Managed Services, die dabei helfen, mehrere Quellen der Bedrohungstelemetrie über den Endpunkt hinaus zu vereinen
Managed XDR-ServiceManaged Extended Detection and Response (MXDR) ist ein Managed Service, der in der Regel von einem Anbieter von Cybersecurity-Dienstleistungen erbracht wird. Ein Kunde kann einen Managed XDR-Anbieter beauftragen, Telemetriedaten aus mehreren Quellen – insbesondere über den Endpunkt hinaus – im Ökosystem eines Kunden zu überwachen, was viele Ereignisquellen von Drittanbietern enthalten kann, von denen jede eine bestimmte Funktion innerhalb der Umgebung des Kunden hat.
Der MXDR-Anbieter würde potenzielle Bedrohungstelemetriedaten innerhalb dieses Drittanbieter-Ökosystems erkennen, priorisieren und untersuchen, um bösartiges Verhalten zu stoppen, bevor es der Cybersecurity-Team / -Abteilung und dem von ihr geschützten Unternehmen echten Schaden zufügen kann. MXDR ergänzt eine Managed Detection and Response (MDR)-Lösung, indem es die Abdeckungs- und Schutzfunktionen eines MDR-Anbieters erweitert.
Laut der Enterprise Strategy Group (ESG) können XDR-Sicherheitsfunktionen „als Multiplikator für Cybersecurity wirken“. Die Entwicklung von XDR zu einem Managed Service ist relativ neu, aber für Unternehmen, denen es an Personal oder entsprechenden Cybersecurity-Kompetenzen mangelt, sind die potenziellen Vorteile zahlreich.
Der Hauptunterschied zwischen einem MXDR-Sicherheitsanbieter und einem MDR-Sicherheitsanbieter besteht darin, dass MXDR die Fähigkeiten zur Analyse, Überprüfung und Reaktion auf Sicherheitstelemetrie über ein gesamtes Netzwerk hinaus – und die darin enthaltenen Systeme, Geräte und Cloud-Anwendungen – erweitert.
Während MDR-Dienste sich auf die Sicherung eines Netzwerks konzentrieren, tendieren sie dazu, die Erkennung und Eindämmung von Bedrohungen im Ökosystem der einzelnen Endpunkte, die in diesem Netzwerk vorhanden sind, zu lokalisieren. Sie sind in der Regel nicht in der Lage, die enorme Bandbreite an Telemetriequellen zu analysieren und zu synthetisieren, die ein MXDR-Anbieter verarbeiten kann.
Managed Extended Detection and Response ist wirklich die Konvergenz von Managed Endpoint Detection and Response (MEDR) und reinen Managed Security Services Providern (MSSPs), die sich auf grundlegende Netzwerküberwachung und -verwaltung konzentrieren. Werfen wir einen Blick auf einige wichtige features und Fähigkeiten, die ein MXDR-Anbieter mitbringen sollte.
XDR integriert Telemetriedaten aus einer modernen Umgebung, um Analysten dabei zu helfen, die Verknüpfungen verschiedener Events besser zu verstehen und wann bestimmte Verhaltensweisen als potenziell verdächtig gemeldet werden. Teams erhalten die richtigen Daten, die eine sichere, effiziente und effektive Threat Detection und Abwehr ermöglichen.
Um eine Untersuchung erfolgreich durchzuführen, müssen Sie den Kontext des Vorfalls genau nachvollziehen können. Die XDR-Technologie beschleunigt die Fähigkeit des Dienstanbieters, im Namen seiner Kunden angemessen auf Bedrohungen und Angriffe zu reagieren.
Anbieter können den Kontextwechsel eliminieren und sicherstellen, dass die Teams über kontextbezogene und korrelierte Untersuchungsdetails verfügen, die relevante Daten aus mehreren Ereignisquellen zu einem informativen Bild zusammenführen.
Die Sicherheitsautomatisierung reduziert wiederholende, manuelle Arbeiten. Dadurch können sich die Anbieter auf das konzentrieren, was für die Organisation eines Kunden am wichtigsten ist, da sie Automatisierungsfunktionen, vorgefertigte Workflows zur Eindämmung von Endpunktbedrohungen, zur Sperrung von Benutzerkonten und zur Integration in Ticketsysteme nutzen.
Dashboards und Reports wandeln Event-Daten in hilfreiche visuelle Darstellungen um, die bei der Identifizierung von Aktivitäten helfen, die keinem standardmäßigen Muster folgen. Diese visuelle Übersicht über eine Umgebung bietet Einblicke in kritische Details und die Daten, die für umsetzbare Entscheidungen erforderlich sind.
Bei einer großen Anzahl von Alerts handelt es sich nicht um große Bedrohungen. Mithilfe der Automatisierung können Sie die Warnmeldungen herausfiltern, analysieren und priorisieren, die tatsächlich die Aufmerksamkeit eines Analysten erfordern. Achten Sie auf ein starkes Signal-Rausch-Verhältnis sowie auf quantifizierte und bewertete Sicherheitswarnungen.
Natürlich hat die Nutzung von Managed Services jeder Art auch Vorteile, denn wenn jemand anderes etwas für Sie tut, bedeutet das grundsätzlich, dass Sie es nicht selbst tun müssen. Wenn wir jedoch beginnen, die Vorteile von MDR im Vergleich zu einem moderneren Ansatz in MXDR zu analysieren, gibt es einige klare, aktualisierte Ergebnisse und Vorteile für ein Security Operations Center (SOC).
Durch die zusätzliche Abdeckung von Event-Quellen von Drittanbietern entfällt für Analysten die Notwendigkeit, Informationen in einer technischen Umgebung manuell zu normalisieren. Dies spart Zeit und steigert die Effizienz der Teams.
Cybersecurity-Teams verwenden bereits so viele isolierte Tools. Indem sich ein SOC auf einen MXDR-Anbieter verlässt, der die besten Event-Quellen von Drittanbietern aufnimmt, kann es das Rauschen reduzieren und die Reaktionen optimieren, um eine bessere Sichtbarkeit in seine Umgebung zu erhalten.
Je mehr Informationen einem MXDR-Incident-Response-Team zur Verfügung stehen, desto schneller kann es auf Bedrohungen reagieren und diese aus der Kundenumgebung beseitigen. Die erweiterte Abdeckung der Kundenumgebung erhöht die Menge der Daten, die dem Service Provider zur Verfügung stehen - mit wichtigen Endpunkt-, Netzwerk-, Identitäts- und Cloud-Informationen.
Wenn jemand ein wenig - nicht viel - über die Welt der Cybersicherheit wüsste, könnte er denken, dass dies einfach nur ein weiteres Akronym ist, das dem Haufen hinzugefügt wird. XDR ist an und für sich ein relativ neuer Bereich der Cybersicherheit. Wenn also ein Managed Services-Anbieter angibt, XDR als Dienst anzubieten, ist es hilfreich, die wichtigsten Punkte von XDR selbst zu kennen.
Der richtige XDR-Ansatz bedeutet das Ende des Tab-Hoppings. Er stellt einen einzigen umfassenden Hub bereit, der uneingeschränkt technisch erweitert werden kann. Durch die SaaS-Implementierung wird eine Zusammenarbeit im gesamten Büro oder auch weltweit möglich. Eine effektive XDR-Lösung sollte Sicherheitsteams auch von hohen analytischen Anforderungen befreien und Warnmeldungen für sie analysieren.
In einem ausgereiften XDR entsteht ein drastisch anderes Signal-Rauschen-Verhältnis. Die richtige Methodik, Threat Intelligence, und Sorgfalt hinter der Erkennungsbibliothek bedeuten, dass ein Kunde sofort einsatzbereiten Erkennungen vertrauen kann, wobei alle unterschiedlichen Daten in der Regel nach Nutzer, Cyber-Asset und Aktivität korrelieren.
Laut Forrester sollte XDR präskriptive Reaktionsanleitungen enthalten, die mit nur einem Klick ausgeführt werden können. Ein MXDR-Kunde sollte vordefinierte Workflows für Vorgänge wie die Maßnahmen gegen Bedrohungen an einem Endpunkt, die Sperrung von Benutzerkonten und die Integration in Ticketing-Systeme wie Jira und ServiceNow erwarten.
Wenn ein MXDR-Anbieter diese Funktionen in einer erweiterten Erkennungs- und Abwehrlösung anbieten kann, kann er Bedrohungen wahrscheinlich schneller ausschalten, indem er auf der Grundlage kuratierter und praxisrelevanter Telemetriedaten handelt und proaktive Informationen nutzt, um Bedrohungen früher zu erkennen.