beazley.security
©2025 Beazley Security. Alle Rechte vorbehalten
Alles Wissenswerte zu MDR
Ein umfassender Leitfaden über "Managed Detection and Response": Funktionen, Trends, Schwächen und mehr
Start
What is business email compromise?
How BEC occurs
Common forms of BEC
How to protect against BEC
How can you reduce the risk of financial losses?
Contact us
The Why Behind Detection and Response
Cybersecurity is fundamentally a protective discipline. Ideally, all malicious and dangerous activity would be prevented at its source. Unfortunately, this is impossible.
Consider the NIST Cybersecurity Framework (CSF) 2.0 Core Functions: Govern, Identify, Protect, Detect, Respond, and Recover. Notice that fully half occur after protective measures have failed. Threats continually evolve to bypass security measures, and human errors provide opportunities for attackers to access privileged systems and assets. So, even the best cybersecurity programs cannot rely exclusively on protection. This is why Security Operations Centers (SOCs) and Incident Response (IR) teams are at the heart of cybersecurity.
Detection and response capabilities:
Lessons learned from detection and response should feed back into the wider security program to help prevent similar threats in the future. Through this circular process, organizations grow more secure and learn to allocate cybersecurity resources effectively.
Pick up where protective security controls end
Identify, analyze, contain, and remediate threats
Minimize harm from threats
Feed into recovery efforts where necessary
In-House or Outsource?
The need for detection and response is unavoidable, but its form can vary.
Very large organizations often build and maintain these capabilities in-house. While this is expensive and difficult, it can be worth the investment for organizations with sufficiently large and complex IT environments, specialized requirements, and the capacity to hire and retain the necessary expertise. However, most organizations lack the resources or inclination to invest so heavily in a function outside their core competencies. This is unsurprising given the logistics of building and maintaining an effective function and the resources needed to staff and maintain it. It’s for these organizations that Managed Detection and Response (MDR) exists.
You may notice that monitoring isn’t prominently featured in the NIST Core Functions. That’s because monitoring isn’t an outcome. Despite this, it’s a fundamental requirement, and without it, the Detect, Respond, and Recover Functions are impossible. All detection and response functions must be built on top of a comprehensive and continuous monitoring capability that covers the entire IT environment. This means monitoring data from all tools and systems, including endpoints, networks, identities, email systems, and cloud services, applications, and containers.
There’s No Detection or Response Without Monitoring
Defining Managed Detection and Response (MDR)
The term Managed Detection and Response (MDR) has been used and abused to sell a wide range of services, from technology offerings with minimal human intervention to fully outsourced SOCs. However, MDR does mean something specific — even if it’s frequently misused.
According to Gartner, MDR “provides customers with remotely delivered security operations center (SOC) functions”. This isn’t a great definition, which may explain why the term has been so misused. However, a closer reading of recent Gartner reports finds that — while there is wiggle room — criteria must be met for an offering to truly constitute MDR.
This must be delivered remotely, and threats must be identified, investigated, contained, and remediated rapidly to minimize harm to the client’s IT systems and resources. MDR offerings invariably use technologies such as Endpoint Detection and Response (EDR). However, the heart of true MDR is a fully staffed and experienced Security Operations Center (SOC). While technology-centric offerings are often sold as “MDR,” they don’t meet the criteria. Note: MDR offerings frequently include additional services such as threat hunting and Cyber Threat Intelligence (CTI). These are value-added services rather than core MDR functions.
Continuous monitoring that covers all endpoints, networks, identities, cloud instances and applications, containers, etc.
Rapid threat detection to uncover malicious or dangerous activity within the client’s environment.
Investigation and analysis to understand the extent of discovered threats and determine the best course of action.
Containment of threats to prevent further spread and harm.
Response actions to eliminate all traces of the threat and enable the client to return to normal operations.
At a minimum, MDR must include:
There is no definitive “best” way to implement detection and response. It comes down to each organization’s circumstances and needs.
Three Models for Detection and Response
Building an internal SOC or IR function gives total control over all tooling, processes, and resources. Large organizations generally favor this, as they have the economies of scale to fund and staff a detection and response capability that includes all necessary skills and experience and is tailored to their IT environment and threats. The drawback to this approach is cost. Often, organizations cannot maintain a 24/7/365 function, leaving them vulnerable to attacks outside office hours. Since many attacks are initiated out-of-hours — at night, over the weekend, and on public holidays — this poses an unacceptable risk.
Build an Internal SOC or IR Function
Fully bespoke and customized to need Potentially highly effective for risk reduction Potential for full integration and data ingestion
Usually more expensive than outsourcing May not be feasible 24/7/365 No “second set of eyes” to validate effectiveness
Benefits
Challenges
Since most organizations can’t afford to (or choose not to) build in-house, outsourcing to an MDR provider is common. Gartner estimates that in 2025, 50% of organizations will use MDR services. This offers several benefits. MDR is generally delivered 24/7/365, includes most — if not all — of the technology required, and is far lower cost than building in-house. Some MDR providers can deliver a full solution using the client’s existing technology stack.
Outsource to an MDR Provider
However, there are potential pitfalls. Some MDR providers structure their pricing and delivery in ways that don’t serve the client. For example: “Black box” services that provide little insight into what the provider is doing. “Nickle-and-dime” pricing models that disincentivize full coverage and data ingestion. Limited threat analysis that misses deeper indicators and threat trends. All this can be avoided by organizations choosing the right provider for their needs — but they should be considered when evaluating vendors.
Many MDR providers use “nickel-and-dime” price models where clients pay extra for integrations, data volume, and storage. Since clients want to keep costs down, they frequently opt to minimize the sources and quantity of data their provider ingests. This is a problem for two reasons:
MDR should include detailed analysis of incidents and threat patterns, but this is only possible if the provider has access to all relevant telemetry data. Lacking this data means potentially missing the underlying cause of attacks, making it impossible to draw conclusions and harden protective controls. Lack of access to critical data sources can mean missing threats altogether until they have already gained a foothold — by which time, some degree of harm is inevitable.
Generally delivered 24/7/365 Usually more cost-effective than building in-house Access to a fully equipped and staffed SOC May come with provided technology (e.g., EDR) Full detection and response life cycle expertise Full integration and data ingestion (some providers) The most hands-off option
Some pricing models disincentivize full coverage Data may be “held hostage” (lost if switching away) Deep threat analysis is usually not provided Some providers can’t respond on client’s behalf Often a “black box” service that’s opaque to clients Technology-first solutions often mislabeled MDR
2
1
How Pricing Can Disincentivize Full Coverage (and Why it Matters)
May fit the client’s use case Potentially the lowest cost option No two-way access to the client’s environment
Increased risk of gaps and human error Requires significant in-house expertise Risk of time delay in responding to threats Additional risk for “out of hours” attacks
Hybrid MDR
Many offerings sold as MDR are really a “hybrid MDR”, where duties are shared between the provider and client. There are several forms of hybrid MDR that may suit some organizations. The most common is where providers handle monitoring, detection, and analysis, and provide response recommendations to the client as a ticket. At Beazley Security, we call this “small R” response: providers supply guidance on containing and remediating incidents, and clients complete response actions themselves.
Other variants of hybrid MDR include:
Note: This was the dominant form of MDR until recently. Many organizations saw allowing providers to take action inside their environment as an unacceptable risk. They preferred to respond themselves, accepting the alternative risk that the inevitable time delay might lead to additional harm. Client preferences have changed radically, and most now prefer to allow MDR providers to respond on their behalf.
These technology-led offerings are usually provided by EDR vendors or system integrators. Typically, these are the lowest-cost MDR-style offerings and provide the least human expertise. As a result, clients must have more internal staffing and expertise to make this approach work, and will have to take response actions internally.
While briefly popular a few years ago, SOCaaS has largely been overtaken by modern MDR. SOCaaS is a managed monitoring and advice service, often with consultancy and staff augmentation components. These offerings are often heavily customized, may include dedicated staff and technology, and come with a high price tag. SOCaaS providers generally do not have access to respond directly.
Co-Managed Security Monitoring
SOC-as-a-Service (SOCaaS)
Preemptive identification of threats before they gain a foothold and become an incident or breach. This could take the form of hypothesis-driven threat hunting.
Identification of threat trends and guidance to support and enhance protective controls. By analyzing past incidents, MDR providers can help clients understand their threat profile and take action to manage threats.
Assessment of security controls and configuration can enable MDR providers to advise clients on changes and additions that will meaningfully reduce risk.
Proactivity
While detection and response are reactive, they can and should support proactive security. Gartner states: “Increasingly, MDR buyers are asking providers to extend their requirements beyond the detection of and response to threats to include the proactive identification of threat exposures and preemptive security responses.” There are several opportunities for MDR providers to be more proactive, including:
“Big R” Response
Gartner highlights the importance of MDR providers that can “remotely initiate measures for active containment or disruption of a threat”.
Until recently, customers had little desire for MDR providers to act directly inside their environment. However, the prevalence of ransomware and other destructive attacks — many of which occur outside business hours — has led to a change in preference. The reason is simple: speed in response can dramatically reduce the impact of serious incidents.
If a provider can only create a ticket for the client’s internal team to action, the same response could take hours — even days if an attack occurs over the weekend. Meanwhile, MDR providers acting directly within a client’s environment can contain and remediate an attack within minutes.
Going Beyond the Endpoint
The MDR market has historically been closely tied to Endpoint Detection and Response (EDR) tools. Gartner rightly lambasts offerings that are merely managed EDR tools, which it calls “misnamed technology-first offerings that fail to deliver human-driven MDR services”.
Another undesirable artifact of dependence on EDR was an unhealthy obsession with threats affecting endpoints, to the exclusion of other asset classes. As EDR has evolved into XDR (eXtended Detection and Response), organizations have sensibly looked for MDR providers that can monitor and detect threats across a much broader range of assets and systems.
MDR providers should monitor the client’s entire environment, including endpoints, email, identities, cloud instances, containers, IoT/OT, edge devices, and SaaS applications like Microsoft 365.
Continuous Threat Exposure Management (CTEM) and Attack Surface Management (ASM)
Many organizations struggle to understand their attack surface in real time, which seriously hinders monitoring, detection, and response. If an organization is unaware of assets and systems, it cannot monitor them, creating risk. Gartner believes MDR will increasingly include CTEM and ASM to ensure coverage of the client’s full environment and enable effective monitoring, detection, and response.
Going beyond traditional vulnerability analysis
Basic incident analysis is essential for MDR providers to understand what has happened and how to contain and prevent any harmful effects. A deeper analysis can help them understand why an incident occurred and recommend ways to prevent similar issues in the future. MDR providers can uncover valuable insights into a client's risk profile through deeper incident analysis (e.g., using digital forensics) and hypothesis-driven threat hunting. In turn, they can recommend proactive risk management strategies and security controls appropriate to the client. Note that deeper analysis often requires tracking activity across multiple log sources, so MDR providers must have access to logs from all relevant tools and systems.
Expansion into Security Operations
This is another way MDR providers can support clients with increasingly proactive security measures. It falls mainly into two categories:
Black box services
MDR offerings are often opaque, meaning organizations have little visibility into the actions and analyses taken on their behalf. For example, a provider may determine an incident is a false positive and take no action, but provide no rationale. This makes it impossible for the client to know if appropriate investigations have occurred or to spot-check past activity.
Exorbitant data storage costs
In addition to pricing structures that disincentive full coverage, some providers charge far too much for data storage beyond a minimum term. This leads clients to opt for the minimum storage period, severely limiting how much trend analysis the provider can conduct — and reducing value for the client.
Holding client data storage
Data co-management should be a feature of all MDR offerings. Clients should always have access to review and analyze data held on their behalf. However, some providers do not allow the client access, and others even delete data if a client leaves — with no option for data to be transferred to a client-owned system or another provider.
Data Management and Transparency
This trend is based on our experience, client interactions, and industry observations. There are several negative practices related to data and transparency that harm the value clients receive from MDR offerings, including:
Trend 1
Trend 2
Trend 3
Trend 4
Trend 5
How MDR is Changing To Reflect Client Needs
Building an internal SOC is not feasible for most organizations. Hybrid MDR fits some use cases, but falls short of the full value proposition. That’s why organizations are increasingly opting for MDR.
Still, several aspects of MDR have left clients wanting more — and some corners of the market are responding. In its MDR Market Guide, Gartner highlights some significant evolutions organizations should consider when choosing a provider.
11 Capabilities You Should Expect from MDR
Discover the 11 essential components to look for when choosing an MDR provider.
MDR solutions must be based around the right tooling (e.g., EDR, XDR) for your needs — whether from your technology stack or sold as part of the offering.
Modern tooling
The offering must integrate with all relevant tools, systems, and logs in your IT environment. Data should be retained for long enough to enable trend analysis.
Complete coverage
Both the provider and your internal team must have access to all data stored and used for detection and response.
Co-managed data
“Nickle and dime” pricing models (e.g., based on data volume or integrations) are a warning sign. A flat price is ideal.
Simple pricing that incentivizes full coverage.
For most clients, providers must be able to contain and remediate threats directly to prevent harm from ransomware and other destructive attacks.
Big "R" Response
Speed is crucial for harm reduction. Look for a provider that can demonstrate a track record of rapid response.
Rapid containment and remediation
MDR providers should routinely conduct detailed analyses of incidents (individual and group) to identify learning points and recommend improvements.
Detailed investigation
You should have complete visibility of all actions taken on your behalf and their rationale. This enables spot-checking and allows you to conduct additional analyses.
Transparency
MDR is often bought in response to a serious incident, but even if that’s not the case, MDR providers should be able to onboard new clients promptly.
Fast onboarding
When the worst happens, your MDR provider should go beyond response to help your organization fully recover and return to normal operations.
Recovery capabilities
Hypothesis-driven threat hunting, forensic analysis, BAS, and other consultancy-style services should be available as part of the offering or as additional services.
Value-added services
MDR Capabilities
The MDR Life Cycle as It Should Be
The table below shows the full detection and response life cycle and highlights which steps are covered by different levels of MDR.
Not all offerings are equal. “MDR” has been used (and misused) to describe a wide range of offerings — many of which aren’t fit for purpose. When choosing a provider, make sure you understand precisely what you’re getting. To maximize risk reduction, choose an MDR provider that covers the entire life cycle, conducts deeper analyses, and recommends ways to improve your wider security program.
Detect suspicious activity
Small "R" MDR
Standard MDR
Full MDR
Alert received or activity detected via threat hunting
Analyze to determine the issue and next steps
Identify ransomware on an endpoint, escalate to incident, and create a ticket
Contain threat
Isolate endpoint to prevent spread of infection
Remediate threat
Reimage endpoint to remove infection and restore functionality
Deeper investigation to identify cause
Review and cross-reference relevant logs
Identify learning points
Infection occurred because a user downloaded a Microsof Office file containing a malicious macro
Determine actions to prevent future incidents
Consider turning off macros by default in Office 365
Implement actions
Alert client to the risk posed by malicious macros and suggest changing Office 365 settings
Identifying Deeper Trends
Detection and response shouldn’t end with per-incident analysis. MDR providers should analyze past incidents to uncover broader trends and identify the highest-value actions to reduce risk. For instance, a single incident caused by malicious macros may not warrant action. However, if multiple incidents have the same cause over time, turning off macros by default may be a priority.
MXDR: Detection & Response that Fuels Your Security Program
Beazley Security’s MXDR is a complete detection and response solution that covers the entire MDR life cycle. Built around the industry’s most advanced XDR platform, our service helps your organization withstand any cyber threat — and ensures you don’t make the wrong kind of headlines. In addition to everything recommended in this guide, MXDR provides:
Continuous Threat Exposure Management
(CTEM) to help you understand your entire IT environment and track changes in your attack surface over time.
Proactive risk management
recommendations based on in-depth analysis of both individual incidents and broader trends in incidents and threats.
Hypothesis-driven threat hunting
to uncover evidence of malicious activity, preventing attackers from dwelling in your IT environment or expanding their access.
Expert recovery support
delivered by our crisis management team, which handles over a dozen serious incidents per day, every day of the year.
Designed to Address Common MDR Shortcomings
MXDR was specifically designed to provide a complete detection and response solution while eliminating the most common MDR weaknesses and frustrations.
Comprehensive Visibility
24/7 Monitoring across the threat landscape (Cloud, Identity, Endpoint, etc)
No Nickel & Diming
All Integrations at no additional cost
Data Retention Included
3 months of data retention included
In-Depth Multifaceted Investigations
Multifaceted investigations across Endpoint, Email, and identity data
MDR Client Portal
Instant visibility into Cases, SLOs, Advisories, & Real time reporting
Managed XDR
©2025 Beazley Security. All rights reserved
We help clients build cyber resilience
Beazley Security is a global cyber security firm committed to helping clients develop true cyber resilience: the ability to withstand and recover from any cyberattack.
We combine decades of cyber security protection, detection, response, and recovery expertise with the actuarial precision and risk mitigation capability of our parent company, Beazley Insurance.
Find out more about our cyber security solutions.
EN
FR
English
French
Erkennung und Reaktion – Warum?
Cybersicherheit ist im Wesentlichen eine Schutzdisziplin. Im Idealfall sollten alle bösartigen und gefährlichen Aktivitäten an ihrer Quelle verhindert werden. Leider ist das unmöglich.
Das NIST Cybersecurity Framework (CSF) 2.0 umfasst folgende Kernfunktionen: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Hälfte davon spielen eine Rolle, nachdem Schutzmaßnahmen versagt haben. Bedrohungen entwickeln sich ständig weiter, um Sicherheitsmaßnahmen zu umgehen. Menschliche Fehler bieten Angreifern die Möglichkeit, auf privilegierte Systeme und Assets zuzugreifen. Selbst die besten Cybersicherheitsprogramme können sich nicht ausschließlich auf Schutzmaßnahmen verlassen. Aus diesem Grund stehen "Security Operations Center (SOCs)"- und "Incident Response (IR)"-Teams im Zentrum der Cybersicherheit.
Das Warum hinter Erkennung und Reaktion
Drei Modelle zur Erkennung und Reaktion
Wie sich MDR verändert, um den Bedürfnissen der Kunden gerecht zu werden
11 Funktionen, die Sie von MDR erwarten sollten
Der MDR-Lebenszyklus, wie er sein sollte
MXDR: Erkennung und Reaktion als Grundlage für Ihr Sicherheitsprogramm
Intern oder Outsourcing?
Die Notwendigkeit der Erkennung und Reaktion ist unvermeidlich, aber ihre Form kann variieren.
Sehr große Organisationen entwickeln und pflegen diese Fähigkeiten oft im eigenen Haus. Obwohl dies kostspielig und schwierig ist, kann sich die Investition für Organisationen mit ausreichend großen und komplexen IT-Umgebungen, speziellen Anforderungen und der Fähigkeit, das notwendige Fachwissen einzustellen und zu halten, lohnen. Den meisten Organisationen fehlen jedoch die Ressourcen oder die Bereitschaft, so viel in eine Funktion außerhalb ihrer Kernkompetenzen zu investieren. Da kann nicht überraschen: Die Logistik des Aufbaus und der Aufrechterhaltung einer effektiven Funktion sowie die dafür benötigten Ressourcen sind erheblich. Für genau diese Organisationen gibt es Managed Detection and Response (MDR).
Vielleicht ist Ihnen aufgefallen, dass die Überwachung in den NIST-Kernfunktionen nicht besonders hervorgehoben wird. Das liegt daran, dass Überwachung kein Ergebnis ist. Trotzdem ist sie eine grundlegende Voraussetzung, und ohne sie sind die Funktionen Erkennen, Reagieren und Wiederherstellen unmöglich. Alle Erkennungs- und Reaktionsfunktionen müssen auf einer umfassenden und kontinuierlichen Überwachungsfähigkeit aufbauen, die die gesamte IT-Umgebung abdeckt. Dies bedeutet: Überwachen von Daten aus allen Tools und Systemen, einschließlich Endpunkten, Netzwerken, Identitäten, E-Mail-Systemen, Cloud-Diensten, Anwendungen und Containern.
Ohne Überwachung gibt es keine Erkennung oder Reaktion.
Definition von Managed Detection and Response (MDR)
Der Begriff Managed Detection and Response (MDR) wurde verwendet, um eine breite Palette von Dienstleistungen zu verkaufen, die von Technologieangeboten mit minimalem menschlichem Eingreifen bis hin zu vollständig ausgelagerten SOCs reichen. MDR bedeutet jedoch etwas Bestimmtes – auch wenn es häufig missverständlich verwendet wird.
Laut Gartner bietet MDR "Kunden die Funktionen eines Security Operations Center (SOC) aus der Ferne an". Das ist keine besonders gute Definition, was möglicherweise erklärt, warum der Begriff so häufig missverständlich ist. Eine genauere Lektüre der jüngsten Gartner-Berichte zeigt jedoch, dass – obwohl es einen gewissen Spielraum gibt – Kriterien erfüllt sein müssen, damit ein Angebot wirklich als MDR gilt.
MDR muss mindestens Folgendes umfassen:
Kontinuierliche Überwachung, die alle Endpunkte, Netzwerke, Identitäten, Cloud-Instanzen und Anwendungen, Container usw. abdeckt.
Schnelle Bedrohungserkennung zur Aufdeckung bösartiger oder gefährlicher Aktivitäten in der Umgebung des Kunden.
Untersuchung und Analyse, um das Ausmaß der entdeckten Bedrohungen zu verstehen und die beste Vorgehensweise festzulegen.
Eindämmung von Bedrohungen, um deren weitere Ausbreitung und Schäden zu verhindern.
Reaktionsmaßnahmen, um alle Spuren der Bedrohung zu beseitigen und dem Kunden die Rückkehr zum normalen Betrieb zu ermöglichen.
Alle Funktionen müssen remote erfüllt, und Bedrohungen müssen schnell erkannt, untersucht, eingedämmt und behoben werden, um den Schaden für die IT-Systeme und -Ressourcen des Kunden so gering wie möglich zu halten. MDR-Angebote verwenden ausnahmslos Technologien wie Endpoint Detection and Response (EDR). Das Herzstück einer echten MDR ist jedoch ein vollständig besetztes und erfahrenes Security Operations Center (SOC). Achten Sie darauf, dass technologiezentrierte Angebote, die Sie in Betracht ziehen, die Kriterien für "MDR" erfüllen. Hinweis: MDR-Angebote umfassen häufig zusätzliche Dienste wie Threat Hunting und Cyber Threat Intelligence (CTI). Dabei handelt es sich um Mehrwertdienste und nicht um Kernfunktionen des MDR.
Erkennungs- und Reaktionsfähigkeiten:
Die aus der Erkennung und Reaktion gezogenen Lehren sollten in das umfassendere Sicherheitsprogramm einfließen, um ähnliche Bedrohungen in Zukunft zu verhindern. Durch diesen zirkulären Prozess werden Organisationen sicherer und lernen, ihre Ressourcen für die Cybersicherheit effektiv zu nutzen.
Knüpfen dort an, wo schützende Sicherheitskontrollen enden
Identifizieren Bedrohungen, analysieren sie, dämmen sie ein und beheben sie
Minimieren Schäden durch Bedrohungen
Fließen gegebenenfalls auch in die Wiederherstellungsbemühungen ein
Einen endgültigen "besten" Weg, um die Erkennung und Reaktion zu implementieren, gibt es nicht. Es hängt von den Umständen und Bedürfnissen der jeweiligen Organisation ab.
Kontakt
Aufbau einer internen SOC- oder IR-Funktion
Der Aufbau einer internen SOC- oder IR-Funktion bietet vollständige Kontrolle über alle Werkzeuge, Prozesse und Ressourcen. Große Organisationen bevorzugen dies im Allgemeinen, da sie die Größenvorteile haben, um eine Erkennungs- und Reaktionsfähigkeit zu finanzieren und zu besetzen, die alle erforderlichen Fähigkeiten und Erfahrungen umfasst und auf ihre IT-Umgebung und Bedrohungen zugeschnitten ist. Der Nachteil dieses Ansatzes sind die Kosten. Oft können Organisationen keine 24/7/365-Funktion aufrechterhalten, wodurch sie außerhalb der Bürozeiten anfällig für Angriffe sind. Da viele Angriffe außerhalb der Geschäftszeiten – nachts, am Wochenende und an Feiertagen – erfolgen, stellt dies ein untragbares Risiko dar.
Wie Preisgestaltung eine vollständige Abdeckung ermöglicht (und warum das wichtig ist)
Vollständig maßgeschneidert und an den eigenen Bedarf angepasst Potenziell äußerst effektiv zur Risikominderung Potenzial für vollständige Integration und Datenaufnahme
In der Regel teurer als Outsourcing Möglicherweise nicht rund um die Uhr an 365 Tagen im Jahr machbar Kein "zweites Augenpaar" zur Überprüfung der Wirksamkeit
Herausforderungen
Da sich die meisten Organisationen eine interne Abteilung nicht leisten können (oder nicht finanzieren möchten), ist das Outsourcing an einen MDR-Anbieter üblich. Gartner schätzt, dass im Jahr 2025 50 % der Organisationen MDR-Dienste nutzen. Dies bietet mehrere Vorteile. MDR wird in der Regel rund um die Uhr an 365 Tagen im Jahr bereitgestellt, umfasst die meisten – wenn nicht sogar alle – erforderlichen Technologien und ist weitaus kostengünstiger als eine interne Abteilung. Achten Sie zum Beispiel darauf, ob ein MDR-Anbieter eine vollständige Lösung unter Verwendung des vorhandenen Technologiestacks liefern kann.
In der Regel 24/7/365 verfügbar In der Regel kostengünstiger als der Eigenbau Zugang zu einem vollständig ausgestatteten und personell besetzten SOC Kann mit bereitgestellter Technologie (z. B. EDR) geliefert werden Umfassende Fachkenntnisse über den gesamten Erkennungs- und Reaktionslebenszyklus Vollständige Integration und Datenaufnahme (einige Anbieter) Die unkomplizierteste Option
Abdeckung des Preismodells Eigentum an den Daten muss geklärt sein (für den Fall des Anbieterwechsels) Bereitstellen von tiefgehende Bedrohungsanalysen Anbieter sollte in der Lage sein, im Namen des Kunden zu reagieren Transparenz der Tätigkeiten ("Black-Box") Technologieorientierte Lösungen werden häufig fälschlicherweise als MDR bezeichnet
Vorteile
Viele Preismodelle enthalten je einzelne Zusatzgebühren zu Beispiel für Integrationen, Datenvolumen und Speicherplatz. Da die Kunden die Kosten niedrig halten möchten, entscheiden sie sich häufig dafür, die Quellen und die Menge der Daten, die ihr Anbieter erfasst, zu minimieren. Dies ist aus zwei Gründen problematisch:
MDR sollte eine detaillierte Analyse von Vorfällen und Bedrohungsmustern beinhalten. Das Ziel ist nur zu erreichen, wenn Zugang zu allen relevanten Telemetriedaten besteht. Das Fehlen dieser Daten bedeutet, dass die zugrunde liegende Ursache von Angriffen möglicherweise nicht erkannt wird, was es unmöglich macht, Schlussfolgerungen zu ziehen und Schutzmaßnahmen zu verstärken. Ein fehlender Zugang zu kritischen Datenquellen kann bedeuten, dass Bedrohungen erst erkannt werden, wenn sie bereits Fuß gefasst haben – und zu diesem Zeitpunkt ist ein gewisser Schaden unvermeidlich.
Allerdings gibt es potenzielle Fallstricke. Achten Sie darauf, ob Preisgestaltung und Lieferung auf eine Weise strukturiert sind, die Ihren Bedürfnissen entgegenkommt, zum Beispiel: Gibt es "Black-Box"-Dienste, die wenig Einblick in die Tätigkeiten geben? Werden Preismodelle angeboten, die eine vollständige Abdeckung und Datenaufnahme ermöglichen? Ist die Bedrohungsanalyse umfassen und schließt sie tiefere Indikatoren und Bedrohungstrends mit ein? Organisationen sollten den richtigen Anbieter für ihre Bedürfnisse wählen – und dies sollte bei der Bewertung von Anbietern berücksichtigt werden.
Auslagerung an einen MDR-Anbieter
Hybrid-MDR
Achten Sie darauf, wie Aufgaben zwischen dem Anbieter und dem Kunden geteilt werden – das ist die so genannte „hybride MDR“. Es gibt mehrere Formen von hybriden MDR, die für manche Organisationen geeignet sein könnten. Am häufigsten ist dies der Fall, wenn Anbieter die Überwachung, Erkennung und Analyse übernehmen und dem Kunden Reaktionsempfehlungen in Form eines Tickets bereitstellen. Bei Beazley Security bezeichnen wir dies als "Small R": Die Anbieter liefern Anleitungen zur Eindämmung und Behebung von Vorfällen, und die Kunden führen die Reaktionsmaßnahmen selbst durch.
Passt möglicherweise zum Anwendungsfall des Kunden Möglicherweise die kostengünstigste Option Kein bidirektionaler Zugriff auf die Umgebung des Kunden
Erhöhtes Risiko von Lücken und menschlichen Fehlern Erfordert umfangreiches internes Fachwissen Risiko einer zeitlichen Verzögerung bei der Reaktion auf Bedrohungen Zusätzliches Risiko für Angriffe außerhalb der Geschäftszeiten
Weitere Varianten des hybriden MDR umfassen:
Diese technologiegestützten Angebote werden in der Regel von EDR-Anbietern oder Systemintegratoren bereitgestellt. In der Regel handelt es sich dabei um die kostengünstigsten MDR-Angebote, die am wenigsten menschliches Fachwissen erfordern. Infolgedessen müssen die Kunden über mehr internes Personal und Fachwissen verfügen, um diesen Ansatz erfolgreich umzusetzen, und sie müssen intern entsprechende Maßnahmen ergreifen.
Gemeinsam verwaltetes Sicherheitsmonitoring
Während SOCaaS vor einigen Jahren kurzzeitig populär war, ist es inzwischen weitgehend von der modernen MDR überholt worden. SOCaaS ist ein verwalteter Überwachungs- und Beratungsdienst, der häufig auch Beratungs- und Personalaufstockungskomponenten umfasst. Diese Angebote sind oft stark individualisiert, können spezielles Personal und Technologien umfassen und sind mit einem hohen Preis verbunden. SOCaaS-Anbieter haben in der Regel keinen Zugriff, um direkt zu reagieren.
Hinweis: Dies war bis vor Kurzem die vorherrschende Form der MDR. Viele Organisationen betrachteten es als ein unvertretbares Risiko, Anbietern zu gestatten, innerhalb ihrer Umgebung tätig zu werden. Sie zogen es vor, selbst zu reagieren und nahmen das alternative Risiko in Kauf, dass die unvermeidliche Zeitverzögerung zu zusätzlichem Schaden führen könnte. Die Kundenpräferenzen haben sich radikal verändert, und die meisten ziehen es jetzt vor, MDR-Anbietern zu erlauben, in ihrem Namen zu reagieren.
Der Aufbau eines internen SOC ist für die meisten Organisationen nicht umsetzbar. Hybride MDR passt zu einigen Anwendungsfällen, bietet jedoch nicht den vollständigen Mehrwert. Aus diesem Grund entscheiden sich Organisationen zunehmend für MDR.
Dennoch haben gewisse Aspekte des MDR bei den Kunden den Wunsch nach mehr geweckt – und einige Bereiche des Marktes reagieren darauf. Gartner hebt im MDR Market Guide einige bedeutende Entwicklungen hervor, die Organisationen bei der Auswahl eines Anbieters berücksichtigen sollten.
Präventive Erkennung von Bedrohungen, bevor sie Fuß fassen und zu einem Vorfall oder einer Sicherheitsverletzung werden. Dies könnte in Form von hypothesengestütztem Threat Hunting erfolgen.
Identifizierung von Bedrohungstrends und Anleitung zur Unterstützung und Verbesserung von Schutzmaßnahmen. Durch die Analyse vergangener Vorfälle können MDR-Anbieter ihren Kunden helfen, ihr Bedrohungsprofil zu verstehen und Maßnahmen zur Bewältigung von Bedrohungen zu ergreifen.
Während Erkennung und Reaktion reaktiv sind, können und sollten sie die proaktive Sicherheit unterstützen. Gartner stellt fest: "MDR-Käufer verlangen von den Anbietern zunehmend, dass sie ihre Anforderungen über die Erkennung und Reaktion auf Bedrohungen hinaus auf die proaktive Identifizierung von Bedrohungsexpositionen und präventive Sicherheitsmaßnahmen ausweiten." Es gibt mehrere Möglichkeiten für MDR-Anbieter, proaktiver zu agieren:
Die Bewertung der Sicherheitskontrollen und der Konfiguration kann MDR-Anbietern ermöglichen, Kunden zu Änderungen und Ergänzungen zu raten, die das Risiko deutlich reduzieren.
"Big R"-Antwort
Gartner hebt die Bedeutung von MDR-Anbietern hervor, die "aus der Ferne Maßnahmen zur aktiven Eindämmung oder Störung einer Bedrohung einleiten können".
Über den Endpunkt hinaus
Der MDR-Markt war in der Vergangenheit eng mit "Endpoint Detection and Response (EDR)"-Tools verbunden. Gartner kritisiert zu Recht Angebote, die lediglich verwaltete EDR-Tools sind, und bezeichnet sie als "falsch benannte technologieorientierte Angebote, die keine von Menschen gesteuerten MDR-Dienste bieten".
Kontinuierliches Bedrohungsexpositionsmanagement (CTEM) und Angriffsflächenmanagement (ASM)
Viele Organisationen haben Schwierigkeiten, ihre Angriffsfläche in Echtzeit zu verstehen. Das behindert Überwachung, Erkennung und Reaktion erheblich. Wenn eine Organisation keine Kenntnis von Assets und Systemen hat, kann sie diese nicht überwachen. Das ist ein Risiko. Gartner ist der Ansicht, dass MDR zunehmend CTEM (Continuous Threat Exposure Management) und ASM (Attack Surface Management) umfassen wird, um die gesamte Umgebung des Kunden abzudecken und eine effektive Überwachung, Erkennung und Reaktion zu ermöglichen.
Über die traditionelle Schwachstellenanalyse hinaus
Eine grundlegende Analyse von Vorfällen ist für MDR-Anbieter unerlässlich, um zu verstehen, was geschehen ist und wie man schädliche Auswirkungen eindämmen und verhindern kann. Eine tiefere Analyse kann ihnen helfen, zu verstehen, warum ein Vorfall aufgetreten ist, und Wege zu empfehlen, um ähnliche Probleme in Zukunft zu vermeiden. MDR-Anbieter können wertvolle Einblicke in das Risikoprofil eines Kunden gewinnen, indem sie eine vertiefte Analyse von Vorfällen (z. B. mithilfe digitaler Forensik) und hypothesengesteuertem Threat Hunting durchführen. Im Gegenzug können sie proaktive Risikomanagement-Strategien und Sicherheitskontrollen empfehlen, die für den Kunden geeignet sind. Beachten Sie, dass eine tiefere Analyse häufig die Verfolgung von Aktivitäten über mehrere Protokollquellen hinweg erfordert, weshalb MDR-Anbieter Zugang zu den Protokollen aller relevanten Tools und Systeme haben müssen.
Ausweitung auf Sicherheitsoperationen
Dies ist eine weitere Möglichkeit, wie MDR-Anbieter ihre Kunden mit zunehmend proaktiven Sicherheitsmaßnahmen unterstützen können. Es fällt hauptsächlich in zwei Kategorien:
Black-Box-Dienste.
Der MDR-Service sollte transparent sein und der Organisation Einblick in die Maßnahmen und Analysen ermöglichen, die in ihrem Namen durchgeführt werden. Ein Anbieter kann beispielsweise feststellen, dass ein Vorfall ein Fehlalarm ist, und sollte dann nachvollziehbare und begründete Maßnahmen ergreifen. Dadurch ist es Kunden möglich, zu erfahren, ob entsprechende Untersuchungen stattgefunden haben oder frühere Aktivitäten stichprobenartig überprüft wurden.
Exorbitante Kosten für die Datenspeicherung.
Preisstrukturen sollten einen umfassenden Schutz ermöglichen, einschließlich für die Datenspeicherung über eine Mindestlaufzeit hinaus. Andernfalls könnten Kunden sich für die minimale Speicherdauer entscheiden, wodurch die Möglichkeiten des Anbieters zur Durchführung von Trendanalysen stark eingeschränkt werden und der Wert für den Kunden reduziert wird.
Kundendaten gehören dem Kunden
Gemeinsame Datenverwaltung sollte ein Merkmal aller MDR-Angebote sein. Kunden sollten stets Zugang haben, um die in ihrem Namen gespeicherten Daten zu überprüfen und zu analysieren. Kunden sollten bei Anbieterwechsel in der Lage sein, Daten auf ein kundeneigenes System oder zu einem anderen Anbieter zu übertragen.
Datenverwaltung und Transparenz
Dieser Trend basiert auf unseren Erfahrungen, Kundeninteraktionen und Beobachtungen aus der Branche. Achten Sie darauf, ob der Wert, den Kunden aus MDR-Services ziehen, auch in Bezug auf Daten und Transparenz maximiert ist.
Wenn ein Anbieter nicht mehr tun kann, als ein Ticket für das interne Team des Kunden zu erstellen, könnte die gleiche Reaktion Stunden oder sogar Tage dauern, wenn ein Angriff über das Wochenende erfolgt. In der Zwischenzeit können MDR-Anbieter, die direkt in der Umgebung eines Kunden tätig sind, einen Angriff innerhalb von Minuten eindämmen und beheben.
Ein weiteres unerwünschtes Artefakt der Abhängigkeit von EDR war eine Voreingenommenheit zugunsten von Bedrohungen, die Endpunkte betreffen, unter Ausschluss anderer Asset-Klassen. Da sich EDR zu XDR (eXtended Detection and Response) weiterentwickelt hat, suchen Unternehmen vernünftigerweise nach Angeboten, die über ein viel breiteres Spektrum von Assets und Systemen hinweg Bedrohungen erkennen können.
Bis vor Kurzem hatten Kunden wenig Interesse daran, dass MDR-Anbieter direkt in ihrem Umfeld agieren. Die Verbreitung von Ransomware und anderen zerstörerischen Angriffen – von denen viele außerhalb der Geschäftszeiten stattfinden – hat jedoch zu einer Änderung der Präferenzen geführt. Der Grund ist einfach: Eine schnelle Reaktion kann die Auswirkungen schwerer Zwischenfälle drastisch reduzieren.
MDR-Anbieter sollten die gesamte Umgebung des Kunden überwachen, einschließlich Endpunkte, E-Mail, Identitäten, Cloud-Instanzen, Container, IoT/OT, Edge-Geräte und SaaS-Anwendungen wie Microsoft 365.
Proaktivität
Trend Nr. 1
Trend Nr. 2
Trend Nr. 3
Trend Nr. 4
Trend Nr. 5
Im Folgenden finden Sie elf wesentliche Komponenten, auf die Sie bei der Auswahl eines MDR-Anbieters achten sollten.
MDR-Lösungen müssen auf den richtigen Werkzeugen (z. B. EDR, XDR) für Ihre Anforderungen basieren – unabhängig.
Moderne Werkzeuge
Das Angebot muss mit allen relevanten Tools, Systemen und Logs in Ihrer IT-Umgebung integriert werden. Daten sollten lange genug aufbewahrt werden, um eine Trendanalyse zu ermöglichen.
Vollständige Abdeckung
Sowohl der Anbieter als auch Ihr internes Team müssen Zugriff auf alle Daten haben, die gespeichert und für die Erkennung und Reaktion verwendet werden.
Gemeinsam verwaltete Daten
Preisgestaltungsmodelle sollten nicht auf Datenvolumen oder Integrationen basieren. Ein Pauschalpreis ist ideal.
Einfache Preisgestaltung, die Anreize für eine vollständige Abdeckung bietet
. Anbieter müssen in der Lage sein, Bedrohungen direkt einzudämmen und zu beseitigen, um Schäden durch Ransomware und andere zerstörerische Angriffe zu verhindern.
"Big R"-Reaktion
Schnelligkeit ist entscheidend für die Schadensminderung. Suchen Sie nach einem Anbieter, der nachweislich schnell reagiert.
Schnelle Eindämmung und Behebung
MDR-Anbieter sollten routinemäßig detaillierte Analysen von Vorfällen (einzeln und in Gruppen) durchführen, um Lernpunkte zu ermitteln und Verbesserungen zu empfehlen.
Ausführliche Untersuchung
Sie sollten vollständige Transparenz über alle in Ihrem Namen ergriffenen Maßnahmen und deren Begründung haben. Dies ermöglicht stichprobenartige Überprüfungen und zusätzliche Analysen.
Transparenz
MDR wird oft als Reaktion auf einen schwerwiegenden Vorfall gekauft, aber selbst, wenn dies nicht der Fall ist, sollten MDR-Anbieter in der Lage sein, neue Kunden umgehend aufzunehmen.
Schnelles Onboarding
Wenn das Schlimmste eintritt, sollte Ihr MDR-Anbieter nicht nur reagieren, sondern Ihrem Unternehmen helfen, sich vollständig zu erholen und zum normalen Betrieb zurückzukehren.
Wiederherstellungsfähigkeiten
Hypothesengetriebenes Threat Hunting, Forensik, BAS und andere beratungsähnliche Dienste sollten als Teil des Angebots oder als zusätzliche Dienste verfügbar sein.
Mehrwertdienste
Die nachstehende Tabelle zeigt den vollständigen Erkennungs- und Reaktionszyklus und verdeutlicht, welche Schritte von den verschiedenen Ebenen der MDR abgedeckt werden.
Nicht alle Angebote sind gleich. Der Begriff "MDR" wurde verwendet (und missverstanden), um eine breite Palette von Angeboten zu beschreiben – viele davon sind nicht zweckmäßig. Achten Sie bei der Wahl eines Anbieters darauf, dass Sie genau verstehen, was Sie bekommen. Um die Risikominderung zu maximieren, sollten Sie einen MDR-Anbieter wählen, der den gesamten Lebenszyklus abdeckt, tiefere Analysen durchführt und Möglichkeiten zur Verbesserung Ihres umfassenden Sicherheitsprogramms empfiehlt.
Verdächtige Aktivitäten erkennen
"Kleines R"-MDR
Standard-MDR
Vollständiges MDR
Alarm erhalten oder Aktivität durch Threat Hunting erkannt
Analysieren Sie, um das Problem und die nächsten Schritte zu ermitteln
Ransomware auf einem Endpunkt erkennen, zu einem Vorfall eskalieren und ein Ticket erstellen
Bedrohung eindämmen
Endpunkt isolieren, um die Ausbreitung der Infektion zu verhindern
Bedrohung beheben
Endpunkt neu aufsetzen, um die Infektion zu entfernen und die Funktionalität wiederherzustellen
Vertiefte Untersuchung zur Identifizierung der Ursache
Relevante Protokolle überprüfen und abgleichen
Lernpunkte identifizieren
Die Infektion trat auf, weil ein Benutzer eine Microsoft-Office-Datei heruntergeladen hatte, die ein bösartiges Makro enthielt
Maßnahmen zur Vermeidung zukünftiger Vorfälle festlegen
Erwägen Sie, Makros in Office 365 standardmäßig zu deaktivieren
Maßnahmen implementieren
Den Kunden auf das Risiko durch bösartige Makros hinweisen und vorschlagen, die Einstellungen von Office 365 zu ändern
Tiefere Trends erkennen
Erkennung und Reaktion sollten nicht mit der Analyse pro Vorfall enden. MDR-Anbieter sollten vergangene Vorfälle analysieren, um umfassendere Trends aufzudecken und die wertvollsten Maßnahmen zur Risikominderung zu ermitteln. Ein einzelner Vorfall, der durch bösartige Makros verursacht wurde, rechtfertigt möglicherweise keine Maßnahmen. Wenn jedoch im Laufe der Zeit mehrere Vorfälle dieselbe Ursache haben, könnte die standardmäßige Deaktivierung von Makros Priorität haben.
(CTEM) hilft Ihnen, Ihre gesamte IT-Umgebung zu verstehen und Veränderungen in Ihrer Angriffsfläche im Laufe der Zeit nachzuverfolgen.
Umfassende Sichtbarkeit
24/7-Überwachung der Bedrohungslandschaft (Cloud, Identität, Endpunkt usw.)
Keine Zusatzkosten
Alle Integrationen ohne zusätzliche Kosten
Langfristige Datenaufbewahrung
90 Tage Datenaufbewahrung inklusive
Tiefgehende, vielschichtige Untersuchungen
Vielfältige Untersuchungen über Endpunkt-, E-Mail- und Identitätsdaten
MDR-Kundenportal
Sofortige Sichtbarkeit in Fällen, SLOs, Empfehlungen und Echtzeit-Berichterstattung
MXDR von Beazley Security ist eine umfassende Erkennungs- und Reaktionslösung, die den gesamten Lebenszyklus des MDR abdeckt. Unser Service basiert auf der branchenweit fortschrittlichsten XDR-Plattform und hilft Ihrem Unternehmen, jeder Cyberbedrohung zu widerstehen – und sorgt dafür, dass Sie nicht in die falschen Schlagzeilen geraten. Zusätzlich zu allem, was in diesem Leitfaden empfohlen wird, stellt MXDR bereit:
Proaktives Risikomanagement
Empfehlungen basierend auf einer eingehenden Analyse sowohl einzelner Vorfälle als auch allgemeiner Trends bei Vorfällen und Bedrohungen.
Hypothesengetriebenes Threat Hunting
um Beweise für bösartige Aktivitäten aufzudecken und Angreifer daran zu hindern, sich in Ihrer IT-Umgebung einzunisten oder ihren Zugriff zu erweitern.
Fachkundige Unterstützung bei der Wiederherstellung
durch unser Krisen-Management-Team, das täglich mehr als ein Dutzend schwerwiegender Vorfälle bearbeitet, jeden Tag des Jahres.
Entwickelt, um häufige Mängel bei der MDR zu adressieren
MXDR wurde speziell entwickelt, um eine umfassende Erkennungs- und Reaktionslösung bereitzustellen und gleichzeitig die häufigsten Schwachstellen und Frustrationen von MDR zu beseitigen.
Wir helfen Kunden dabei, Cyber-Resilienz aufzubauen
Beazley Security ist ein globales Cybersicherheitsunternehmen, das sich dafür einsetzt, Kunden dabei zu helfen, echte Cyber-Resilienz zu entwickeln: die Fähigkeit, Cyberangriffen standzuhalten und sich davon zu erholen.
Wir kombinieren jahrzehntelange Erfahrung in den Bereichen Cybersicherheit, Erkennung, Reaktion und Wiederherstellung mit der versicherungsmathematischen Präzision und Risikominderungskompetenz unserer Muttergesellschaft Beazley Insurance.
Kontaktieren Sie uns, um zu besprechen, wie MXDR Ihrem Unternehmen helfen kann.
