Cyberangriffe auf Unternehmen jeder Größe nehmen zu. Längst ist es keine Frage mehr des „ob“, sondern des „wann“ ein Angriff stattfindet. Auch vor kritischen Infrastrukturen machen Hacker keinen Halt mehr. Um sich zu schützen, brauchen Organisationen heute nicht nur eine gute Abwehr, sondern auch eine leistungsfähige Detection & Response. Viele Unternehmen stehen nach dieser Erkenntnis vor der Frage, ob sie eine solche Schutzlösung im Rahmen eines Security Operations Center (SOC) selbst aufbauen oder lieber einen Managed Detection and Response Service beziehen sollen. Im Folgenden möchten wir über einige Mythen bezüglich MDR aufklären.
1. Ein MDR-Service ist nicht günstiger als der Betrieb eines eigenen SOC und nur große Unternehmen können sich dies leisten
Um geschäftsfähig zu bleiben, ist es für Unternehmen entscheidend, Angriffe frühzeitig aufzudecken. Denn je eher ein Angriff erkannt wird, desto eher kann man ihn stoppen und größeren Schaden vermeiden. Für die Entdeckung bösartiger Aktivitäten ist der Einsatz eines Security Information and Event Management (SIEM) notwendig. Das Security-System sammelt Logdaten aus der IT-Umgebung und schlägt Alarm, falls es verdächtiges Verhalten feststellt. Doch das allein reicht nicht aus: Die Warnmeldungen muss man auch auswerten, verstehen und nachverfolgen. Die hierfür eingesetzten Technologien und Tools SIEM, XDR und SOAR sind sehr kostenintensiv und die notwendigen personellen Ressourcen in einem SOC benötigen viel Zeit und Expertise. Allein mit der Einrichtung sind durchschnittlich bis zu vier Mitarbeiter ein halbes Jahr lang beschäftigt.
In der Regel konnten sich das bisher nur große Unternehmen leisten. Doch selbst die überlegen mittlerweile, ob sich der Aufwand lohnt – zumal Security-Analysten auf dem Arbeitsmarkt schwer zu finden sind. Ein MDR-Dienstleister hingegen kann all diese Kosten und Aufwände auf mehrere Kunden aufteilen. Der Managed Security Services Provider (MSSP) stellt dann die Security-Technologien bereit, betreibt sie und analysiert mithilfe seiner Experten die Alarme. Er bindet die Log-Quellen an, modelliert sie und kümmert sich kontinuierlich um den Betrieb. Er informiert seine Kunden, falls Handlungsbedarf besteht, und unterstützt sie dabei, geeignete Gegenmaßnahmen umzusetzen. Mit einem kosteneffizienten MDR-Service profitieren alle Unternehmen, die kein eigenes SOC betreiben wollen, von der Effizienz und Geschwindigkeit modernster Schutz-Technologie.
2. Ein MDR-Service ist immer auf die bereits eingesetzte IT-Security Infrastruktur eingeschränkt
Ein MDR-Service sollte führende Security-Technologie einsetzen. Diese muss normalerweise mit dem eigenen Stack kompatibel sein, denn nicht jedes SOAR (Security Automation, Orchestration & Response) arbeitet mit den Endpunkt-Security-Lösungen jedes Herstellers zusammen. Von Vorteil ist es daher, mit einem Dienstleister zusammenzuarbeiten, der mit einem herstellerunabhängigen cloud-nativen SIEM wie Google Chronicle im Hintergrund agiert. An dieses lassen sich die Log-Quellen unterschiedlicher Hersteller unkompliziert per API und Syslog integrieren. Dies beinhaltet auch die Verarbeitung von Telemetriedaten aus Cloud-Diensten, wie Office 365 und Azure AD. Kunden müssen also nicht zusätzlich in bestimmte EDR-, XDR- oder sonstige Security-Lösungen investieren, wenn sie solche Systeme schon im Einsatz haben. Die Daten werden automatisch normalisiert und lassen sich dann mit der integrierten Threat Intelligence einfach durchsuchen, korrelieren und analysieren. Auch aus Kostensicht lohnt sich Google Chronicle: Umfangreiche Cloud-Speicherkapazität ist zu kalkulierbaren und überschaubaren Preisen inkludiert.
3. Das Onboarding eines MDR-Service ist extrem zeitaufwändig
Natürlich benötigt auch das Onboarding eines MDR-Services etwas Zeit und erfordert eine enge Zusammenarbeit zwischen dem MSSP und dem Kunden. Übliche SIEM- und SOC-Projekte in Eigenregie sind jedoch deutlich aufwendiger, langwieriger und teurer. Die Pluspunkte beim Outsourcing sind vielfältig. Zum einen liegen sie im externen Experten-Team: Gemeinsam mit dem Kunden ermitteln diese, welche Logquellen man integrieren möchte. Der MSSP übernimmt dann die Anbindung dieser Quellen, während der Kunde dafür sorgt, dass die Daten zuverlässig zur Verfügung stehen. Außerdem ist es wichtig, einen Ansprechpartner im IT-Team festzulegen, der die Schnittstelle zwischen Unternehmen und MSSP bildet.
Auch der Einsatz von Google Chronicle als Bestandteil der MDR-Lösung bietet zahlreiche Vorteile. Google Chronicle bietet eine nahtlose Integration zahlreicher Technologie-Partner, so z.B. Palo Alto Networks, SentinelOne, Tenable, Crowdstrike, Cybereason, Proofpoint, Vectra uvm. Als SaaS-Lösung ist Google Chronicle schnell aufgesetzt, einfach zu verwalten und Unternehmen brauchen nicht in zusätzliche Hardware zu investieren. Durch die Herstellerneutralität können Unternehmen den Start des MDR-Projektes beschleunigen, die Bedrohungserkennung verbessern und somit ihre Sicherheit sehr schnell und effizient erhöhen.
4. IT-Security Automatisierung und Playbooks steuert und entwickelt man am besten selbst
Ohne Automatisierung ist IT-Security heute undenkbar. Zeit ist ein Luxus, den sich die Security nicht erlauben kann. Denn viele Angriffe finden mittlerweile automatisiert statt. Manuelle Analysen dauern oft zu lange, um sie rechtzeitig zu stoppen. Zumal die Gefahr besteht, dass man im Grundrauschen der Fehlalarme wichtige Hinweise übersieht. Auch die Security braucht daher Automatisierung. Eine SOAR-Lösung kann riesige Datenmengen in Echtzeit verarbeiten, Informationen aus verschiedenen Quellen verknüpfen und Level-1-Analysen automatisiert durchführen. Dadurch lässt sich bei der Analysearbeit viel Zeit sparen und auf einen Blick sehen, was passiert ist. Für die automatisierten Analysen nutzt ein SOAR sogenannte Playbooks. Dabei handelt es sich um Anweisungen, die das System anhand von hinterlegten Logiken abarbeitet. Ein Playbook definiert zum Beispiel, welche Überprüfungen das SOAR Schritt für Schritt durchführen soll, um einen Ransomware-Angriff zu erkennen und zu bekämpfen. Für verschiedene Szenarien gibt es verschiedene Playbooks.
Viele Unternehmen denken, dass eine IT-Security Automatisierung und Playbooks von einem externen MDR-Dienstleister in Unkenntnis der besonderen Umstände oder Anforderungen nicht spezifisch genug entwickelt und angepasst werden können. Das Gegenteil ist der Fall: Playbooks müssen stets auf dem neuesten Stand der Bedrohungslage sein, da sich die Cybergefahren schnell verändern. Diese Herausforderung in Eigenregie zu bewältigen, nämlich in Punkto Playbooks als auch mit dem eigenen Know-how stets up-to-date zu sein, kann sich als Herkulesaufgabe erweisen. Ein gutes SOAR eines MDR-Service bringt hingegen bereits viele Playbooks mit, die häufig nur noch angepasst und weiterentwickelt werden müssen. Im Rahmen von MDR übernimmt der Managed Security Services Provider die Pflege der Playbooks und kann sie dank seiner Expertise leicht an die Kundenbedürfnisse anpassen.
5. Managed Detection and Response greift im Incident-Fall zu kurz
Wenn die Analysen auf einen Angriff hindeuten, geht es im nächsten Schritt darum, schnell zu reagieren. Im Rahmen von MDR führt der Service-Provider in enger Zusammenarbeit mit seinem Kunden weitere Untersuchungen durch und gibt ihm Schritt-für-Schritt-Handlungsempfehlungen, um den Angriff zu stoppen. Auch bei der Umsetzung von Maßnahmen kann der MSSP unterstützen. Falls nötig, zieht er spezialisierte IT-Forensiker hinzu, die dank seines Partner-Netzwerks auch kurzfristig zur Verfügung stehen. Somit ist im Angriffsfall eine schnelle Expertenunterstützung gewährleistet. Gerade diese Unterstützung im Ernstfall ist enorm wichtig. Denn wenn es tatsächlich zu einem Cyberangriff kommt, liegen die Nerven blank und jede Minute zählt. Dann brauchen Unternehmen einen verlässlichen Partner an ihrer Seite, der sofort zur Stelle ist und ihnen hilft, die richtigen Entscheidungen zu treffen.
Fazit:
Ohne Detection and Response und spezialisierte Security-Analysten ist es heute nicht mehr möglich, komplexe Cyberangriffe schnell genug zu erkennen und einzudämmen. Meist ist es für mittelständische Unternehmen aber zu aufwändig und zu teuer, ein eigenes SOC und SOAR zu betreiben. Wer eine Schutzlösung nach neuestem Stand sucht, sich aber nicht mit den technischen Details auseinandersetzen möchte, ist mit MDR von einem Managed Security Service Provider am besten beraten. Damit das Onboarding des Service möglichst rasch bewerkstelligt und die bisher eingesetzten IT-Security Infrastruktursysteme ebenfalls als Log-Quellen genutzt werden können, sollte ein MSSP gewählt werden, der ein cloud-natives und herstelleragnostisches SIEM wie Google Chronicle als „Zwischenschicht“ in seinen MDR-Service integriert hat. Wichtig ist auch eine gute Kooperation zwischen MSSP und Kunde, damit es im Fall eines Cybervorfalls gelingt, einen Angriff schnell zu stoppen.
Hier gibt es weitere Informationen zum Service indevis Managed Detection and Response
