Managed Detection and Response (MDR) ist eine Art Managed Security Service (MSS) bei denen ein Dienstleister ganz oder teilweise für die Erkennung, Untersuchung und Reaktion auf festgestellte Cybersicherheitsbedrohungen für die Kundenorganisation verantwortlich ist.
Laut Gartner’s Marktführer für Managed Detection and Response Services, "bieten die MDR-Dienste per Fernzugriff bereitgestellte moderne Security Operations Center-Funktionen, die sich auf die schnelle Erkennung, Untersuchung und aktive Eindämmung von Vorfällen konzentrieren."
Sobald sich ein Unternehmen für einen MDR-Dienst entscheidet, führt der Dienstleister in der Regel eine erste Bestandsaufnahme durch, um alle vorhandenen IT-Bestände in der Umgebung des Kunden zu ermitteln. Die Identifizierung von Assets ist ein wichtiger Schritt bei der Erbringung eines wirksamen Sicherheitsdienstes, da der Dienstleister dadurch den Umfang des Schutzes besser einschätzen kann. Außerdem wird das versteckte Risiko der Schatten-IT beseitigt, d. h. von Assets, die der IT-Abteilung nicht bekannt sind. Schatten-IT bietet Hackern einen unentdeckten Weg in das Netzwerk des Unternehmens.
Wenn alle Assets identifiziert und sortiert sind, führt der MDR-Dienstleister anschließend in der Regel eine eingehende Sicherheitsbewertung durch. Diese verschafft dem Dienstleister und den I&O-Verantwortlichen einen detaillierten Überblick über die Sicherheitslage des Unternehmens. Dazu gehören die gesamte Risikooberfläche, Sicherheitsschwächen, Schwachstellen und alle bestehenden Bedrohungen. Die Sicherheitsbewertung hilft dem Dienstleister, das Niveau und den Umfang des Sicherheitsschutzes für das Unternehmen zu bestimmen.
Sobald der zu erbringende Sicherheitsdienst von beiden Parteien vereinbart wurde, beginnt der MDR-Dienstleister mit der Verwaltung der Sicherheitsmaßnahmen des Unternehmens. MDR-Dienstleister arbeiten von einem Security Operations Center (SOC) aus mit einem engagierten Sicherheitsteam aus qualifizierten und erfahrenen Experten. Das SOC kann sich im Land des Kunden oder in Übersee befinden und ist in der Regel rund um die Uhr im Einsatz. Außerdem bietet es sowohl eine kontinuierliche Überwachung wie auch die Erkennung von und Reaktion auf Bedrohungen. Der erste Schritt der Ausführung ist eine proaktive Bedrohungssuche des MDR Dienstleisters, indem er das Netzwerk des Kunden kontinuierlich auf Bedrohungen und anormale Aktivitäten überwacht. Anschließend untersuchen und analysieren die Sicherheitsteams Alarme, die das SOC zuvor erhalten hat.
Die Kunden können wählen, ob sie den gesamten MDR-Service an den Dienstleister auslagern oder nur einen Teil der MDR-Aufgaben, wobei der Dienstleister mit dem vorhandenen IT-Sicherheitsteam des Kunden zusammenarbeitet. Bei diesem Modell kann der Dienstanbieter dafür verantwortlich sein, Bedrohungen zu erkennen und das Sicherheitsteam des Kunden zu benachrichtigen, um auf Bedrohungen zu reagieren.
Bei einem verwalteten Erkennungs- und Reaktionsdienst stellt der Dienstanbieter die zu erforderlichen Sicherheitstechnologien bereit, die für den Dienst notwendig sind. Diese Technologien werden in der Regel virtuell über die Cloud bereitgestellt, wobei nur wenig Hardware in den Räumlichkeiten des Kunden installiert wird. Alternativ können je nach den Bedürfnissen des Kunden auch Hardware-Sicherheitsgeräte eingesetzt werden. MDR-Anbieter können verschiedene Sicherheitstechnologien als Teil des Dienstes nutzen. Dazu können Netzwerk-Firewalls, Endpoint Detection and Response (EDR), Network Detection and Response (NDR), Security Information Event Management (SIEM) gehören. Je nach Dienstanbieter können die Technologien dann so integriert werden, dass sie mit den bestehenden Sicherheitsanwendungen des Kunden zusammenarbeiten. Der MDR-Dienstleister wird höchstwahrscheinlich Bedrohungsdaten in seine Dienste einbeziehen, um die Erkennung der neuesten und fortschrittlichsten Bedrohungen zu verbessern.
Oft gibt es ein einheitliches Portal, über das sich der Kunde einen Überblick über seine Sicherheitslage verschaffen kann. Der MDR-Dienstleister kann auch regelmäßige Sicherheitsberichte vorlegen, um den Kunden über die Anzahl der festgestellten Angriffe und deren Behandlung zu informieren.
Managed Detection and Response ist seit dem Jahr 2010 auf dem Vormarsch und hat im Laufe der Jahre stark an Bedeutung gewonnen. Laut Gartner’s Marktführer für Managed Detection and Response Services 2021, wird der MDR-Markt "bis 2025 schätzungsweise einen Umsatz von 2,15 Mrd. $ erreichen, im Vergleich zu dem Jahr 2021 mit einem Umsatz von 1,03 Mrd. $ entspricht das einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 20,2 %". Es gibt zwei Hauptgründe für die Einführung von MDR, die es für Organisationen unverzichtbar machen: Ressourcen und Fachwissen. Denn MDR hilft Unternehmen, die nicht über die Ressourcen und das Fachwissen verfügen, um ein SOC zu betreiben, wie z. B. KMUs und öffentliche Einrichtungen wie Krankenhäuser.
Das größte Argument für eine verwaltete Erkennung und Reaktion ist der derzeitige Fachkräftemangel im Bereich der Cybersicherheit. Laut der 2021 (ISC)2 Cybersecurity Workforce Studie muss die Zahl der Beschäftigten im Bereich Cybersicherheit weltweit um sage und schreibe 65 % steigen, um den aktuellen Anforderungen gerecht zu werden. Diese Talentlücke in der Cybersicherheit stellt für Unternehmen ein großes Problem dar. Zudem sind Sicherheitstechnologien nur bis zu einem gewissen Grad ausreichend, um ein Unternehmen zu schützen. Sicherheitsexperten müssen Sicherheitswarnungen analysieren und untersuchen, um Bedrohungen zu erkennen und darauf zu reagieren. Unterbesetzte Sicherheitsteams können an Alarmmüdigkeit leiden und sind nicht in der Lage, eine kontinuierliche 24x7-Überwachung durchzuführen. Zu ihrem Tätigkeitsbereich gehört außerdem Sicherheitsrichtlinien zu erstellen und sie kontinuierlich anzupassen, damit sie relevant bleiben. Selbst die automatisierten Aufgaben, die von den Sicherheitstools ausgeführt werden, werden vom Sicherheitspersonal konfiguriert. Ohne die entsprechenden Experten sind selbst Unternehmen, die die neuesten und teuersten Sicherheitstechnologien einsetzen, nicht vor Cyberangriffen geschützt. Das macht MDR zur idealen Wahl für KMUs, die eigene Sicherheitsabläufe nicht etablieren können oder wollen, oder für größere Unternehmen, die ihr bestehendes Sicherheitsteam unterstützen wollen.
Die Bedrohungsakteure entwickeln zunehmend ausgeklügelte Malware und Methoden um nicht entdeckt zu werden. Immer wieder werden Schwachstellen in den Produkten großer Entwickler aufgedeckt, wie von Microsoft, Google, und Apple, deren Lösungen von Millionen Unternehmen tagtäglich genutzt werden. Die sich ständig weiterentwickelnde Bedrohungslandschaft bedeutet, dass Unternehmen, die heute geschützt sind möglicherweise in ein paar Tagen oder Wochen, geschweige denn Monaten, nicht mehr sicher sind. Um die Wirksamkeit ihrer Sicherheitsmaßnahmen aufrechtzuerhalten, müssen Unternehmen ständig über die neuesten Sicherheitsrisiken und -trends auf dem Laufenden bleiben. Dies kann für kleine und mittlere Unternehmen eine zu große Belastung darstellen, insbesondere wenn zusätzliche Sicherheitseinrichtungen erforderlich sind. Mit einem MDR-Dienst müssen Unternehmen nicht immer auf dem neuesten Stand über Cybersecurity Risiken sein, da der Dienstanbieter die Verantwortung für Sicherheitsfragen übernimmt. Außerdem ist die Nutzung zusätzlicher Sicherheitsfunktionen aus der Cloud in der Regel billiger als der Kauf neuer Hardware-Geräte.
Unternehmen sind möglicherweise vorsichtig, wenn es darum geht, Dritten Zugang zu ihrem Netzwerk und ihren Systemen zu gewähren. Die Anbieter von MDR-Diensten unterliegen jedoch Datenschutzgesetzen und -vorschriften wie der EU-Datenschutzgrundverordnung (DSGVO). Jeder Verstoß kann zu hohen Geldstrafen und Bußgeldern führen. Aus diesem Grund erheben und speichern MDR-Dienstleister in der Regel nur Daten, die für Sicherheitszwecke erforderlich sind. Die Kunden haben auch die Möglichkeit zu wählen, welche Daten gesammelt und wie lange sie gespeichert werden.
Ein Angriff auf die Lieferkette ist eine Art von Cyberangriff, bei dem der Angreifer in das Unternehmensnetzwerk über einen Dritten, der Zugriff auf das Netz hat, eindringt. Der Angreifer infiltriert zuerst die Drittanbieterorganisation, wie einen Softwareanbieter oder einen Managed Service Provider (MSP). Anschließend nutzen sie den vertrauenswürdigen Zugang Dritter aus, um sich ungehinderten Zugang zum Netzwerk ihres eigentlichen Ziels zu verschaffen. MDR-Dienstleister laufen auch Gefahr, als Dreh- und Angelpunkt für einen Angriff auf die Lieferkette genutzt zu werden. Da sie jedoch selbst im Bereich der Cybersicherheit tätig sind, sind die Risiken relativ gering.
Ein weiteres Problem bei MDR-Diensten ist, dass ein Drittanbieter das Geschäft des Unternehmens möglicherweise nicht so gut versteht wie ein internes Sicherheitsteam. Das kann durchaus der Fall sein. MDR-Dienstleister können jedoch durch die anfängliche Sicherheitsbewertung, die Überprüfung der Anlagen und die kontinuierlichen Sicherheitsmaßnahmen viel über das Unternehmen erfahren. Mit der Zeit gewinnen die MDR-Dienstleister ein ausreichendes Verständnis für das Geschäft des Unternehmens, um dessen Netzaktivitäten besser zu verstehen.
ForeNova Managed Detection and Response (MDR) wurde entwickelt, um Unternehmen dabei zu unterstützen, ihre Sicherheitsabläufe zu verbessern und sich besser gegen die ständig wachsende Bedrohungslandschaft zu schützen. Unser MDR-Service nutzt das Konzept der Mensch-Maschine-Intelligenz, eine Kombination aus den neuesten Sicherheitstechnologien und menschlicher Erfahrung, Wahrnehmung und Skepsis.
Das Konzept der Mensch-Maschine-Intelligenz macht sich die Synergie zwischen Technologie und menschlicher Logik zunutze, die durch jahrelange, fein abgestimmte Prozesse und Verfahren zusammengeführt werden. Dadurch ist ForeNova MDR in der Lage, schnell und präzise einen ganzheitlichen Bedrohungserkennungs- und Reaktionsdienst bereitzustellen.