Managed Detection and Response (MDR) können Unternehmen als Service von einem vertrauensvollen Managed Security Service Provider buchen. Der große Vorteil: dafür benötigen Unternehmen kein eigenes SIEM und SOC. Denn der Eigenbetrieb ist teuer und aufwändig. Bei einem erfahrenen MSSP lassen sich diese Komponenten aus einer Hand als Service beziehen und mit MDR kombinieren.
Das kann ein SIEM (nicht) leisten
Ein SIEM sammelt die Logdaten angeschlossener Security Systeme, setzt sie in Verbindung und sucht nach Anomalien, sodass bei ungewöhnlichem Verhalten eine Warnmeldung ausgegeben werden kann. Problematisch dabei ist, dass das SIEM nicht erkennt, ob die Auffälligkeiten sicherheitsrelevant sind und Mitarbeiter mit Alerts überflutet werden – darunter viele False Positives.
Ein typisches Szenario: Ein Mitarbeiter loggt sich aus dem Ausland über VPN in der deutschen Zentrale ein. Für das SIEM sieht das so aus, als würde sich dieselbe Person zweimal von unterschiedlichen Standorten aus anmelden. Es vermutet also einen Hacker-Angriff und schlägt Alarm. Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams diesen Warnmeldungen daher genauer nachgehen – im Angesicht der Datenflut kaum zu schaffen. Daher werden Alerts häufig einfach in einem Postfach gesammelt und nur oberflächlich angeschaut, weshalb auch kritische Hinweise unbemerkt bleiben. Gut, wenn sich ein erfahrener MSSP darum kümmert, der genügend Experten für das SIEM hat
SOC und SOAR: ohne große Teams und viel Erfahrung nicht sehr erfolgversprechend
Letztlich ist es wie in der Fabel vom Hirtenjungen und dem Wolf: Da der Junge mehrfach falschen Alarm auslöste, kommen die Dorfbewohner beim echten Angriff schließlich nicht mehr zur Hilfe. Genauso verhält es sich übertragen auf die IT-Sicherheit: Die Fülle an Alerts stumpft ab und die Ermittlung der wirklichen wichtigen Bedrohung gleicht der Suche nach der Nadel im Heuhaufen.
Auch wenn man für diese Bedrohungsjagd ein eigenes SOC (Security Operations Center) erstellt hat, so bleibt die Ermittlung von bösartigem Code sehr aufwändig. Hierzu benötigt man eine ausreichende Anzahl spezialisierter Security-Mitarbeiter, die die Warnmeldungen aus dem SIEM auswerten. Die Recherche erfolgt in zwei Stufen mit unterschiedlicher Analyse-Tiefe und erfordert viel manuelle Fleißarbeit. Ein SOC zu betreiben ist daher teuer und kaum ein Security-Mitarbeiter macht diesen Job gerne.
Für die Bedrohungsanalyse gibt es glücklicherweise Hilfe in Form von Security Orchestration, Automation and Response (SOAR) Lösungen. Damit lassen sich Analysen automatisiert durchführen und somit Mitarbeiter entlasten und Prozesse beschleunigen. Das Grundproblem aber bleibt: Für den Betrieb eines SOC ist viel Expertenwissen erforderlich – und das ist in Zeiten von Fachkräftemangel rar und teuer. Die meisten Unternehmen entscheiden sich daher gegen den Aufbau eines eigenen SOC – zumal diese Leistung heutzutage auch zu vernünftigen Konditionen als Service in Form von Managed Detection & Response (MDR) bei vertrauenswürdigen MSSPs (Managed Security Service Provider) bezogen werden kann.
Diese Voraussetzungen müssen für den Übergang zum MDR-Service erfüllt sein
Für die Übertragung der Bedrohungsanalyse durch einen MDR-Service müssen Auftraggeber und MSSP klare Verantwortlichkeiten und Schnittstellen definieren.
Anfangs gilt es, zu ermitteln welche Logquellen angebunden werden sollen. Das machen Kunde und MSSP gemeinsam. Häufig ist dabei zum Beispiel die Integration von Microsoft Security-Lösungen wichtig. Denn viele Unternehmen setzen mittlerweile Office 365 ein. Kommt eine E-Mail mit Schadcode an, landet diese nicht mehr auf dem lokalen Exchange Server, sondern in der Cloud. Daher müssen Logs aus den Microsoft Services ins SOAR einfließen, um eine ganzheitliche Sicherheitsbetrachtung zu ermöglichen.
Während sich der MSSP um die Anbindung der Quellen kümmert, liegt es in der Verantwortung des Kunden, die Daten zuverlässig zur Verfügung zu stellen. Außerdem muss er einen Ansprechpartner definieren, der eng mit dem MSSP zusammenarbeitet. An ihn wenden sich die Security-Analysten, sobald sie einen Cybervorfall entdecken. Nur wenn es eine klare Schnittstelle und eine gute Kooperation zwischen den Partnern gibt, kann es gelingen, einen Angriff schnell zu stoppen.
Augen auf bei der MSSP-Wahl
Sie sollten einen MSSP wählen, der auf Security Services spezialisiert ist, führende Technologie einsetzt und über erfahrene Analysten verfügt. Da nicht jedes SOAR mit den Endpunkt-Security-Lösungen jedes Herstellers kompatibel ist, sollten Sie außerdem ein Auge darauf haben, dass der Anbieter den eigenen Security Stack unterstützt. Ein MSSP zeichnet sich dadurch aus, dass er sowohl standardisierte Services anbietet, diese bei Bedarf aber auch individuell anpasst. Entgegen der allgemeinen Vorstellung ist eine 24/7-Bereitschaft nicht nötig. Denn wenn die SOC-Mitarbeiter Sonntagnachmittag einen Vorfall entdecken, können sie zwar den IT-Notdienst beim Kunden anrufen. Der erreicht im Normalfall aber niemanden aus dem Management. Doch wenn es darum geht, Systeme vom Netz zu nehmen, muss das in der Regel die Geschäftsleitung entscheiden.