Managed Detection and Response (MDR) ist ein ausgelagerter Cybersicherheitsdienst, der Unternehmen Bedrohungssuchedienste bietet und auf Bedrohungen reagiert, sobald sie entdeckt werden.
Inhaltsverzeichnis
Die Reaktion auf immer komplexere Cyberangriffe erfordert sowohl präventive Maßnahmen als auch die Fähigkeit, Bedrohungen schnell zu identifizieren und darauf zu reagieren, nachdem sie auftreten. SOCs müssen ihre Kompetenzen in den Bereichen Netzwerküberwachung, Protokollanalyse und schnelle Reaktion auf Cyberangriffe und Vorfälle ausbauen.
Da die Erkennung und Abwehr von Cyberangriffen spezielle Fähigkeiten und eine Rund-um-die-Uhr-Überwachung erfordert, entscheiden sich viele Unternehmen dafür, diese Dienste an Sicherheitsprofis auszulagern. Dieser Service wird als Managed Detection and Response (MDR) bezeichnet.
MDR deckt verschiedene Bereiche ab. Einige Anbieter konzentrieren sich darauf, bekannte Bedrohungen wie Malware oder unbefugte Zugriffe zu überwachen. Andere wiederum gehen gegen fortgeschrittene, gezielte Angriffe vor, für die seriöse Tools missbraucht werden. Wenn die Erkennung und die Einleitung von Sofortmaßnahmen ausgelagert werden, können sich die Mitarbeiterinnen und Mitarbeiter des Unternehmens auf wichtigere Aufgaben konzentrieren, etwa auf die Überprüfung von Richtlinien nach einem Vorfall.
Bestandteile der MDR
Die Kernkomponenten von MDR-Diensten bilden die Grundlage einer fortschrittlichen und proaktiven Cybersicherheitsstrategie, die zusammen Cyberbedrohungen in Echtzeit erkennt, darauf reagiert und verhindert.
Bedrohungsjagd
Threat Hunting ist ein proaktiver, fachkundiger Ansatz, der kontinuierlich potenzielle Bedrohungen ausfindig macht, die im Netzwerk eines Unternehmens lauern. Im Gegensatz zu automatisierten Erkennungssystemen suchen Bedrohungssucher aktiv nach subtilen Anzeichen von Beeinträchtigungen und verdächtigem Verhalten, die Standardsicherheitstools umgehen können. Dieser praktische Prozess hilft dabei, versteckte und komplexe Bedrohungen aufzudecken, bevor sie erheblichen Schaden verursachen können, was die allgemeine Sicherheitslage des Unternehmens stärkt.
Incident Response
Die Reaktion auf Vorfälle ist ein strukturierter Ansatz zur Behebung und Minderung von Sicherheitsvorfällen, sobald sie auftreten. Diese Komponente umfasst die schnelle Identifizierung und Eindämmung von Bedrohungen, gefolgt von Auslöschungs- und Wiederherstellungsbemühungen zur Wiederherstellung des normalen Betriebs. Ein MDR Incident Response Team arbeitet eng mit Stakeholdern zusammen, um den Vorfall effizient zu verwalten und setzt Maßnahmen um, um zukünftige Vorfälle zu verhindern und minimale Auswirkungen auf die Geschäftskontinuität und den Betrieb zu gewährleisten.
Endpoint Detection and Response (EDR)
Endpunkterkennung und -reaktion konzentriert sich auf die Überwachung von Aktivitäten auf Geräten wie Computern, Servern und mobilen Geräten. Durch die kontinuierliche Analyse von Endpunktverhalten können MDR-Services potenzielle Bedrohungen auf Geräteebene erkennen und darauf reagieren. EDR ist von entscheidender Bedeutung, da Endpunkte häufige Ziele für Cyberangreifer sind, und eine schnelle Erkennung auf dieser Ebene hilft dabei, seitliche Bewegungen und weitere Beeinträchtigungen innerhalb des Netzwerks zu verhindern.
Netzwerkverkehrsanalyse (NTA)
Die Netzwerkverkehrsanalyse umfasst die Überwachung des Datenflusses im Netzwerk einer Organisation, um Anomalien und verdächtige Aktivitäten zu erkennen. Durch die Analyse des Netzwerkverkehrs in Echtzeit können MDR-Dienste Anzeichen potenzieller Angriffe erkennen, wie z. B. ungewöhnliche Datenübertragungen oder unbefugte Zugriffsversuche. NTA ist entscheidend für die Erkennung von Bedrohungen, die die Endpunktsicherheit umgehen können, und bietet einen breiteren Überblick über die Netzwerksicherheit.
Management von Sicherheitsinformationen und -ereignissen (Security Information und Event Management, SIEM)
SIEM integriert Daten aus verschiedenen Quellen, einschließlich Protokollen und Warnungen, um eine zentrale Ansicht von Sicherheitsereignissen in einem Unternehmen zu bieten. MDR-Services nutzen SIEM, um Daten zu korrelieren, Muster zu erkennen und Bedrohungen in Echtzeit zu identifizieren. Diese zentralisierte Überwachung ermöglicht eine schnelle Erkennung und Reaktion auf Vorfälle und ermöglicht es dem MDR-Team, Bedrohungen basierend auf ihren potenziellen Auswirkungen auf das Unternehmen zu priorisieren.
Kontinuierliche Überwachung
Kontinuierliche Überwachung stellt sicher, dass alle Komponenten des MDR-Systems die Umgebung des Unternehmens rund um die Uhr aktiv überwachen. Diese Komponente ermöglicht es dem MDR-Team, Bedrohungen in Echtzeit zu erkennen, darauf zu reagieren und einzudämmen, wodurch das Risiko unentdeckter Sicherheitsverletzungen minimiert wird.
Welche Herausforderungen kann MDR angehen?
MDR geht erhebliche Probleme an, die moderne Unternehmen belasten. Das aufschlussreichste Problem ist der Mangel an Sicherheitskenntnissen in Organisationen. Während Schulungen und die Einrichtung dedizierter Sicherheitsteams, die eine Bedrohungssuche in Vollzeit durchführen können, für größere Unternehmen machbar sein können, die sich dies leisten können, werden die meisten Unternehmen es angesichts ihrer Ressourcenbeschränkungen als schwierig empfinden. Dies gilt insbesondere für mittlere und große Organisationen, die häufig das Ziel von Cyberangriffen sind, aber nicht über die Ressourcen oder Arbeitskräfte für solche Teams verfügen.
Selbst Unternehmen, die bereit sind, sowohl Zeit als auch Geld zu investieren, können es schwierig finden, tatsächlich das richtige Personal zu gewinnen.
Unternehmen stehen auch vor Herausforderungen bei der Bereitstellung komplexer EDR-Lösungen (Endpoint Detection and Response), die normalerweise aufgrund von Zeit-, Kompetenz- und Mittelmangel nicht maximiert werden, um Mitarbeiter in der Handhabung der EDR-Tools zu schulen. MDR integriert EDR-Tools in seine Sicherheitsimplementierung und macht sie zu einem integralen Bestandteil der Erkennungs-, Analyse- und Reaktionsrollen.
Ein häufig übersehenes Problem in Sachen Cybersicherheit ist die schiere Menge an Warnungen, die Sicherheits- und IT-Teams regelmäßig erhalten. Viele dieser Warnungen können nicht ohne Weiteres als bösartig identifiziert werden und müssen individuell überprüft werden. Darüber hinaus müssen Sicherheitsteams diese Bedrohungen korrelieren, da die Korrelation aufdecken kann, ob sich scheinbar unbedeutende Indikatoren alle als Teil eines größeren Angriffs summieren. Dies kann kleinere Sicherheitsteams überfordern und wertvolle Zeit und Ressourcen aus ihren anderen Aufgaben nehmen.
MDR zielt darauf ab, dieses Problem nicht nur durch die Erkennung von Bedrohungen, sondern auch durch die Analyse aller Faktoren und Indikatoren zu lösen, die an einer Warnung beteiligt sind. MDR gibt den Organisationen auch Empfehlungen und Änderungen auf der Grundlage der Interpretation der Sicherheitsereignisse. Eine der wichtigsten Fähigkeiten, die Sicherheitsexperten benötigen, ist die Möglichkeit, Indikatoren für Kompromisse zu kontextualisieren und zu analysieren, um das Unternehmen besser gegen zukünftige Angriffe zu positionieren. Sicherheitstechnologien können Bedrohungen blockieren, aber tiefere Einblicke in das Wie, Warum und die Art von Vorfällen erfordern eine menschliche Note.
MDR wurde entwickelt, um das Problem der Cybersicherheitskompetenzlücke eines Unternehmens zu lösen. Sie behebt das Problem fortschrittlicherer Bedrohungen, die ein internes IT-Team nicht vollständig beheben kann, idealerweise zu Kosten, die geringer sind als die Kosten, die das Unternehmen ausgeben muss, um sein eigenes spezialisiertes Sicherheitsteam aufzubauen. MDR kann der Organisation auch Zugriff auf Tools bieten, auf die sie normalerweise keinen Zugriff hat. Das Diagramm unten zeigt, was eine Organisation gewinnen kann, wenn MDR ins Spiel kommt.
MDR vs. MSS
Im Zusammenhang mit MDR wird häufig der Managed Security Service (MSS) erwähnt. Die von Anbietern angebotenen Dienste tendieren häufig dazu, MDR als zentrales Element des Dienstes zu nutzen, das die Bedrohungserkennung und -reaktion abwickelt. MSS wird hingegen häufig für die Überwachung von Sicherheitsprodukten und die Wartung von Hardware eingesetzt.
MDR vs. MXDR
Während sich die meisten MDR-Dienste auf EDR konzentrieren, ist Managed NDR (MNDR) ein weiterer Diensttyp, dessen Schwerpunkt auf Network Detection and Response (NDR) liegt. Anders als MDR, wo der Schwerpunkt meist auf EDR liegt, basiert die Erkennung und Reaktion bei MNDR auf Telemetriedaten und Protokollen im Netzwerk.
Seit Kurzem gibt es außerdem MXDR (Managed XDR), bei dem XDR (Extended Detection and Response) im Zentrum steht. Gemäß der Philosophie von Detection and Response gilt: Je größer die Sensorabdeckung, desto umfangreicher die Telemetrie und desto besser die Bedrohungserkennung.
MDR vs. MSSPs
Unternehmen haben sich traditionell für ihre externen Sicherheitsanforderungen an Managed Security Service Provider (MSSPs) gewandt. Im Gegensatz zu MDR-Anbietern, die seitliche Bewegungen innerhalb eines Netzwerks erkennen können, arbeiten MSSPs typischerweise mit Perimeter-basierter Technologie sowie regelbasierten Erkennungen, um Bedrohungen zu identifizieren. Auch die Arten von Bedrohungen, mit denen MSSPs umgehen, sind bekannte Bedrohungen, wie Schwachstellen-Exploits, wiederkehrende Malware und Angriffe mit hohem Volumen. MSSPs verfügen über Sicherheitsexperten, die Protokollverwaltung, Überwachung und Analyse durchführen, jedoch oft nicht sehr tiefgreifend. Im Grunde sind MSSPs in der Lage, die Sicherheit eines Unternehmens zu verwalten, aber normalerweise nur auf Perimeterebene, und ihre Analyse umfasst keine umfangreiche Forensik, Bedrohungsforschung und Analyse.
In Bezug auf den Service kommunizieren MSSPs normalerweise per E-Mail oder Telefon mit Sicherheitsexperten als sekundären Zugriff, während MDR-Anbieter eine kontinuierliche Überwachung rund um die Uhr durchführen, die von einigen MSSPs möglicherweise nicht angeboten wird.
MSSPs bieten jedoch immer noch Mehrwert für Organisationen. Zum Beispiel ist die Verwaltung von Firewalls und anderen täglichen Sicherheitsanforderungen des Netzwerks einer Organisation eine Aufgabe, die für einen MSSP besser geeignet ist als für einen MDR-Anbieter, der einen spezialisierteren Service bietet. Dementsprechend können MSSPs und MDR-Anbieter miteinander zusammenarbeiten – wobei sich MDR-Anbieter auf die proaktive Erkennung und Verhaltensanalyse fortschrittlicherer Bedrohungen konzentrieren und Unternehmen Empfehlungen zur Behebung geben, sobald die Bedrohungen entdeckt wurden.
Hilfeangebote zu Managed Detection and Response (MDR)
Unternehmen kämpfen mit begrenzten Ressourcen und Fähigkeiten und Cyberangriffen, die sich mit unvorstellbarer Geschwindigkeit bewegen. Die Geschäftskontinuität muss trotzdem aufrechterhalten werden. Trend Vision One™ Services fungiert als verlängerter Arm Ihres Sicherheitsteams. Es bietet proaktives Cyber-Risikomanagement, Angriffssimulationen zur Verbesserung der Sicherheitseffizienz, kontinuierliche Überwachung von Bedrohungen, Managed Detection and Response sowie zeitnahen Zugriff auf globale Support- und Incident-Response-Teams.
Mithilfe dieser Services können Sie Sicherheitsverletzungen vorhersagen, verhindern und bewältigen. Gleichzeitig schützen Sie Ihr Unternehmen effektiver als je zuvor, und Ihr Team kann sich auf strategische Initiativen konzentrieren.
Joe Lee ist Vice President of Product Management bei Trend Micro. Er leitet die globale Entwicklung von Strategien und Produkten für Lösungen zur E-Mail- und Netzwerksicherheit in Unternehmen.
Häufig gestellte Fragen (FAQs)
Was leistet Managed Detection and Response?
Managed Detection and Response (MDR) ist ein Cybersicherheitsservice von Drittanbietern, der Unternehmen vor Hackerangriffen, Cyberangriffen und anderen Cyberbedrohungen schützt.
Was bedeutet MDR in der Cybersicherheit?
MDR steht für Managed Detection and Response. MDR ist ein ausgelagerter Cybersicherheitsservice, der Tools wie XDR und SIEM verwendet, um Unternehmen vor Cyberangriffen zu schützen.
Wie unterscheiden sich MDR und EDR?
Managed Detection and Response (MDR) ist ein Cybersicherheitsservice. EDR (Endpoint Detection and Response) ist ein Tool, das Cyberbedrohungen in Endgeräten erkennt.
Wie unterscheiden sich MDR und SOC?
Managed Detection and Response (MDR) ist ein ausgelagerter Service, der Unternehmen vor Cyberangriffen schützt. Ein Security Operations Center (SOC) ist ein internes Cybersicherheitsteam.
Wie funktioniert MDR?
Managed Detection and Response (MDR) Services nutzen Tools wie Extended Detection and Response (XDR) und Security Information and Event Management (SIEM), um Cyberangriffe abzuwehren.
Aus welchen drei Komponenten besteht MDR?
Die drei Hauptkomponenten von Managed Detection and Response (MDR) sind die Überwachung auf Cyberbedrohungen, die Erkennung von Bedrohungen und die Reaktion auf Cybersicherheitsvorfälle.
Ist MDR ein SIEM?
Nein. Managed Detection and Response (MDR) ist ein Service, der Unternehmen vor Cyberangriffen schützt. SIEM ist ein Tool, das Sicherheitsdaten analysiert, um Bedrohungen zu identifizieren.
Wie unterscheiden sich MDR- und XDR-Cybersicherheit?
Managed Detection and Response (MDR) ist ein ausgelagerter Cybersicherheitsservice. Extended Detection and Response (XDR) ist ein Tool zur automatisierten Threat Detection and Response.
Was ist besser, MDR oder XDR?
Keines davon ist „besser“. Managed Detection and Response (MDR) ist ein Service; Extended Detection and Response (XDR) ist ein Tool. Viele MDR-Dienste setzen XDR ein.
Wie funktioniert Managed Detection und Response?
Managed Detection and Response (MDR) verbindet menschliche Sicherheitsfachkräfte mit Sicherheitstools und -technologien, um Unternehmen vor Hackerangriffen, Cyberangriffen und anderen Cyberbedrohungen zu schützen.