indevis Managed Detection and Response

indevis Managed Detection and Response

MDR als Service: mit SIEM, SOAR und dem indevis SOC

Bedrohungen schnell erkennen und begegnen – als Managed Service

Logo indevis Managed Detection and ResponseDas Zusammenwirken moderner Security-Tools wie SIEM und SOAR als Unterstützung für ein SOC ermöglicht es, Angriffe und deren Vektoren in Echtzeit aufzudecken und zu stoppen. Sparen Sie sich den komplexen und kostenintensiven Eigenbetrieb dieser Lösungen und vergeuden Sie in Zeiten von Fachkräftemangel keine Ressourcen für die mühselige Suche nach den benötigten Security-Mitarbeitern. Dank Managed Detection and Response können Sie die entsprechenden Leistungen auch als Service von indevis beziehen. Mit indevis Managed Detection and Response wird der Einsatz solch fortschrittlicher Cyber Security Tools auch für mittelständische Unternehmen machbar und erschwinglich.

Managed Detection and Response im Fokus bei indevis

Um Schaden durch Cyberangriffe zu vermeiden, ist es für Unternehmen wichtig, Bedrohungen schnell zu ermitteln und zu beseitigen. Ein SIEM (Security Incident and Event Management) ist hierfür eine zwingende Voraussetzung – reicht dafür aber alleine nicht aus, denn man braucht auch spezialisierte Security-Analysten für die Auswertung der gesammelten Log-Informationen. Doch gerade beim IT-Personal macht sich der Fachkräftemangel in der Wirtschaft besonders bemerkbar.

Zudem ist es ohne Automatisierung nicht mehr möglich, die Masse an Sicherheitsmeldungen manuell auszuwerten. Der Trend geht daher zu Security Orchestration, Automation & Response (SOAR), am besten integriert in einen Managed Service. So können sich KMUs genauso gut schützen wie große Unternehmen, ohne ein eigenes SOC zu betreiben.

Schaubild indevis Managed Detection and Response

Ein SIEM kann eine Unterstützung im Kampf gegen Cyberbedrohungen sein, um bösartige Aktivitäten schnellstmöglich zu erkennen und zu stoppen, bevor sie großen Schaden anrichten. Doch die bloße Installation und Konfiguration eines SIEM reicht nicht aus. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber benötigt man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.

Ein SIEM sammelt die Logdaten angeschlossener Security Systeme, korreliert sie und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Warnmeldung aus. Das Problem dabei: Das SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind. Dadurch überflutet es Security-Mitarbeiter geradezu mit Alerts. Ein Großteil davon sind False Positives, die oft ganz harmlose Ursachen haben – etwa eine Software-Installation, die Hashwerte von Dateien ändert, oder ein Backup, das außer der Reihe läuft.

Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams die Warnmeldungen genauer untersuchen. Weil das angesichts der Datenflut kaum jemand schafft, laufen die Alerts häufig einfach in einem Postfach auf und werden nur kurz überflogen. Dadurch bleiben allerdings auch kritische Hinweise unbemerkt.

SIEM, SOC und SOAR: Hochmodern, unabdingbar – und extrem komplex

Um das Problem der SIEM Alerts-Überflutung zu lösen, haben größeren Unternehmen meist ein SOC (Security Operations Center) eingerichtet. Hier sind spezialisierte Security-Mitarbeiter damit beschäftigt, die Warnmeldungen aus dem SIEM auszuwerten. Gibt es Hinweise darauf, dass ein Log-Event gefährlich ist? Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall oder ist ein Code-Schnipsel oder eine URL schon als bösartig bekannt? Auf der Suche nach Antworten durchforsten die Level-1-Analysten die Threat-Intelligence-Datenbanken der Security Anbieter und müssen bei jeder Recherche die aktuellen Bedrohungsinformationen von Neuem abrufen. Werden Anzeichen für eine Cyberbedrohung erkannt, übernehmen die Level-2-Analysten mit tiefergehenden Untersuchungen. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und ermitteln, ob es sich tatsächlich um einen Angriff handelt.

Die Untersuchung der Sicherheitsmeldungen ist aufwändig und erfordert Expertenwissen. Ein SOC zu betreiben ist daher ziemlich teuer. Zudem verstreicht bei der manuellen Analyse wertvolle Zeit, während der ein Cyberangriff im Ernstfall unbehindert weiter voranschreitet. Moderne SOCs setzen daher auf eine Lösung für Security Orchestration, Automation and Response (SOAR). Diese kann Mitarbeiter erheblich entlasten und Prozesse beschleunigen, indem sie Level-1-Analysen automatisiert durchführt. Ein SOAR ist in der Lage, riesige Datenmengen in wenigen Sekunden zu verarbeiten und Informationen mit den verschiedensten Threat-Intelligence-Quellen zu überprüfen. Es bereitet die Recherche-Ergebnisse so intelligent und übersichtlich auf, dass SOC-Mitarbeiter schnell ein komplettes Bild von einem Angriffsvektor erhalten.

Künstliche Intelligenz in SOAR ermöglicht effizientere Sicherheitsvorgänge

Die Automatisierung im SOAR erfolgt mithilfe sogenannter Playbooks, in denen Workflows und Logiken hinterlegt sind, die das System abarbeitet. SOC-Mitarbeiter können sowohl auf eine Vielzahl an vorgefertigten Playbooks für verschiedene Incidents zurückgreifen als auch neue definieren und mit anderen teilen. Die im SOAR integrierte KI lernt aus Incident-, Indikator- und Analystendaten, um personalisierte Einblicke zu erhalten, z.B. Incident Owner und häufig ausgeführte Sicherheitsbefehle. Die maschinellen Lernfunktionen von SOAR erhöhen somit die Produktivität der Anwender, beschleunigen die Entwicklung von Playbooks und ermöglichen schlankere Sicherheitsvorgänge. Im Laufe der Zeit wird somit immer mehr Kow-how angesammelt und die Arbeit im SOC wird effizienter. Letztlich kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, erheblich reduzieren und die Reaktion auf einen Sicherheitsvorfall deutlich beschleunigen.

Vorteile indevis Managed Detection and Response

  • Angriffserkennung in Echtzeit
  • Modernste Schutztechnologien marktführender Hersteller professionell eingesetzt
  • Auslagerung bzw. Nutzung teurer Security-Tools & Teams (SIEM, SOAR, SOC) als kosteneffektiver Service
  • KI und Machine Learning in SOAR ermöglichen schlankere und effizientere Sicherheitsvorgänge
  • Full Service durch das indevis Cyber Defense Center gemäß gewähltem Leistungsumfang
  • Anbindung verschiedener Log-Quellen
  • Anwendung von Best Practise Playbooks oder Entwicklung auf eigene Anforderungen zugeschnittener Playbooks
  • Gemeinsame Absprache der möglichen Response bei der Erkennung tatsächlicher Cyberbedrohungen
  • Service aus Deutschland heraus erbracht, deutschsprachige Ansprechpartner
  • ISO27001-zertifizierter MSSP-Geschäftsbereich

indevis MDR: Angreifern automatisiert ein Schnippchen schlagen

Die Notwendigkeit von SIEM, SOC und SOAR liegt in der heutigen Zeit immer ausgeklügelter Cyberangriffe auf der Hand. Ihr Zusammenwirken ermöglicht es, Angriffe und deren Vektoren so schnell wie möglich aufzudecken und zu stoppen. Sparen Sie sich den aufwändigen und kostenintensiven Eigenbetrieb dieser Lösungen und vergeuden Sie in Zeiten von Fachkräftemangel keine Ressourcen bei der mühseligen Suche nach den benötigten Security-Mitarbeitern. Dank Managed Detection and Response können Sie die entsprechenden Leistungen als Service von indevis beziehen. Mit indevis Managed Detection and Response geht bei der Jagd und Reaktion auf Bedrohungen keine wertvolle Zeit verloren.


Häufige Fragen zu Managed Detection and Response

Managed Detection and Response (MDR) ist ein Managed Security Service (MSS), um Bedrohungen schnell zu erkennen und zu bekämpfen. Das Ziel besteht darin, Angriffe so früh zu stoppen, dass sie keinen Schaden anrichten. Dafür bietet der MSS Provider ein Komplettpaket: Er stellt die passende Sicherheitstechnologie bereit, betreibt sie und analysiert die Warnmeldungen, die die Systeme ausgeben. Außerdem unterstützt er seine Kunden mit Handlungsempfehlungen zu Gegenmaßnahmen und hilft ihnen bei Bedarf dabei, diese umzusetzen.

Managed Endpoint Detection and Response ist ein Bestandteil von MDR. Als Endpoint bezeichnet man alle Systeme, die an ein Netzwerk angeschlossen sind, zum Beispiel Server, Desktop-PCs oder Smartphones. Tools für Endpoint Detection and Response (EDR) überwachen das Verhalten dieser Systeme und geben Warnmeldungen aus, wenn sie verdächtige Aktivitäten erkennen. Bei Managed EDR erfolgt dies als Managed Service. MDR kann noch einen Schritt weiter gehen und nicht nur Endpunkte, sondern die gesamte IT-Umgebung berücksichtigen – also auch das Netzwerk und Cloud Services. Für eine erleichterte Bearbeitung der Warnmeldungen kommt eine übergreifende SOAR-Plattform (Security Orchestration, Automation and Response) zum Einsatz.

Unter Threat Detection versteht man Technologien zur Erkennung von Cyber-Bedrohungen. MDR umfasst nicht nur Managed Threat Detection, sondern auch Managed Response: Unternehmen erhalten Handlungsempfehlungen zur Reaktion, um die identifizierten Bedrohungen zu mindern, Attacken zu stoppen und Schaden zu minimieren.

Viele Unternehmen setzen ein Security Information and Event Management (SIEM) ein, um Logdateien der Sicherheitssysteme in der IT-Umgebung zu sammeln und zu korrelieren. Solche Lösungen suchen nach auffälligen Verhaltensweisen und können Anomalien identifizieren. In der Regel sind sie jedoch nicht in der Lage zu erkennen, ob es sich um einen Cyberangriff handelt oder nicht. Denn viele Auffälligkeiten haben auch ganz harmlose Ursachen, zum Beispiel wenn ein Backup außer der Reihe läuft oder Administratoren Systeme patchen.

Ein SIEM gibt täglich Hunderte von Alerts aus, von denen ein Großteil False Positives sind. Unternehmen brauchen Mitarbeiter, die diese Warnungen sichten, bewerten und im Verdachtsfall genauer untersuchen. Das erfordert nicht nur spezialisiertes Know-how, sondern ist auch aufwändig und kostet viel Zeit. Kaum ein mittelständisches Unternehmen kann dies leisten. Viele nutzen ihr SIEM daher nur als Logspeicher, um relevante Daten zu sammeln. Für das Erkennen von Bedrohungen genügt das nicht. Bei MDR übernehmen Sicherheitsexperten des MSSPs die Auswertung der Warnmeldungen aus dem SIEM. Sie verständigen den Kunden, sobald Handlungsbedarf besteht, und helfen ihm, schnell und richtig zu reagieren.

SOC steht für Security Operations Center. Hier arbeiten IT-Sicherheits-Spezialisten, die Systeme überwachen und Warnmeldungen auswerten, die das SIEM ausgibt. Ein SOC zu betreiben ist jedoch aufwändig und ziemlich teuer. Vor allem geeignete Sicherheitsexperten zu finden, ist schwer. Denn in der Cybersecurity herrscht akuter Fachkräftemangel. Für kleinere und mittelständische Unternehmen ist es daher einfacher, gleich auf Services für MDR zu setzen: Hier sind SOC-Services und die benötigte Technologie bereits enthalten – ebenso wie Handlungsempfehlungen zur Umsetzung von reaktiven Maßnahmen.

Ein SOAR (Security Operation, Automation and Response) ist eine Sicherheitsplattform, die dazu dient, SOC-Prozesse zu automatisieren und zu optimieren. Das ist wichtig, um Bedrohungen schneller zu erkennen und schneller zu reagieren. Denn viele Attacken finden heute automatisiert statt. Nur wenn die IT-Sicherheit mit ihnen Schritt halten kann, gelingt es, sie rechtzeitig zu stoppen. Modern aufgestellte SOC-Teams und MDR-Services setzen daher eine SOAR-Lösung ein.

So optimiert ein SOAR die Bedrohungserkennung:

In einem SOC arbeiten in der Regel sogenannte Level-1- und Level-2-Analysten. Die Level-1-Analysten untersuchen zunächst, ob eine Warnmeldung tatsächlich auf einen Sicherheitsvorfall hindeutet. Das erfordert aufwändige manuelle Recherche: Die Experten gleichen die Daten mit Vorfällen aus der Vergangenheit ab und ziehen Informationen aus den Threat Intelligence-Datenbanken der Cybersecurity-Anbieter heran. Diese Bedrohungsinformationen müssen jedes Mal neu abgerufen werden, damit sie auf dem aktuellen Stand sind. Falls die Level-1-Analyse auf bösartige Aktivitäten hindeutet, kommen die Level-2-Analysten ins Spiel. Sie führen tiefere Untersuchungen durch und ermitteln gemeinsam mit dem IT-Team vor Ort, was genau passiert ist.
Ein SOAR kann Level-1-Analysen automatisiert durchführen und dadurch die Detection and Response erheblich effizienter machen. Es verarbeitet in wenigen Sekunden riesige Datenmengen, überprüft Threat-Intelligence-Quellen und bereitet Rechercheergebnisse übersichtlich auf. Sicherheitsmitarbeiter erhalten schnell ein komplettes Bild von einem Angriffsvektor und können sofort mit der Level-2-Analyse beginnen. Laut Angaben des Herstellers Palo Alto Networks lässt sich so die Reaktion auf einen Sicherheitsvorfall um bis zu 90 Prozent beschleunigen.

Theoretisch kann ein SOAR auch automatisiert auf eine identifizierte Bedrohung reagieren und zum Beispiel selbstständig Firewall-Regeln anpassen. In der Praxis ist das jedoch nicht empfehlenswert. Denn Response-Maßnahmen sollten immer wohl überlegt sein. Unternehmen müssen Risiken gegeneinander abwägen und jede Situation individuell bewerten. Denn wenn die Änderung einer Firewall-Regel dazu führt, dass wichtige Dienste nicht mehr verfügbar sind oder ein Produktionsstandort abgeschnitten ist, könnte das womöglich größeren Schaden anrichten als der eigentliche Cyberangriff. Bei modernen Services für MDR kommt SOAR zwar zur Optimierung der Bedrohungserkennung zum Einsatz, anschließend übernehmen aber menschliche Sicherheitsexperten. Sie stimmen sich eng mit Ihnen ab und machen Vorschläge zur geeigneten Reaktion. Ob Sie den Empfehlungen folgen möchten, entscheiden Sie selbst.

Cyberattacken werden immer komplexer und zahlreicher. Auch mit den besten präventiven Schutzmaßnahmen kann es daher vorkommen, dass eine Attacke durchdringt. Je früher Sie Angriffe erkennen, umso eher können Sie sie stoppen und Schaden minimieren. Eine leistungsfähige Detection and Response spielt daher eine wichtige Rolle, um die Resilienz zu erhöhen und auch im Falle eines Hacks betriebsfähig zu bleiben. Das im Alleingang zu stemmen, ist für mittelständische Unternehmen angesichts der wachsenden Bedrohungslandschaft schwer.

Services für MDR können die Herausforderungen lösen:

  • Fachkräftemangel: Es reicht nicht aus, in moderne Sicherheitstechnologie zur Überwachung von Endgeräten und zur Erkennung von Bedrohungen zu investieren. Man muss die Systeme auch bedienen, managen und Warnmeldungen auswerten. Kaum ein mittelständisches Unternehmen hat dafür genug Personal, denn Cybersecurity-Spezialisten sind auf dem Arbeitsmarkt Mangelware. Bei MDR stellt der MSS Provider die Experten zur Verfügung.
  • Teure, komplexe Technologie: Um Cyberattacken zu erkennen, muss man riesige Datenmengen auswerten. Nur mithilfe von Automatisierung gelingt dies schnell genug. Unternehmen brauchen daher eine SOAR-Lösung. Solche Plattformen sind jedoch für große SOCs gedacht. Sie sind nicht nur teuer, sondern auch aufwändig einzurichten und komplex zu managen. Bei MDR stellt der MSSP das SOAR, bindet bedarfsweise Endpoint-, Netzwerk- und Cloud-Logquellen an und kümmert sich um den Betrieb.
  • Schnell reagieren: Wenn Sicherheitssysteme und Security-Analysen auf einen Cybervorfall hindeuten, müssen Unternehmen in der Lage sein, schnell die richtigen Maßnahmen zu ergreifen, um den Eindringling zu stoppen. Dafür brauchen sie Experten, die genau wissen, was zu tun ist. Bei MDR gibt ein MSSP Handlungsempfehlungen. Er zieht Partner für die IT-Forensik und Notfall-Einsätze hinzu, falls dies erforderlich ist.

Cyberangriffe verlaufen meist in mehreren Stufen. Oft vergehen von der Erstinfektion bis zur feindlichen Übernahme von Endgeräten oder Systemen mehrere Tage oder sogar Wochen. Der Hacker erkundet das Netzwerk, sucht nach den Kronjuwelen und lädt Schadcode nach. Dabei hinterlässt er Spuren. Wenn es Ihnen gelingt, den Angriff während dieses Zeitfensters zu stoppen, können Sie Schaden vermeiden.

Mit Services für MDR sind Sie auch ohne eigenes SOC und SOAR in der Lage, Bedrohungen sehr schnell zu erkennen und richtig zu reagieren. Mittelständische Unternehmen können sich dadurch genauso gut schützen wie große Konzerne. Sie profitieren von spezialisierten Analysten und neuester Technologie für die Bedrohungs-Erkennung, ohne dass sie diese selbst bereitstellen müssen.

indevis erbringt seinen MDR-Service mit einem eigenen SOC-Team und einer selbstbetriebenen MDR-Plattform aus seinen zertifizierten Rechenzentren. Wir setzen dafür die Cortex xSOAR-Plattform von Palo Alto ein. Sie zählt zu den führenden SOAR-Lösungen auf dem Markt. An das xSOAR binden wir die Datenquellen an – zum Beispiel Ihr SIEM, Palo Alto XDR und Microsoft Defender für Office 365.

Alle eingehenden Daten werden in einem Data Lake gesammelt, das xSOAR korreliert und analysiert sie KI-gestützt. Dafür zieht es Threat Intelligence-Datenbanken heran. Mithilfe von Playbooks, in denen Logiken und Workflows hinterlegt sind, führt die Plattform (teil-) automatisiert Level-1-Analysen durch. Als Ergebnis gibt sie konkrete Warnmeldungen aus, die ein klares Bild von einem Angriffsvektor zeichnen.

Die Sicherheitsspezialisten von indevis bewerten die Warnungen, untersuchen sie genauer und verständigen im Ernstfall sofort Ihr IT-Team. Gemeinsam besprechen wir dann, welche Schritte jetzt nötig sind und unterstützen Sie bei der Umsetzung. Bei Bedarf ziehen wir weitere Experten hinzu.

MDR ist ideal für alle mittelständischen Unternehmen, die sich mit minimalem Eigenaufwand bestmöglich schützen möchten. Sie brauchen dafür keine eigenen Cybersecurity-Spezialisten, kein SOC und kein SOAR. Große Unternehmen, die selbst ein Security Operations Center betreiben, können mit MDR-Services ihre Mitarbeiter entlasten und ihre Effizienz im SOC erhöhen.

indevis ist seit vielen Jahren auf Security Services für den Mittelstand spezialisiert. Wir setzen führende Technologie für Detection and Response ein und verfügen über erfahrene Sicherheitsanalysten. Kunden profitieren von standardisierten Services, die wir bei Bedarf individuell anpassen. Unser Spezialisten-Team kümmert sich um Einrichtung und Betrieb der SOAR-Plattform, die Anbindung in Frage kommender Endpoint-, Netzwerk- und Cloud-Quellen und die Entwicklung und Pflege der Playbooks. Wir bewerten die Warnmeldungen und verständigen Sie, wenn Handlungsbedarf besteht. Als Partner auf Augenhöhe helfen wir Ihnen, den Vorfall schnell zu meistern.

indevis Managed Detection and Response

Sollten auch Sie für Ihr Unternehmen Handlungsbedarf im Bereich MDR sehen, so setzen Sie sich bitte gerne mit Ihrem Vertriebsbetreuer in Verbindung: Sprechen Sie uns an! +49 (89) 45 24 24-100.

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.