Die Bedrohungslandschaft entwickelt sich in rasantem Tempo, und die Angriffsflächen für Cyberangriffe auf Unternehmen werden immer größer. Viele Trends und Entwicklungen wurden durch den Anstieg der Investitionen in die digitale Transformation während und nach der COVID-19-Pandemie beschleunigt.
Die wachsende Angriffsfläche führt jedoch häufig zu einer Kluft zwischen Angreifern und Verteidigern - in Bezug auf Fertigkeiten, Fähigkeiten und Ressourcen. Glücklicherweise gibt es Dinge, die Sicherheitsteams in Unternehmen tun können, um einen Teil der Initiative (wieder) zu gewinnen. So können sie beispielsweise sicherstellen, dass ihr Ansatz proaktiv ist und Prävention, Erkennung und Reaktion berücksichtigt, möglicherweise auch durch Auslagerung von Fähigkeiten an erfahrene Branchenpartner.
Managed Detection and Response (MDR) vereint all dies. Aber nicht alle Lösungen sind gleich. Lassen Sie uns daher einen Blick darauf werfen, warum Ihr Unternehmen möglicherweise MDR benötigt, und auf fünf wichtige Punkte, auf die Sie bei einem Serviceangebot achten sollten.
Warum brauchen Sie MDR?
Die durch die Pandemie ausgelösten Investitionsschübe lassen sich unter anderem an folgenden Trends ablesen:
- Die zunehmende Verbreitung von Cloud Computing übersteigt die internen Fähigkeiten, was zu Fehlkonfigurationen führt, die das Unternehmen angreifbar machen.
- Eine sich entwickelnde hybride Arbeitsumgebung, die möglicherweise mehr unverwaltete Maschinen zu Hause und mehr abgelenkte, risikofreudige Mitarbeiter bedeutet, die sie benutzen.
- Die zunehmende Komplexität der Lieferkette bietet Angreifern die Möglichkeit, Managed Service Provider (MSPs), vorgelagerte Open-Source-Repositories und kleinere Anbieter ins Visier zu nehmen.
- Ransomware-as-a-Service (RaaS), das die Möglichkeiten stark vereinfacht hat, ausgeklügelte mehrstufige Ransomware-Angriffe zu starten.
- Verwendung von legitimen Werkzeugen für laterale Bewegungen in Netzwerken, die es schwieriger machen, die verräterischen Anzeichen eines Einbruchs zu erkennen.
- Der Cybercrime- Untergrund ist voller gestohlener Daten, so dass es für Angreifer ein Kinderspiel sein könnte, sich mit legitimen Anmeldedaten an den Schutzmaßnahmen vorbeizuschleichen.
- Ein ausgereiftes Cybercrime-Wirtschaftssystem, in der einzelne Akteure, wie z. B. Initial Access Brokers (IABs), alle eine klar definierte Rolle in der Angriffskette spielen.
- Eine Zunahme veröffentlichter CVEs, die Bedrohungsakteuren noch mehr Möglichkeiten bietet, ihre Ziele zu gefährden.
All diese Trends und mehr machen eine Kompromittierung wahrscheinlicher. Im Jahr 2021 erreichten die öffentlich gemeldeten Datenschutzverletzungen in den USA einen neuen Höchststand. Und es macht diese Vorfälle schwieriger zu erkennen und kostspieliger, sie einzudämmen. Die durchschnittliche Zeit bis zur Erkennung und Eindämmung einer Datenschutzverletzung beträgt mittlerweile 277 Tage, und die durchschnittlichen Kosten belaufen sich auf 4,4 Millionen US-Dollar für 2.200-102.000 kompromittierte Datensätze.
Wenn Vorsorge nicht ausreicht
In diesem Zusammenhang ist ein präventiver Sicherheitsansatz einfach nicht gut genug. Entschlossene Bedrohungsakteure werden immer einen Weg in Ihr Unternehmensnetzwerk finden - wenn nicht über die Ausnutzung von Schwachstellen, dann über gestohlene, gefälschte oder geknackte Anmeldedaten. Das bedeutet, dass Sie Ihre Präventivmaßnahmen um die Erkennung und Reaktion auf Bedrohungen ergänzen müssen. Dieser Ansatz geht davon aus, dass Sie, wenn Angreifer Ihre Verteidigungsmaßnahmen überwinden, über eine kontinuierliche, granulare Überwachung verfügen, um Anzeichen verdächtiger Aktivitäten zu erkennen, bevor die Bösewichte eine Chance hatten, etwas zu bewirken. Ihr SecOps-Team reagiert schnell, um den Vorfall einzudämmen, bevor er zu einer ernsthaften Verletzung wird.
"Extended Detection and Response" (XDR) ist ein zunehmend beliebter Weg, dies zu erreichen. Sie kombiniert kritische Erkennungsfunktionen über Endpoints, E-Mail, Cloud und andere Ebenen hinweg mit Reaktions- und Abhilfemaßnahmen, um Angreifer zu stoppen. Für einige Unternehmen ist XDR jedoch kein Allheilmittel. Ihre Nützlichkeit kann begrenzt sein durch:
- Qualifikationsdefizite im Unternehmen, die dazu führen, dass es nur wenige geschulte Analysten gibt, die die XDR-Werkzeuge bedienen können.
- Einsatz- und Managementherausforderungen, zum Teil aufgrund von Personalknappheit, die besonders akut werden bei der Verwaltung von XDR in internationalen Organisationen.
- Hohe Personalkosten und Kosten für den Kauf und die Wartung der richtigen XDR-Tools
- Überlastung durch Alarme der Tools, die Bedrohungen für gestresste Analysten nicht richtig priorisieren können
Aus diesem Grund wird zunehmend MDR bevorzugt. Damit wird die Verwaltung von XDR effektiv an einen fachkundigen Outsourcing-Anbieter übergeben, dessen geschulte Analysten die Erkennung, Priorisierung, Analyse und Reaktion auf Bedrohungen übernehmen. Doch wie können Sie bei so vielen Lösungen auf dem Markt die richtige für Ihr Unternehmen auswählen?
Fünf Dinge, auf die Sie bei einem MDR-Anbieter achten sollten
MDR ist im besten Falle eine Mischung aus branchenführender Technologie und menschlichem Fachwissen. Sie kommen in einem verwalteten Security Operations Center (SOC) zusammen, in dem erfahrene Bedrohungsjäger und Incident Manager die Ergebnisse der Tools analysieren, um Cyber-Risiken zu minimieren. Hier sind fünf Dinge, auf die Sie bei einem Dienst achten sollten:
- Hervorragende Erkennungs- und Reaktionstechnologie: Nehmen Sie Anbieter in die engere Auswahl, deren Produkte für hohe Erkennungsraten, geringe Fehlalarme und einen geringen Gesamtaufwand bekannt sind. Unabhängige Analysteneinschätzungen und Kundenrezensionen können dabei helfen.
- Hervorragende Forschungskapazitäten: Anbieter, die renommierte Virenlabors oder ähnliche Einrichtungen betreiben, sind am besten in der Lage, neue Bedrohungen zu stoppen. Das liegt daran, dass ihre Experten jeden Tag neue Angriffe erforschen und herausfinden, wie man sie abwehren kann. Diese Erkenntnisse sind in einem MDR-Kontext von unschätzbarem Wert.
- 24/7/365 Support:Cyber-Bedrohungen sind ein globales Phänomen, und Angriffe können von überall her kommen. Daher müssen MDR-Teams die Bedrohungslage zu jeder Tages- und Nachtzeit überwachen.
- Erstklassiger Kundendienst: Die Aufgabe eines guten MDR-Teams besteht nicht nur darin, aufkommende Bedrohungen zu erkennen und schnell und effektiv darauf zu reagieren. Es soll wie eine Erweiterung des internen Sicherheits- oder SOC-Teams agieren. Dies sollte eine Partnerschaft sein, nicht nur eine Geschäftsbeziehung. An dieser Stelle kommt der Kundenservice ins Spiel. Die Anbieter sollten lokale Sprachunterstützung mit globaler Präsenz und Lieferung/Bereitstellung verbinden.
- Maßgeschneiderte Dienstleistungen auf Bestellung: Kein Unternehmen ist wie das andere. Daher sollten MDR-Anbieter in der Lage sein, ihre Angebote für jeden Kunden auf der Grundlage seiner Größe, der Komplexität seiner IT-Umgebung und des erforderlichen Schutzniveaus anzupassen.
Der weltweite MDR-Markt wird in den kommenden fünf Jahren voraussichtlich im Durchschnitt um 16 % wachsen und bis 2027 ein Volumen von 5,6 Milliarden US-Dollar erreichen. Da so viel auf dem Spiel steht und es so viele Anbieter gibt, lohnt es sich, vor der Entscheidung eine gründliche Prüfung vorzunehmen.
Das ESET (MDR) Service-Angebot finden Sie hier zusammengefasst:
ESET Services Broschüre