Illustration: Absmeier freepik rawpixel
Der Einsatz von Managed Detection and Response (MDR)-Services ist zu einer gängigen Strategie in modernen Sicherheitsprogrammen geworden. IT-Verantwortliche sollten sich jedoch nicht vom Namen täuschen lassen: MDR-Dienstleister bieten weit mehr als nur einfache Erkennung und Reaktion.
MDR-Anbieter helfen IT- und Sicherheitsverantwortlichen, die Entwicklung ihres Sicherheitsprogramms zu beschleunigen und die Sicherheitslage zu verbessern. Da ein Ende des Fachkräftemangels im Bereich Cybersicherheit nicht in Sicht ist, können MDR-Services unmittelbar Expertenressourcen zusammen mit bewährten Best-of-Breed-Prozessen und -Tools bereitstellen. Diese helfen den Sicherheitsteams, die Kontrolle zu erlangen und sich für den zukünftigen Erfolg von Sicherheitsprogrammen zu rüsten. Um diese Trends zu verstehen und den allgemeinen Stand der Angebote für MDR-Services einzuschätzen, führte ESG im Auftrag von Palo Alto Networks eine Umfrage unter 373 Cybersicherheitsexperten durch.
Proaktive Bewertungen führen mit höherer Wahrscheinlichkeit zu einem ersten MDR-Engagement
Was veranlasst IT- und Sicherheitsteams, einen Anbieter von MDR-Services zu beauftragen? Wörtlich interpretiert, wäre MDR eine offensichtliche Antwort darauf, dass es Lücken in den Fähigkeiten, der Abdeckung oder den Prozessen des Sicherheitsbetriebs gibt. Es zeigt sich jedoch, dass mehr als die Hälfte (57 Prozent) der Unternehmen proaktive Sicherheitsbewertungen als Grund für ihre erste MDR-Beauftragung angaben. In der Tat beginnt die Zusammenarbeit mit MDR-Anbietern häufig mit Sicherheitsbewertungen, einschließlich Schwachstellenanalysen, um Schwachstellen in der Sicherheitslage in Bezug auf Programme, Tools, Abdeckung und Fähigkeiten aufzudecken. Der dritte wichtige Faktor ist die Reaktion auf Krisen oder Vorfälle, die Lücken im Sicherheitsprogramm aufzeigen. Operative Anforderungen wie Incident Response sind ebenfalls ein häufiger Grund für den Einsatz von MDR.
Sicherheitsteams haben oft Schwierigkeiten, ihre Sicherheitsprogramme zu skalieren, um dem Wachstum und der Komplexität der Angriffsfläche und der Bedrohungslandschaft gerecht zu werden. Viele Unternehmen wenden sich daher an MDR-Anbieter, um ihre Betriebsmodelle zu beschleunigen und zu skalieren. Unternehmen sehen in MDR einen Weg, um die Programmentwicklung zu beschleunigen und Lücken zu schließen. Mehr als vier von zehn Unternehmen sind der Meinung, dass MDR-Dienstleister einfach bessere Arbeit leisten können als interne Ressourcen. Ein Drittel berichtet von unausgereiften Sicherheitsprogrammen, denen auch die erforderlichen Tools und Systeme fehlen. Zu den weiteren wichtigen Faktoren gehören eine immer länger werdende Liste von Sicherheitskontrollen und -prozessen, die für den Abschluss einer Cybersicherheitsversicherung erforderlich sind, sowie die Einhaltung gesetzlicher Vorschriften.
MDR unterstützt mehrere Anwendungsfälle
MDR-Anbieter offerieren eine Reihe von Diensten zur Erfüllung mehrerer Anwendungsfälle. Während die Entwicklung von Sicherheitsprogrammen und der Zugang zu Sicherheitsexperten die Liste anführen, nutzt fast die Hälfte der Unternehmen einen MDR-Anbieter zur vollständigen Auslagerung von Sicherheitsaufgaben. Die andere Hälfte nutzt MDR zur Ergänzung ihres internen Programms, um Abdeckungslücken zu schließen, Zugang zu zusätzlichen Bedrohungsdaten zu erhalten und Fähigkeiten zur Bedrohungssuche hinzuzufügen. Bemerkenswert ist auch, dass fast die Hälfte der Unternehmen ihre Sicherheitsprozesse vollständig auslagert oder dies anstrebt.
MDR-Aufträge werden in der Regel im Laufe der Zeit erweitert durch neue Dienste, um die Untersuchung von Vorfällen, die Eindämmung von Bedrohungen und die Reaktion darauf zu verstärken. Moderne MDR-Anbieter gehen mittlerweile über die traditionellen reaktiven SecOps-Funktionen hinaus und bieten proaktive Dienste zur Unterstützung von Threat Intelligence, Threat Hunting, Angriffssimulationen, Sicherheitsbewertungen und Schwachstellenmanagement. Mit Blick auf diese breite Palette von Dienstleistungen bieten MDR-Dienstleister weit mehr als nur einfache Erkennung und Reaktion und werden stattdessen zu umfassenden Sicherheitsprogrammpartnern, die Unternehmen jeder Größe bei der Skalierung ihrer Sicherheitsprogramme unterstützen.
Mehr als Erkennung und Reaktion: MDR-Anbieter sind langfristige, strategische Partner
Mit zunehmender Dauer des MDR-Engagements und wachsenden Beziehungen nehmen MDR-Anbieter eine strategischere Rolle ein. Dies zeigt sich deutlich in der Tatsache, dass mehr als drei Viertel (77 Prozent) der Unternehmen ihren MDR-Anbieter als strategischen Partner im Hinblick auf die Abstimmung mit ihrem Sicherheitsprogramm bezeichnen. Diese Beziehungen sind von Dauer: 82 Prozent der Unternehmen geben an, seit mindestens drei Jahren mit einem MDR-Anbieter zusammenzuarbeiten. Die Mehrheit nutzt mehr als einen MDR-Anbieter, wobei 34 Prozent mit drei oder mehr MDR-Dienstanbietern zusammenarbeiten, um ihre Anwendungsfälle zu unterstützen und ihre Angriffsfläche zu schützen.
Was die Abdeckung der Angriffsfläche betrifft, erwarten die meisten Befragten, dass MDR-Anbieter Sicherheitsmaßnahmen für alle Arten von IT-Ressourcen unterstützen. Doch nur wenige beauftragen MDR-Anbieter, ihre gesamte Angriffsfläche abzudecken. Mehr als zwei Drittel der Unternehmen geben an, dass ihr MDR-Anbieter nicht mehr als 75 Prozent ihrer IT-Assets abdeckt, während nur acht Prozent bestätigen, dass ihr MDR-Anbieter 100 Prozent abdeckt.
MDR führt zu positiven Resultaten
MDR-Anbieter tragen dazu bei, die Sicherheitsressourcen vor Ort und die Reife des Sicherheitsprogramms zu verbessern. Was die tatsächlich erzielten Ergebnisse betrifft, so helfen MDR-Anbieter den Unternehmen, erfolgreiche Angriffe zu verhindern, die Entwicklung von Sicherheitsprogrammen zu beschleunigen und Investitionsmöglichkeiten in strategischere Sicherheitsinitiativen zu eröffnen.
Die Hälfte der Unternehmen gibt an, dass ihr MDR-Anbieter sie unterstützt, die Sicherheitsfähigkeiten ihrer internen Ressourcen zu verbessern. 45 Prozent konnten dank MDR-Unterstützung in stärker strategisch ausgerichtete Sicherheitsinitiativen investieren. Mehr als vier von zehn Unternehmen berichten von deutlich weniger erfolgreichen Angriffen und/oder einer allgemeinen Verbesserung ihres Sicherheitsprogramms. Aus Sicht der Geschäftsleitung geben 42 Prozent an, dass das Vertrauen der Führungskräfte und/oder des Vorstands gestiegen ist, während 38 Prozent berichten, dass sie in der Lage sind, Compliance-Ziele oder Anforderungen an die Cyberversicherung zu erfüllen. Im Einklang mit diesen positiven Geschäftsergebnissen stieg die Zahl der Unternehmen, die den Reifegrad ihrer Sicherheitsprogramme nach der Zusammenarbeit mit einem MDR-Anbieter als sehr ausgereift einstuften, deutlich an.
Fortschrittliche Tools können den Wechsel des MDR-Anbieters begünstigen
Welche Überlegungen sind für Unternehmen wichtig, wenn sie einen MDR-Anbieter evaluieren und auswählen? Fast die Hälfte (49 Prozent) gab an, dass der MDR-Anbieter mit ihrem bestehenden Sicherheitstool- und Technologie-Ökosystem zusammenarbeiten muss, während 46 Prozent erweiterte Erkennungs- und Reaktionsfähigkeiten fordern. Weitere 43 Prozent wünschen sich, dass ihr MDR-Anbieter über fachkundige Sicherheitsressourcen verfügt, was auch der am häufigsten genannte Faktor ist, der Unternehmen dazu veranlassen würde, ihren derzeitigen Anbieter zu wechseln. Weitere Gründe sind fortschrittlichere Sicherheitstools und verbesserte Erkennungs- und Lösungsraten, aber auch Preis und Betriebsmodelle spielen eine Rolle.
MITRE- und XDR-Unterstützung sind für die meisten Unternehmen der Schlüssel zur Auswahl eines MDR-Anbieters. Dabei geht es oft um mehr als eine Checkliste von Fähigkeiten und Abdeckungen. Mehr als neun von zehn Unternehmen stufen die Unterstützung von MITRE ATT&CK als wichtig (32 Prozent) oder sehr wichtig (62 Prozent) ein. Darüber hinaus geben fast drei Viertel (73 Prozent) an, die Sicherheitstechnologie Extended Detection and Response (XDR) bei der Auswahl von MDR-Diensten zu berücksichtigen. Auch Secure Service Access Edge (SASE) und Attack Surface Management (ASM) wurden von zwei Dritteln als wichtig erachtet.
MDR wird zu einer Mainstream-Sicherheitsstrategie
Palo Alto Networks stellt abschließend fest: Die Nutzung von MDR-Diensten ist zu einer zentralen Komponente der Sicherheitsprogrammstrategie geworden, wodurch MDR-Anbieter zu strategischen Partnern aufgestiegen sind. Sie helfen Sicherheits- und IT-Teams dabei, die Programmentwicklung zu beschleunigen, die Sicherheitslage zu verbessern und von weniger sichtbaren Vorteilen zu profitieren, wie z. B. der Unterstützung bei der Erreichung von Compliance-Zielen, dem Abschluss von Cyberversicherungen und der Verbesserung von internen Sicherheitsfähigkeiten und -prozessen. So sehen die meisten Unternehmen MDR als kontinuierlichen Teil ihrer Investitionen in Sicherheitsprogramme an. 37 Prozent stufen MDR als strategisch und kritisch ein, und weitere 35 Prozent planen, bei der Aktualisierung und Implementierung künftiger Sicherheitsstrategien mit ihrem MDR-Anbieter zusammenzuarbeiten. ESG betrachtet MDR als eine wichtige und gängige Sicherheitsstrategie und empfiehlt den Unternehmen, weitere Anwendungsfälle zu erforschen, die die Entwicklung von Sicherheitsprogrammen und die Sicherheitslage beschleunigen können.