Managed Detection and Response (MDR)

Worum kümmert sich Managed Detection and Response?

MDR-Dienste können eine aktive Rolle bei der Verbesserung der Cybersicherheit für Unternehmen spielen. Sie befassen sich mit der Erkennung von Bedrohungen, der Reaktion auf Vorfälle sowie der kontinuierlichen Überwachung und Analyse von IT-Ressourcen.

Dabei können entsprechende Angebote typische Probleme von IT-Abteilungen entschärfen, wie beispielsweise:

Hohe Anzahl an Alarmmeldungen. Managed Detection and Response kann Unternehmen dabei helfen, die Vielzahl an Warnmeldungen zu bewältigen, die auf individueller Basis überprüft werden müssen. Zu viele Alarmmeldungen können kleinere Sicherheitsteams überfordern und dazu führen, dass andere Aufgaben vernachlässigt werden.

Bedrohungsanalyse. Nicht jede Warnmeldung stellt sofort eine Bedrohung dar. Häufig ist eine gründliche Analyse erforderlich, um den Status zu bestimmen. MDR-Dienste bieten hierfür ausgefeilte Analyse-Tools und Kontakt zu Sicherheitsexperten, die dabei helfen, Ereignisse zu interpretieren und einzuordnen. Darüber hinaus werden Empfehlungen für Verbesserungen gegeben.

Fachkräftemangel. Experten gehen davon aus, dass weltweit eine Lücke von Millionen von Security-Experten besteht und in den nächsten Jahren bestehen wird. MDR-Dienste können hier Abhilfe schaffen, indem sie Zugang zu einem Expertenteam bieten, das in der Regel rund um die Uhr verfügbar ist. Das gilt sowohl für die Überwachung der IT-Umgebung als auch bei Bedarf für Beratungsleistungen.

Endpoint Detection and Response. Unternehmen fehlen unter Umständen die Mittel, die Zeit oder die Fähigkeiten das eigene Team und die Mitarbeiter für den Umgang mit EDR-Tools (Endpoint Detection and Response) zu schulen. MDR-Angebote beinhalten in der Regel EDR-Tools und integrieren diese in die Prozesse zur Erkennung, Analyse von Vorfällen und Reaktion auf selbige.

Wie bei vielen XaaS-Modellen (Anything as a Service), die moderne IT-Prozesse auslagern, tauschen Unternehmen einen Teil der Kontrolle gegen mehr Komfort und flexiblere Kosten ein.

MDR im Vergleich zur klassischen Managed Security

Sowohl MDR-Ansätze als auch klassische Managed-Security-Produkte erfüllen die gleiche allgemeine Funktion: die externe Unterstützung von Unternehmen in Sachen Cybersicherheit. Es gibt jedoch einige Unterschiede zwischen Managed Detection and Response und typischen Managed-Security-Angeboten, als da wären:

• Compliance – klassische Managed-Security-Dienste, oder auch MSSP (Managed Security Service Provider), konzentrieren sich häufiger stärker auf die Compliance-Berichterstattung und die Unterstützung von Unternehmen bei der Einhaltung von Compliance-Richtlinien. MDR-Dienste fokussieren diesen Bereich eher seltener.
• Protokollformate – MSSPs sind im Allgemeinen in der Lage, mit einer größeren Vielfalt von Ereignisprotokollen und Kontexten zu arbeiten. MDR-Angebote hingegen verwenden in erster Linie nur die Protokollformate, die mit ihren Tools geliefert werden.
• Menschliche Interaktion – In den meisten Fällen wickeln MSSPs jegliche Kommunikation über Online-Portale und E-Mails ab. MDR-Angebote umfassen üblicherweise auch Expertenteams beziehungsweise ein Security Operations Center (SOC), die über mehrere Kanäle in Echtzeit erreichbar sind.
• Erkennungsmethoden – Aufgrund der menschlichen Expertise, die MDR-Lösungen bieten, können sie Warnmeldungen eingehender analysieren und neuartige Bedrohungen erkennen. MSSPs sind in der Regel weniger in die Analyse involviert und konzentrieren sich daher mehr auf bekannte und häufig auftretende Bedrohungen.
• Netzwerktransparenz – Bei Managed Detection and Response können Ereignisse und Bewegungen innerhalb eines Client-Netzwerkes erkannt werden. MSSP konzentrieren sich in aller Regel auf den Netzwerkrand.

Beide Ansätze haben ihre Stärken und Schwächen. MSSPs eignen sich für die Verwaltung grundlegender Sicherheitstechnologie wie Firewalls und für die Durchführung alltäglicher Sicherheitsaufgaben. MDR-Angebote sind spezialisiertere Dienste, die für den Umgang mit komplexen modernen Netzwerken und den damit verbundenen neuen Schwachstellen konzipiert sind. Daher spricht nichts dagegen, Angebote beider Kategorien zusammen einzusetzen, um die Sicherheit zu optimieren.

Typische Merkmale von MDR-Angeboten

Die MDR-Angebote der einzelnen Unternehmen unterscheiden sich durchaus, zudem der Markt noch relativ jung ist (siehe auch Managed Detection and Response: Das passende Angebot finden). So kann es beispielsweise Unterschiede geben, auf welcher Netzwerkebene die Lösungen agieren. Unabhängig davon, vereinen die Angebote meist Berichte aus mehreren Technologien, um diese Funktionen zu erfüllen:

• Erkennung von Bedrohungen, bei der das SOC kontinuierlich Daten überwacht und Warnmeldungen für die Analyse priorisiert.
• Bedrohungsanalyse, bei der die Fachkräfte im SOC potenzielle Bedrohungen ausfindig machen und die Quelle und dem Umfang der Bedrohung bestimmen.
• Reaktion auf eine Bedrohung, bei der der Anbieter seine Kunden über einen Vorfall benachrichtigt und seine Analyseempfehlungen zur Lösung des Problems anbietet.

Häufig unterscheiden sich die einzelnen Angebote, wenn es um den Bereich der Reaktion auf eine Bedrohung geht. Jeder Anbieter bestimmt den Zeitpunkt, an dem seine Arbeit endet und der Kunde das Problem selbst übernimmt. Einige Anbieter offerieren Optionen gegen Aufpreis, wie beispielsweise die Beratung durch Experten vor Ort oder zusätzliche Hardware, die beim Kunden installiert wird.

Bei der Auswahl eines Anbieters sollten Unternehmen im Hinblick auf ihre eigene Organisation unter anderem Folgendes beachten:

• Die Größe des eigenen Unternehmens.
• Die Qualifikation und die Größe des Security-Teams.
• Die Security-Lösungen, die bereits im Einsatz sind.
• Die Compliance-Vorschriften, die beachtet werden müssen.