Was ist Managed Detection and Response (MDR)?
Was ist Managed Detection and Response (MDR)?
Managed Detection and Response (MDR) ist ein ausgelagerter Cybersicherheitsdienst, der Unternehmen Bedrohungssuchedienste bietet und auf Bedrohungen reagiert, sobald sie entdeckt werden. Es handelt sich auch um ein menschliches Element: Sicherheitsanbieter bieten ihren MDR-Kunden Zugriff auf ihren Pool von Sicherheitsforschern und Ingenieuren, die für die Überwachung von Netzwerken, die Analyse von Vorfällen und die Reaktion auf Sicherheitsfälle verantwortlich sind. Als zentrale Technologien kommen Extended Detection and Response (XDR) und Security Information and Event Management (SIEM) zum Einsatz.
Bestandteile der MDR
Die Kernkomponenten von MDR-Diensten bilden die Grundlage einer fortschrittlichen und proaktiven Cybersicherheitsstrategie, die zusammen Cyberbedrohungen in Echtzeit erkennt, darauf reagiert und verhindert.
Bedrohungsjagd
Threat Hunting ist ein proaktiver, fachkundiger Ansatz, der kontinuierlich potenzielle Bedrohungen ausfindig macht, die im Netzwerk eines Unternehmens lauern. Im Gegensatz zu automatisierten Erkennungssystemen suchen Bedrohungssucher aktiv nach subtilen Anzeichen von Beeinträchtigungen und verdächtigem Verhalten, die Standardsicherheitstools umgehen können. Dieser praktische Prozess hilft dabei, versteckte und komplexe Bedrohungen aufzudecken, bevor sie erheblichen Schaden verursachen können, was die allgemeine Sicherheitslage des Unternehmens stärkt.
Incident Response
Die Reaktion auf Vorfälle ist ein strukturierter Ansatz zur Behebung und Minderung von Sicherheitsvorfällen, sobald sie auftreten. Diese Komponente umfasst die schnelle Identifizierung und Eindämmung von Bedrohungen, gefolgt von Auslöschungs- und Wiederherstellungsbemühungen zur Wiederherstellung des normalen Betriebs. Ein MDR Incident Response Team arbeitet eng mit Stakeholdern zusammen, um den Vorfall effizient zu verwalten und setzt Maßnahmen um, um zukünftige Vorfälle zu verhindern und minimale Auswirkungen auf die Geschäftskontinuität und den Betrieb zu gewährleisten.
Endpoint Detection and Response (EDR)
Endpunkterkennung und -reaktion konzentriert sich auf die Überwachung von Aktivitäten auf Geräten wie Computern, Servern und mobilen Geräten. Durch die kontinuierliche Analyse von Endpunktverhalten können MDR-Services potenzielle Bedrohungen auf Geräteebene erkennen und darauf reagieren. EDR ist von entscheidender Bedeutung, da Endpunkte häufige Ziele für Cyberangreifer sind, und eine schnelle Erkennung auf dieser Ebene hilft dabei, seitliche Bewegungen und weitere Beeinträchtigungen innerhalb des Netzwerks zu verhindern.
Netzwerkverkehrsanalyse (NTA)
Die Netzwerkverkehrsanalyse umfasst die Überwachung des Datenflusses im Netzwerk einer Organisation, um Anomalien und verdächtige Aktivitäten zu erkennen. Durch die Analyse des Netzwerkverkehrs in Echtzeit können MDR-Dienste Anzeichen potenzieller Angriffe erkennen, wie z. B. ungewöhnliche Datenübertragungen oder unbefugte Zugriffsversuche. NTA ist entscheidend für die Erkennung von Bedrohungen, die die Endpunktsicherheit umgehen können, und bietet einen breiteren Überblick über die Netzwerksicherheit.
Management von Sicherheitsinformationen und -ereignissen (Security Information und Event Management, SIEM)
SIEM integriert Daten aus verschiedenen Quellen, einschließlich Protokollen und Warnungen, um eine zentrale Ansicht von Sicherheitsereignissen in einem Unternehmen zu bieten. MDR-Services nutzen SIEM, um Daten zu korrelieren, Muster zu erkennen und Bedrohungen in Echtzeit zu identifizieren. Diese zentralisierte Überwachung ermöglicht eine schnelle Erkennung und Reaktion auf Vorfälle und ermöglicht es dem MDR-Team, Bedrohungen basierend auf ihren potenziellen Auswirkungen auf das Unternehmen zu priorisieren.
Kontinuierliche Überwachung
Kontinuierliche Überwachung stellt sicher, dass alle Komponenten des MDR-Systems die Umgebung des Unternehmens rund um die Uhr aktiv überwachen. Diese Komponente ermöglicht es dem MDR-Team, Bedrohungen in Echtzeit zu erkennen, darauf zu reagieren und einzudämmen, wodurch das Risiko unentdeckter Sicherheitsverletzungen minimiert wird.
Welche Herausforderungen kann MDR angehen?
MDR geht erhebliche Probleme an, die moderne Unternehmen belasten. Das aufschlussreichste Problem ist der Mangel an Sicherheitskenntnissen in Organisationen. Während Schulungen und die Einrichtung dedizierter Sicherheitsteams, die eine Bedrohungssuche in Vollzeit durchführen können, für größere Unternehmen machbar sein können, die sich dies leisten können, werden die meisten Unternehmen es angesichts ihrer Ressourcenbeschränkungen als schwierig empfinden. Dies gilt insbesondere für mittlere und große Organisationen, die häufig das Ziel von Cyberangriffen sind, aber nicht über die Ressourcen oder Arbeitskräfte für solche Teams verfügen.
Selbst Unternehmen, die bereit sind, sowohl Zeit als auch Geld zu investieren, können es schwierig finden, tatsächlich das richtige Personal zu gewinnen.
Unternehmen stehen auch vor Herausforderungen bei der Bereitstellung komplexer EDR-Lösungen (Endpoint Detection and Response), die normalerweise aufgrund von Zeit-, Kompetenz- und Mittelmangel nicht maximiert werden, um Mitarbeiter in der Handhabung der EDR-Tools zu schulen. MDR integriert EDR-Tools in seine Sicherheitsimplementierung und macht sie zu einem integralen Bestandteil der Erkennungs-, Analyse- und Reaktionsrollen.
Ein häufig übersehenes Problem in Sachen Cybersicherheit ist die schiere Menge an Warnungen, die Sicherheits- und IT-Teams regelmäßig erhalten. Viele dieser Warnungen können nicht ohne Weiteres als bösartig identifiziert werden und müssen individuell überprüft werden. Darüber hinaus müssen Sicherheitsteams diese Bedrohungen korrelieren, da die Korrelation aufdecken kann, ob sich scheinbar unbedeutende Indikatoren alle als Teil eines größeren Angriffs summieren. Dies kann kleinere Sicherheitsteams überfordern und wertvolle Zeit und Ressourcen aus ihren anderen Aufgaben nehmen.
MDR zielt darauf ab, dieses Problem nicht nur durch die Erkennung von Bedrohungen, sondern auch durch die Analyse aller Faktoren und Indikatoren zu lösen, die an einer Warnung beteiligt sind. MDR gibt den Organisationen auch Empfehlungen und Änderungen auf der Grundlage der Interpretation der Sicherheitsereignisse. Eine der wichtigsten Fähigkeiten, die Sicherheitsexperten benötigen, ist die Möglichkeit, Indikatoren für Kompromisse zu kontextualisieren und zu analysieren, um das Unternehmen besser gegen zukünftige Angriffe zu positionieren. Sicherheitstechnologien können Bedrohungen blockieren, aber tiefere Einblicke in das Wie, Warum und die Art von Vorfällen erfordern eine menschliche Note.
MDR wurde entwickelt, um das Problem der Cybersicherheitskompetenzlücke eines Unternehmens zu lösen. Sie behebt das Problem fortschrittlicherer Bedrohungen, die ein internes IT-Team nicht vollständig beheben kann, idealerweise zu Kosten, die geringer sind als die Kosten, die das Unternehmen ausgeben muss, um sein eigenes spezialisiertes Sicherheitsteam aufzubauen. MDR kann der Organisation auch Zugriff auf Tools bieten, auf die sie normalerweise keinen Zugriff hat. Das Diagramm unten zeigt, was eine Organisation gewinnen kann, wenn MDR ins Spiel kommt.
MDR und MSS
Im Zusammenhang mit MDR wird häufig der Managed Security Service (MSS) erwähnt. Die von Anbietern angebotenen Dienste tendieren häufig dazu, MDR als zentrales Element des Dienstes zu nutzen, das die Bedrohungserkennung und -reaktion abwickelt. MSS wird hingegen häufig für die Überwachung von Sicherheitsprodukten und die Wartung von Hardware eingesetzt.
MDR und MXDR
Während sich die meisten MDR-Dienste auf EDR konzentrieren, ist Managed NDR (MNDR) ein weiterer Diensttyp, dessen Schwerpunkt auf Network Detection and Response (NDR) liegt. Anders als MDR, wo der Schwerpunkt meist auf EDR liegt, basiert die Erkennung und Reaktion bei MNDR auf Telemetriedaten und Protokollen im Netzwerk.
Seit Kurzem gibt es außerdem MXDR (Managed XDR), bei dem XDR (Extended Detection and Response) im Zentrum steht. Gemäß der Philosophie von Detection and Response gilt: Je größer die Sensorabdeckung, desto umfangreicher die Telemetrie und desto besser die Bedrohungserkennung.
MDR vs. MSSPs
Unternehmen haben sich traditionell für ihre externen Sicherheitsanforderungen an Managed Security Service Provider (MSSPs) gewandt. Im Gegensatz zu MDR-Anbietern, die seitliche Bewegungen innerhalb eines Netzwerks erkennen können, arbeiten MSSPs typischerweise mit Perimeter-basierter Technologie sowie regelbasierten Erkennungen, um Bedrohungen zu identifizieren. Auch die Arten von Bedrohungen, mit denen MSSPs umgehen, sind bekannte Bedrohungen, wie Schwachstellen-Exploits, wiederkehrende Malware und Angriffe mit hohem Volumen. MSSPs verfügen über Sicherheitsexperten, die Protokollverwaltung, Überwachung und Analyse durchführen, jedoch oft nicht sehr tiefgreifend. Im Grunde sind MSSPs in der Lage, die Sicherheit eines Unternehmens zu verwalten, aber normalerweise nur auf Perimeterebene, und ihre Analyse umfasst keine umfangreiche Forensik, Bedrohungsforschung und Analyse.
In Bezug auf den Service kommunizieren MSSPs normalerweise per E-Mail oder Telefon mit Sicherheitsexperten als sekundären Zugriff, während MDR-Anbieter eine kontinuierliche Überwachung rund um die Uhr durchführen, die von einigen MSSPs möglicherweise nicht angeboten wird.
MSSPs bieten jedoch immer noch Mehrwert für Organisationen. Zum Beispiel ist die Verwaltung von Firewalls und anderen täglichen Sicherheitsanforderungen des Netzwerks einer Organisation eine Aufgabe, die für einen MSSP besser geeignet ist als für einen MDR-Anbieter, der einen spezialisierteren Service bietet. Dementsprechend können MSSPs und MDR-Anbieter miteinander zusammenarbeiten – wobei sich MDR-Anbieter auf die proaktive Erkennung und Verhaltensanalyse fortschrittlicherer Bedrohungen konzentrieren und Unternehmen Empfehlungen zur Behebung geben, sobald die Bedrohungen entdeckt wurden.
Trend Micro MDR-Lösungen
- Erweiterung Ihres Teams: Profitieren Sie von einer höheren Ausfallsicherheit durch Premium Support rund um die Uhr an 365 Tagen im Jahr, Managed XDR und Incident Response Services. Flexibler Support in Verbindung mit fachkundiger Überwachung und Bedrohungsanalyse entlastet überbeanspruchte Teams.
- Maximierung von Effektivität und Kompetenzen: Trend Service One lässt Sie mit begrenzten internen Ressourcen mehr erreichen: automatische Updates und Upgrades von Lösungen, On-Demand-Schulungen, Best-Practice-Leitfäden und Zugang zu Fachleuten für Cybersicherheit und CISOs.
- Schnellere Erkennung und Reaktion: Sie werden proaktiv und früh vor Bedrohungen in Ihrer Umgebung gewarnt, und Ihre Trend Micro Lösungen für E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke werden kontinuierlich überwacht. Ergänzt wird dies durch globale Bedrohungsinformationen und Bedrohungsfachleute von Trend Micro.