5 Gründe für Managed Detection & Response

Viele Unternehmen setzen bereits ein Security Information and Event Management (SIEM) ein, um bösartige Aktivitäten aufzudecken. Das Security-System sammelt Logdaten aus der IT-Umgebung und schlägt Alarm, falls es verdächtiges Verhalten feststellt. Doch das allein reicht nicht aus: Man muss die Warnmeldungen auch auswerten, verstehen und nachverfolgen. Das aber ist aufwändig, erfordert Expertenwissen und modernste Technologie. Die Alternative: Managed Detection & Response (MDR) als Service. Ein Managed Security Service Provider wie Indevis stellt dann die Security-Technologie bereit, betreibt sie und analysiert die Alarme. Er informiert, falls Handlungsbedarf besteht, und unterstützt dabei, geeignete Gegenmaßnahmen umzusetzen. MDR lohnt sich vor allem für den Mittelstand.

1. Ein eigenes SOC können sich nur große Unternehmen leisten
Lange Zeit lag es im Trend, ein eigenes Security Operations Center (SOC) aufzubauen. Doch ein SOC zu betreiben ist teuer. In der Regel können sich das nur große Unternehmen leisten, und selbst die überlegen mittlerweile, ob sich der Aufwand lohnt. Denn täglich laufen Hunderte von Alerts auf, von denen ein Großteil False Positives sind. Die Analysten müssen entscheiden, welche Meldungen tatsächlich auf Bedrohungen hinweisen. Identifiziert eine solche Level-1-Analyse Anzeichen für einen Angriff, folgt eine tiefere Untersuchung. All das erfordert Zeit und Expertise. Dazu kommt, dass Security-Analysten auf dem Arbeitsmarkt schwer zu finden sind.

2. Ohne Automatisierung ist IT-Security heute undenkbar
Viele Angriffe finden mittlerweile automatisiert statt. Manuelle Analysen dauern oft zu lange, um sie rechtzeitig zu stoppen. Auch die Security braucht daher Automatisierung. Wer auf neuestem Stand der Technik arbeitet, setzt ein SOAR ein (Security Automation, Orchestration & Response). Solche Lösungen können riesige Datenmengen in Echtzeit verarbeiten, Informationen aus verschiedenen Quellen verknüpfen und Level-1-Analysen automatisiert durchführen. SOC-Mitarbeiter sparen dadurch viel Arbeit und sehen auf einen Blick, was passiert ist. Mit MDR profitieren auch Unternehmen, die kein eigenes SOC und SOAR betreiben, von der Effizienz und Geschwindigkeit der neuen Technologie.

3. Playbooks sind stets auf die aktuelle Bedrohungslandschaft angepasst
Für die automatisierten Analysen nutzt ein SOAR sogenannte Playbooks. Dabei handelt es sich um Anweisungen, die das System anhand von hinterlegten Logiken abarbeitet. Ein Playbook definiert zum Beispiel, welche Überprüfungen das SOAR Schritt für Schritt durchführen soll, um einen Ransomware-Angriff zu erkennen. Für verschiedene Szenarien gibt es verschiedene Playbooks. Diese müssen stets auf dem neuesten Stand sein, da sich die Bedrohungslandschaft schnell ändert. Ein gutes SOAR bringt bereits viele Playbooks mit, die dann häufig noch angepasst und weiterentwickelt werden müssen. Im Rahmen von MDR übernimmt der Managed Security Services Provider (MSSP) die Pflege der Playbooks.

4. Spezialisten kümmern sich um Setup und Betrieb der Lösung
SOAR-Lösungen sind für große SOCs gedacht. Sie erfordern leistungsfähige, teure Hardware, müssen an Logquellen und Datenbanken angebunden werden und sind komplex zu bedienen. Allein mit der Einrichtung sind durchschnittlich bis zu vier Mitarbeiter ein halbes Jahr lang beschäftigt. Für mittelständische Unternehmen lohnt es sich daher in der Regel nicht, ein eigenes SOAR anzuschaffen – geschweige denn, es zu betreiben. Denn für Letzteres fehlen wiederum Fachkräfte. Bei MDR stellt der MSSP dagegen die Technologie bereit. Er bindet auch die Quellen an, modelliert sie und kümmert sich kontinuierlich um den Betrieb.

5. Im Angriffsfall ist schnelle Expertenunterstützung gewährleistet
Wenn die Analysen auf einen Angriff hindeuten, geht es im nächsten Schritt darum, schnell zu reagieren. Im Rahmen von MDR führt der MSSP in enger Zusammenarbeit mit seinem Kunden weitere Untersuchungen durch und gibt ihm Schritt-für-Schritt-Handlungsempfehlungen, um den Angriff zu stoppen. Falls nötig, zieht er spezialisierte Partner aus der IT-Forensik hinzu. Der MSSP kann auch bei der Umsetzung von Maßnahmen unterstützen. Ob und welche Aktionen der Kunde ergreifen möchte, entscheidet er jedoch selbst. Eine automatisierte Response, wie SOAR-Lösungen sie versprechen, ist nicht empfehlenswert. Denn das könnte im Einzelfall mehr Schaden als Nutzen anrichten – etwa, wenn durch geänderte Firewall-Regeln das Netzwerk ausfällt oder sogar ungeahnte Auswirkungen auf Produktionsabläufe entstehen.

Fazit

Ohne Automatisierung und spezialisierte Security-Analysten ist es heute nicht mehr möglich, komplexe Cyberangriffe schnell genug zu erkennen und einzudämmen. Ein eigenes SOC und SOAR zu betreiben ist für mittelständische Unternehmen aber meist zu aufwändig und zu teuer. Wer sich eine Detection & Response nach neuestem Stand wünscht, aber nicht mit den technischen Details auseinandersetzen möchte, ist mit MDR von einem Managed Security Service Provider am besten beraten.