taa22 - stock.adobe.com
Managed Detection and Response: Das passende Angebot finden
Lösungen zur Managed Detection and Response können eine große Hilfe bei der Abwehr von Cybergefahren sein. Bei der Auswahl gibt es aber einiges zu beachten und vorab zu definieren.
Unternehmen, die ihre IT-Security-Strategie verbessern wollen, beschäftigen sich zunehmend auch mit von spezialisierten Dienstleistern angebotenen MDR-Diensten (Managed Detection and Response). MDR ist aber nicht gleich MDR. Es gibt Angebote in vielen verschiedenen Varianten. Wie sie aufgebaut sind, hängt stark von der erwünschten Reaktion auf entdeckte sicherheitsrelevante Vorfälle ab.
MDR und die vier zugrundeliegenden Stacks
Zu den wichtigsten Entscheidungen bei der Wahl des am besten passenden MDR-Angebots gehört die Frage, ob der Provider den Produkt-Stack bereitstellen soll oder ob Sie das lieber selbst übernehmen wollen. Es gibt vier wesentliche Vorgehensweisen, die bei der Auswahl berücksichtigt werden sollten.
- Bring your own Stack (BYOS): Nutzer des BYOS-Modells wissen in der Regel ganz genau, welches Angebot sie auswählen wollen oder welches sie für die Einhaltung ihrer Compliance-Vorgaben benötigen. In diesem Fall suchen Sie nach einem Anbieter, der mit Ihrem eigenen Stack arbeiten kann. Diese Vorgehensweise ist vor allem bei Unternehmen beliebt, die bereits zahlreiche Produkte einsetzen, bei denen sie auf jeden Fall bleiben wollen. Das gilt auch für Organisationen, die bestimmte Lösungen aus regulatorischen oder anderweitigen Gründen nutzen müssen.
- Von mehreren Herstellern zusammengefasst: Diese MDR-Anbieter nutzen Lösungen von bekannten und vertrauenswürdigen Herstellern, die sie im Auftrag ihrer Kunden einrichten und verwalten. Diese Option eignet sich besonders für Unternehmen, die kein vorgegebenes Tool-Set nutzen oder die ihren vorhandenen Stack ändern wollen.
- Von einem Anbieter zusammengestellt: Bei dieser Variante ergänzt der Provider seine eigenen Tools mit einer passenden MDR-Lösung. Da die dabei verwendeten Anwendungen alle von ein- und demselben Anbieter stammen, gibt es hier meist die wenigsten Probleme bei der Integration. Nachteilig ist allerdings, dass dadurch relativ schnell eine enge Bindung an einen einzelnen Anbieter entsteht. Ein späterer Wechsel zu einem anderen Provider wird dadurch erschwert.
- Mix aus den genannten Varianten: Diese Vorgehensweise setzt auf das Beste aus beiden Welten. Viele Unternehmen entscheiden sich daher für einen Anbieter, der die am besten passende Balance aus selbst entwickelten und zugekauften Lösungen nutzt, um in ihrem Auftrag eine MDR-Lösung zu integrieren.
Kriterien für die Wahl des richtigen MDR-Dienstes
Nachdem Sie sich für das am besten zu Ihrem Unternehmen passende Stack-Modell entschieden haben, sollten Sie sich mit der Frage beschäftigen, welche MDR-Dienste Sie benötigen. Um diese Aufgabe zu erfüllen, sollten Sie sich noch einmal kurz auf den Grund besinnen, aus dem Sie einen MDR-Anbieter engagieren wollten. Eine kurze Liste der am häufigsten genannten Gründe finden Sie im Folgenden. Sie ist ein großartiger Ausgangspunkt, um Ihre eigenen Anforderungen zu finden und gegebenenfalls zu ergänzen.
- Aufstockung des vorhandenen Teams: Kleine und mittlere Unternehmen können ihr Security-Team oft nicht mehr erweitern, daher entscheiden sie sich für eine MDR-Lösung. Aber auch größere Firmen greifen aus mehreren Gründen zu einem MDR-Service. Teilweise geht es darum, Lücken zu schließen, wenn das Finden und die Anstellung neuer Sicherheitsexperten nicht schnell genug gehen. MDR dient dann als zusätzliche Hilfe, um Alerts zu prüfen und nach Hinweisen auf sicherheitsrelevante Vorfälle zu suchen.
- Proaktive Jagd nach Bedrohungen: Die meisten Analysten in einem Security Operations Center (SOC) sind damit beschäftigt, Alarmen und IOCs (Indicators of Compromise) nachzugehen. Beide Maßnahmen sind aber rein reaktiv. Wenn Sie in Zukunft proaktiver vorgehen wollen, aber nicht über die dafür benötigten Mitarbeiter mit passenden Kenntnissen verfügen, dann sollten Sie sich die besonders beim Threat Hunting erfahrenen MDR-Anbieter genauer ansehen und ihre Fähigkeiten beim Entdecken von IOCs prüfen.
- Integrierte Funktionen zur Threat Intelligence: Haben Sie bereits mehrere Threat-Intelligence-Feeds abonniert, aber keine Zeit, sie laufend im Auge zu behalten? Manche MDR-Anbieter stellen aggregierte und kuratierte Feeds zur Verfügung, die speziell auf Ihr Unternehmen und Ihr Netzwerk zugeschnitten werden. Nahezu alle integrieren einen oder mehrere Threat-Intelligence-Dienste in ihre Angebote, um die zum Schutz der Endpoints eingesetzten Agenten bei der Abwehr brandneuer Angriffe zu unterstützen.
- Korrelieren der Alert-Feeds: Immer wieder entsteht ein Problem, wenn in einem SOC sehr viele Sensoren eingesetzt und viele Alerts bearbeitet werden müssen, die aber nicht zusammengeführt werden können. In diesem Fall bietet sich ein Provider an, der die Daten für Sie korrelieren kann. Stellen Sie dabei jedoch sicher, dass der Anbieter sich auch mit den Produkten auskennt, die Sie bereits in Ihrem Unternehmen einsetzen. Außerdem sollte er über passende Konnektoren verfügen, um die benötigten Daten in sein Dashboard und seine Schutzmaßnahmen integrieren zu können.
- Transparenz für alle Endpunkte im Unternehmen: Wenn es Ihnen insbesondere um die Kontrolle und Sicherheit Ihrer Clients geht, dann suchen Sie nach einem Anbieter, der sich darauf spezialisiert hat. Vergessen Sie dabei aber nicht, dass er alle Plattformen und Systeme sichern können muss, die für Sie die größte Bedeutung haben, seien es Notebooks, Mobilgeräte oder Server. Die meisten Provider decken Windows sowie Android und iOS ab. Wenn Sie aber auch macOS- oder Unix-Systeme einsetzen, dann prüfen Sie, ob diese ebenfalls unterstützt und geschützt werden.
- Behebung und Reaktion: Der Buchstabe „R“ in der Abkürzung MDR steht für „Response“, also die Reaktion auf sicherheitsrelevante Vorfälle. Er ist einer der wichtigsten Gründe, warum sich Unternehmen für diese Art von Lösungen entscheiden. Es geht also nicht nur darum, Bedrohungen aufzuspüren, sondern sie auch aktiv abzuwehren. Sie sollten aber die Möglichkeit haben, selbst genau zu bestimmen, wie weit die Reaktionen auf sicherheitsrelevante Vorfälle gehen sollen und inwieweit der avisierte Anbieter diese Anforderung erfüllt.
Die richtige Entscheidung bei der Wahl eines MDR-Dienstes
Ausgerüstet mit den Antworten auf die Fragen zu Stacks, Ihren Zielen und den gewünschten Diensten, können Sie zur Formulierung Ihrer Angebotsanforderung schreiten und die ersten Anbieter kontaktieren. Selbst wenn Sie keine formelle Ausschreibung durchführen wollen, sollten Sie Ihre Anforderungen trotzdem schriftlich festhalten. Dafür sprechen zwei gute Gründe. Erstens werden die Provider dadurch gezwungen, auf Ihre spezifischen Anfragen zu reagieren und nicht nur mit „Antworten von der Stange“, die mit Ihrer realen Situation vermutlich nicht viel zu tun haben. Zweitens helfen Ihnen Ihre Notizen dabei, die Spreu vom Weizen zu trennen, wenn die ersten Antworten der kontaktierten Anbieter eintreffen. Auf diese Weise können Sie den am besten passenden Dienst schneller bestimmen.
Unabhängig davon, ob Ihr Unternehmen groß oder klein ist, kann die Zusammenarbeit mit dem richtigen MDR-Partner die Widerstandsfähigkeit Ihrer Organisation deutlich verbessern, die Reaktionszeiten auf sicherheitsrelevante Vorfälle verkürzen und Ihr Unternehmen insgesamt besser vor Cyberbedrohungen schützen.