Illustration Absmeier foto freepik

Ein rund um die Uhr besetztes Security Operations Center (SOC) kann über 1 Million Dollar kosten. Damit ist es aber nicht getan. Dazu kommen Ausgaben für SIEM-, SOAR- und EDR-Tools, die Sicherheitsanalysten zum Erkennen von Bedrohungen nutzen. Um dennoch von den Vorteilen eines SOC zu profitieren, entscheiden sich gerade kleine und mittlere Unternehmen (KMU) für MDR-Services (Managed Detection and Response).

Dazu gehören ein ständig verfügbares Team von Experten, das unter anderem die eingehenden Warnhinweise überwacht und priorisiert, sich über die neuesten Tools, Techniken und Verfahren (TTPs) von Angreifern auf dem Laufenden hält und unmittelbar auf Bedrohungen reagiert.

Obwohl es drei wesentliche Merkmale gibt, die MDR charakterisieren, sind längst nicht alle Anbieter gleich aufgestellt. Die Wahl des richtigen Anbieters ist aber entscheidend, wenn man die Vorteile von MDR-Services wirklich nutzen will. Ein geeigneter Anbieter identifiziert und – ganz wichtig – kontrolliert Verstöße, sobald sie auftreten. Leistet er das nicht, wird das Sicherheitsteam weiterhin von Warnhinweisen/Alerts überhäuft und muss die Flut der Daten selbst interpretieren – und gleichzeitig versuchen Bedrohungen abzuwehren.

Um einen MDR-Anbieter ausfindig zu machen, der das Sicherheits-Level verbessert und dabei Ihre Erwartungen erfüllt, muss man wissen, welche Fragen man stellen sollte.

1. Inwieweit und in welchem Umfang ist die Angriffsfläche abgedeckt?

Will man bekannte und neu auftretende Bedrohungen nicht nur erkennen, sondern auch wirksam darauf reagieren können, muss der gesamte Bereich potenzieller Bedrohungen abgedeckt sein. Die Zahl der in Unternehmen verwendeten Endgeräte steigt weiter. Viele übernehmen wichtige Funktionen. Eine MDR-Lösung sollte deshalb sowohl vor Malware als auch vor dateilosen Angriffen schützen. Angreifer setzen verstärkt auf dateilose Malware, um Daten auf Endgeräten abzugreifen und zu exfiltrieren. In manchen Fällen dient die Schadsoftware als primäres Angriffswerkzeug, in anderen als Backup. Deshalb ist es besonders wichtig, alle verdächtigen oder anomalen Aktivitäten als solche zu erkennen, um die typische Lateralbewegung von Angreifern im Netzwerk zu verhindern.

2. Wie werden die Daten erfasst und verarbeitet?

Um die Risiken weiter zu senken, benötigt man zusätzliche Sicherheitsmaßnahmen und muss sich auf schnelle Reaktionszeiten verlassen können. Die ideale Lösung ist cloudbasiert und die zugrunde liegende Plattform verwendet maschinelles Lernen. Sicherheitsexperten unterstützen dabei, die unzähligen Warnmeldungen zu filtern und zu priorisieren – also relevante von weniger relevanten Bedrohungen abzugrenzen.

Wenn Sie sich für einen MDR-Anbieter entscheiden, sollten Sie wissen, welche Methoden er bei der Datenerhebung und -verarbeitung verwendet, aber auch welche Technologien und Verfahren im Einzelnen. Erkundigen Sie sich, wie die Wirksamkeit der Maßnahmen kontinuierlich verbessert werden kann und anhand welcher Kennzahlen sich das messen lässt. Ein modernes Cybersicherheitskonzept, erfordert neben einer geeigneten Technologie auch eine effiziente Datenverarbeitung.

3. Wie kann man auf Bedrohungen reagieren?

Ein wichtiges Unterscheidungsmerkmal zwischen MDR-Anbietern ist die Definition des Begriffs »Reaktion«. Leider verlagern etliche Anbieter die Aufgabe des Threat Huntings einfach auf ihre Kunden, so dass KMUs potenzielle Malware selbst diagnostizieren und beseitigen müssen.

Was die möglichen Auswirkungen anbelangt, ist es entscheidend, wie lange es einem Angreifer gelingt, unerkannt im Netzwerk zu verbleiben. Ambitionierte Hacker richten schon innerhalb weniger Stunden immensen Schaden an, und können sensible Daten abziehen. Die LockBit-Ransomware hat beispielsweise 100.000 Dateien auf verschiedenen Windows-Betriebssystemen und bei unterschiedlichen Hardware-Spezifikationen in nur 5 Minuten und 50 Sekunden verschlüsselt.

Um angemessen auf Bedrohungen zu reagieren, müssen die Vorfälle genau erkannt und Fehlalarme vermieden werden. Keine MDR-Lösung tut das vollständig automatisiert. Firmen sollten aber bevorzugt nach MDR-Anbietern suchen, die zumindest Teile ihrer Arbeitsabläufe automatisieren. Das trägt nicht unwesentlich dazu bei, besser und schneller auf erkannte Bedrohungen zu reagieren.

4. Wie überwinden Sie den Fachkräftemangel in der Cybersicherheit?

Im Wesentlichen kombinieren MDR-Dienste fortschrittliche Technologien zur Bedrohungserkennung, umfassende Verfahren zur Überwachung und Vorfallsreaktion, auf die von diesen Technologien erzeugten und erkannten Signale. Und – was am wichtigsten ist – erfahrene Analysten, die entscheiden, ob und welche Reaktion auf tatsächliche Angriffe notwendig ist.

Viele Unternehmen versuchen, ein internes SOC aufzubauen. Dabei lernen sie oftmals »auf die harte Tour«, dass man für ein funktionierendes, skalierbares und effektives SOC die entsprechenden personellen Ressourcen braucht. Angesichts stetig steigender Bedrohungszahlen und Unmengen an generierten Warnmeldungen stellt sich die Frage: »Wie werden die ganzen Daten verarbeitet?«

Welche Art von Programmen soll die berufliche Weiterentwicklung und die Bindung von Fachkräften gewährleisten? In welche Tools und Technologien wird investiert, um betriebliche Effektivität und Effizienz sowie die Zusammenarbeit zwischen Mensch und Maschine zu verbessern? Was wird getan, um einem Burnout vorzubeugen, einem der drängendsten Probleme, das in Umfragen unter Cybersicherheitsfachleuten genannt wird?

5. Wie läuft die Kundenkommunikation ab?

Bei der Zusammenarbeit mit einem MDR-Anbieter ist eine offene und konsequente Kommunikation unerlässlich. Dazu gehört, dass Sie regelmäßig Berichte über ein zentrales Dashboard oder per E-Mail erhalten, um auf dem aktuellen Stand zu bleiben.

Eine klare Kommunikation hilft Ihnen nicht nur, Ihre eigene Umgebung besser zu verstehen, sie können damit auch die allgemeine Sicherheitslage verbessern. Darüber hinaus erlauben es die Berichte, die Qualität der Services zu beurteilen – etwa wie ein MDR-Anbieter auf eine erkannte Bedrohung reagiert hat.

Im Sinne eines effektiven Austauschs sollten Sie mit Ihrem MDR-Team die bevorzugte Kommunikationsmethode abstimmen, ebenso die Häufigkeit von Aktualisierungen und die Verfügbarkeit des Supports auch außerhalb der Geschäftszeiten.

6. Wie sieht die Preisgestaltung aus?

Einen MDR-Service zu nutzen kann den ROI deutlich verbessern. Dabei sollte man aber bedenken, dass verschiedene MDR-Anbieter unterschiedliche Tarife berechnen. Einige bieten umfassendere Sicherheit und mehr Funktionen zu einem höheren Tarif, bei anderen ist der Funktionsumfang eingeschränkter. Dafür sind die Kosten niedriger. Sie sollten genau prüfen, ob eine kostengünstigere Option noch genügend Funktionalitäten für Ihr geschäftliches Anforderungsprofil bietet. Umgekehrt sollten sie bei Anbietern Vorsicht walten lassen, die Ihnen überflüssige Funktionen verkaufen wollen. Wenn Sie sich für eine kostengünstigere Option entscheiden, sparen Sie auf lange Sicht viel Geld und bekommen trotzdem ein ausreichendes Maß an Sicherheit.

Im Idealfall verfügt ein MDR-Anbieter über individuelle Services, die auf das Anspruchsprofil kleiner und mittlerer Unternehmen zugeschnitten sind, fortschrittliche EDR-Funktionen und erfahrene Sicherheitsexperten – und das alles zu angemessenen Lizenzgebühren. Ein zuverlässiger Servicepartner unterstützt Sie zudem dabei, Ihre Geschäftsziele aktuell sowie langfristig zu erreichen.

David Corlette, Vice President of Product Management bei der VIPRE Security Group