Unternehmen müssen immer mit einem Cybervorfall rechnen. Denn Cyberkriminelle sind heute professionell organisiert, gehen zunehmend aggressiv zu Werke und setzen modernste Technik ein. Früher oder später wird es ihnen gelingen, auch die beste Verteidigungslinie zu durchbrechen. Um Schaden zu minimieren, ist es wichtig, den Angriff möglichst schnell zu erkennen und zu stoppen. Dafür werden nicht nur modernste Security-Lösungen benötigt, sondern auch Experten, die sie betreiben, Warnmeldungen analysieren und passende Gegenmaßnahmen entwickeln. All das inhouse zu stemmen ist für kleine und mittelständische Unternehmen in der Regel schwer zu bewerkstelligen. Der Trend geht daher zu Managed Detection & Response (MDR): Ein Dienstleister wie indevis stellt dann die passende Security-Technologie und Expertise bereit und verständigt und unterstützt den Kunden bei den nächsten Schritten, sobald er eine Bedrohung erkennt. Wie man den richtigen Anbieter findet und MDR am besten einführt, erfahren Sie in den nachfolgenden fünf Tipps.
1. Wählen Sie einen spezialisierten, erfahrenen Dienstleister
MDR erfordert fundiertes Fachwissen. Das erwirbt man nicht kurzfristig, sondern muss es langwierig aufbauen. Wählen Sie einen Anbieter, der auf Managed Security Services spezialisiert ist und nachweislich langjährige Erfahrung auf diesem Gebiet hat. Er sollte sich mit neuester Security-Technologie, Threat Intelligence und aktuellen Angriffsszenarien auskennen. Aufschluss darüber geben zum Beispiel Zertifikate, Kundenreferenzen oder Mitarbeiterprofile. Auch Managed Security Services Provider (MSSPs) leiden unter Fachkräftemangel. Vergewissern Sie sich, dass der Dienstleister genügend Personal hat und Experten beschäftigt. Besuchen Sie ihn doch einmal persönlich und lassen Sie sich zeigen, wie er arbeitet.
2. Achten Sie auf einen hohen Automatisierungsgrad
Von entscheidender Bedeutung für das gute Funktionieren eines MDR-Services, sind die vom Anbieter eingesetzten Technologien. Bei der Bedrohungserkennung kommt es auf Geschwindigkeit und Treffsicherheit an. Hier kommt eine SOAR-Lösung (Security Orchestration, Automation and Response) in Kombination mit einem SIEM (Security Information and Event Management) ins Spiel: Sie analysieren die Logdateien der angeschlossenen Systeme und führen für die Identifikation von Angriffsszenarien anhand von Playbooks automatisiert Prüfmechanismen durch. Dabei nutzen sie hinterlegte Logiken und beziehen Informationen aus verschiedenen Threat-Intelligence-Quellen ein. Ein gutes SOAR bringt bereits viele vorgefertigte Playbooks für gängige Incidents mit. Der MSSP kann diese individuell an Kundenbedürfnisse anpassen, weiterentwickeln und immer auf dem neuesten Stand halten.
3. Prüfen Sie, ob und wie sich Ihre Logquellen anbinden lassen
Eine Herausforderung bei MDR-Projekten ist die Anbindung der Logquellen. Nicht jede MDR-Lösung kann Informationen von Endpunkt-Security-Lösungen jedes Herstellers verarbeiten. Daher sollten Sie vorab prüfen, ob die Security-Technologien des MDR-Anbieters mit Ihrem eigenen Security-Stack kompatibel sind. Diese Problematik entfällt, wenn der MDR-Service ein herstellerunabhängiges, Cloud-natives SIEM wie Google Chronicle als Zwischenschicht einsetzt. Damit lassen sich verschiedenste Logquellen einfach per API und Syslog einbinden. Auf diese Weise lassen sich auch Telemetriedaten aus Cloud-Diensten wie Office 365 und Azure ID integrieren. Google Chronicle normalisiert die Daten automatisch, sodass sie richtig aufbereitet für die Analyse bereitstehen.
4. Sichern Sie sich Unterstützung im Incident-Fall
Was passiert, wenn durch den MDR-Service eine Bedrohung erkannt wird? In diesem Fall sollte der Dienstleister gemeinsam mit dem Kunden den Incident dann tiefer analysieren und Schritt für Schritt Schutzmaßnahmen einleiten. Unternehmen sollten darauf achten, dass der MSSP bei einem Cyberangriff dank seiner engen Vernetzung ein spezialisiertes CERT (Computer Emergency Response Team) schnell hinzuziehen kann. Die Forensiker ermitteln, was genau passiert ist, auf welchem Weg der Angreifer ins Netzwerk gelangt ist, sammeln gerichtsfeste Beweise und versuchen die Täter zu identifizieren. Gemeinsam mit dem MDR-Dienstleister helfen sie Ihnen dabei, die richtigen Entscheidungen zu treffen, Systeme zu bereinigen und schnell wieder in Betrieb zu nehmen.
5. Definieren Sie interne Ansprechpartner und Prozesse
Um MDR einzuführen, sind Sie auf eine enge Zusammenarbeit mit dem Dienstleister angewiesen. Denn auch bei einem Managed Security Service sind Sie nie ganz aus der Verantwortung. Wer ist der Ansprechpartner für einen MSSP, wenn er eine Bedrohung erkennt? Wer berichtet an wen und wer trifft im Ernstfall in Ihrem Unternehmen die Entscheidungen – zum Beispiel, ob man geschäftskritische Systeme vom Netz nimmt? Hier ist es von besonderer Wichtigkeit, klare Schnittstellen und Abläufe zu definieren. Außerdem ermittelt der MSSP beim Onboarding gemeinsam mit Ihnen, welche Logquellen Sie an die MDR-Plattform anschließen möchten. Sie selbst müssen dann dafür sorgen, dass die Daten zuverlässig zur Verfügung stehen. Oder Sie sourcen das Management dieser Systeme ebenfalls an einen Dienstleister aus.
Fazit
Kleine und mittelständische Unternehmen (KMUs) sind zum beliebten Angriffsziel für Cyberkriminelle avanciert. Es ist keine Frage mehr „ob“, sondern nur noch „wann“ man angegriffen wird. KMUs fällt ein angemessener Schutz schwer, denn meist fehlen ihnen sowohl Security-Spezialisten als auch geeignete Technologie. MDR löst dieses Problem. Denn ein eigenes SOC einzurichten, lohnt sich meist nur für große Unternehmen. Weil aber der Betrieb sehr aufwändig ist, kommen selbst diese häufig wieder davon ab. Dank MDR profitieren auch kleine und mittelständische Betriebe von modernster Security-Technologie wie die Großen. Mit einem erfahrenen, spezialisierten Partner an ihrer Seite sparen sie interne Ressourcen und erhöhen die Sicherheit.
