Ein ganzheitlich ausgerichtetes MDR schafft Risikotransparenz, erkennt hochentwickelte Angriffsszenarien, korreliert Ereignisketten, schafft Anleitungen für die Behandlung von Risiken und überprüft, ob Verbesserungen Früchte tragen.

Die Herausforderungen an die Cybersicherheit in Zeiten der mobilen Workforce nehmen kontinuierlich zu. Die letzten Jahre haben gezeigt, dass Unternehmen sowie deren Mitarbeiter großen Wert auf Flexibilität und Skalierbarkeit legen. Unternehmen setzen daher vermehrt auf IaaS- und SaaS-Dienste von Cloud-Anbietern.

Am bekanntesten dürfte die Nutzung von Microsoft Office 365 sein. Beschleunigt durch die Corona-Pandemie sind zudem die Anteile von Home Office und Remote Work sprunghaft angestiegen. Dies wiederum hat der Nutzung und Adaption von Collaboration-Lösungen wie WebEx, Zoom oder Microsoft Teams vorangetrieben.

In der Vergangenheit waren die Endpoints durch den sicheren Perimeter des Corporate-Netzwerks geschützt. Der gesamte Datenverkehr wurde in der Regel über den Unternehmens-Backbone und diverse Sicherheitsperimeter geleitet – auch wenn Mitarbeiter extern gearbeitet haben. Hier spricht man vom sogenannten »Backhauling« oder auf Deutsch von Rücktransport. Der Datenverkehr wurde auf wenige, wohldefinierte und geschützte Punkte konzentriert, kontrolliert sowie überwacht. Die erste Herausforderung der letzten Jahre bestand in der Zunahme von Transportverschlüsselung, wie TLS, die Unternehmen dazu gezwungen hat, die Daten zentral durch SSL-Inspection-Systeme zu entschlüsseln oder einen blinden Fleck für die Inhalte dieser verschlüsselten Verbindungen zu akzeptieren.

Abbildung 1: MDR-Services bestehen aus EDR-Plattform, Operation Services und SOC as a Service.

Die Einführung dieser Lösungen war sowohl in der Anschaffung als auch im Betrieb recht kostspielig. Eine weitere Herausforderung für zentrale Security-Perimeter sind die Laufzeitanforderungen und Sicherheitsmechanismen von SaaS-Diensten wie Microsoft Office 365. Verbindungen zu diesen SaaS-Diensten können nur eingeschränkt analysiert werden, da jedes Analysesystem die Paketlaufzeit erhöht und sich somit die Qualität der SaaS-Lösung verschlechtert – zumindest lauten so die Argumente der Anbieter. SaaS-Anbieter schützen außerdem ihre Dienste unter anderem vor Man-in-the-Middle-Angriffen (MITM) durch Techniken, wie Zertifikats-Pinning, was den Einsatz von SSL-Inspection-Lösungen so gut wie unmöglich macht. Um diesen Herausforderungen zu begegnen, bietet sich ein Lösungsansatz an, der den Endpoint als primäres Angriffsziel im Fokus hat, bei gleichzeitigem Einsatz kompetenter und gut ausgebildeter SOC-Mitarbeiter. Daher bieten seit mehreren Jahren immer mehr Unternehmen sogenannte Managed Detection and Response Services (MDR) an.

Managed Detection and Response. Je nach Branche sind mehrere Definitionen und Lösungsansätze für Managed Detection and Response vorhanden. Grundsätzlich lässt sich feststellen, dass es nicht den einen richtigen Ansatz gibt, sondern nur falsche Umsetzungen. Eine gängige Definition von Gartner für Managed Detection and Response lautet wie folgt:

»Managed detection and response (MDR) providers deliver 24/7 threat monitoring, detection and lightweight response services to customers leveraging a combination of technologies deployed at the host and network layers, advanced analytics, threat intelligence, and human expertise in incident investigation and response. MDR providers undertake incident validation, and can offer remote response services, such as threat containment, and support in bringing a customer’s environment back to some form of ›known good‹.« [1]

Im Grunde besteht ein MDR-Service also aus einer oder mehreren Endpoint- und/oder Netzwerk-Technologien zur Erkennung von Bedrohungen und zum Sammeln von Telemetrie-Daten (nachstehend Risiko-Erkennungsplattform genannt). Darauf aufsetzend werden unterschiedliche Managed-Service-Dienstleistungen integriert, die den operativen Betrieb der Plattform übernehmen und die inhaltliche Auswertung und Einordnung der entstehenden Ereignisse übernehmen. Die inhaltliche Auswertung und Einordnung umfasst Service-Module aus den Bereichen Incident-Analyse (Reaktiv) und Threat Hunting (Proaktiv) – zusammengefasst als SOC-as-a-Service.

EDR-Lösungen bieten neben einer verbesserten Erkennung unbekannter Malware durch Analyse/Machine Learning vor allem eine kontinuierliche Überwachung und die Sammlung von Endpoint-Telemetriedaten. Die kontinuierliche Speicherung von Endpoint-Telemetriedaten (gestartete Prozesse, Command Lines etc.) stellt die Basis für eine Incident-Analyse sowie für Threat Hunting dar. Gleichzeitig werden aber auch erhebliche Datenmengen generiert. Moderne Sicherheitsarchitekturen sehen dabei den Einsatz eines sogenannten Data Lakes vor.

Abbildung 2: Moderne Sicherheitsarchitekturen verwenden Data Lakes, um mit den enormen Datenmengen umzugehen.

Managed Detection and Response sind umfangreiche Cybersecurity-Lösungsstacks, deren Umfang deutlich über die klassischen Managed Security Services hinausgeht. Die Services kombinieren die Implementierung und den Betrieb fortschrittlicher Risiko-Erkennungsplattformen mit SOC-as-a-Service-Modulen, beispielsweise Incident-Analyse und Threat Hunting, um einen ganzheitlichen Cyberdefense-Ansatz für Unternehmen bereitzustellen. Das Ziel von MDR Services besteht darin, Bedrohungen früh zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Umgesetzt wird dieses Ziel durch eine engmaschige Überwachung der Endpoints und der proaktiven Suche nach Advanced Threats unter Zuhilfenahme aktueller Threat Intelligence.

Durch kontinuierliche Incident Response und proaktives Threat Hunting lassen sich Transparenz und Sichtbarkeit für den Kunden erheblich erhöhen. Der Kunde wird somit in die Lage versetzt, sich vor zukünftigen Bedrohungen besser zu schützen.

Abbildung 3: Managed Detection and Response sind Cybersecurity-Lösungsstacks, deren Umfang deutlich über die klassischen Managed Security Services hinausgeht.

Security-as-a-Service mit ganzheitlichem Lösungsansatz. Dieses Security-as-a-Service-Modell grenzt sich von anderen Service-Modellen ab und stellt eine besondere Form eines Managed Services dar. Der Kunde nutzt lediglich eine Lösung und muss selbst so gut wie keine technischen und menschlichen Ressourcen bereitstellen. Da der MDR-Diensteanbieter mehrere Kunden über alle Vertikals versorgt, ist der Korpus an verfügbaren Daten und der daraus zu erzielende Erkenntnisgewinn größer, als wenn ein Unternehmen isoliert agieren würde. Der Controlware EDR Service bietet einen ganzheitlichen Lösungsansatz, um folgende Herausforderungen erfolgreich zu adressieren:

Wie wird Risikotransparenz geschaffen?
Wie können moderne, gezielte Angriffsszenarien erkannt werden?
Wie lassen sich Korrelationen über Ereignisse oder Ereignisketten herstellen?
Wie ist es möglich, anwendbare Anleitungen für die Behandlung von Risiken zu erhalten?
Wie kann überprüft werden, ob Verbesserungen erfolgreich waren?

Controlware, Systemintegrator und Managed Service Provider, hat umfassende Managed Services entwickelt, um den unterschiedlichen Kundenanforderungen Rechnung zu tragen. Darüber hinaus übernimmt das ISO 27001-zertifizierte Controlware Customer Service Center auf Wunsch die strategische, taktische und operative Absicherung der Infrastrukturen als Teilleistung oder Komplettservice mit verbindlichen SLAs. Neben klassischen präventiven Security-Dienstleistungen bietet das Customer Service Center (CSC) auch innovative Services in den Bereichen Advanced Threat Detection, Vulnerability Management und Advanced Log Analytics. Die Analysten im Controlware Cyber Defense Center (CDC) gewährleisten dabei die zuverlässige Klassifizierung von Sicherheitsvorfällen und integrieren geeignete Maßnahmen zur Abwehr der Bedrohungen und zur Wiederherstellung kompromittierter Systeme.

Martin Ruffertshöfer,
Head of Service Development & Innovation,
Controlware GmbH

www.controlware.de
blog.controlware.de

[1] Quelle: Gartner »Market Guide for Managed Detection and Response Services, 11th June 2018«.

Illustration: © Malchev/shutterstock.com

110 Artikel zu „MDR Sicherheit“

AUSGABE 5-6-2021 | SECURITY SPEZIAL 5-6-2021 | NEWS | IT-SECURITY

Cybersicherheitsmaßnahmen sind nicht mehr nur eine Empfehlung – Security by Design

18. Juni 2021

Sicher ist, dass die fortschreitende Entwicklung neuer Technologien mit einem wachsenden Bedarf an Lösungen und neuen Cybersicherheitsansätzen Hand in Hand geht, um die sich exponentiell ausweitende Angriffsfläche zu verringern, im »Smart Building« genauso wie in »Smart Cities« oder Industriewerken.

Ein ganzheitlich ausgerichtetes MDR schafft Risikotransparenz, erkennt hochentwickelte Angriffsszenarien, korreliert Ereignisketten, schafft Anleitungen für die Behandlung von Risiken und überprüft, ob Verbesserungen Früchte tragen.

Martin Ruffertshöfer, Head of Service Development & Innovation, Controlware GmbH

[1] Quelle: Gartner »Market Guide for Managed Detection and Response Services, 11th June 2018«.

110 Artikel zu „MDR Sicherheit“

Martin Ruffertshöfer,
Head of Service Development & Innovation,
Controlware GmbH