Was Ist verwaltete Erkennung und Reaktion (MDR)?

Mai 19, 2022

Der Cybersicherheitsservice für verwaltete Erkennung und Reaktion (MDR) vereint Technologie und menschliches Know-how in sich und umfasst Bedrohungssuche, Überwachung und Reaktionsmaßnahmen. Der wesentliche Vorteil von MDR ist die schnelle Identifizierung und Eingrenzung der Auswirkungen von Bedrohungen, ohne dass dafür zusätzliches Personal erforderlich ist.

Geschäftliche Faktoren für die Einführung von MDR

Faktor 1: Personalplanung/Ressourcen

Unternehmen, die ohnehin mit der Bindung ihrer Sicherheitsmitarbeiter zu kämpfen haben, stehen noch größeren Herausforderungen gegenüber, wenn innovative Sicherheitstechnologien zur Bewältigung der sich ständig verändernden Bedrohungslandschaft eingeführt werden sollen.

Heute verfügen die meisten Unternehmen über Sicherheitstools, für deren Verwaltung sie jedoch kaum Zeit finden.

Ihre Investition in hochmoderne Tools ist eher kostspielig als hilfreich, da es ihnen an Zeit und Ressourcen fehlt, um diese Lösungen optimal zum Schutz vor immer raffinierteren Bedrohungen nutzen zu können.

Faktor 2: Informationsüberlastung durch Warnmeldungen

Eine weitere Herausforderung ist die Verwaltung der unzähligen Warnmeldungen neuer Sicherheitstechnologien. Diese Alarme sind an sich nicht das Problem. Allerdings multipliziert sich ihre Anzahl aufgrund der Verbreitung von Endgeräten durch die Zunahmen bei IoT, Homeoffice-Mitarbeitern, verbundenen Lieferkettenpartnern und Hybridnetzwerken.

Für die Bestimmung der geeigneten Reaktion auf jeden einzelnen Alarm ist in der Regel mehr Personal und Know-how erforderlich, als intern verfügbar ist. Erweist sich eine Bedrohung als kritisch, sind im Unternehmen relevante Kenntnisse gefragt, damit die Bedrohung behoben und die Endgeräte wieder sicher gemacht werden können – bevor sich der Angriff zu einer schwerwiegenden Kompromittierung ausweitet.

EXPERTEN-TIPP

Selbst mit den nötigen Ressourcen und der internen Unterstützung für den Aufbau eines Teams zur umfassenden Bedrohungsbekämpfung müssen Unternehmen damit rechnen, dass die Entwicklung eines ausgereiften Erkennungs- und Reaktionsprogramms Monate oder Jahre dauern kann. Bis es so weit ist, bleibt das Unternehmen anfällig. 

Um diese Lücken zu schließen, wurden MDR-Lösungen konzipiert. Unternehmen können kurzfristig eine MDR-Lösung implementieren, die remote auf ein Netzwerk zugreift und Rund-um-die-Uhr-Schutz sowie Zugang zu Know-how bereitstellt, wofür das Unternehmen selbst nur schwer das passende Personal finden würde. Die Experten sind rund um die Uhr erreichbar und können schnell reagieren und ihr umfassendes Know-how über Endgerätesicherheit zur Verfügung stellen – von der Erkennung über die Wiederherstellung des letzten als gut bekannten Endgerätestatus bis hin zur Vermeidung weiterer Kompromittierungen.

Welche Vorteile bietet MDR?

Unternehmen, die eine MDR-Lösung einsetzen, reduzieren damit unmittelbar die Erkennungszeit (und damit die Reaktionszeit) von den typischerweise 280 Tagen auf wenige Minuten. Dadurch werden die Auswirkungen von Ereignissen erheblich eingedämmt.

Funktionsweise von MDR

MDR überwacht, erkennt und reagiert per Remote-Zugriff auf die in Ihrem Unternehmen erkannten Bedrohungen. Ein Tool für endpunktbasierte Detektion und Reaktion (EDR) bietet in der Regel den erforderlichen Einblick in Sicherheitsereignisse auf dem Endgerät.

Relevante Bedrohungsdaten, erweiterte Analysen und forensische Daten werden an menschliche Analysten übergeben, die Warnmeldungen triagieren und die jeweilige Reaktion bestimmen, um die Auswirkungen und Risiken tatsächlicher Zwischenfälle zu reduzieren. Zudem wird die Bedrohung dank einer Kombination aus menschlichen und maschinellen Fähigkeiten beseitigt und das betroffene Endgerät wird in den Status vor der Infektion zurückgesetzt.

Wichtige Funktionen einer MDR-Lösung:

1. Priorisierung

Die verwaltete Priorisierung unterstützt Unternehmen, die tagtäglich unzählige Warnmeldungen durchforsten, um herauszufinden, welche zuerst bearbeitet werden müssen. Sie wird oft auch als „verwaltete EDR“ bezeichnet und kombiniert automatisierte Regeln und menschliche Untersuchungen, um zwischen harmlosen Ereignissen, False Positives und echten Bedrohungen zu unterscheiden. Die Ergebnisse werden mit zusätzlichem Kontext ergänzt, um daraus qualitativ hochwertige Warnmeldungen abzuleiten.

2. Bedrohungssuche

Hinter jeder Bedrohung steckt ein Mensch, der sich Gedanken darüber macht, wie er den Gegenmaßnahmen seiner Ziele entkommen kann. Maschinen mögen ziemlich intelligent sein, sie sind jedoch nicht durchtrieben. Deshalb ist bei der Suche eine menschliche Komponente gefragt, die durch kein automatisiertes Erkennungssystem ersetzt werden kann. Dank ihrer umfassenden Fähigkeiten und Expertise gelingt es menschlichen Threat Huntern, selbst bestens getarnte Bedrohungen zu identifizieren und diejenigen abzufangen, die automatisierten Abwehrlösungen entgangen sind.

3. Untersuchung

Verwaltete Untersuchungsservices unterstützen Unternehmen bei der schnelleren Erkennung von Bedrohungen, indem sie zusätzlichen Kontext für Sicherheitswarnungen bereitstellen. Unternehmen verstehen genauer, was, wann geschehen ist, wer davon betroffen war und wie weit der Angreifer gekommen ist. Dank dieser Informationen sind sie in der Lage, effektive Reaktionsmaßnahmen zu planen.

4. Geführte Reaktionen

Mit einer geführten Reaktion erhalten Benutzer konkrete Empfehlungen zu den besten Schritten zur Eindämmung und Behebung einer konkreten Bedrohung. Bei den Tipps kann es sich um einfache Aktivitäten wie die Isolierung eines Systems vom Netzwerk oder um schrittweise, komplexe Anleitungen zur Eliminierung einer Bedrohung oder Wiederherstellung nach einem Angriff handeln.

5. Behebung

Der letzte Schritt bei der Bearbeitung von Zwischenfällen ist die Wiederherstellung des normalen Geschäftsbetriebs. Wenn dieser Schritt nicht ordnungsgemäß durchgeführt wird, war die gesamte Investition des Unternehmens in sein Endgeräte-Schutzprogramm vergebens. Bei der verwalteten Behebung werden die betroffenen Systeme in den Zustand vor dem Angriff zurückversetzt. Dazu werden Malware entfernt, die Registrierung bereinigt, Eindringlinge eliminiert und Persistenzmechanismen entfernt. Mit der verwalteten Behebung wird sichergestellt, dass sich das Netzwerk wieder in einem als gut bekannten Zustand befindet und weiteren Kompromittierungen vorgebeugt wurde.

Worin unterscheidet sich MDR-Sicherheit von anderen Endgeräteschutzlösungen?

MDR und EDR im Vergleich

Endpunktbasierte Detektion und Reaktion (EDR) ist Bestandteil des von MDR-Anbietern verwendeten Toolsets. EDR erfasst und speichert Verhaltensweisen und Ereignisse auf Endgeräten und gibt diese an regelbasierte, automatisierte Reaktions- und Analysesysteme weiter. Wenn eine Anomalie erkannt wird, wird das Sicherheitsteam benachrichtigt, um eine menschliche Untersuchung in die Wege zu leiten. EDR bietet Sicherheitsteams die Möglichkeit, sich bei der Überwachung ihrer Netzwerke auf mehr zu stützen, als nur auf Kompromittierungsindikatoren (Indicators of Compromise, IoCs) oder Signaturen.

Im Laufe der Zeit sind die EDR-Angebote komplizierter geworden. Sie beinhalten mittlerweile Technologien wie Machine Learning und Verhaltensanalysen und lassen sich in andere komplexe Tools integrieren. Da es vielen internen Sicherheitsteams an Zeit und Ressourcen für die vollständige Nutzung ihrer EDR-Systeme mangelt, sind Unternehmen nach dem Kauf ihrer EDR-Lösung mitunter nicht besser geschützt, sondern stärker gefährdet.

MDR löst dieses Dilemma, indem es menschliches Know-how, ausgereifte Prozesse und Bedrohungsdaten zur Verfügung stellt. MDR ist darauf ausgelegt, Unternehmen Endgeräteschutz der Enterprise-Klasse zu bieten, ohne dass dafür Kosten für entsprechend qualifizierte Sicherheitsmitarbeiter oder für ein Sicherheitskontrollzentrum (SOC) anfallen.

MDR und MSSP im Vergleich

Managed Security Services Provider (MSSPs) sind die Vorgänger von MDR-Anbietern. MSSPs überwachen das Netzwerk in der Regel umfassend auf mögliche Ereignisse und senden validierte Warnmeldungen an andere Tools oder das Sicherheitsteam. Darüber hinaus stellen sie eine Reihe weiterer Services wie Technologiemanagement, Upgrades, Compliance und Schwachstellenverwaltung bereit, jedoch reagieren sie im Allgemeinen nicht aktiv auf Bedrohungen. Der Kunde muss sich selbst um diese Aufgaben kümmern und benötigt dazu eventuell Spezialisten, über die er intern nicht verfügt. Folglich müssen MSSP-Kunden oft noch zusätzliche Berater oder Anbieter mit der Eindämmung und Behebung der Bedrohungen beauftragen.

MDR-Services konzentrieren sich auf die schnelle Erkennung neuer Bedrohungen und auf schnelle Reaktionen. Durch seine Eindämmungs- und Behebungsfähigkeiten gewährleistet der MDR-Anbieter sofortige Wertschöpfung bei minimalem Kostenaufwand.

MDR und verwaltetes SIEM im Vergleich

Der Begriff Sicherheitsinformations- und Ereignismanagement (SIEM) steht für verschiedene technische Lösungen. Alle SIEM-Produkte aggregieren zunächst Daten aus zahlreichen Netzwerkquellen sowie anderen Sicherheitsgeräten und analysieren diese auf Anomalien, die auf verdächtige Aktivitäten hinweisen könnten. Die weitergehenden SIEM-Funktionen sind sehr unterschiedlich. Bei einigen handelt es sich um rein technische Lösungen, während andere eher verwaltete Services für Ereignisverarbeitung und Warnmeldungen sind.

Bei allen SIEM-Systemen gaben Kunden an, dass sie Unterstützung bei der Behebung der durch die SIEM-Daten offengelegten Probleme benötigen, da sich die Auslegung der Ergebnisse als schwierig erweist. Fast 45 Prozent der SIEM-Benutzer verfügen nicht über die erforderlichen internen Ressourcen, um die vorhandene Lösung vollständig nutzen zu können. SIEM-Lösungen können sich auch als kostspielig erweisen und einen enormen Ressourcenbedarf haben. MDR-Lösungen zeichnen sich hingegen durch ihren geringen Fußabdruck im Netzwerk und ihre schnelle Wertschöpfung aus.

5 Fragen für die Wahl des optimalen MDR-Services

MDR-Lösungen decken ein breites Spektrum an Services ab. Bevor Sie sich auf die Suche machen, sollten Sie die derzeitigen Möglichkeiten Ihres Unternehmens genau kennen, damit Sie die Lösung auswählen können, die Ihren vorhandenen Bestand an Sicherheitstechnologien effektiv ergänzt. Nachfolgend haben wir für Sie fünf Fragen an MDR-Anbieter zusammengestellt, die Ihnen die Suche erleichtern sollen:

Frage 1: Welches Fachwissen bringen Ihre MDR-Analysten mit?

Die Lösung sollte Ihnen neue Kompetenzen und Erfahrung bieten, ohne dass Sie selbst zusätzliches Personal einstellen müssen. Halten Sie Ausschau nach Anbietern, die für Wissenstransfer offen sind.

Frage 2: Verfügt Ihr MDR-Service über den erforderlichen Zugriff auf Daten und Systeme und ist er schnell genug?

Die Effektivität Ihrer MDR-Lösung ist in hohem Maße davon abhängig, ob sie auf die Breite und die Tiefe der benötigten Daten Zugriff hat. Diese Daten müssen außerdem in Echtzeit abrufbar sein. Eine cloudnative Lösung hat wahrscheinlich bestmöglichen Zugriff auf die richtigen Daten.

Frage 3: Wie hält sich Ihr MDR-Team über neue Bedrohungen auf dem Laufenden?

Sicherheitsanalysten achten nicht nur auf die technologischen Fähigkeiten der Bedrohungsakteure. Sie untersuchen kulturelle, geopolitische und linguistische Faktoren, um sich einen möglichst vollständigen Überblick über die aktuellen Techniken, Taktiken und Prozeduren zu verschaffen, die gegen Unternehmen eingesetzt werden. Nur wenige Unternehmen (wenn überhaupt) verfügen über eigene Mitarbeiter, die diese Kompetenzen mitbringen. Wählen Sie daher einen MDR-Anbieter, der über solche Experten verfügt.

Frage 4: Wie kommunizieren Ihre MDR-Experten mit unserem Team?

Das MDR-Team übergibt seinen Workflow an einem bestimmten Punkt an Ihr Team. Dazu sollte ein gemeinsamer Kommunikations-Hub verwendet werden, etwa eine zentrale Konsole. Auf diese Weise werden Reibungsverluste und die Notwendigkeit der Einarbeitung in neue Systeme vermieden. Die Übergabe sollte ohne Beeinträchtigung der Reaktionszeit Ihres Teams erfolgen.

Frage 5: Ist Ihr Service rund um die Uhr verfügbar?

In den meisten Unternehmen ist die Sicherheitsabteilung nicht Tag und Nacht besetzt. Die MDR-Abdeckung hingegen sollte jederzeit bestehen, denn während der Normalbürger schläft, sind Angreifer aktiv.