Evolution Protection zu Detection heißt MDR

Warum Abwehr allein nicht mehr ausreicht: Die Evolution von Protection zu Detection heißt MDR

Anfang des Jahres 2022 titelte die Tagesschau „Cyberangriffe größte Gefahr für Firmen“. Die Branche der Unternehmen spielt kaum eine Rolle. Das sieht man anhand des  Angriffsbarometers von Konbriefing, welches bekannt gewordene Vorfälle registriert. Die Ziele waren unter anderem eine Pizza-Kette, eine Hochschule, ein Krankenhaus, eine Bank und eine Eisenbahngesellschaft – eine bunte Auswahl.

Hacker interessiert es meistens nicht, wer ihr Ziel ist. Viel wichtiger: Wie wahrscheinlich ist eine erfolgreiche Attacke und was können die Angreifer gewinnen? So ist ein Juwelier mit einer veralteten Alarmanlage bei Dieben wahrscheinlich ein beliebteres Ziel als eine milliardenschwere Großbank mit einem hochmodernen Sicherheitssystem.

Irgendwie kommen die Hacker fast immer rein

Mit genügend Ressourcen und Zeit kommen Angreifer in fast alle Systeme, auch wenn Unternehmen den Schutz (Protection) des Firmennetzwerks auf einem hohen Niveau halten.

Doch schafft es ein Hacker ins System hat man von der besten Firewall nichts mehr. Dann ist es wichtig, den Eindringling möglichst schnell aufzuspüren und seine Handlungsmöglichkeiten einzuschränken. Die Detection & Response sollte also auf einem ähnlich hohen Niveau stehen wie die Protection. Denn merkt ein Hacker, dass er entdeckt wurde oder im Netzwerk nur mit großer Anstrengung signifikanten Schaden anrichten kann, zieht er sich möglicherweise zurück.

Mit MDR dem Angreifer möglichst viele Hürden in den Weg stellen

Laut dem Cost of Data Breach Report 2021 von IBM  dauert es im Schnitt 287 Tage, um ein Datenleck zu erkennen und zu beseitigen. Vielen Unternehmen fehlen einfach die Ressourcen, um sich dauerhaft um Detection & Response zu kümmern.

Für diese Betriebe empfehlen wir Managed Detection & Response (MDR). Ein Managed Security Service Provider (MSSP) wie indevis richtet dabei ein virtuelles Security Operations Center (vSOC) für den Kunden ein.

Die Sicherheitsspezialisten des Dienstleisters kümmern sich dann unter anderem um die Auswertung des Security Information and Event Managements (SIEM) oder konfigurieren und verwalten eine Lösung für Security Orchestration, Automation and Response (SOAR).

Von Vorteil ist nicht nur, dass die IT eines Betriebs dadurch entlastet wird, sondern auch, dass ein erfahrener Dienstleister gut kuratierte Threat-Datenbanken unterhält. Je aktueller diese Datenbanken sind, desto effektiver kann das SOAR reagieren. Außerdem spart ein vSOC Kosten. Über den Daumen gepeilt wären circa vier Mitarbeiter ein halbes Jahr damit beschäftigt, ein eigenes SOC einzurichten. Um es am Laufen zu halten, müssen dauerhaft Mitarbeiter abgestellt werden. Zum einen ist das kostspielig, zum anderen ist es aufgrund des Fachkräftemangels, unabhängig vom Budget, für ein KMU selten umsetzbar.

Arbeiten Unternehmen mit einem externen Dienstleister zusammen, legen beide Parteien zunächst gemeinsam fest, welche Logs in die Überwachung einfließen. Dabei sollten auch die Logs zu Schnittstellen zu Public Cloud Services in das Monitoring integriert sein. Zwar sind sie nicht direkt Teil des Firmennetzes, können aber ebenfalls als Angriffsweg genutzt werden.

Der Implementierungsprozess von MDR funktioniert am besten, wenn der Kunde bereits Produkte aus dem Security-Portfolio des MSSP nutzt. Jedoch können auch andere Systeme in das vSOC eingebettet werden. Das dauert allerdings länger. Eine hundertprozentige Deckungsgleichheit der Systeme gibt es kaum. Aber wenn der Großteil kompatibel ist, muss man nur wenig mit der Hand einbinden und spart Zeit.

Protection und Detection & Response: Eine solide IT-Security braucht beides

Für Unternehmen gilt: Eine ganzheitliche Security-Strategie enthält immer sowohl Lösungen zur Protection als auch zur Detection & Response: Mit einer guten Protection wappnen sich Unternehmen gegen Cyberangriffe und machen es Hackern so schwer wie möglich, Netzwerke zu infiltrieren oder Ransomware einzuschleusen. Gleichzeitig sollten Betriebe auf den Fall eines erfolgreichen Hacks vorbereitet sein. Externe Dienstleister wie indevis können in beiden Disziplinen unterstützen.

 

Wolfgang Kurz
Wolfgang Kurz

CEO, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!