Der Managed-Services-Markt bringt immer mehr Anbieter in den Mix, da immer mehr Unternehmen entscheiden, dass es steuerlich und betrieblich sinnvoll ist, Schlüsselfunktionen auszulagern, selbst solche, die traditionell als besonders kritisch angesehen wurden, wie z. B. bestimmte Informationssicherheit-orientierte Aufgaben. Das vielleicht am schnellsten wachsende Segment von Dienstanbietern in diesem Bereich ist MDR – Managed Detection and Response.

Das MDR-Konzept ist im Bereich der Dienstanbieter relativ jung. MDR-Angebote sind in der Regel darauf ausgelegt, Ihre SOC-Funktion (Security Operations Center) durch die Bereitstellung von detektivischen und reaktiven Tools und Fachwissen zu erweitern. In einigen Fällen kann es sogar Ihre Tier-1-oder Triage-Level-Sicherheitsanalysten ersetzen, die sich darauf konzentrieren, die manchmal überwältigende Flut eingehender Sicherheitswarnungen zu überprüfen und zu bestätigen.

Mit diesem Fachwissen und den zugrunde liegenden Tools auf einer ausgelagerten 24×7-Basis verfügbar ist, kann ein großer Gewinn sein, unabhängig von der Größe Ihres Unternehmens. Dies ist ein besonders überzeugender Wert, wenn wir bedenken, wie schwierig es heute ist, Cybersicherheitsmitarbeiter einzustellen und zu halten. Aber wie bei allen Sicherheitsprodukten und-diensten gibt es bei der Bewertung eines MDR-Dienstes wichtige Überlegungen zu beachten.

MSSP vs. MDR

Wir können kein Gespräch über MDR beginnen, ohne zuerst Adressierung von MSSPs, Managed Security Service Providern. Der MSSP-Markt ist mehr als zwei Jahrzehnte alt und entstand, als die Technologielandschaft immer komplexer wurde – eine Herausforderung, die sicherlich nicht verschwindet – weshalb auch heute noch ein starker und überzeugender Bedarf an MSSPs besteht. Das moderne MDR-Servicebereitstellungsmodell wurde aus diesem MSSP-Bereich geboren.

So wie der SIEM-Markt (Sicherheitsinformations-und Ereignismanagement) in ungefähr demselben Zeitraum durch regulatorische und Compliance-Anforderungen vorangetrieben wurde, haben dies auch viele MSSPs getan konzentrierte sich auf dieselben Treiber. Für Sie bedeutet dies, dass ein klassisch definierter MSSP Ihre Umgebung nicht unbedingt ganzheitlich betrachtet, sondern eher als Teilmenge von Compliance-erforderlichen Technologien wie Firewalls, Authentifizierung, Data Loss Prevention und Change-Management-Plattformen. Es bedeutet auch, dass sie wahrscheinlich der Einhaltung von Häkchen Vorrang vor echter Sicherheit einräumen.

Im Gegensatz dazu bietet MDR eine verwandte, aber unterschiedliche Reihe von Diensten. MDR betrachtet jedoch dieselbe Umgebung mit einem starken Fokus auf Sicherheit und den täglichen Sicherheitsbetrieb. Sie werden nicht an Compliance-Häkchen gemessen, sondern an erfolgreicher Informations-und Organisationssicherheit.

MDR-Anbieter betonen Tools und Technologien, die einen Anwendungsfall zur Erkennung und Reaktion direkt unterstützen, indem sie Netzwerkverkehr und Protokolle sammeln, die von Geräten, Anwendungen und generiert werden Benutzer sowie Daten von traditionelleren Endgeräten wie Laptops und Servern und sogar Geräten, die in Ihrer IoT-Umgebung (Internet of Things) laufen. Die Magie entsteht, wenn diese unterschiedlichen Datenebenen in eine einzige Umgebung gebracht werden, um auf einheitliche und koordinierte Weise gespeichert, abgerufen, analysiert und bearbeitet zu werden. Es ist ein so effektiver Ansatz, dass es, nicht überraschend, dasselbe Ziel ist, das auch den Trend zu XDR-Tools antreibt.

Während der offensichtlichste Vorteil eines MDR-Angebots darin besteht, die Augen-auf-Glas-Triage zu verschieben ein ausgelagerter Anbieter, geht es weit darüber hinaus. Schließlich arbeitet ein MDR-Dienst nicht nur für Sie und Ihr Unternehmen. Sie haben auch andere Kunden, sowohl innerhalb als auch außerhalb Ihres Branchensegments. Da sie so viele Kunden sehen, kann ein guter MDR-Anbieter größere Bedrohungstrends erkennen, die sich abzeichnen. Wie ein Meteorologe einen sich entwickelnden Sturm verfolgt, sieht Ihr MDR-Anbieter nicht nur die Auswirkungen auf das erste Opfer, sondern auch die potenziellen Auswirkungen auf alle seine Kunden. Es ist ein einzigartiger Aussichtspunkt, der Erkennungs-und Reaktionskompetenz kombiniert, zusammen mit der Fähigkeit, ein „großes Ganzes“ zu sehen, das proaktiv zum Schutz des gesamten Kundenstamms von MDR beiträgt.

Es gibt eindeutig einen großen Wert, den MDR bieten kann bringen Sie in Ihre Organisation! Wie fangen Sie also an?

Fragen, die Sie im Voraus stellen sollten

MDR ist kein Ersatz für einen gut durchdachten Incident Response (IR) Plan vorhanden und aktuell. Vielmehr möchten Sie es als Erweiterung Ihres IR-Plans. Bietet der MDR-Anbieter beispielsweise IR-Dienste als Zusatzfunktion an? Im Falle eines größeren, schwerwiegenden Vorfalls ist es absolut unerlässlich, dass die Einsatzkräfte (das IR-Team) und das Überwachungsteam (das MDR-Team) auf derselben Seite stehen. Gibt es einen besseren Weg, dies zu tun, als beide Funktionen vom selben Anbieter zu beziehen?

Und übersehen Sie nicht einen sehr kostengünstigen Einstieg in diesen Punkt, indem Sie einen IRR (Incident Response Retainer) nutzen. Dies stellt sicher, dass Sie priorisiert werden, wenn Sie von einem größeren Angriff getroffen werden. Die alleinige Bewältigung eines schwerwiegenden Vorfalls kann eine schmerzhafte und oft kostspielige Erfahrung sein, weshalb es sich lohnt, einen IRR einzurichten, bevor Sie ihn brauchen.

Einige andere Fragen, die ich Organisationen empfehlen möchte, wenn sie einkaufen ein MDR-Anbieter: Sie sagen, Sie bieten Threat Hunting an, aber können Sie genau definieren, was das bedeutet? Wie erhalten wir Zugriff auf Echtzeitdaten auf Ihrem Dashboard oder sogar direkt auf das Überwachungssystem selbst? Wie nutzen Sie Threat Intelligence und andere Arten von Inhalten zu meinem Vorteil?

Und vergessen Sie nicht, sie darüber zu befragen, was vielleicht das wichtigste nichttechnische Anliegen ist, das Sie haben sollten: Einer der Gründe, warum wir einen MDR-Anbieter benötigen, ist, dass wir festgestellt haben, dass die Besetzung dieser SOC-Rollen äußerst schwierig ist – wie stellen Sie Ihr Team zusammen, und was tun Sie, um diese Analysten zu halten, sobald sie an Bord sind und geschult wurden?

Vermeiden Sie Reibungspunkte und seien Sie realistisch

Einer der Orte, an denen Organisationen häufig zusätzliche Reibungspunkte mit ihrem MDR-Anbieter erleben, ist das Ticketing und die Nachverfolgung von Vorfällen, unabhängig davon, wer dies untersuchen muss. ob sie oder du. Es lohnt sich, im Voraus zusätzliche Zeit zu investieren, um zu verstehen, wie genau sich Ihr zukünftiger MDR-Anbieter in Ihre bestehenden Ticketing-und Case-Management-Plattformen integrieren wird. Sie werden die Bedrohungen finden, aber Ihr Team kann für einige oder alle Behebungs-und Bereinigungsarbeiten verantwortlich sein. Wir schreiben das Jahr 2023: Versuchen Sie, sich nicht mit einem Fallmanagement-Integrationsplan zufrieden zu geben, ist nichts anderes, als dass ihr System eine E-Mail an Ihr System sendet. Die modernen MDR-Player von heute bieten eine echte Zwei-Wege-Verbindung zwischen ihrer Ticketing-Umgebung und Ihrer.

Es ist auch sehr wichtig, dass Sie erkennen und anerkennen, dass die Beauftragung eines MDR-Dienstes kein Set-it-and-forget ist-es zu tun. Während Ihr MDR-Anbieter erhebliches Fachwissen und Technologie einbringt, sind Sie und Ihr Team immer noch diejenigen, die Ihre Umgebung am besten kennen. Ihr MDR-Anbieter wird Sie auf interessante Warnungen aufmerksam machen, aber Sie werden und müssen diese unter bestimmten Umständen dennoch direkt untersuchen. Sie möchten sicherstellen, dass es beim Abschluss Ihrer anschließenden Untersuchung dieser Warnungen vor Ort einen etablierten Prozess gibt, um den Kreis mit Ihrem MDR zu schließen, um sie ebenfalls zu benachrichtigen.

Und machen Sie nicht den Fehler Denken Sie daran, dass der erste Schritt, um Ihren neuen MDR-Service in Produktion zu bringen, die einzige Zeit ist, die Sie aufwenden müssen, um ihre Technologie zu optimieren, damit sie gut mit Ihrer funktioniert. Sie müssen planen, nach der Einführung zusätzliche Zeit zu investieren, um mit ihnen zusammenzuarbeiten, um ihre Technologie und Prozesse auf Ihre Umgebung abzustimmen. Wie kommunizieren Sie beispielsweise Ihren eigenen Betriebsprozess, der startet, wenn neue Protokollquellen oder neue Endpunkte in Ihrem Netzwerk auftauchen?

Bedrohungen werden sich weiterentwickeln, und das muss auch Ihr MDR-Anbieter tun

MDR-Anbieter vermehren sich, weil ein dringender Bedarf an ihren Dienstleistungen besteht – ein Bedarf, der sich auch in Zukunft weiter beschleunigen wird. Bedrohungsakteure wissen, dass Ihre Angriffsfläche größer und nicht kleiner wird. Sie wissen, dass es nicht nur schwierig ist, Ihren Schatz an sensiblen Daten zu sichern, sondern auch langfristig sicher zu halten. Sie wissen, dass Ihre Benutzer immer mehr Apps verwenden, unabhängig davon, ob sie von Ihrer Organisation bereitgestellt und gesichert werden oder nicht, die jeweils einen potenziellen Einstiegspunkt in Ihre Organisation darstellen.

Einige MDR-Anbieter können möglicherweise nicht beibehalten mit dem stetigen Tempo des Wandels Schritt halten, sodass es möglich ist, dass der MDR-Anbieter, für den Sie sich heute entscheiden, morgen nicht mehr der ideale Partner für Sie ist. Gehen Sie in einen MDR-Vertrag mit einem klaren Verständnis darüber, wie Sie die Beziehung beginnen und wie Sie die Beziehung möglicherweise in Zukunft beenden können. Gibt es Strafen für die Kündigung des Vertrags vor dem Enddatum? Angesichts des intimen Wissens, das Ihr MDR über Ihre interne Umgebung hat, wie geht der MDR-Anbieter mit diesen Daten um, wenn Sie die Beziehung beenden? Werden diese Daten an Sie übertragen und anschließend vernichtet, und wenn ja, wie genau? Ist der Anbieter bereit und in der Lage, mit Ihrem neuen Anbieter zusammenzuarbeiten, um einen sauberen Übergang zwischen den Anbietern zu gewährleisten?

Abschließend lautet Ihr zusätzliches Ziel: Arbeiten Sie daran, die MDR-Beziehung positiv und lehrreich zu gestalten. Seien Sie nicht der passive Kunde, der eingehende Warnungen und Benachrichtigungen einfach blind akzeptiert. Richten Sie regelmäßig geplante Kontaktpunkt-Meetings ein und bitten Sie um die Anwesenheit und Teilnahme eines Mitglieds des Teams, das Ihre Umgebung überwacht. Machen Sie es zu einer Lernerfahrung für Ihre Organisation. Gute MDR-Anbieter sollten die Gelegenheit begrüßen, Ihnen Wissen über ihre Threat-Hunting-Techniken und benutzerdefinierten erkennungsorientierten Inhalte zu vermitteln, die sie zur Unterstützung Ihrer einzigartigen Umgebung entwickeln.

Vergeuden Sie nicht diese Gelegenheit, um Ihre Sicherheitsreife zu verbessern. Finden Sie einen MDR-Service, der über den Schutz Ihrer Umgebung hinausgeht, einen MDR, der wirklich mit Ihnen zusammenarbeitet, um Ihnen beizubringen, wie Sie sich besser verteidigen können.

Bildnachweis: donscarpo/depositphotos.com

Ben Smith ist NetWitness Field CTO.

By Henry Taylor

Ich arbeite als Backend-Entwickler. Einige von Ihnen haben mich vielleicht auf der Entwicklerkonferenz gesehen. In letzter Zeit arbeite ich an einem Open-Source-Projekt.