indevis Managed Detection and Response

indevis Managed Detection and Response

SIEM, SOC, SOAR als Service: das indevis Cyber Defense Center

Bedrohungen schnell erkennen und begegnen – als Managed Service

Logo indevis Managed Detection and ResponseDas Zusammenwirken moderner Security-Tools wie SIEM und SOAR als Unterstützung für ein SOC ermöglicht es, Angriffe und deren Vektoren in Echtzeit aufzudecken und zu stoppen. Sparen Sie sich den komplexen und kostenintensiven Eigenbetrieb dieser Lösungen und vergeuden Sie in Zeiten von Fachkräftemangel keine Ressourcen für die mühselige Suche nach den benötigten Security-Mitarbeitern. Dank Managed Detection and Response können Sie die entsprechenden Leistungen auch als Service von indevis beziehen. Mit indevis Managed Detection and Response wird der Einsatz solch fortschrittlicher Cyber Security Tools auch für mittelständische Unternehmen machbar und erschwinglich.

Managed Detection and Response im Fokus bei indevis

Um Schaden durch Cyberangriffe zu vermeiden, ist es für Unternehmen wichtig, Bedrohungen schnell zu ermitteln und zu beseitigen. Ein SIEM (Security Incident and Event Management) ist hierfür eine zwingende Voraussetzung – reicht dafür aber alleine nicht aus, denn man braucht auch spezialisierte Security-Analysten für die Auswertung der gesammelten Log-Informationen. Doch gerade beim IT-Personal macht sich der Fachkräftemangel in der Wirtschaft besonders bemerkbar.

Zudem ist es ohne Automatisierung nicht mehr möglich, die Masse an Sicherheitsmeldungen manuell auszuwerten. Der Trend geht daher zu Security Orchestration, Automation & Response (SOAR), am besten integriert in einen Managed Service. So können sich KMUs genauso gut schützen wie große Unternehmen, ohne ein eigenes SOC zu betreiben.

Schaubild indevis Managed Detection and Response

Ein SIEM kann eine Unterstützung im Kampf gegen Cyberbedrohungen sein, um bösartige Aktivitäten schnellstmöglich zu erkennen und zu stoppen, bevor sie großen Schaden anrichten. Doch die bloße Installation und Konfiguration eines SIEM reicht nicht aus. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber benötigt man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.

Ein SIEM sammelt die Logdaten angeschlossener Security Systeme, korreliert sie und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Warnmeldung aus. Das Problem dabei: Das SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind. Dadurch überflutet es Security-Mitarbeiter geradezu mit Alerts. Ein Großteil davon sind False Positives, die oft ganz harmlose Ursachen haben – etwa eine Software-Installation, die Hashwerte von Dateien ändert, oder ein Backup, das außer der Reihe läuft.

Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams die Warnmeldungen genauer untersuchen. Weil das angesichts der Datenflut kaum jemand schafft, laufen die Alerts häufig einfach in einem Postfach auf und werden nur kurz überflogen. Dadurch bleiben allerdings auch kritische Hinweise unbemerkt.

SIEM, SOC und SOAR: Hochmodern, unabdingbar – und extrem komplex

Um das Problem der SIEM Alerts-Überflutung zu lösen, haben größeren Unternehmen meist ein SOC (Security Operations Center) eingerichtet. Hier sind spezialisierte Security-Mitarbeiter damit beschäftigt, die Warnmeldungen aus dem SIEM auszuwerten. Gibt es Hinweise darauf, dass ein Log-Event gefährlich ist? Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall oder ist ein Code-Schnipsel oder eine URL schon als bösartig bekannt? Auf der Suche nach Antworten durchforsten die Level-1-Analysten die Threat-Intelligence-Datenbanken der Security Anbieter und müssen bei jeder Recherche die aktuellen Bedrohungsinformationen von Neuem abrufen. Werden Anzeichen für eine Cyberbedrohung erkannt, übernehmen die Level-2-Analysten mit tiefergehenden Untersuchungen. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und ermitteln, ob es sich tatsächlich um einen Angriff handelt.

Die Untersuchung der Sicherheitsmeldungen ist aufwändig und erfordert Expertenwissen. Ein SOC zu betreiben ist daher ziemlich teuer. Zudem verstreicht bei der manuellen Analyse wertvolle Zeit, während der ein Cyberangriff im Ernstfall unbehindert weiter voranschreitet. Moderne SOCs setzen daher auf eine Lösung für Security Orchestration, Automation and Response (SOAR). Diese kann Mitarbeiter erheblich entlasten und Prozesse beschleunigen, indem sie Level-1-Analysen automatisiert durchführt. Ein SOAR ist in der Lage, riesige Datenmengen in wenigen Sekunden zu verarbeiten und Informationen mit den verschiedensten Threat-Intelligence-Quellen zu überprüfen. Es bereitet die Recherche-Ergebnisse so intelligent und übersichtlich auf, dass SOC-Mitarbeiter schnell ein komplettes Bild von einem Angriffsvektor erhalten.

Künstliche Intelligenz in SOAR ermöglicht effizientere Sicherheitsvorgänge

Die Automatisierung im SOAR erfolgt mithilfe sogenannter Playbooks, in denen Workflows und Logiken hinterlegt sind, die das System abarbeitet. SOC-Mitarbeiter können sowohl auf eine Vielzahl an vorgefertigten Playbooks für verschiedene Incidents zurückgreifen als auch neue definieren und mit anderen teilen. Die im SOAR integrierte KI lernt aus Incident-, Indikator- und Analystendaten, um personalisierte Einblicke zu erhalten, z.B. Incident Owner und häufig ausgeführte Sicherheitsbefehle. Die maschinellen Lernfunktionen von SOAR erhöhen somit die Produktivität der Anwender, beschleunigen die Entwicklung von Playbooks und ermöglichen schlankere Sicherheitsvorgänge. Im Laufe der Zeit wird somit immer mehr Kow-how angesammelt und die Arbeit im SOC wird effizienter. Letztlich kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, erheblich reduzieren und die Reaktion auf einen Sicherheitsvorfall deutlich beschleunigen.

Vorteile indevis Managed Detection and Response

  • Angriffserkennung in Echtzeit
  • Modernste Schutztechnologien marktführender Hersteller professionell eingesetzt
  • Auslagerung bzw. Nutzung teurer Security-Tools & Teams (SIEM, SOAR, SOC) als kosteneffektiver Service
  • KI und Machine Learning in SOAR ermöglichen schlankere und effizientere Sicherheitsvorgänge
  • Full Service durch das indevis Cyber Defense Center gemäß gewähltem Leistungsumfang
  • Anbindung verschiedener Log-Quellen
  • Anwendung von Best Practise Playbooks oder Entwicklung auf eigene Anforderungen zugeschnittener Playbooks
  • Gemeinsame Absprache der möglichen Response bei der Erkennung tatsächlicher Cyberbedrohungen
  • Service aus Deutschland heraus erbracht, deutschsprachige Ansprechpartner
  • ISO27001-zertifizierter MSSP-Geschäftsbereich

indevis MDR: Angreifern automatisiert ein Schnippchen schlagen

Die Notwendigkeit von SIEM, SOC und SOAR liegt in der heutigen Zeit immer ausgeklügelter Cyberangriffe auf der Hand. Ihr Zusammenwirken ermöglicht es, Angriffe und deren Vektoren so schnell wie möglich aufzudecken und zu stoppen. Sparen Sie sich den aufwändigen und kostenintensiven Eigenbetrieb dieser Lösungen und vergeuden Sie in Zeiten von Fachkräftemangel keine Ressourcen bei der mühseligen Suche nach den benötigten Security-Mitarbeitern. Dank Managed Detection and Response können Sie die entsprechenden Leistungen als Service von indevis beziehen. Mit indevis Managed Detection and Response geht bei der Jagd und Reaktion auf Bedrohungen keine wertvolle Zeit verloren.

indevis Managed Detection and Response

Sollten auch Sie für Ihr Unternehmen Handlungsbedarf im Bereich MDR sehen, so setzen Sie sich bitte gerne mit Ihrem Vertriebsbetreuer in Verbindung: Sprechen Sie uns an! +49 (89) 45 24 24-100.

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.