Die Nachfrage nach Managed Detection and Response (MDR) steigt. Aber wie findet man die passende Lösung? Die Angebote am Markt unterscheiden sich erheblich. Um die richtige Wahl zu treffen, gilt es, genau hinzusehen und die eigenen Anforderungen klar zu definieren. [...]
Während die Gefahr durch Cyberangriffe steigt, suchen Unternehmen zeitgemäße und Compliance-konforme Lösungen, um sich besser zu schützen und ihre Resilienz zu stärken. Eine wichtige Rolle spielt dabei die Fähigkeit, Bedrohungen schnell zu erkennen und zu mindern, bevor sie größeren Schaden anrichten. Angesichts wachsender Komplexität und Fachkräftemangel steigt die Nachfrage nach professioneller Unterstützung. Das spiegelt sich auch im Angebot wider: Viele IT-Systemhäuser und Managed Services Provider haben heute Managed Detection and Response (MDR) im Portfolio. Gartner zählte im Market Guide 2024 für MDR mehr als 600 Anbieter, wobei Ausprägung und Leistungsumfang sehr unterschiedlich sind. Jeder definiert ein bisschen anders, was er eigentlich unter MDR versteht. Derweil sehen sich Unternehmen mit vollmundigen Marketing-Claims konfrontiert, die in der Praxis häufig nicht halten, was sie versprechen. Welche Unterschiede gibt es und wie findet man die passende Lösung?
MDR ohne menschliche Interaktion
Direktor Cyber Defense Center
indevis @indevis
In der einfachsten Form ist MDR eine gemanagte EDR- (Endpoint Detection and Response) oder XDR-Lösung (Extended Detection and Response). Während EDR nur die Endpunkte abdeckt, umfasst XDR mehrere Vektoren der IT-Umgebung, also auch das Netzwerk, E-Mail und die Cloud. Die Security-Lösungen analysieren KI-gestützt Log-Files der angeschlossenen Systeme und geben Warnmeldungen aus, sobald sie etwas Verdächtigtes identifizieren. Das M in MDR bedeutet in diesem Fall zwar „Managed“ und dass es von einem Dienstleister verwaltet wird, die Bedrohungserkennung läuft allerdings vollautomatisiert ab. Solche Services sind auf dem Markt vergleichsweise günstig erhältlich. Viele IT-Systemhäuser verkaufen einfach fest definierte Angebote der Hersteller weiter. Der Haken daran: Unternehmen müssen sich selbst um die Analyse und Bewertung der Warnmeldungen kümmern. Wie gefährlich ist ein Alert tatsächlich? Welche weiteren Untersuchungen sind erforderlich und welche Maßnahmen dringend angeraten? Um solche Fragen zu beantworten, brauchen Unternehmen spezialisiertes Know-how. Wer das im eigenen Haus nicht leisten kann, sollte lieber die zweite Variante wählen: einen kombinierten Ansatz aus Erkennungs-Software und externen Analyse-Experten.
MDR mit menschlichen Experten
Umfassendere MDR Services kombinieren moderne EDR/XDR-Technologie mit menschlicher Expertise. Bei solchen „gehobeneren“ MDR Services überwachen dann professionelle Security-Analysten die Warnmeldungen, werten sie aus und verständigen das Unternehmen, wenn Handlungsbedarf besteht. Aber auch in diesem Segment gibt es Unterschiede. Über welche Kompetenzen verfügt der Anbieter? Erbringt er den Service selbst oder in Zusammenarbeit mit einem Hersteller? Letzteres bedeutet häufig, dass die Experten irgendwo im Ausland sitzen und man in einer Stress-Situation auf Englisch mit einem Callcenter telefonieren muss, um notwendige Reaktionen abzustimmen. Bei einem dedizierten Managed Security Services Provider (MSSP) aus der Region haben Unternehmen dagegen einen persönlichen Ansprechpartner, der ihre Bedürfnisse kennt und ihre Sprache spricht.
Director Technology Services
indevis @indevis
MDR vs. SOC as a Service
Häufig werden MDR Services als Synonym von SOC Services genannt. Vergleichbar sind sie aber nur, wenn bei einem MDR-Service überhaupt Analyse-Services durch menschliche Experten inkludiert sind. Obwohl in einem solchen Fall dann bei beiden Arten die Analysearbeiten üblicherweise von Mitarbeitern aus einem SOC (Security Operations Center) erbracht werden, gibt es Unterschiede.
Bei MDR-Lösungen definiert der Hersteller der zugrundeliegenden Lösung, meist technologisch bedingt, welche Logquellen sich anbinden lassen. Viele MDR-Anbieter bieten eine begrenzte Anzahl vorgefertigter Integrationen, ermöglichen aber keine individuelle Anpassung von Logquellen. Das heißt, die Sichtbarkeit ist auf ein stark eingeschränktes Gebiet reduziert. Voraussetzung ist häufig eine Single-Vendor-Strategie, das heißt alle Security-Systeme müssen vom selben Anbieter stammen, damit sie miteinander kommunizieren können. Gegebenenfalls müssen bestehende Lösungen also ausgetauscht werden, bevor man eine MDR-Lösung in Betrieb nehmen kann. Dazu kommt, dass bei MDR-Lösungen gewöhnlich die Erkennungsregeln nicht einsehbar sind. Man muss sich also darauf verlassen, dass die Regel stimmt und auch in einem spezifischen Anwendungsfall genau das ausführt, wozu sie erstellt wurde. Eigene, individuelle Regeln lassen sich ebenfalls nicht erstellen.
Bei SOC as a Service lassen sich dagegen Logquellen aus beliebigen Systemen und individuellen Lösungen anbinden – zum Beispiel aus Firewalls, Endpoint Protection, IDS/IPS oder anderen Applikationen – sodass umfassende Sichtbarkeit über die gesamte IT-Umgebung eines Unternehmens entsteht. Hier kommen SIEM- (Security Information and Event Management) und SOAR-Lösungen (Security Orchestration, Automation and Response) zum Einsatz. Während das SIEM als zentraler, herstellerunabhängiger Log-Speicher für beliebige Quellen dient, ermöglicht das SOAR individuelle Erkennungsregeln (Use Cases) sowie automatisierte Analysen und Reaktionen (Playbooks). Durch die Nutzung eines SIEM können Unternehmen Logdaten zudem langfristig speichern, was bei individuellen Logquellen für Compliance-Anforderungen wichtig sein kann.
Optimaler Schutz durch hybriden Ansatz: MDR plus SOC as a Service
Als Managed Service können Unternehmen alle Security-Technologien nutzen, ohne dass sie sich selbst um den Betrieb kümmern müssen. Je nach Anforderungen kann eine gute MDR-Lösung ausreichen, manchmal ist „gut“ aber nicht gut genug. Nur die Kombination möglichst vieler Ansätze sorgt für die maximalmögliche Bedrohungs-Erkennung und -Abwehr. Ideal ist also der Einsatz einer MDR-Lösung, korreliert mit der Einspeisung individueller Logquellen in das SIEM eines SOC as a Service.
Woran erkennt man einen guten Anbieter?
Empfehlenswert ist ein Partner, der MDR- und SOC-Services aus seinem eigenen Cyber Defense Center erbringt. Bei Bedarf können Unternehmen so noch auf weiterführende Security-Services zurückgreifen, wie zum Beispiel Threat Hunting oder Dark Web Monitoring. Zudem sollte der Anbieter über nachweisbare Expertise verfügen und branchenführende Technologie einsetzen. Diese sollte in der Lage sein, herstellerunabhängig die Logquellen aller möglichen Infrastruktur-Systeme und Cloud-Umgebungen zu integrieren. Die Beratung des Dienstleisters sollte individuell auf die Anforderungen des Unternehmens eingehen. Statt Standard-Pakete zu verkaufen, findet er die Lösung, die am besten für den Kunden passt. Dazu gehört zum Beispiel, eine MDR-Lösung/SOC as a Service-Lösung so umzusetzen, dass die bestehende Security-Infrastruktur weiterverwendet werden kann. Möglich wird das etwa durch den Einsatz von Google Security Operations, einer Cloud-basierten SIEM/SOAR-Plattform, an die sich externe Quellen per API oder Syslog anbinden lassen.
Fazit
Cyberangriffe sind heute das größte Geschäftsrisiko. Selbst eine Versicherung übernimmt nur dann die Schadensregulierung eines Security Incidents, wenn das Unternehmen sämtliche Vertragsbedingungen erfüllt und aktuelle Security Best Practices umsetzt. Fehlt ein kleines Detail, zahlt der Versicherer am Ende nicht. Eine leistungsfähige, moderne Detection and Response ist heute Pflicht und lässt sich am besten mit einem spezialisierten Dienstleister umsetzen. Um die passende Lösung zu finden, ist eine unabhängige Beratung empfehlenswert. Denn ob MDR oder SOC as a Service: Welches Modell in welcher Ausprägung am besten geeignet ist, sollte immer auf die individuellen Anforderungen abgestimmt werden.
*Die Autoren Markus Muth und José Garcia Vazque sind Direktor Cyber Defense Center bzw. Director Technology Services bei indevis.
Be the first to comment