDR-Angebot (Managed Detection and Response) installiert der Anbieter Technologie lokal beim Kunden und bietet zusätzliche externe und automatisierte Dienste über Software an.

Managed Detection and Response (MDR) verbessert die Cybersicherheit, indem diese Dienste nach Bedrohungen suchen und auf diese reagieren, sobald sie entdeckt werden. Die ermöglichen es den Anwenderunternehmen, mit den Sicherheitsexperten des Anbieters in Kontakt zu treten, die die IT-Abteilung des Kundenunternehmens unterstützen können. Daher eigenen sich diese Dienste insbesondere für Unternehmen, die im eigenen Team nicht über Spezialisten für die Bedrohungserkennung verfügen.

Die zunehmende Beliebtheit von MDR-Angeboten ist auch auf die mangelnde Verfügbarkeit von Fachkräften und die Qualifikationslücke im Bereich Cybersicherheit am Arbeitsmarkt zurückzuführen.

Die Vorteile von Managed Detection and Response

MDR-Dienste spielen eine aktive Rolle bei der Verbesserung der Informationssicherheitsstrategie eines Unternehmens. Sie befassen sich mit der Erkennung von Bedrohungen, der Reaktion auf Vorfälle, der kontinuierlichen Überwachung und der Analyse von IT-Beständen.

MDR- Dienste gehen diese Aufgaben auf eine Art und Weise an, die die üblichen Probleme moderner IT-Abteilungen entschärft. Sie bieten die folgenden Vorteile:

Bewältigung des hohen Alarmaufkommens. MDR-Lösungen können Unternehmen dabei helfen, die schiere Menge an Cybersicherheitswarnungen zu bewältigen, die auf individueller Basis überprüft werden müssen. Zu viele Fehlalarme können bei kleineren Sicherheitsteams zu Ermüdungserscheinungen führen, so dass sie andere Aufgaben vernachlässigen.

Bedrohungsanalyse. Viele Warnmeldungen stellen sich nicht sofort als Bedrohung dar und erfordern eine gründliche Analyse, um ihren Status zu bestimmen. MDR-Dienste bieten fortschrittliche Analysetools, Bedrohungsdaten und Zugang zu Sicherheitsexperten, die dabei helfen, Ereignisse zu interpretieren und Empfehlungen für Verbesserungen zu geben.

Zugang zu Sicherheitsexperten. In einer vom ISC2 durchgeführten Studie zum Thema Cybersecurity Workforce gaben 67 Prozent der Teilnehmer an, dass es ihrem Unternehmen an Cybersecurity-Personal fehlt, um Sicherheitsprobleme zu erkennen und zu beheben. Darüber hinaus gaben 92 Prozent der Befragten an, dass in ihrem Unternehmen eine Qualifikationslücke besteht, wobei die Bereiche Cloud -Sicherheit, künstliche Intelligenz, maschinelles Lernen und Zero-Trust-Adoption am häufigsten vorkommen. MDR-Dienste können diese Lücke schließen, indem sie Zugang zu ihrem Expertenteam bieten, das in der Regel rund um die Uhr arbeitet, um ein Netzwerk zu überwachen, und das für Beratungen zur Verfügung steht.

Endpoint Detection und Response (EDR). Unternehmen haben möglicherweise nicht die Mittel, die Zeit oder die Fähigkeiten, um Mitarbeiter für EDR-Tools zu schulen. MDR-Services werden mit EDR-Tools geliefert und integrieren diese in die Erkennungs-, Analyse- und Reaktionsprozesse, wodurch die Notwendigkeit einer umfangreichen internen Endpunktsicherheit entfällt.

Rund-um-die-Uhr-Überwachung. MDR-Anbieter garantieren eine ständige Überwachung und Erkennung von Bedrohungen, indem sie die Kundennetze rund um die Uhr schützen und überwachen.

Proaktive Suche nach Bedrohungen. Der Sicherheits-Stack eines Unternehmens kann nicht immer jedes Sicherheitsereignis erkennen. Die meisten MDR-Anbieter scannen jedoch proaktiv das Netzwerk und die Systeme eines Unternehmens auf Anzeichen eines aktiven Angriffs und ergreifen umgehend Maßnahmen zur Schadensbegrenzung.

Schnelle Reaktion auf Vorfälle. MDR-Dienste bieten schnelle Reaktionszeiten auf fortgeschrittene Bedrohungen und Sicherheitsvorfälle. Sicherheitsteams können ungewöhnliche Aktivitäten schnell erkennen, Cyberbedrohungen konsequent identifizieren und umgehend Maßnahmen ergreifen, um sie zu entschärfen.

Überwachung von Cloud-Bedrohungen. MDR-Dienste umfassen in der Regel die Überwachung und den Schutz von Cloud-Umgebungen. Dies ist besonders wertvoll für Unternehmen, die auf eine Cloud-Infrastruktur angewiesen sind, da so eine umfassende Cloud-Sicherheitsabdeckung über mehrere Plattformen hinweg gewährleistet wird.

Maßgeschneiderte Sicherheitsregeln und -dienste. MDR-Dienste bieten Unternehmen in der Regel die Möglichkeit, Sicherheitsregeln entsprechend ihren individuellen Anforderungen zu personalisieren. Diese Anpassungsfähigkeit ermöglicht maßgeschneiderte Strategien zur Erkennung von und Reaktion auf Bedrohungen.

Was sind die Herausforderungen von MDR?

Wie bei vielen „Anything-as-a-Service“-Modellen, mit denen moderne IT-Prozesse ausgelagert werden, tauschen Unternehmen einen Teil der Kontrolle gegen mehr Komfort und flexiblere Preise. MDR-Dienste haben im Vergleich zu älteren Managed-Security-Produkten und je nach Verwendungszweck des Kunden auch einige Nachteile.

Zu den üblichen Herausforderungen, die mit MDR-Diensten einhergehen, gehören die folgenden:

Komplexe Bereitstellung. Die Einführung von MDR kann sich manchmal schwierig gestalten, insbesondere für Unternehmen mit unterschiedlichen IT-Umgebungen. Die Integration von MDR-Tools und -Technologien in bestehende Systeme und Prozesse erfordert zudem eine strenge Planung und Koordination.

Kostenüberlegungen. MDR-Dienste können eine finanzielle Herausforderung darstellen, insbesondere für kleine und mittlere Unternehmen, die mit knappen Budgets arbeiten. Daher ist es wichtig, die mit dem Outsourcing von MDR-Diensten verbundenen Kosten gründlich zu bewerten und zu rechtfertigen.

Integration in die bestehende Infrastruktur. Um die Effektivität von MDR-Diensten zu gewährleisten, sollte die aktuelle Sicherheitsstruktur eines Unternehmens – Netzwerküberwachungs-Tools, Endpunktschutzprogramme sowie SIEM-Lösungen – nahtlos in diese integriert werden. Die Gewährleistung einer konsistenten Kompatibilität und Integration kann jedoch eine Herausforderung darstellen.

Sich entwickelnde Bedrohungslandschaft. Die Bedrohungslandschaft entwickelt sich ständig weiter, da regelmäßig neue Cyberangriffe und Malware-Varianten auftauchen. MDR-Dienstleister müssen sich über die neuesten Cyberbedrohungen auf dem Laufenden halten und ihre Erkennungs- und Reaktionsfähigkeiten ständig aktualisieren, um sie wirksam zu bekämpfen.

Unzureichende Reaktionen. Nicht alle MDR-Anbieter sind gleich. Während einige bei der Erkennung und Bekämpfung von Bedrohungen akribisch vorgehen, sind andere vielleicht nicht so wachsam. Einige Agenturen lösen beispielsweise nach einem Sicherheitsereignis nur allgemeine Warnungen aus – „Es liegt eine kritische Warnung auf Ihrer Firewall vor, und Sie sollten weitere Untersuchungen durchführen“ -. Die Unternehmen, die diese Dienste in Anspruch nehmen, müssen selbst mehr zur Fehlersuche und -behebung beitragen.

MDR vs. klassische verwaltete Sicherheit

MDR im Vergleich zur klassischen Managed Security

Sowohl MDR-Ansätze als auch klassische Managed-Security-Produkte erfüllen die gleiche allgemeine Funktion: die externe Unterstützung von Unternehmen in Sachen Cybersicherheit. Es gibt jedoch einige Unterschiede zwischen Managed Detection and Response und typischen Managed-Security-Angeboten, als da wären:

• Compliance – klassische Managed-Security-Dienste, oder auch MSSP (Managed Security Service Provider), konzentrieren sich häufiger stärker auf die Compliance-Berichterstattung und die Unterstützung von Unternehmen bei der Einhaltung von Compliance-Richtlinien. MDR-Dienste fokussieren diesen Bereich eher seltener.
• Protokollformate – MSSPs sind im Allgemeinen in der Lage, mit einer größeren Vielfalt von Ereignisprotokollen und Kontexten zu arbeiten. MDR-Angebote hingegen verwenden in erster Linie nur die Protokollformate, die mit ihren Tools geliefert werden.
• Menschliche Interaktion – In den meisten Fällen wickeln MSSPs jegliche Kommunikation über Online-Portale und E-Mails ab. MDR-Angebote umfassen üblicherweise auch Expertenteams beziehungsweise ein Security Operations Center (SOC), die über mehrere Kanäle in Echtzeit erreichbar sind.
• Erkennungsmethoden – Aufgrund der menschlichen Expertise, die MDR-Lösungen bieten, können sie Warnmeldungen eingehender analysieren und neuartige Bedrohungen erkennen. MSSPs sind in der Regel weniger in die Analyse involviert und konzentrieren sich daher mehr auf bekannte und häufig auftretende Bedrohungen.
• Netzwerktransparenz – Bei Managed Detection and Response können Ereignisse und Bewegungen innerhalb eines Client-Netzwerkes erkannt werden. MSSP konzentrieren sich in aller Regel auf den Netzwerkrand.
• Ressourcenzuweisung. MDR ist für Unternehmen von Vorteil, die es vorziehen, sich nicht intern um die Sicherheit zu kümmern und stattdessen ihre finanziellen Ressourcen in den Erwerb von MDR-Diensten zu investieren. Für die klassische verwaltete Sicherheit ist es jedoch in der Regel erforderlich, ein Sicherheitsteam einzustellen und ein SOC zu verwalten.
• Benachrichtigungen. Bei MDR werden die Benachrichtigungen gefiltert, so dass sich das Team nicht mit falsch positiven Meldungen befassen muss. Im Gegensatz dazu verschicken MSSPs Benachrichtigungen für jedes Sicherheitsereignis, unabhängig von dessen Art.
• Überwachung. MDR bietet rund um die Uhr Überwachungs- und Cybersicherheitsdienste, die eine kontinuierliche Überwachung gewährleisten. MSSPs bieten in der Regel eingeschränktere Überwachungsdienste an.
• Technologiearten. MSSPs eignen sich für die Verwaltung grundlegender Sicherheitstechnologien wie Firewalls und die Durchführung alltäglicher Sicherheitsaufgaben. MDRs sind spezialisiertere Dienste, die für den Umgang mit komplexen modernen Netzen und den damit verbundenen neuen Schwachstellen konzipiert sind.

Beide Ansätze haben ihre Stärken und Schwächen. MSSPs eignen sich für die Verwaltung grundlegender Sicherheitstechnologie wie Firewalls und für die Durchführung alltäglicher Sicherheitsaufgaben. MDR-Angebote sind spezialisiertere Dienste, die für den Umgang mit komplexen modernen Netzwerken und den damit verbundenen neuen Schwachstellen konzipiert sind. Daher spricht nichts dagegen, Angebote beider Kategorien zusammen einzusetzen, um die Sicherheit zu optimieren.

Jede Option hat ihre Stärken und Schwächen. Unternehmen können beide Produkte zusammen einsetzen, um den Nutzen zu maximieren.

Typische Merkmale von MDR-Angeboten

Die MDR-Angebote der einzelnen Unternehmen unterscheiden sich durchaus, zudem der Markt noch relativ jung ist (siehe auch Managed Detection and Response: Das passende Angebot finden). So kann es beispielsweise Unterschiede geben, auf welcher Netzwerkebene die Lösungen agieren. Unabhängig davon, vereinen die Angebote meist Berichte aus mehreren Technologien, um diese Funktionen zu erfüllen:

• Erkennung von Bedrohungen, bei der das SOC kontinuierlich Daten überwacht und Warnmeldungen für die Analyse priorisiert.
• Bedrohungsanalyse, bei der das SOC-Personal potenzielle Bedrohungen ausfindig macht und die Quelle und den Umfang der Bedrohung bestimmt.
• Reaktion auf eine Bedrohung, bei der der Anbieter den Kunden über einen Vorfall benachrichtigt und in seiner Analyse Empfehlungen zur Lösung des Problems gibt.
• Ereignistriage, bei der MDR-Dienste Sicherheitsereignisse auf der Grundlage ihrer Kritikalität kategorisieren und priorisieren. Unter Berücksichtigung verschiedener Faktoren erstellen sie eine Liste von Sicherheitsereignissen, um sicherzustellen, dass die wichtigsten Vorfälle sofort behandelt werden.

Häufig unterscheiden sich die einzelnen Angebote, wenn es um den Bereich der Reaktion auf eine Bedrohung geht. Jeder Anbieter bestimmt den Zeitpunkt, an dem seine Arbeit endet und der Kunde das Problem selbst übernimmt. Einige Anbieter offerieren Optionen gegen Aufpreis, wie beispielsweise die Beratung durch Experten vor Ort oder zusätzliche Hardware, die beim Kunden installiert wird.

Bei der Auswahl eines Anbieters sollten Unternehmen im Hinblick auf ihre eigene Organisation unter anderem Folgendes beachten:

Die Größe des eigenen Unternehmens

Bei der Suche nach MDR-Anbietern kommt es auf die Größe des Unternehmens an. Größere Unternehmen verfügen beispielsweise über komplexere Netzwerke und ein höheres Aufkommen an Sicherheitsvorfällen. Daher sollten sie nach einem MDR-Anbieter suchen, der in der Lage ist, die Größenordnung zu bewältigen und Vorfälle sofort zu erkennen und darauf zu reagieren.

Fähigkeiten und Kompetenzen

Es ist wichtig, einen Anbieter mit Erfahrung und Wissen im Bereich der Cybersicherheit zu wählen. Kunden sollten auch nach einem Unternehmen suchen, das Unterstützung bei der Einarbeitung und Dienstleistungen für den Kundenservice anbietet.

Technologie und Tools

Die Art der von einem MDR verwendeten Technologie und die Frage, ob er mit den neuesten Sicherheitstools und -technologien vertraut ist, ist ein wichtiger Faktor bei der Suche nach einem Anbieter. Die Kunden können die Kompetenz des Teams des MDR-Anbieters anhand der Art der verwendeten Sicherheits-Tools beurteilen.

Einhaltung der Vorschriften

Indem ein Unternehmen die Compliance-Vorschriften, die ein MDR-Anbieter einhält, versteht und überprüft, kann es fundierte Entscheidungen treffen, die regulatorischen Risiken reduzieren und sicherstellen, dass der gewählte Anbieter die spezifischen Anforderungen seiner Branche und seines geografischen Standorts erfüllt.

Transparente Kommunikation

Eine wirksame Kommunikation ist für die Interaktion zwischen Kunde und MDR-Anbieter von entscheidender Bedeutung. Kunden sollten sich nach den Kommunikationskanälen und -protokollen des Anbieters erkundigen, sowohl während des normalen Betriebs als auch bei der Reaktion auf einen Vorfall. Transparenz in der Kommunikation ist ebenfalls von entscheidender Bedeutung, da der Anbieter in der Lage sein sollte, die Schritte des MDR-Dienstes zu erläutern und aktuelle Informationen über den Fortschritt der Sicherheitsmaßnahmen zu liefern.