Zu einem ganzheitlichen Security-Konzept gehört neben einer starken Abwehr unbedingt eine leistungsfähige Bedrohungserkennung und -bewältigung. Mit Managed-Detection & Response (kurz MDR) können sich kleine und mittelständische Unternehmen genauso gut schützen wie große Konzerne. Worauf sollte man bei der Wahl des Dienstleisters achten und wie gelingt die Einführung?
Cyberkriminelle sind heute professionell organisiert, gehen immer aggressiver vor und setzen modernste Technik ein. Früher oder später wird es ihnen gelingen, auch die beste Verteidigungslinie zu durchbrechen. Daher müssen Unternehmen immer mit einem Cybervorfall rechnen. Um Schaden zu minimieren, ist es wichtig, den Angriff möglichst schnell zu erkennen und zu stoppen. Dafür braucht man nicht nur modernste Security-Lösungen, sondern auch Experten, die sie betreiben, Warnmeldungen analysieren und passende Gegenmaßnahmen entwickeln. All das ist für kleine und mittelständische Unternehmen in der Regel schwer inhouse zu stemmen. Der Trend geht daher zu Managed-Detection & Response (MDR): Ein Dienstleister stellt dann die passende Security-Technologie und Expertise bereit. Sobald er eine Bedrohung erkennt, verständigt er den Kunden und unterstützt ihn bei den nächsten Schritten.
Mittlerweile gibt es viele Anbieter am Markt. Aber wie findet man den richtigen und wie führt man MDR am besten ein? Hier kommen fünf Tipps von Indevis:
Wählen Sie einen spezialisierten, erfahrenen Dienstleister
MDR erfordert fundiertes Fachwissen. Das baut man nicht mal schnell nebenher auf. Wählen Sie einen Anbieter, der auf Managed Security Services spezialisiert ist und langjährige, nachweisliche Erfahrung auf diesem Gebiet hat. Er sollte sich mit neuester Security-Technologie, Threat-ntelligence und aktuellen Angriffsszenarien auskennen. Aufschluss darüber geben zum Beispiel Zertifikate, Kundenreferenzen oder Mitarbeiterprofile. Auch Managed-Security-Services-Provider (MSSPs) leiden unter Fachkräftemangel. Vergewissern Sie sich, dass der Dienstleister genug Personal hat und Experten beschäftigt. Besuchen Sie ihn doch einmal persönlich und lassen Sie sich zeigen, wie er arbeitet.
Achten Sie auf einen hohen Automatisierungsgrad
Wie gut ein MDR-Service funktioniert, hängt auch davon ab, welche Technologien der Anbieter einsetzt. Bei der Bedrohungserkennung kommt es auf Geschwindigkeit und Treffsicherheit an. Hier kommt eine SOAR-Lösung (Security-Orchestration, Automation and Response) in Kombination mit einem SIEM (Security -Information and Event Management) ins Spiel: Sie analysieren die Logdateien der angeschlossenen Systeme und führen anhand von Playbooks automatisiert Prüfmechanismen durch, um Angriffsszenarien zu identifizieren. Dabei nutzen sie hinterlegte Logiken und beziehen Informationen aus verschiedenen Threat-Intelligence-Quellen ein. Ein gutes SOAR bringt bereits viele vorgefertigte Playbooks für gängige Incidents mit. Der MSSP passt diese dann noch individuell an Kundenbedürfnisse an, entwickelt sie weiter und hält sie immer auf dem neuesten Stand.
Prüfen Sie, ob und wie sich Ihre Logquellen anbinden lassen
Eine Herausforderung bei MDR-Projekten ist die Anbindung der Logquellen. Nicht jede MDR-Lösung arbeitet mit den Endpunkt-Security-Lösungen jedes Herstellers zusammen. Daher sollten Sie vorab prüfen, ob die Security-Technologien des MDR-Anbieters mit Ihrem eigenen Security-Stack kompatibel sind. Diese Problematik entfällt, wenn der MDR-Service ein herstellerunabhängiges, Cloud-natives SIEM (Security-Information and Event Management) wie Google Chronicle als Zwischenschicht einsetzt. Dann lassen sich verschiedenste Logquellen einfach per API und Syslog einbinden. Auch Telemetriedaten aus Cloud-Diensten wie Office 365 und Azure ID können auf diese Weise integriert werden. Google Chronicle normalisiert die Daten automatisch, sodass sie richtig aufbereitet für die Analyse bereitstehen.
Sichern Sie sich Unterstützung im Incident-Fall
Was passiert, wenn der MDR-Service eine Bedrohung erkennt? Gemeinsam mit dem Kunden sollte der Dienstleister den Vorfall dann tiefer untersuchen und Schritt für Schritt Schutzmaßnahmen einleiten. Unternehmen sollten darauf achten, dass der MSSP eng vernetzt mit einem spezialisierten CERT (Computer Emergency Response Team) zusammenarbeitet, das bei einem Cyberangriff schnell und garantiert zur Stelle ist. Die Forensiker ermitteln, was genau passiert ist, sammeln gerichtsfeste Beweise und versuchen die Täter zu identifizieren. Gemeinsam mit dem MDR-Dienstleister helfen sie Ihnen dabei, die richtigen Entscheidungen zu treffen, Systeme zu bereinigen und schnell wieder in Betrieb zu nehmen.
Definieren Sie interne Ansprechpartner und Prozesse
Um MDR einzuführen, müssen Sie eng mit dem Dienstleister zusammenarbeiten. Denn ganz aus der Verantwortung sind Sie bei einem Managed-Security-Service nie. An wen soll sich der MSSP wenden, wenn er eine Bedrohung erkennt? Wer berichtet an wen und wer trifft in Ihrem Unternehmen im Ernstfall die Entscheidungen – zum Beispiel, ob man geschäftskritische Systeme vom Netz nimmt? Hier gilt es, klare Schnittstellen und Abläufe zu definieren. Außerdem ermittelt der MSSP beim Onboarding gemeinsam mit Ihnen, welche Logquellen Sie an die MDR-Plattform anschließen möchten. Sie selbst müssen dann dafür sorgen, dass die Daten zuverlässig zur Verfügung stehen.
Fazit
Kleine und mittelständische Unternehmen sind zum beliebten Angriffsziel für Cyberkriminelle avanciert, haben es aber schwer, sich angemessen zu schützen. Meist fehlen ihnen sowohl Security-Spezialisten als auch geeignete Technologie. MDR löst dieses Problem. Wolfgang Kurz, Geschäftsführer Indevis, erklärt: „Ein eigenes SOC einzurichten lohnt sich nur für große Unternehmen. Und selbst die kommen häufig wieder davon ab, weil der Betrieb zu aufwändig ist. Dank MDR profitieren auch kleine und mittelständische Betriebe von modernster Security-Technologie wie die Großen. Mit einem erfahrenen, spezialisierten Partner an der Seite sparen sie interne Ressourcen und erhöhen die Sicherheit.“
#Indevis