indevis Managed
Detection & Response

Ein SIEM ist eine Unterstützung im Kampf gegen Cyberbedrohungen, um bösartige Aktivitäten schnellstmöglich zu erkennen und zu stoppen, bevor sie großen Schaden anrichten. Doch die bloße Installation und Konfiguration eines SIEM reicht nicht aus. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber benötigt man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.

Ein SIEM sammelt die Logdaten angeschlossener Security Systeme, korreliert sie und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Warnmeldung aus. Das Problem dabei: Das SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind. Dadurch überflutet es Security-Mitarbeiter geradezu mit Alerts. Ein Großteil davon sind False Positives, die oft ganz harmlose Ursachen haben – etwa eine Software-Installation, die Hashwerte von Dateien ändert, oder ein Backup, das außer der Reihe läuft.

Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams die Warnmeldungen genauer untersuchen. Weil das angesichts der Datenflut kaum jemand schafft, laufen die Alerts häufig einfach in einem Postfach auf und werden nur kurz überflogen. Dadurch bleiben allerdings auch kritische Hinweise unbemerkt.

Um das Problem der SIEM Alerts-Überflutung zu lösen, haben größeren Unternehmen meist ein SOC (Security Operations Center) eingerichtet. Hier sind spezialisierte Security-Mitarbeiter damit beschäftigt, die Warnmeldungen aus dem SIEM auszuwerten. Gibt es Hinweise darauf, dass ein Log-Event gefährlich ist? Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall oder ist ein Code-Schnipsel oder eine URL schon als bösartig bekannt? Auf der Suche nach Antworten durchforsten die Level-1-Analysten die Threat-Intelligence-Datenbanken der Security Anbieter und müssen bei jeder Recherche die aktuellen Bedrohungsinformationen von Neuem abrufen. Werden Anzeichen für eine Cyberbedrohung erkannt, übernehmen die Level-2-Analysten mit tiefergehenden Untersuchungen. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und ermitteln, ob es sich tatsächlich um einen Angriff handelt.

Die Untersuchung der Sicherheitsmeldungen ist aufwändig und erfordert Expertenwissen. Ein SOC zu betreiben ist daher ziemlich teuer. Zudem verstreicht bei der manuellen Analyse wertvolle Zeit, während der ein Cyberangriff im Ernstfall unbehindert weiter voranschreitet. Moderne SOCs setzen daher auf eine Lösung für Security Orchestration, Automation and Response (SOAR). Diese kann Mitarbeiter erheblich entlasten und Prozesse beschleunigen, indem sie Level-1-Analysen automatisiert durchführt. Ein SOAR ist in der Lage, riesige Datenmengen in wenigen Sekunden zu verarbeiten und Informationen mit den verschiedensten Threat-Intelligence-Quellen zu überprüfen. Es bereitet die Recherche-Ergebnisse so intelligent und übersichtlich auf, dass SOC-Mitarbeiter schnell ein komplettes Bild von einem Angriffsvektor erhalten.

Künstliche Intelligenz in SOAR für effizientere Sicherheitsvorgänge

Die Automatisierung im SOAR erfolgt mithilfe sog. Playbooks, in denen Workflows und Logiken hinterlegt sind, die das System abarbeitet. SOC-Mitarbeiter können sowohl auf eine Vielzahl an vorgefertigten Playbooks für verschiedene Incidents zurückgreifen als auch neue definieren und mit anderen teilen. Die im SOAR integrierte KI lernt aus Incident-, Indikator- und Analysedaten und erhöht somit die Produktivität, beschleunigt die Entwicklung von Playbooks und ermöglicht schlankere Sicherheits­vorgänge. Im Laufe der Zeit wird somit immer mehr Know-how angesammelt, die Arbeit im SOC wird effizienter, die Zahl der zu überprüfenden Alarme wird reduziert und die Reaktion auf einen Sicherheitsvorfall deutlich beschleunigt.

Managed Detection and Response (MDR) ist ein Managed Security Service (MSS), um Bedrohungen schnell zu erkennen und zu bekämpfen. Das Ziel besteht darin, Angriffe so früh zu stoppen, dass sie keinen Schaden anrichten. Dafür bietet der MSS Provider ein Komplettpaket: Er stellt die passende Sicherheitstechnologie bereit, betreibt sie und analysiert die Warnmeldungen, die die Systeme ausgeben. Außerdem unterstützt er seine Kunden mit Handlungsempfehlungen zu Gegenmaßnahmen und hilft ihnen bei Bedarf dabei, diese umzusetzen.

Managed Endpoint Detection and Response ist ein Bestandteil von MDR. Als Endpoint bezeichnet man alle Systeme, die an ein Netzwerk angeschlossen sind, zum Beispiel Server, Desktop-PCs oder Smartphones. Tools für Endpoint Detection and Response (EDR) überwachen das Verhalten dieser Systeme und geben Warnmeldungen aus, wenn sie verdächtige Aktivitäten erkennen. Bei Managed EDR erfolgt dies als Managed Service. MDR kann noch einen Schritt weiter gehen und nicht nur Endpunkte, sondern die gesamte IT-Umgebung berücksichtigen – also auch das Netzwerk und Cloud Services. Für eine erleichterte Bearbeitung der Warnmeldungen kommt eine übergreifende SOAR-Plattform (Security Orchestration, Automation and Response) zum Einsatz.

Unter Threat Detection versteht man Technologien zur Erkennung von Cyber-Bedrohungen. MDR umfasst nicht nur Managed Threat Detection, sondern auch Managed Response: Unternehmen erhalten Handlungsempfehlungen zur Reaktion, um die identifizierten Bedrohungen zu mindern, Attacken zu stoppen und Schaden zu minimieren.

Viele Unternehmen setzen ein Security Information and Event Management (SIEM) ein, um Logdateien der Sicherheitssysteme in der IT-Umgebung zu sammeln und zu korrelieren. Solche Lösungen suchen nach auffälligen Verhaltensweisen und können Anomalien identifizieren. In der Regel sind sie jedoch nicht in der Lage zu erkennen, ob es sich um einen Cyberangriff handelt oder nicht. Denn viele Auffälligkeiten haben auch ganz harmlose Ursachen, zum Beispiel wenn ein Backup außer der Reihe läuft oder Administratoren Systeme patchen.

Ein SIEM gibt täglich Hunderte von Alerts aus, von denen ein Großteil False Positives sind. Unternehmen brauchen Mitarbeiter, die diese Warnungen sichten, bewerten und im Verdachtsfall genauer untersuchen. Das erfordert nicht nur spezialisiertes Know-how, sondern ist auch aufwändig und kostet viel Zeit. Kaum ein mittelständisches Unternehmen kann dies leisten. Viele nutzen ihr SIEM daher nur als Logspeicher, um relevante Daten zu sammeln. Für das Erkennen von Bedrohungen genügt das nicht. Bei MDR übernehmen Sicherheitsexperten des MSSPs die Auswertung der Warnmeldungen aus dem SIEM. Sie verständigen den Kunden, sobald Handlungsbedarf besteht, und helfen ihm, schnell und richtig zu reagieren.

SOC steht für Security Operations Center. Hier arbeiten IT-Sicherheits-Spezialisten, die Systeme überwachen und Warnmeldungen auswerten, die das SIEM ausgibt. Ein SOC zu betreiben ist jedoch aufwändig und ziemlich teuer. Vor allem geeignete Sicherheitsexperten zu finden, ist schwer. Denn in der Cybersecurity herrscht akuter Fachkräftemangel. Für kleinere und mittelständische Unternehmen ist es daher einfacher, gleich auf Services für MDR zu setzen: Hier sind SOC-Services und die benötigte Technologie bereits enthalten – ebenso wie Handlungsempfehlungen zur Umsetzung von reaktiven Maßnahmen.

Ein SOAR (Security Operation, Automation and Response) ist eine Sicherheitsplattform, die dazu dient, SOC-Prozesse zu automatisieren und zu optimieren. Das ist wichtig, um Bedrohungen schneller zu erkennen und schneller zu reagieren. Denn viele Attacken finden heute automatisiert statt. Nur wenn die IT-Sicherheit mit ihnen Schritt halten kann, gelingt es, sie rechtzeitig zu stoppen. Modern aufgestellte SOC-Teams und MDR-Services setzen daher eine SOAR-Lösung ein.

So optimiert ein SOAR die Bedrohungserkennung:

In einem SOC arbeiten in der Regel sogenannte Level-1- und Level-2-Analysten. Die Level-1-Analysten untersuchen zunächst, ob eine Warnmeldung tatsächlich auf einen Sicherheitsvorfall hindeutet. Das erfordert aufwändige manuelle Recherche: Die Experten gleichen die Daten mit Vorfällen aus der Vergangenheit ab und ziehen Informationen aus den Threat Intelligence-Datenbanken der Cybersecurity-Anbieter heran. Diese Bedrohungsinformationen müssen jedes Mal neu abgerufen werden, damit sie auf dem aktuellen Stand sind. Falls die Level-1-Analyse auf bösartige Aktivitäten hindeutet, kommen die Level-2-Analysten ins Spiel. Sie führen tiefere Untersuchungen durch und ermitteln gemeinsam mit dem IT-Team vor Ort, was genau passiert ist.

Ein SOAR kann Level-1-Analysen automatisiert durchführen und dadurch die Detection and Response erheblich effizienter machen. Es verarbeitet in wenigen Sekunden riesige Datenmengen, überprüft Threat-Intelligence-Quellen und bereitet Rechercheergebnisse übersichtlich auf. Sicherheitsmitarbeiter erhalten schnell ein komplettes Bild von einem Angriffsvektor und können sofort mit der Level-2-Analyse beginnen. Laut Angaben des Herstellers Palo Alto Networks lässt sich so die Reaktion auf einen Sicherheitsvorfall um bis zu 90 Prozent beschleunigen.

Theoretisch kann ein SOAR auch automatisiert auf eine identifizierte Bedrohung reagieren und zum Beispiel selbstständig Firewall-Regeln anpassen. In der Praxis ist das jedoch nicht empfehlenswert. Denn Response-Maßnahmen sollten immer wohl überlegt sein. Unternehmen müssen Risiken gegeneinander abwägen und jede Situation individuell bewerten. Denn wenn die Änderung einer Firewall-Regel dazu führt, dass wichtige Dienste nicht mehr verfügbar sind oder ein Produktionsstandort abgeschnitten ist, könnte das womöglich größeren Schaden anrichten als der eigentliche Cyberangriff. Bei modernen Services für MDR kommt SOAR zwar zur Optimierung der Bedrohungserkennung zum Einsatz, anschließend übernehmen aber menschliche Sicherheitsexperten. Sie stimmen sich eng mit Ihnen ab und machen Vorschläge zur geeigneten Reaktion. Ob Sie den Empfehlungen folgen möchten, entscheiden Sie selbst.

Cyberattacken werden immer komplexer und zahlreicher. Auch mit den besten präventiven Schutzmaßnahmen kann es daher vorkommen, dass eine Attacke durchdringt. Je früher Sie Angriffe erkennen, umso eher können Sie sie stoppen und Schaden minimieren. Eine leistungsfähige Detection and Response spielt daher eine wichtige Rolle, um die Resilienz zu erhöhen und auch im Falle eines Hacks betriebsfähig zu bleiben. Das im Alleingang zu stemmen, ist für mittelständische Unternehmen angesichts der wachsenden Bedrohungslandschaft schwer.

Services für MDR können die Herausforderungen lösen:

• Fachkräftemangel: Es reicht nicht aus, in moderne Sicherheitstechnologie zur Überwachung von Endgeräten und zur Erkennung von Bedrohungen zu investieren. Man muss die Systeme auch bedienen, managen und Warnmeldungen auswerten. Kaum ein mittelständisches Unternehmen hat dafür genug Personal, denn Cybersecurity-Spezialisten sind auf dem Arbeitsmarkt Mangelware. Bei MDR stellt der MSS Provider die Experten zur Verfügung.
  
  
• Teure, komplexe Technologie: Um Cyberattacken zu erkennen, muss man riesige Datenmengen auswerten. Nur mithilfe von Automatisierung gelingt dies schnell genug. Unternehmen brauchen daher eine SOAR-Lösung. Solche Plattformen sind jedoch für große SOCs gedacht. Sie sind nicht nur teuer, sondern auch aufwändig einzurichten und komplex zu managen. Bei MDR stellt der MSSP das SOAR, bindet bedarfsweise Endpoint-, Netzwerk- und Cloud-Logquellen an und kümmert sich um den Betrieb.
  
  
• Schnell reagieren: Wenn Sicherheitssysteme und Security-Analysen auf einen Cybervorfall hindeuten, müssen Unternehmen in der Lage sein, schnell die richtigen Maßnahmen zu ergreifen, um den Eindringling zu stoppen. Dafür brauchen sie Experten, die genau wissen, was zu tun ist. Bei MDR gibt ein MSSP Handlungsempfehlungen. Er zieht Partner für die IT-Forensik und Notfall-Einsätze hinzu, falls dies erforderlich ist.

Cyberangriffe verlaufen meist in mehreren Stufen. Oft vergehen von der Erstinfektion bis zur feindlichen Übernahme von Endgeräten oder Systemen mehrere Tage oder sogar Wochen. Der Hacker erkundet das Netzwerk, sucht nach den Kronjuwelen und lädt Schadcode nach. Dabei hinterlässt er Spuren. Wenn es Ihnen gelingt, den Angriff während dieses Zeitfensters zu stoppen, können Sie Schaden vermeiden.

Mit Services für MDR sind Sie auch ohne eigenes SOC und SOAR in der Lage, Bedrohungen sehr schnell zu erkennen und richtig zu reagieren. Mittelständische Unternehmen können sich dadurch genauso gut schützen wie große Konzerne. Sie profitieren von spezialisierten Analysten und neuester Technologie für die Bedrohungs-Erkennung, ohne dass sie diese selbst bereitstellen müssen.

indevis erbringt seinen MDR-Service mit einem eigenen SOC-Team und einer selbstbetriebenen MDR-Plattform aus seinen zertifizierten Rechenzentren. Wir setzen dafür die Cortex xSOAR-Plattform von Palo Alto ein. Sie zählt zu den führenden SOAR-Lösungen auf dem Markt. An das xSOAR binden wir die Datenquellen an – zum Beispiel Ihr SIEM, Palo Alto XDR und Microsoft Defender für Office 365. Für die Anbindung der Logquellen kommt Google Chronicle zum Einsatz, denn diese SIEM & Security Operations Suite agiert beim Thema Logdaten absolut herstellerneutral.

Alle eingehenden Daten werden in einem Data Lake gesammelt, das xSOAR korreliert und analysiert sie KI-gestützt. Dafür zieht es Threat Intelligence-Datenbanken heran. Mithilfe von Playbooks, in denen Logiken und Workflows hinterlegt sind, führt die Plattform (teil-) automatisiert Level-1-Analysen durch. Als Ergebnis gibt sie konkrete Warnmeldungen aus, die ein klares Bild von einem Angriffsvektor zeichnen.

Die Sicherheitsspezialisten von indevis bewerten die Warnungen, untersuchen sie genauer und verständigen im Ernstfall sofort Ihr IT-Team. Gemeinsam besprechen wir dann, welche Schritte jetzt nötig sind und unterstützen Sie bei der Umsetzung. Bei Bedarf ziehen wir weitere Experten hinzu.

MDR ist ideal für alle mittelständischen Unternehmen, die sich mit minimalem Eigenaufwand bestmöglich schützen möchten. Sie brauchen dafür keine eigenen Cybersecurity-Spezialisten, kein SOC und kein SOAR. Große Unternehmen, die selbst ein Security Operations Center betreiben, können mit MDR-Services ihre Mitarbeiter entlasten und ihre Effizienz im SOC erhöhen.

indevis ist seit vielen Jahren auf Security Services für den Mittelstand spezialisiert. Wir setzen führende Technologie für Detection and Response ein und verfügen über erfahrene Sicherheitsanalysten. Kunden profitieren von standardisierten Services, die wir bei Bedarf individuell anpassen. Unser Spezialisten-Team kümmert sich um Einrichtung und Betrieb der SOAR-Plattform, die Anbindung in Frage kommender Endpoint-, Netzwerk- und Cloud-Quellen und die Entwicklung und Pflege der Playbooks. Wir bewerten die Warnmeldungen und verständigen Sie, wenn Handlungsbedarf besteht. Als Partner auf Augenhöhe helfen wir Ihnen, den Vorfall schnell zu meistern.