1 Einführung
Die industrialisierte Cyber-Kriminalität und die zunehmenden staatlich geförderten Cyber-Spionage-Aktivitäten haben zur Folge, dass die meisten Unternehmen permanent Cyber-Angriffen ausgesetzt sind. Der weltweite Mangel an Cyber-Sicherheitsfachkräften bedeutet jedoch, dass viele Unternehmen Schwierigkeiten haben, mit den Angreifern Schritt zu halten, und dass die Sicherheitsteams oft von der Anzahl der Sicherheitswarnungen, die von einer Vielzahl von Sicherheitssystemen erzeugt werden, überfordert sind.
Diese und andere damit zusammenhängende Treiber führen zum Wachstum und zur Weiterentwicklung des MDR-Marktes (Managed Detection & Response). Bei MDR handelt es sich um eine Kombination von Dienstleistung und Technologie, die entweder mehrere Cybersicherheitstechnologien gemeinsam verwalten oder eine integrierte Plattform für Cybersicherheit für Kundenunternehmen bereitstellen, um leistungsfähige Dienste für die Erkennung von und Reaktion auf Cyberbedrohungen zu liefern. Zu MDR gehören auch SOCaaS-Lösungen (Security Operations Center as a Service).
MDR-Lösungen werden in der Regel von einem Team von Sicherheitsexperten unterstützt, die rund um die Uhr Überwachung, Analyse und Support bieten und Ratschläge zur Verbesserung der Cybersicherheit des Kundenunternehmens geben. MDR-Lösungen gehen daher über die traditionellen Managed Security Services (MSS) von Managed Security Service Providern (MSSP) hinaus, die sich in der Regel auf die Berichterstattung über die Einhaltung von Compliance-Anforderungen und die Unterstützung von Kundenunternehmen bei der Einhaltung von Sicherheitsanforderungen konzentrieren.
Fig. 1: Unternehmen sind mit einer Vielzahl von Cyberangriffen konfrontiert und müssen geeignete Gegenmaßnahmen ergreifen.
Alle Organisationen, unabhängig von ihrer Größe, sind mit ähnlichen Cyber-Bedrohungen konfrontiert und benötigen daher fortschrittliche Erkennungs- und Reaktionsfähigkeiten im Bereich der Cybersicherheit. Kleineren Organisationen fehlt es oft an den nötigen Mitteln und Fähigkeiten, während alle Organisationen Schwierigkeiten haben, Stellen im Bereich der Cybersicherheit zu besetzen.
MDR-Lösungen ermöglichen es auch kleineren Unternehmen, die Vorteile eines großen Expertenteams zu nutzen, das ständig auf Abruf zur Verfügung steht, um Vorfälle zu erkennen und darauf zu reagieren sowie Investitionen, Strategien und Prozesse zu steuern, ohne dass die hohen Kosten und Herausforderungen, Mitarbeiter mit den erforderlichen Fähigkeiten zu finden und zu halten, damit verbunden sind.
In Fällen, in denen keine oder nur geringe interne Kapazitäten zur Erkennung und Abwehr von Bedrohungen vorhanden sind, helfen MDR-Lösungen den Unternehmen, den Großteil ihrer Sicherheitsoperationen auszulagern, einschließlich der sicherheitsbezogenen Verwaltung von Netzwerken, Endpunkten, Anwendungen, Websites, Datenbanken und Sicherheits-Logdateien. Viele MDR-Dienste ermöglichen es Unternehmen, ihr SOC vollständig auszulagern, wenn sie nicht über die Ressourcen verfügen, um auf Empfehlungen zur Bekämpfung von Bedrohungen zu reagieren, und in einer wachsenden Zahl von Fällen unterstützen MDR-Dienste auch automatisierte Reaktionen auf Bedrohungen.
Wo interne Sicherheitskapazitäten vorhanden sind, kann MDR diese bei Bedarf ergänzen, um sicherzustellen, dass eine Organisation über alle Cybersicherheitskompetenzen und -fähigkeiten verfügt, die erforderlich sind, um mit hochriskanten Bedrohungen und kritischen Vorfällen umzugehen. Dies ist auch für sehr große Organisationen von Bedeutung, da es angesichts des Umfangs von Cyberangriffen und der Qualifikationslücke auf dem Markt schwierig ist, langfristige Sicherheitsstrategien zu entwickeln und gleichzeitig mit den täglichen Cyberbedrohungen und -vorfällen Schritt zu halten.
Selbst für große Unternehmen mit internen Sicherheitsteams ist es eine Herausforderung, SIEM-, NDR-, EDR-, SOAR- und sogar IAM-Systeme zu verwalten, um das erforderliche Sicherheitsniveau zu erreichen. Daher wenden sie sich an MDR-Dienstleister, die ihnen dabei helfen und schnelle automatische Abwehrmaßnahmen für gängige Bedrohungen bereitstellen können. Einige Anbieter berichten von einer wachsenden Nachfrage nach MDR-Diensten bei den weltweit größten Unternehmen, da es aufgrund des weltweiten Mangels an Cybersecurity-Fachkräften und der hohen Abwanderungsraten schwierig ist, ein internes SOC zu betreiben und die gewünschte Servicequalität (QoS) aufrechtzuerhalten.
Die Hauptziele von MDR sind:
- Strengthen organizations’ ability to monitor and detect security threats and respond to security incidents 24/7.
- Kontinuierliche Verbesserung der Sicherheitsstrategie und des Status im Bereich der Cybersicherheit.
- Bereitstellung eines umfassenden Überblicks über die Sicherheitsumgebung.
- Befähigung der internen Sicherheitsteams, sich auf strategische Sicherheitsinitiativen zu konzentrieren und diese zu steuern.
- Den Nutzen bestehender Sicherheitsinvestitionen erhöhen.
MDR-Lösungen zielen auch darauf ab:
- Unterstützung von Kundenorganisationen bei der Bewältigung eines hohen Aufkommens von Sicherheitswarnungen.
- Verkürzung der Zeit, die für die Erkennung und Eingrenzung von Sicherheitsvorfällen benötigt wird.
- Erweiterte Analyse von Bedrohungen und Nutzerverhalten.
- Optimierung, Aktualisierung und Integration/Koordinierung von Security-Tools.
- Verbesserung der Einsicht in und Steuerung der IT-Umgebung im gesamten Unternehmen.
- Bereitstellung von Tools und Expertenwissen zur Umsetzung oder Erweiterung von EDR- (Endpoint Detection and Response), XDR- (eXtended Detection and Response) und SOAR- (Security Orchestration, Automation and Response) Funktionen.