Die Definition von MDR
Managed Detection and Response (MDR) ist ein Sicherheitsservice, der die Erkennung und Abwehr im Kundenauftrag übernimmt. Mit Hilfe von MDR können Unternehmen ein schlüsselfertiges Security Operations Center (SOC) zu einem Bruchteil der Kosten einrichten, die beim Aufbau eines firmeninternen Programms anfallen würden.
Die Personen, die für die Beschaffung der Sicherheitsorganisation eines Unternehmens verantwortlich sind, könnten zunächst die Frage stellen "Was ist MDR?". Sicher kennen sie sich bereits mit Detection & Response (D&R) aus. Und weil sie diese Frage stellen, wissen sie, dass ihre Organisation Schwierigkeiten hat, mit den D&R-Verpflichtungen Schritt zu halten. Dies könnte auf einen Mangel an Sicherheitspersonal, Fachwissen, Ressourcen und Prozessen zur ordnungsgemäßen Durchführung eines D&R-Programms zurückzuführen sein.
Ein kompetenter Managed Security Services Provider (MSSP) kann mit einem Unternehmen einen Vertrag abschließen, um als dessen SOC-as-a-Service (SOCaaS)-Partner zu fungieren und nahezu alle Cybersicherheitsdienste für das Unternehmen bereitzustellen. Ein MSSP kann auch schnell die Mitarbeiterzahl eines SOC in einem bestimmten Bereich wie D&R erweitern.
Laut Gartner sollten MDR-Anbieter in der Lage sein, umsetzbare Ergebnisse zu liefern, indem sie Telemetrie – Protokolle, Daten und andere Kontextinformationen – analysieren und sich an der Bedrohungssuche und dem Vorfallmanagement beteiligen. Dadurch können MDR-Kunden ihre Sicherheitslage verbessern und sich besser auf geschäftliche Prioritäten konzentrieren.
Welche Herausforderungen adressiert MDR?
Neben den generellen Vorteilen der Stressreduzierung und des Zeitgewinns für überlastete Analysten bietet MDR die folgenden Vorteile:
- Reduzierung der Warnungsermüdigung: Analysten sind möglicherweise zu vielen falschen Alerts auf der Spur oder sind mit der Zeit gegenüber echten Alarmen desensibilisiert. Bei einer geringen Mitarbeiterzahl kann es vorkommen, dass ein Team Warnmeldungen nicht mehr angemessen nachgehen kann. MDR kann hier zum Impulsgeber werden, indem Warnmeldungen untersucht und zusammengestellt werden, bei denen der Kunde aktiv werden muss.
- Schnellere Erkennung von Bedrohungen: Ein überlastetes SOC kann Bedrohungen unmöglich zeitnah erkennen oder darauf reagieren. Ein MDR-Anbieter kann sich dagegen ganz auf die Erkennung von und Reaktion auf Bedrohungen im Kundenauftrag konzentrieren. Durch die Einbeziehung eines MDR-Anbieters kann die Reaktionszeit eines SOC auf Bedrohungen schnell verkürzt werden, insbesondere bei den bereits erwähnten zusammengefassten Warnmeldungen. In Kombination mit integrierter Threat Intelligence kann ein Team dank Echtzeitanalysen Bedrohungen proaktiver erkennen.
- Ausbau der Sicherheitskapazitäten: Am Anfang steht ein knappes Budget, doch in Verbindung mit mangelndem Know-how und Personal kann die Sicherheitslage eines Unternehmens schnell verheerende Ausmaße annehmen. Die Teams müssen enorm viel leisten können: Erkennung von Bedrohungen, Triage von Warnmeldungen, Analyse von Malware sowie Untersuchung und Abwehr von Vorfällen – und das in großem Umfang.
MDR kann einem Sicherheitsteam mit begrenzten Ressourcen bei der Erweiterung seiner Fähigkeiten in diesem kritischen Aufgabenbereich helfen. Durch den Zugriff auf das spezialisierte Fachwissen und die Mitarbeiter eines Anbieters im Bereich D&R kann ein MDR-Kunde eine Lösung finden, die nur einen Bruchteil des Budgets und des Zeitaufwands erfordert, der für den erfolgreichen Aufbau betriebsinterner Ressourcen erforderlich wäre.
- Verbesserung der Sicherheitsreife: Egal, ob es sich bei einem Unternehmen um ein Startup handelt oder ob es in einer Branche angesiedelt ist, die bisher kein großes Angriffsziel darstellte – es besteht die Gefahr, dass die Fähigkeiten des Unternehmens von Sicherheitsverantwortlichen als unreif eingestuft werden. Und ein unausgereiftes Sicherheitsprogramm kann in der hyperaktiven Angreiferumgebung von heute einfach nicht bestehen. Jedes SOC wird irgendwann einmal einer (wahrscheinlich sogar zahlreichen) schweren Bedrohung ausgesetzt sein. Ein Budget zur Bewältigung dieses Problems zu haben, ist sicher ein guter Ausgangspunkt. Doch ohne einen strategischen Plan für die Talentakquise gibt es keine Aussicht auf Erfolg.
Ein MDR-Anbieter kann Aufgaben innerhalb kürzester Zeit übernehmen und ein SOC bei der Verfeinerung und Skalierung seines Programms beraten. Dadurch können sich die internen Mitarbeiter auf strategischere Projekte konzentrieren, die die Sicherheit voranbringen.
Wie funktioniert MDR?
Managed Detection and Response ermöglicht es Kunden, die Sicherheit ihres Unternehmens rund um die Uhr durch das SOC-Team des Anbieters sicherzustellen. MDR sorgt im Handumdrehen für eine Erweiterung der Mitarbeiterzahl eines SOC, wodurch eine Verbesserung der folgenden Aspekte erreicht werden kann:
- Erkennung von Bedrohungen
- Analyse von Bedrohungen
- Untersuchung von Bedrohungen
- Aktive Reaktion auf Bedrohungen
- Konzentration auf andere Prioritäten als Bedrohungen
Da MDR die gesamte Umgebung eines Kunden vollständig abdeckt, können die Sicherheitsexperten erkennen, wann und wo bösartige Aktivitäten stattfinden. Der Anbieter sollte Kunden außerdem bei folgenden Aufgaben helfen können:
- Identifizierung einer zielgerichteten Bedrohung für ihre spezifische Umgebung
- Wiederaufbau der betroffenen Systeme
- Bündelung der Anstrengungen zur Beseitigung einer Bedrohung
- Bereitstellung von Empfehlungen zur besseren Sicherung eines betroffenen Systems in der Zukunft
- Aussortierung harmloser Ereignisse und ausschließliche Berichterstattung über tatsächlich gefährliche Bedrohungen
Das oberste Ziel eines MDR-Anbieters sollte es sein, dem SOC eines Kunden dabei zu helfen, ein schlüsselfertiges D&R-Programm zu entwickeln, ohne die beträchtlichen finanziellen Investitionen und den Stress - sowie die Zeit, die es kosten würde, Vorstellungsgespräche zu führen und gleichzeitig den Betrieb des SOC aufrechtzuerhalten - um ein internes Programm von Grund auf aufzubauen.
Was sind die Vorteile von MDR?
MDR bietet zahlreiche Vorteile, insbesondere eine stressfreiere SOC-Umgebung. Dies sind einige weitere wichtige Vorteile, die sich durch die Zusammenarbeit mit einem echten MDR-Partner ergeben:
- Bessere Sicherheitslage: Durch die Einbeziehung eines Expertenteams zur Erweiterung der D&R-Fähigkeiten kann ein SOC entsprechende Risiken früher aufdecken, seine Angriffsfläche verkleinern und mit Techniken der digitalen Forensik und Incident-Response (DFIR) schnell Untersuchungen durchführen.
- ROI: Ein MDR-Partner sollte innerhalb eines angemessenen Zeitraums (3-5 Jahre) einen nennenswerten ROI vorweisen können. Die MDR-Services von Rapid7 konnten beispielsweise innerhalb von drei Jahren einen durchschnittlich fast 5,5-fachen ROI für Kunden erwirtschaften. Durch Effizienzsteigerungen bei der Alert-Erkennung, der Untersuchung und der Abwehr schaffen Sicherheitseinheiten Kosteneinsparungen, die an anderer Stelle wieder investiert werden können.
- Zugriff auf Tools zur Erkennung und Abwehr: Ein MDR-Kunde hat in der Regel Zugriff auf die D&R-Technologie des Anbieters, um sich mit der zugrunde liegenden Plattform vertraut zu machen. Er kann über diese Plattform auch seine eigenen Untersuchungen von Warnmeldungen durchführen. Außerdem sollte er auf Network Traffic Analysis, User Behavior Analytics (UBA) und mehr zugreifen können.
- Schnellere Beseitigung von Bedrohungen oder Verstößen: Was bisher Stunden über Stunden in der Woche dauerte, kann nun in wenigen Minuten erledigt werden. Ein vertrauenswürdiger MDR-Partner sollte die Fähigkeit eines SOC, Gegenmaßnahmen zu ergreifen, deutlich verbessern und beschleunigen können. Die durchschnittliche Zeit bis zur Behebung eines Sicherheitsrisikos verkürzt sich erheblich, wenn der Anbieter einen speziell auf die Umgebung des Kunden zugeschnittenen Aktionsplan erstellen kann.
- Schnellere Untersuchungen dank Netzwerkanalysen: Ein guter MDR-Anbieter sollte außerdem Netzwerkgerätedaten schnell erfassen können, damit sie für den Kunden eingesetzt werden können. Netzwerkdaten sind kompakt, leicht zu durchsuchen und können schnell den genauen Standort eines Angreifers im Netzwerk aufzeigen, um den Umfang des Verstoßes zu identifizieren. Anhand dieser Daten können Analysten Maßnahmen ergreifen, die Ereignisse auf Netzwerkebene nachvollziehen und mit den Endpunkten in Beziehung setzen. Dieser Prozess hilft bei der frühzeitigen Erkennung von Bedrohungen und liefert den Kontext für Untersuchungen, um das Angreiferverhalten besser verstehen zu können.
MDR-Anwendungsfälle
MDR bietet zahlreiche Vorteile, doch sehen wir uns nun einige der spezifischen Anwendungsfälle an, die ein Managed Services Partner abdecken sollte, um Ihrer Sicherheitsorganisation einen Mehrwert zu bieten:
- Erkennung von kompromittierten Benutzern und lateralen Bewegungen.
- Entlastung der Analysten durch die Automatisierung mühseliger, manueller Aufgaben.
- Eindämmung von Hosts und Endpunkten zur Begrenzung des Schadens, den die Ausbreitung von Malware – oder andere Angriffe – anrichten können.
- Zuverlässigere Erkennung von Angreifern durch Einblicke aus der Analyse des Benutzerverhaltens, der Protokolle und des Angreiferverhaltens.
- Validierung von Bedrohungen mit mehr Sichtbarkeit durch die Einbeziehung von Daten aus unterschiedlichen Technologieumgebungen.
- Einhaltung von Compliance-Frameworks durch die Implementierung spezifischer Sicherheitskontrollen.
MDR vs. Andere Managed Service-Sicherheitslösungen
Inwiefern unterscheidet sich MDR von MSSP oder EDR (Endpoint Detection and Response)? Entscheidend ist hierbei, welche Funktionalitäten ein SOC erwerben oder ausbauen möchte und welches Budget dafür vorgesehen ist.
MDR vs. MSSP
Ein MSSP (Anbieter von Managed Security Services) bietet eine breite Palette von Services an, von denen MDR nur einer sein kann. Wenn ein Kunde also lediglich nach einer D&R-Lösung sucht, könnte ein allgemeiner MSSP, der SOC-as-a-Service-Lösungen anbietet, den Bedarf des Kunden übersteigen und das Sicherheitsbudget unnötig strapazieren.
MDR vs. EDR
EDR (Endpoint Detection and Response) ist eine Lösung, die in eine größere netzwerk- und cloudübergreifende D&R-Lösung eingebunden werden sollte. Es handelt sich in der Regel um einen zusätzlichen Service, der sich speziell auf Endpunkt-Bedrohungen und deren Eindämmung konzentriert. Ein potenzieller MDR-Partner sollte EDR im Rahmen seines Angebots an Managed Services anbieten.
Die erweiterte Lösung sollte Threat Detection, Threat Hunting und Eindämmung, die Validierung und Abwehr von Vorfällen, Verhaltensanalysen, Automatisierung und tiefere Einblicke in die Angriffsdetails bieten, als es eine eigenständige EDR-Lösung oder ein Managed Service kann.
So wählen Sie einen MDR-Service aus
Die Recherche und anschließende Inanspruchnahme der Dienste eines MDR-Anbieters ist keine leichte Aufgabe – aber es muss auch kein langwieriger Prozess sein, ähnlich dem Aufbau eines internen D&R-Programms. Nur der Kunde, der nach einer MDR-Lösung sucht, kennt die zentralen Herausforderungen und Bedürfnisse seines SOC.
Anhand der folgenden acht Kernkompetenzen können Sie einen potenziellen MDR-Anbieter entsprechend den spezifischen und einzigartigen Anforderungen eines SOC beurteilen:
- Erfahrung als MDR-Analyst
- Erweiterte Technologie zur Erkennung und Abwehr
- Erweiterung Ihres SOC durch die Zusammenarbeit
- Threat Hunting
- Klare Service-Erwartungen und -Ergebnisse
- Erweiterte MDR-Kenntnisse
- Security Orchestration Automation and Response (SOAR)
- Konkurrenzfähigkeit Preisgestaltung des MDR-Services
Erfahren Sie mehr über Managed Detection & Response
MDR-Anbieter im Vergleich
MDR, MEDR, SOCaaS: Was eignet sich für Sie?
Managed Detection & Response: Aktuelles aus dem Blog