beazley.security
©2025 Beazley Security. Alle Rechte vorbehalten
Alles Wissenswerte zu MDR
Ein umfassender Leitfaden über "Managed Detection and Response": Funktionen, Trends, Schwächen und mehr
Start
EN
FR
Erkennung und Reaktion – Warum?
Cybersicherheit ist im Wesentlichen eine Schutzdisziplin. Im Idealfall sollten alle bösartigen und gefährlichen Aktivitäten an ihrer Quelle verhindert werden. Leider ist das unmöglich.
Das NIST Cybersecurity Framework (CSF) 2.0 umfasst folgende Kernfunktionen: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Hälfte davon spielen eine Rolle, nachdem Schutzmaßnahmen versagt haben. Bedrohungen entwickeln sich ständig weiter, um Sicherheitsmaßnahmen zu umgehen. Menschliche Fehler bieten Angreifern die Möglichkeit, auf privilegierte Systeme und Assets zuzugreifen. Selbst die besten Cybersicherheitsprogramme können sich nicht ausschließlich auf Schutzmaßnahmen verlassen. Aus diesem Grund stehen "Security Operations Center (SOCs)"- und "Incident Response (IR)"-Teams im Zentrum der Cybersicherheit.
Das Warum hinter Erkennung und Reaktion
Drei Modelle zur Erkennung und Reaktion
Wie sich MDR verändert, um den Bedürfnissen der Kunden gerecht zu werden
11 Funktionen, die Sie von MDR erwarten sollten
Der MDR-Lebenszyklus, wie er sein sollte
Contact us
MXDR: Erkennung und Reaktion als Grundlage für Ihr Sicherheitsprogramm
Intern oder Outsourcing?
Die Notwendigkeit der Erkennung und Reaktion ist unvermeidlich, aber ihre Form kann variieren.
Sehr große Organisationen entwickeln und pflegen diese Fähigkeiten oft im eigenen Haus. Obwohl dies kostspielig und schwierig ist, kann sich die Investition für Organisationen mit ausreichend großen und komplexen IT-Umgebungen, speziellen Anforderungen und der Fähigkeit, das notwendige Fachwissen einzustellen und zu halten, lohnen. Den meisten Organisationen fehlen jedoch die Ressourcen oder die Bereitschaft, so viel in eine Funktion außerhalb ihrer Kernkompetenzen zu investieren. Da kann nicht überraschen: Die Logistik des Aufbaus und der Aufrechterhaltung einer effektiven Funktion sowie die dafür benötigten Ressourcen sind erheblich. Für genau diese Organisationen gibt es Managed Detection and Response (MDR).
Vielleicht ist Ihnen aufgefallen, dass die Überwachung in den NIST-Kernfunktionen nicht besonders hervorgehoben wird. Das liegt daran, dass Überwachung kein Ergebnis ist. Trotzdem ist sie eine grundlegende Voraussetzung, und ohne sie sind die Funktionen Erkennen, Reagieren und Wiederherstellen unmöglich. Alle Erkennungs- und Reaktionsfunktionen müssen auf einer umfassenden und kontinuierlichen Überwachungsfähigkeit aufbauen, die die gesamte IT-Umgebung abdeckt. Dies bedeutet: Überwachen von Daten aus allen Tools und Systemen, einschließlich Endpunkten, Netzwerken, Identitäten, E-Mail-Systemen, Cloud-Diensten, Anwendungen und Containern.
Ohne Überwachung gibt es keine Erkennung oder Reaktion.
Definition von Managed Detection and Response (MDR)
Der Begriff Managed Detection and Response (MDR) wurde verwendet, um eine breite Palette von Dienstleistungen zu verkaufen, die von Technologieangeboten mit minimalem menschlichem Eingreifen bis hin zu vollständig ausgelagerten SOCs reichen. MDR bedeutet jedoch etwas Bestimmtes – auch wenn es häufig missverständlich verwendet wird.
Laut Gartner bietet MDR "Kunden die Funktionen eines Security Operations Center (SOC) aus der Ferne an". Das ist keine besonders gute Definition, was möglicherweise erklärt, warum der Begriff so häufig missverständlich ist. Eine genauere Lektüre der jüngsten Gartner-Berichte zeigt jedoch, dass – obwohl es einen gewissen Spielraum gibt – Kriterien erfüllt sein müssen, damit ein Angebot wirklich als MDR gilt.
MDR muss mindestens Folgendes umfassen:
Kontinuierliche Überwachung, die alle Endpunkte, Netzwerke, Identitäten, Cloud-Instanzen und Anwendungen, Container usw. abdeckt.
Schnelle Bedrohungserkennung zur Aufdeckung bösartiger oder gefährlicher Aktivitäten in der Umgebung des Kunden.
Untersuchung und Analyse, um das Ausmaß der entdeckten Bedrohungen zu verstehen und die beste Vorgehensweise festzulegen.
Eindämmung von Bedrohungen, um deren weitere Ausbreitung und Schäden zu verhindern.
Reaktionsmaßnahmen, um alle Spuren der Bedrohung zu beseitigen und dem Kunden die Rückkehr zum normalen Betrieb zu ermöglichen.
Alle Funktionen müssen remote erfüllt, und Bedrohungen müssen schnell erkannt, untersucht, eingedämmt und behoben werden, um den Schaden für die IT-Systeme und -Ressourcen des Kunden so gering wie möglich zu halten. MDR-Angebote verwenden ausnahmslos Technologien wie Endpoint Detection and Response (EDR). Das Herzstück einer echten MDR ist jedoch ein vollständig besetztes und erfahrenes Security Operations Center (SOC). Achten Sie darauf, dass technologiezentrierte Angebote, die Sie in Betracht ziehen, die Kriterien für "MDR" erfüllen. Hinweis: MDR-Angebote umfassen häufig zusätzliche Dienste wie Threat Hunting und Cyber Threat Intelligence (CTI). Dabei handelt es sich um Mehrwertdienste und nicht um Kernfunktionen des MDR.
Erkennungs- und Reaktionsfähigkeiten:
Die aus der Erkennung und Reaktion gezogenen Lehren sollten in das umfassendere Sicherheitsprogramm einfließen, um ähnliche Bedrohungen in Zukunft zu verhindern. Durch diesen zirkulären Prozess werden Organisationen sicherer und lernen, ihre Ressourcen für die Cybersicherheit effektiv zu nutzen.
Knüpfen dort an, wo schützende Sicherheitskontrollen enden
Identifizieren Bedrohungen, analysieren sie, dämmen sie ein und beheben sie
Minimieren Schäden durch Bedrohungen
Fließen gegebenenfalls auch in die Wiederherstellungsbemühungen ein
Einen endgültigen "besten" Weg, um die Erkennung und Reaktion zu implementieren, gibt es nicht. Es hängt von den Umständen und Bedürfnissen der jeweiligen Organisation ab.
Kontakt
Aufbau einer internen SOC- oder IR-Funktion
Der Aufbau einer internen SOC- oder IR-Funktion bietet vollständige Kontrolle über alle Werkzeuge, Prozesse und Ressourcen. Große Organisationen bevorzugen dies im Allgemeinen, da sie die Größenvorteile haben, um eine Erkennungs- und Reaktionsfähigkeit zu finanzieren und zu besetzen, die alle erforderlichen Fähigkeiten und Erfahrungen umfasst und auf ihre IT-Umgebung und Bedrohungen zugeschnitten ist. Der Nachteil dieses Ansatzes sind die Kosten. Oft können Organisationen keine 24/7/365-Funktion aufrechterhalten, wodurch sie außerhalb der Bürozeiten anfällig für Angriffe sind. Da viele Angriffe außerhalb der Geschäftszeiten – nachts, am Wochenende und an Feiertagen – erfolgen, stellt dies ein untragbares Risiko dar.
Wie Preisgestaltung eine vollständige Abdeckung ermöglicht (und warum das wichtig ist)
Vollständig maßgeschneidert und an den eigenen Bedarf angepasst Potenziell äußerst effektiv zur Risikominderung Potenzial für vollständige Integration und Datenaufnahme
In der Regel teurer als Outsourcing Möglicherweise nicht rund um die Uhr an 365 Tagen im Jahr machbar Kein "zweites Augenpaar" zur Überprüfung der Wirksamkeit
Benefits
Herausforderungen
Da sich die meisten Organisationen eine interne Abteilung nicht leisten können (oder nicht finanzieren möchten), ist das Outsourcing an einen MDR-Anbieter üblich. Gartner schätzt, dass im Jahr 2025 50 % der Organisationen MDR-Dienste nutzen. Dies bietet mehrere Vorteile. MDR wird in der Regel rund um die Uhr an 365 Tagen im Jahr bereitgestellt, umfasst die meisten – wenn nicht sogar alle – erforderlichen Technologien und ist weitaus kostengünstiger als eine interne Abteilung. Achten Sie zum Beispiel darauf, ob ein MDR-Anbieter eine vollständige Lösung unter Verwendung des vorhandenen Technologiestacks liefern kann.
In der Regel 24/7/365 verfügbar In der Regel kostengünstiger als der Eigenbau Zugang zu einem vollständig ausgestatteten und personell besetzten SOC Kann mit bereitgestellter Technologie (z. B. EDR) geliefert werden Umfassende Fachkenntnisse über den gesamten Erkennungs- und Reaktionslebenszyklus Vollständige Integration und Datenaufnahme (einige Anbieter) Die unkomplizierteste Option
Abdeckung des Preismodells Eigentum an den Daten muss geklärt sein (für den Fall des Anbieterwechsels) Bereitstellen von tiefgehende Bedrohungsanalysen Anbieter sollte in der Lage sein, im Namen des Kunden zu reagieren Transparenz der Tätigkeiten ("Black-Box") Technologieorientierte Lösungen werden häufig fälschlicherweise als MDR bezeichnet
Vorteile
Viele Preismodelle enthalten je einzelne Zusatzgebühren zu Beispiel für Integrationen, Datenvolumen und Speicherplatz. Da die Kunden die Kosten niedrig halten möchten, entscheiden sie sich häufig dafür, die Quellen und die Menge der Daten, die ihr Anbieter erfasst, zu minimieren. Dies ist aus zwei Gründen problematisch:
MDR sollte eine detaillierte Analyse von Vorfällen und Bedrohungsmustern beinhalten. Das Ziel ist nur zu erreichen, wenn Zugang zu allen relevanten Telemetriedaten besteht. Das Fehlen dieser Daten bedeutet, dass die zugrunde liegende Ursache von Angriffen möglicherweise nicht erkannt wird, was es unmöglich macht, Schlussfolgerungen zu ziehen und Schutzmaßnahmen zu verstärken. Ein fehlender Zugang zu kritischen Datenquellen kann bedeuten, dass Bedrohungen erst erkannt werden, wenn sie bereits Fuß gefasst haben – und zu diesem Zeitpunkt ist ein gewisser Schaden unvermeidlich.
Allerdings gibt es potenzielle Fallstricke. Achten Sie darauf, ob Preisgestaltung und Lieferung auf eine Weise strukturiert sind, die Ihren Bedürfnissen entgegenkommt, zum Beispiel: Gibt es "Black-Box"-Dienste, die wenig Einblick in die Tätigkeiten geben? Werden Preismodelle angeboten, die eine vollständige Abdeckung und Datenaufnahme ermöglichen? Ist die Bedrohungsanalyse umfassen und schließt sie tiefere Indikatoren und Bedrohungstrends mit ein? Organisationen sollten den richtigen Anbieter für ihre Bedürfnisse wählen – und dies sollte bei der Bewertung von Anbietern berücksichtigt werden.
Auslagerung an einen MDR-Anbieter
Hybrid-MDR
Achten Sie darauf, wie Aufgaben zwischen dem Anbieter und dem Kunden geteilt werden – das ist die so genannte „hybride MDR“. Es gibt mehrere Formen von hybriden MDR, die für manche Organisationen geeignet sein könnten. Am häufigsten ist dies der Fall, wenn Anbieter die Überwachung, Erkennung und Analyse übernehmen und dem Kunden Reaktionsempfehlungen in Form eines Tickets bereitstellen. Bei Beazley Security bezeichnen wir dies als "Small R": Die Anbieter liefern Anleitungen zur Eindämmung und Behebung von Vorfällen, und die Kunden führen die Reaktionsmaßnahmen selbst durch.
Passt möglicherweise zum Anwendungsfall des Kunden Möglicherweise die kostengünstigste Option Kein bidirektionaler Zugriff auf die Umgebung des Kunden
Erhöhtes Risiko von Lücken und menschlichen Fehlern Erfordert umfangreiches internes Fachwissen Risiko einer zeitlichen Verzögerung bei der Reaktion auf Bedrohungen Zusätzliches Risiko für Angriffe außerhalb der Geschäftszeiten
Weitere Varianten des hybriden MDR umfassen:
Diese technologiegestützten Angebote werden in der Regel von EDR-Anbietern oder Systemintegratoren bereitgestellt. In der Regel handelt es sich dabei um die kostengünstigsten MDR-Angebote, die am wenigsten menschliches Fachwissen erfordern. Infolgedessen müssen die Kunden über mehr internes Personal und Fachwissen verfügen, um diesen Ansatz erfolgreich umzusetzen, und sie müssen intern entsprechende Maßnahmen ergreifen.
Gemeinsam verwaltetes Sicherheitsmonitoring
SOC-as-a-Service (SOCaaS)
Während SOCaaS vor einigen Jahren kurzzeitig populär war, ist es inzwischen weitgehend von der modernen MDR überholt worden. SOCaaS ist ein verwalteter Überwachungs- und Beratungsdienst, der häufig auch Beratungs- und Personalaufstockungskomponenten umfasst. Diese Angebote sind oft stark individualisiert, können spezielles Personal und Technologien umfassen und sind mit einem hohen Preis verbunden. SOCaaS-Anbieter haben in der Regel keinen Zugriff, um direkt zu reagieren.
Hinweis: Dies war bis vor Kurzem die vorherrschende Form der MDR. Viele Organisationen betrachteten es als ein unvertretbares Risiko, Anbietern zu gestatten, innerhalb ihrer Umgebung tätig zu werden. Sie zogen es vor, selbst zu reagieren und nahmen das alternative Risiko in Kauf, dass die unvermeidliche Zeitverzögerung zu zusätzlichem Schaden führen könnte. Die Kundenpräferenzen haben sich radikal verändert, und die meisten ziehen es jetzt vor, MDR-Anbietern zu erlauben, in ihrem Namen zu reagieren.
2
1
Der Aufbau eines internen SOC ist für die meisten Organisationen nicht umsetzbar. Hybride MDR passt zu einigen Anwendungsfällen, bietet jedoch nicht den vollständigen Mehrwert. Aus diesem Grund entscheiden sich Organisationen zunehmend für MDR.
Dennoch haben gewisse Aspekte des MDR bei den Kunden den Wunsch nach mehr geweckt – und einige Bereiche des Marktes reagieren darauf. Gartner hebt im MDR Market Guide einige bedeutende Entwicklungen hervor, die Organisationen bei der Auswahl eines Anbieters berücksichtigen sollten.
Präventive Erkennung von Bedrohungen, bevor sie Fuß fassen und zu einem Vorfall oder einer Sicherheitsverletzung werden. Dies könnte in Form von hypothesengestütztem Threat Hunting erfolgen.
Identifizierung von Bedrohungstrends und Anleitung zur Unterstützung und Verbesserung von Schutzmaßnahmen. Durch die Analyse vergangener Vorfälle können MDR-Anbieter ihren Kunden helfen, ihr Bedrohungsprofil zu verstehen und Maßnahmen zur Bewältigung von Bedrohungen zu ergreifen.
Während Erkennung und Reaktion reaktiv sind, können und sollten sie die proaktive Sicherheit unterstützen. Gartner stellt fest: "MDR-Käufer verlangen von den Anbietern zunehmend, dass sie ihre Anforderungen über die Erkennung und Reaktion auf Bedrohungen hinaus auf die proaktive Identifizierung von Bedrohungsexpositionen und präventive Sicherheitsmaßnahmen ausweiten." Es gibt mehrere Möglichkeiten für MDR-Anbieter, proaktiver zu agieren:
Die Bewertung der Sicherheitskontrollen und der Konfiguration kann MDR-Anbietern ermöglichen, Kunden zu Änderungen und Ergänzungen zu raten, die das Risiko deutlich reduzieren.
"Big R"-Antwort
Gartner hebt die Bedeutung von MDR-Anbietern hervor, die "aus der Ferne Maßnahmen zur aktiven Eindämmung oder Störung einer Bedrohung einleiten können".
Über den Endpunkt hinaus
Der MDR-Markt war in der Vergangenheit eng mit "Endpoint Detection and Response (EDR)"-Tools verbunden. Gartner kritisiert zu Recht Angebote, die lediglich verwaltete EDR-Tools sind, und bezeichnet sie als "falsch benannte technologieorientierte Angebote, die keine von Menschen gesteuerten MDR-Dienste bieten".
Kontinuierliches Bedrohungsexpositionsmanagement (CTEM) und Angriffsflächenmanagement (ASM)
Viele Organisationen haben Schwierigkeiten, ihre Angriffsfläche in Echtzeit zu verstehen. Das behindert Überwachung, Erkennung und Reaktion erheblich. Wenn eine Organisation keine Kenntnis von Assets und Systemen hat, kann sie diese nicht überwachen. Das ist ein Risiko. Gartner ist der Ansicht, dass MDR zunehmend CTEM (Continuous Threat Exposure Management) und ASM (Attack Surface Management) umfassen wird, um die gesamte Umgebung des Kunden abzudecken und eine effektive Überwachung, Erkennung und Reaktion zu ermöglichen.
Über die traditionelle Schwachstellenanalyse hinaus
Eine grundlegende Analyse von Vorfällen ist für MDR-Anbieter unerlässlich, um zu verstehen, was geschehen ist und wie man schädliche Auswirkungen eindämmen und verhindern kann. Eine tiefere Analyse kann ihnen helfen, zu verstehen, warum ein Vorfall aufgetreten ist, und Wege zu empfehlen, um ähnliche Probleme in Zukunft zu vermeiden. MDR-Anbieter können wertvolle Einblicke in das Risikoprofil eines Kunden gewinnen, indem sie eine vertiefte Analyse von Vorfällen (z. B. mithilfe digitaler Forensik) und hypothesengesteuertem Threat Hunting durchführen. Im Gegenzug können sie proaktive Risikomanagement-Strategien und Sicherheitskontrollen empfehlen, die für den Kunden geeignet sind. Beachten Sie, dass eine tiefere Analyse häufig die Verfolgung von Aktivitäten über mehrere Protokollquellen hinweg erfordert, weshalb MDR-Anbieter Zugang zu den Protokollen aller relevanten Tools und Systeme haben müssen.
Ausweitung auf Sicherheitsoperationen
Dies ist eine weitere Möglichkeit, wie MDR-Anbieter ihre Kunden mit zunehmend proaktiven Sicherheitsmaßnahmen unterstützen können. Es fällt hauptsächlich in zwei Kategorien:
Black-Box-Dienste.
Der MDR-Service sollte transparent sein und der Organisation Einblick in die Maßnahmen und Analysen ermöglichen, die in ihrem Namen durchgeführt werden. Ein Anbieter kann beispielsweise feststellen, dass ein Vorfall ein Fehlalarm ist, und sollte dann nachvollziehbare und begründete Maßnahmen ergreifen. Dadurch ist es Kunden möglich, zu erfahren, ob entsprechende Untersuchungen stattgefunden haben oder frühere Aktivitäten stichprobenartig überprüft wurden.
Exorbitante Kosten für die Datenspeicherung.
Preisstrukturen sollten einen umfassenden Schutz ermöglichen, einschließlich für die Datenspeicherung über eine Mindestlaufzeit hinaus. Andernfalls könnten Kunden sich für die minimale Speicherdauer entscheiden, wodurch die Möglichkeiten des Anbieters zur Durchführung von Trendanalysen stark eingeschränkt werden und der Wert für den Kunden reduziert wird.
Kundendaten gehören dem Kunden
Gemeinsame Datenverwaltung sollte ein Merkmal aller MDR-Angebote sein. Kunden sollten stets Zugang haben, um die in ihrem Namen gespeicherten Daten zu überprüfen und zu analysieren. Kunden sollten bei Anbieterwechsel in der Lage sein, Daten auf ein kundeneigenes System oder zu einem anderen Anbieter zu übertragen.
Datenverwaltung und Transparenz
Dieser Trend basiert auf unseren Erfahrungen, Kundeninteraktionen und Beobachtungen aus der Branche. Achten Sie darauf, ob der Wert, den Kunden aus MDR-Services ziehen, auch in Bezug auf Daten und Transparenz maximiert ist.
Wenn ein Anbieter nicht mehr tun kann, als ein Ticket für das interne Team des Kunden zu erstellen, könnte die gleiche Reaktion Stunden oder sogar Tage dauern, wenn ein Angriff über das Wochenende erfolgt. In der Zwischenzeit können MDR-Anbieter, die direkt in der Umgebung eines Kunden tätig sind, einen Angriff innerhalb von Minuten eindämmen und beheben.
Ein weiteres unerwünschtes Artefakt der Abhängigkeit von EDR war eine Voreingenommenheit zugunsten von Bedrohungen, die Endpunkte betreffen, unter Ausschluss anderer Asset-Klassen. Da sich EDR zu XDR (eXtended Detection and Response) weiterentwickelt hat, suchen Unternehmen vernünftigerweise nach Angeboten, die über ein viel breiteres Spektrum von Assets und Systemen hinweg Bedrohungen erkennen können.
Bis vor Kurzem hatten Kunden wenig Interesse daran, dass MDR-Anbieter direkt in ihrem Umfeld agieren. Die Verbreitung von Ransomware und anderen zerstörerischen Angriffen – von denen viele außerhalb der Geschäftszeiten stattfinden – hat jedoch zu einer Änderung der Präferenzen geführt. Der Grund ist einfach: Eine schnelle Reaktion kann die Auswirkungen schwerer Zwischenfälle drastisch reduzieren.
MDR-Anbieter sollten die gesamte Umgebung des Kunden überwachen, einschließlich Endpunkte, E-Mail, Identitäten, Cloud-Instanzen, Container, IoT/OT, Edge-Geräte und SaaS-Anwendungen wie Microsoft 365.
Proaktivität
Trend Nr. 1
Trend Nr. 2
Trend Nr. 3
Trend Nr. 4
Trend Nr. 5
Im Folgenden finden Sie elf wesentliche Komponenten, auf die Sie bei der Auswahl eines MDR-Anbieters achten sollten.
MDR Capabilities
MDR-Lösungen müssen auf den richtigen Werkzeugen (z. B. EDR, XDR) für Ihre Anforderungen basieren – unabhängig.
Moderne Werkzeuge
Das Angebot muss mit allen relevanten Tools, Systemen und Logs in Ihrer IT-Umgebung integriert werden. Daten sollten lange genug aufbewahrt werden, um eine Trendanalyse zu ermöglichen.
Vollständige Abdeckung
Sowohl der Anbieter als auch Ihr internes Team müssen Zugriff auf alle Daten haben, die gespeichert und für die Erkennung und Reaktion verwendet werden.
Gemeinsam verwaltete Daten
Preisgestaltungsmodelle sollten nicht auf Datenvolumen oder Integrationen basieren. Ein Pauschalpreis ist ideal.
Einfache Preisgestaltung, die Anreize für eine vollständige Abdeckung bietet
. Anbieter müssen in der Lage sein, Bedrohungen direkt einzudämmen und zu beseitigen, um Schäden durch Ransomware und andere zerstörerische Angriffe zu verhindern.
"Big R"-Reaktion
Schnelligkeit ist entscheidend für die Schadensminderung. Suchen Sie nach einem Anbieter, der nachweislich schnell reagiert.
Schnelle Eindämmung und Behebung
MDR-Anbieter sollten routinemäßig detaillierte Analysen von Vorfällen (einzeln und in Gruppen) durchführen, um Lernpunkte zu ermitteln und Verbesserungen zu empfehlen.
Ausführliche Untersuchung
Sie sollten vollständige Transparenz über alle in Ihrem Namen ergriffenen Maßnahmen und deren Begründung haben. Dies ermöglicht stichprobenartige Überprüfungen und zusätzliche Analysen.
Transparenz
MDR wird oft als Reaktion auf einen schwerwiegenden Vorfall gekauft, aber selbst, wenn dies nicht der Fall ist, sollten MDR-Anbieter in der Lage sein, neue Kunden umgehend aufzunehmen.
Schnelles Onboarding
Wenn das Schlimmste eintritt, sollte Ihr MDR-Anbieter nicht nur reagieren, sondern Ihrem Unternehmen helfen, sich vollständig zu erholen und zum normalen Betrieb zurückzukehren.
Wiederherstellungsfähigkeiten
Hypothesengetriebenes Threat Hunting, Forensik, BAS und andere beratungsähnliche Dienste sollten als Teil des Angebots oder als zusätzliche Dienste verfügbar sein.
Mehrwertdienste
Detect suspicious activity
Alert received or activity detected via threat hunting
Analyze to determine the issue and next steps
Identify ransomware on an endpoint, escalate to incident, and create a ticket
Contain threat
Isolate endpoint to prevent spread of infection
Remediate threat
Reimage endpoint to remove infection and restore functionality
Deeper investigation to identify cause
Review and cross-reference relevant logs
Identify learning points
Infection occurred because a user downloaded a Microsof Office file containing a malicious macro
Determine actions to prevent future incidents
Consider turning off macros by default in Office 365
Implement actions
Alert client to the risk posed by malicious macros and suggest changing Office 365 settings
Die nachstehende Tabelle zeigt den vollständigen Erkennungs- und Reaktionszyklus und verdeutlicht, welche Schritte von den verschiedenen Ebenen der MDR abgedeckt werden.
Small "R" MDR
Standard MDR
Full MDR
Nicht alle Angebote sind gleich. Der Begriff "MDR" wurde verwendet (und missverstanden), um eine breite Palette von Angeboten zu beschreiben – viele davon sind nicht zweckmäßig. Achten Sie bei der Wahl eines Anbieters darauf, dass Sie genau verstehen, was Sie bekommen. Um die Risikominderung zu maximieren, sollten Sie einen MDR-Anbieter wählen, der den gesamten Lebenszyklus abdeckt, tiefere Analysen durchführt und Möglichkeiten zur Verbesserung Ihres umfassenden Sicherheitsprogramms empfiehlt.
Verdächtige Aktivitäten erkennen
"Kleines R"-MDR
Standard-MDR
Vollständiges MDR
Alarm erhalten oder Aktivität durch Threat Hunting erkannt
Analysieren Sie, um das Problem und die nächsten Schritte zu ermitteln
Ransomware auf einem Endpunkt erkennen, zu einem Vorfall eskalieren und ein Ticket erstellen
Bedrohung eindämmen
Endpunkt isolieren, um die Ausbreitung der Infektion zu verhindern
Bedrohung beheben
Endpunkt neu aufsetzen, um die Infektion zu entfernen und die Funktionalität wiederherzustellen
Vertiefte Untersuchung zur Identifizierung der Ursache
Relevante Protokolle überprüfen und abgleichen
Lernpunkte identifizieren
Die Infektion trat auf, weil ein Benutzer eine Microsoft-Office-Datei heruntergeladen hatte, die ein bösartiges Makro enthielt
Maßnahmen zur Vermeidung zukünftiger Vorfälle festlegen
Erwägen Sie, Makros in Office 365 standardmäßig zu deaktivieren
Maßnahmen implementieren
Den Kunden auf das Risiko durch bösartige Makros hinweisen und vorschlagen, die Einstellungen von Office 365 zu ändern
Tiefere Trends erkennen
Erkennung und Reaktion sollten nicht mit der Analyse pro Vorfall enden. MDR-Anbieter sollten vergangene Vorfälle analysieren, um umfassendere Trends aufzudecken und die wertvollsten Maßnahmen zur Risikominderung zu ermitteln. Ein einzelner Vorfall, der durch bösartige Makros verursacht wurde, rechtfertigt möglicherweise keine Maßnahmen. Wenn jedoch im Laufe der Zeit mehrere Vorfälle dieselbe Ursache haben, könnte die standardmäßige Deaktivierung von Makros Priorität haben.
Continuous Threat Exposure Management
(CTEM) hilft Ihnen, Ihre gesamte IT-Umgebung zu verstehen und Veränderungen in Ihrer Angriffsfläche im Laufe der Zeit nachzuverfolgen.
Umfassende Sichtbarkeit
24/7-Überwachung der Bedrohungslandschaft (Cloud, Identität, Endpunkt usw.)
Keine Zusatzkosten
Alle Integrationen ohne zusätzliche Kosten
Langfristige Datenaufbewahrung
90 Tage Datenaufbewahrung inklusive
Tiefgehende, vielschichtige Untersuchungen
Vielfältige Untersuchungen über Endpunkt-, E-Mail- und Identitätsdaten
MDR-Kundenportal
Sofortige Sichtbarkeit in Fällen, SLOs, Empfehlungen und Echtzeit-Berichterstattung
Managed XDR
MXDR von Beazley Security ist eine umfassende Erkennungs- und Reaktionslösung, die den gesamten Lebenszyklus des MDR abdeckt. Unser Service basiert auf der branchenweit fortschrittlichsten XDR-Plattform und hilft Ihrem Unternehmen, jeder Cyberbedrohung zu widerstehen – und sorgt dafür, dass Sie nicht in die falschen Schlagzeilen geraten. Zusätzlich zu allem, was in diesem Leitfaden empfohlen wird, stellt MXDR bereit:
Proaktives Risikomanagement
Empfehlungen basierend auf einer eingehenden Analyse sowohl einzelner Vorfälle als auch allgemeiner Trends bei Vorfällen und Bedrohungen.
Hypothesengetriebenes Threat Hunting
um Beweise für bösartige Aktivitäten aufzudecken und Angreifer daran zu hindern, sich in Ihrer IT-Umgebung einzunisten oder ihren Zugriff zu erweitern.
Fachkundige Unterstützung bei der Wiederherstellung
durch unser Krisen-Management-Team, das täglich mehr als ein Dutzend schwerwiegender Vorfälle bearbeitet, jeden Tag des Jahres.
Entwickelt, um häufige Mängel bei der MDR zu adressieren
MXDR wurde speziell entwickelt, um eine umfassende Erkennungs- und Reaktionslösung bereitzustellen und gleichzeitig die häufigsten Schwachstellen und Frustrationen von MDR zu beseitigen.
Wir helfen Kunden dabei, Cyber-Resilienz aufzubauen
Beazley Security ist ein globales Cybersicherheitsunternehmen, das sich dafür einsetzt, Kunden dabei zu helfen, echte Cyber-Resilienz zu entwickeln: die Fähigkeit, Cyberangriffen standzuhalten und sich davon zu erholen.
Wir kombinieren jahrzehntelange Erfahrung in den Bereichen Cybersicherheit, Erkennung, Reaktion und Wiederherstellung mit der versicherungsmathematischen Präzision und Risikominderungskompetenz unserer Muttergesellschaft Beazley Insurance.
Kontaktieren Sie uns, um zu besprechen, wie MXDR Ihrem Unternehmen helfen kann.
