beazley.security
©2025 Beazley Security. Alle Rechte vorbehalten
Alles Wissenswerte zu MDR
Ein umfassender Leitfaden über "Managed Detection and Response": Funktionen, Trends, Schwächen und mehr
Start
Erkennung und Reaktion – Warum?
Cybersicherheit ist im Wesentlichen eine Schutzdisziplin. Im Idealfall sollten alle bösartigen und gefährlichen Aktivitäten an ihrer Quelle verhindert werden. Leider ist das unmöglich.
Das NIST Cybersecurity Framework (CSF) 2.0 umfasst folgende Kernfunktionen: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Hälfte davon spielen eine Rolle, nachdem Schutzmaßnahmen versagt haben.
Bedrohungen entwickeln sich ständig weiter, um Sicherheitsmaßnahmen zu umgehen. Menschliche Fehler bieten Angreifern die Möglichkeit, auf privilegierte Systeme und Assets zuzugreifen. Selbst die besten Cybersicherheitsprogramme können sich nicht ausschließlich auf Schutzmaßnahmen verlassen.
Aus diesem Grund stehen "Security Operations Center (SOCs)"- und "Incident Response (IR)"-Teams im Zentrum der Cybersicherheit.
Erkennungs- und Reaktionsfähigkeiten:
Die aus der Erkennung und Reaktion gezogenen Lehren sollten in das umfassendere Sicherheitsprogramm einfließen, um ähnliche Bedrohungen in Zukunft zu verhindern. Durch diesen zirkulären Prozess werden Organisationen sicherer und lernen, ihre Ressourcen für die Cybersicherheit effektiv zu nutzen.
Knüpfen dort an, wo schützende Sicherheitskontrollen enden
Identifizieren Bedrohungen, analysieren sie, dämmen sie ein und beheben sie
Minimieren Schäden durch Bedrohungen
Fließen gegebenenfalls auch in die Wiederherstellungsbemühungen ein
Intern oder Outsourcing?
Die Notwendigkeit der Erkennung und Reaktion ist unvermeidlich, aber ihre Form kann variieren.
Sehr große Organisationen entwickeln und pflegen diese Fähigkeiten oft im eigenen Haus. Obwohl dies kostspielig und schwierig ist, kann sich die Investition für Organisationen mit ausreichend großen und komplexen IT-Umgebungen, speziellen Anforderungen und der Fähigkeit, das notwendige Fachwissen einzustellen und zu halten, lohnen.
Den meisten Organisationen fehlen jedoch die Ressourcen oder die Bereitschaft, so viel in eine Funktion außerhalb ihrer Kernkompetenzen zu investieren. Da kann nicht überraschen: Die Logistik des Aufbaus und der Aufrechterhaltung einer effektiven Funktion sowie die dafür benötigten Ressourcen sind erheblich.
Für genau diese Organisationen gibt es Managed Detection and Response (MDR).
Vielleicht ist Ihnen aufgefallen, dass die Überwachung in den NIST-Kernfunktionen nicht besonders hervorgehoben wird. Das liegt daran, dass Überwachung kein Ergebnis ist. Trotzdem ist sie eine grundlegende Voraussetzung, und ohne sie sind die Funktionen Erkennen, Reagieren und Wiederherstellen unmöglich.
Alle Erkennungs- und Reaktionsfunktionen müssen auf einer umfassenden und kontinuierlichen Überwachungsfähigkeit aufbauen, die die gesamte IT-Umgebung abdeckt. Dies bedeutet: Überwachen von Daten aus allen Tools und Systemen, einschließlich Endpunkten, Netzwerken, Identitäten, E-Mail-Systemen, Cloud-Diensten, Anwendungen und Containern.
Ohne Überwachung gibt es keine Erkennung oder Reaktion.
Definition von Managed Detection and Response (MDR)
Der Begriff Managed Detection and Response (MDR) wurde verwendet, um eine breite Palette von Dienstleistungen zu verkaufen, die von Technologieangeboten mit minimalem menschlichem Eingreifen bis hin zu vollständig ausgelagerten SOCs reichen. MDR bedeutet jedoch etwas Bestimmtes – auch wenn es häufig missverständlich verwendet wird.
Laut Gartner bietet MDR "Kunden die Funktionen eines Security Operations Center (SOC) aus der Ferne an". Das ist keine besonders gute Definition, was möglicherweise erklärt, warum der Begriff so häufig missverständlich ist. Eine genauere Lektüre der jüngsten Gartner-Berichte zeigt jedoch, dass – obwohl es einen gewissen Spielraum gibt – Kriterien erfüllt sein müssen, damit ein Angebot wirklich als MDR gilt.
Alle Funktionen müssen remote erfüllt, und Bedrohungen müssen schnell erkannt, untersucht, eingedämmt und behoben werden, um den Schaden für die IT-Systeme und -Ressourcen des Kunden so gering wie möglich zu halten.
MDR-Angebote verwenden ausnahmslos Technologien wie Endpoint Detection and Response (EDR). Das Herzstück einer echten MDR ist jedoch ein vollständig besetztes und erfahrenes Security Operations Center (SOC). Achten Sie darauf, dass technologiezentrierte Angebote, die Sie in Betracht ziehen, die Kriterien für "MDR" erfüllen.
Hinweis: MDR-Angebote umfassen häufig zusätzliche Dienste wie Threat Hunting und Cyber Threat Intelligence (CTI). Dabei handelt es sich um Mehrwertdienste und nicht um Kernfunktionen des MDR.
Kontinuierliche Überwachung, die alle Endpunkte, Netzwerke, Identitäten, Cloud-Instanzen und Anwendungen, Container usw. abdeckt.
Schnelle Bedrohungserkennung zur Aufdeckung bösartiger oder gefährlicher Aktivitäten in der Umgebung des Kunden.
Untersuchung und Analyse, um das Ausmaß der entdeckten Bedrohungen zu verstehen und die beste Vorgehensweise festzulegen.
Eindämmung von Bedrohungen, um deren weitere Ausbreitung und Schäden zu verhindern.
Reaktionsmaßnahmen, um alle Spuren der Bedrohung zu beseitigen und dem Kunden die Rückkehr zum normalen Betrieb zu ermöglichen.
MDR muss mindestens Folgendes umfassen:
Das Warum hinter Erkennung und Reaktion
Drei Modelle zur Erkennung und Reaktion
Wie sich MDR verändert, um den Bedürfnissen der Kunden gerecht zu werden
11 Funktionen, die Sie von MDR erwarten sollten
Der MDR-Lebenszyklus, wie er sein sollte
MXDR: Erkennung und Reaktion als Grundlage für Ihr Sicherheitsprogramm
Kontakt
Um Zugang zum vollständigen Report zu erhalten, �geben Sie bitte Ihre Kontaktdaten ein