Was ist Managed Detection and Response (MDR)?

Sophos MDR Sophos Ransomware-Report

Managed Detection and Response (MDR) ist ein 24/7 Fully-Managed Service, der durch ein Team von Sicherheitsexperten bereitgestellt wird. Diese sind auf das Erkennen und Bekämpfen von Cyberangriffen spezialisiert, gegen die reine Technologie-Lösungen machtlos sind. Durch die Kombination menschlicher Expertise und Schutztechnologien sowie modernsten Machine-Learning-Modellen können MDR-Analysten hochkomplexe, von Hackern manuell gesteuerte Angriffe erkennen, analysieren und beseitigen, um Datenverstöße und Ransomware zu verhindern.

Die Nachfrage nach MDR-Services steigt stetig. Prognosen von Gartner zufolge werden bis 2025 die Hälfte aller Unternehmen und Organisationen MDR-Services nutzen.

Warum ist MDR wichtig?

Die Realität zeigt, dass Technologien nicht jeden Cyberangriff verhindern können. Finanzstarke Angreifer von heute missbrauchen gestohlene Anmeldedaten, fehlerhafte Sicherheitskonfigurationen und legitime IT-Tools, um Abwehrtechnologien zu umgehen, und setzen dabei auf zunehmend innovative und professionelle Methoden.

Die einzige Möglichkeit, solche Cyber-Angreifer zuverlässig zu erkennen und zu eliminieren, besteht darin, IT-Umgebungen rund um die Uhr von Experten überwachen zu lassen. Fakt ist jedoch, dass eine solche 24×7-Abdeckung in den wenigsten Fällen intern geleistet werden kann. Daher setzen immer mehr Unternehmen und Organisationen auf spezialisierte MDR-Anbieter (Managed Detection Response).

Was bieten MDR-Services?

Der Leistungsumfang von MDR-Services variiert von Anbieter zu Anbieter. In der Regel umfassen MDR-Services:

  • 24/7 Threat Monitoring and Response durch Experten
  • Threat Hunting durch Experten
  • Eindämmung von Bedrohungen: die Angriffe werden gestoppt und eine Ausbreitung dadurch verhindert
  • Umfassende Reaktion auf Vorfälle: Bedrohungen werden vollständig eliminiert
  • Ursachenanalyse, um ein erneutes Auftreten in Zukunft zu verhindern
  • Integritätsprüfungen, um einen soliden Sicherheitsstatus zu gewährleisten
  • Wöchentliche und monatliche Reports

Wie funktionieren MDR-Services?


Die Bedrohungserkennung und -reaktion umfasst sechs Hauptschritte:

  1. Erfassen – Die Sicherheits-Telemetrien werden über das gesamte IT-Ökosystem hinweg erfasst: Endpoint-, Firewall-, Netzwerk-, Cloud-, E-Mail- und Identity-Lösungen. Je mehr die Analysten sehen, desto schneller können sie reagieren.
  2. Bedrohungserkennung – Threat Intelligence und Geschäftskontext werden zu den Daten hinzugefügt, um ein umfassendes Bild zu liefern. Zusammengehörige Sicherheitsereignisse werden in Clustern gruppiert und ermöglichen so eine vollständige und effiziente Analyse.
  3. Threat Hunting – Hochqualifizierte Analysten erkennen proaktiv Bedrohungen, die Sicherheitssysteme umgehen. Sie suchen nach Taktiken, Techniken und Prozessen (TTPs), die häufig von Cyberkriminellen genutzt werden, und nach Bedrohungen, die verschiedene Sicherheitstools umgehen können.
  4. Analyse – Die Analysten bestimmen das Ausmaß und die Schwere der Bedrohung und entscheiden über die nächsten Schritte.
  5. Behebung – Die Analysten unterbrechen den Angriff, um seine Ausbreitung zu verhindern. Dabei entfernen sie Malware und isolieren betroffene Systeme.

  6. Beseitigung – Außerdem führen sie eine Ursachenanalyse durch, um den Angreifer vollständig aus der Umgebung zu beseitigen und ein Wiederauftreten zu verhindern.

     

Wer nutzt Managed Detection and Response?

MDR-Services werden von verschiedensten Unternehmen und Organisationen in allen Branchen genutzt – von kleinen Unternehmen mit begrenzten IT-Ressourcen bis hin zu Großkonzernen mit eigener SOC-Abteilung. Aber wie genau funktioniert hier die Zusammenarbeit? Es gibt drei wesentliche Reaktions-Modelle im Rahmen von MDR:

  • Das MDR-Team verwaltet die Reaktion auf Bedrohungen komplett für den Kunden
  • Das MDR-Team und interne Team koordinieren gemeinsam die Reaktionsmaßnahmen
  • Das MDR-Team benachrichtigt das interne Team und gibt Hilfestellung bei der Behebung

Jedes Unternehmen ist anders und sollte das MDR-Reaktionsmodell wählen, das seinen Bedürfnissen am besten entspricht.

Was sind die wichtigsten Arten von MDR-Anbietern?

Im Wesentlichen gibt es drei Arten von MDR-Anbietern:

  1. Bring your own Technology – Diese Anbieter erfassen Daten aus mehreren Quellen. In der Regel benachrichtigen sie Kunden lediglich per Warnmeldung, ergreifen jedoch keine Maßnahmen. Außerdem sind ihre Einblicke begrenzt, auch was die Geschwindigkeit betrifft, in der ihnen die Erkenntnisse vorliegen und sie diese weiterleiten.
  2. Einzelanbieter – Die zweite Kategorie sind Anbieter, die MDR-Services für ihre eigenen Sicherheitsprodukte anbieten. Zwar sind die Technologie-Tools und der MDR-Service integriert, der Kunde muss seine bestehenden Cybersecurity-Tools jedoch ersetzen. In den Maßnahmen sind diese Anbieter auf den Funktionsumfang ihrer eigenen Produkte beschränkt.
  3. Völlig flexibel – Völlig flexible Anbieter kombinieren die Stärken beider Ansätze. Diese Anbieter können die vorhandenen Sicherheitsprodukte  der Kunden und ihre eigenen Sicherheitsprodukte nutzen. So müssen Sie Ihre bisherigen IT-Security-Produkte nicht ersetzen und profitieren von umfassenden Reaktionsfunktionen.

Welche Vorteile bietet MDR?

  1. Bessere Cyberabwehr  – Einer der Hauptvorteile von MDR-Services gegenüber unternehmenseigenen Security Operations ist der bessere Schutz vor Ransomware und anderen komplexen Cyberbedrohungen. Mit MDR profitieren Sie vom weitreichenden Erfahrungsschatz der Analysten des Anbieters. Denn MDR-Anbieter müssen sich im Gegensatz zu einzelnen Unternehmen tagtäglich mit verschiedensten Angriffen befassen. So verfügen sie über weitreichende Kenntnisse, die sich interne IT-Teams kaum aneignen können.
  2. Freisetzen von IT-Kapazitäten – Threat Detection and Response ist zeitaufwändig und unvorhersehbar. Die Dringlichkeit der Arbeit führt oft dazu, dass sich Teams nicht mehr auf strategisch wichtige Aufgaben konzentrieren können. Die Zusammenarbeit mit einem MDR-Service ermöglicht Ihnen, IT-Kapazitäten freizusetzen, um geschäftskritische Projekte voranzutreiben.
  3. 24/7-Sorglos-Sicherheitspaket. – Angreifer können zu jeder Tages- und Nachtzeit zuschlagen. Sie sind besonders dann aktiv, wenn Ihre IT-Abteilung offline ist, z. B. abends, an Wochenenden und an Feiertagen. Bedrohungserkennung und -reaktion sind demzufolge eine 24-Stunden-Aufgabe und jedes Unternehmen, das diese Aktivitäten auf Bürozeiten beschränkt, geht ein hohes Risiko ein. MDR-Services bieten Unternehmen einen 24/7-Schutz. Für IT-Abteilungen bedeutet dies buchstäblich, nachts besser schlafen zu können. Sie können die Verantwortung auf den MDR-Anbieter übertragen und ihre Zeit für wichtige Aufgaben nutzen. Für Führungskräfte und Kunden bietet die Kombination aus 24/7-Experten und einem hohen Maß an Cyberbereitschaft die starke Gewissheit, dass ihre Daten und das Unternehmen selbst gut geschützt sind.
  4. Threat Detection and Response ist ein hochkomplexer Vorgang. Mit MDR profitieren Sie von mehr Expertise – ohne mehr Personal – . Threat-Hunting-Experten müssen über hochspezifische Fachkenntnisse verfügen. Leider ist dieses Skill-Set rar gesät, sodass es für viele Unternehmen und Organisationen schwierig – wenn nicht fast unmöglich – ist, entsprechend qualifizierte Threat-Hunting-Experten anzuwerben. MDR-Services liefern Ihnen die nötige Expertise. So können Sie Ihre Security Operations erweitern, ohne Ihren Personalbestand aufstocken zu müssen.
  5. Steigern Sie Ihren Cybersecurity-ROI  – Ein 24/7 verfügbares Threat-Hunting-Expertenteam ist mit hohen Kosten verbunden. Um eine 24-Stunden-Abwehr zu gewährleisten, benötigen Sie mindestens fünf oder sechs Cybersecurity-Mitarbeiter, die in separaten Schichten arbeiten. Durch die Nutzung von Skaleneffekten sind MDR-Services eine kostengünstige Möglichkeit, Ihr Unternehmen zu schützen und Ihr Cybersecurity-Budget optimal auszuschöpfen.

Außerdem erhöhen MDR-Services Ihren Schutz, wodurch Sie Ihr Risiko für kostspielige Datenschutzverletzungen und Bereinigungsmaßnahmen senken. Wenn man berücksichtigt, dass die Behebung eines Ransomware-Angriffs in mittleren Unternehmen im Jahr 2021 durchschnittlich 1,4 Mio. US-Dollar kostete⁶, sind Investitionen in Präventionsmaßnahmen eine kluge finanzielle Entscheidung.

Außerdem können Sie durch die Wahl eines Anbieters, dessen Lösungen sich in Ihre bestehenden Sicherheitstechnologien integrieren lassen, den Return on Investment Ihrer vorhandenen Systeme steigern. Ein weiterer Pluspunkt: Unternehmen mit MDR-Services erfüllen viele Kontrollmechanismen, die Versicherer an ihre besten Angebote knüpfen.

Wie unterscheidet sich MDR von Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR)?

MDR sollte nicht mit EDR (Endpoint Detection and Response) oder XDR (Extended Detection and Response) verwechselt werden.

MDR, EDR und XDR unterstützen die Bedrohungserkennung und -reaktion. Dabei ermöglichen EDR- und XDR-Tools Analysten, nach potenziellen Kompromittierungen zu suchen und diese zu analysieren. Doch nur bei MDR-Services umfasst das Leistungsangebot die Bedrohungssuche, -analyse und -beseitigung durch Analysten eines Sicherheitsanbieters, die diese Aufgaben in Ihrem Auftrag für Sie übernehmen.

Wie der Name vermuten lässt, nutzen EDR-Tools ausschließlich Telemetriedaten von Endpoint-Protection-Technologien. XDR-Tools hingegen beziehen ihre Datenquellen aus der weiteren IT-Umgebung (einschließlich Firewall-, E-Mail-, Cloud-, Netzwerk-, Identity- und mobile Sicherheitslösungen) und bieten somit maximale Transparenz. Bei Sophos greifen wir zur Bereitstellung unseres MDR-Services auf unsere branchenführenden EDR- und XDR-Lösungen zurück.

Wie unterscheidet sich MDR von SIEM (Security Information and Event Management)?

  • SIEM ist eine Technologie, die Daten von Sicherheitstools erfasst, die Sie bereits im Einsatz haben. Die SIEM-Lösung sammelt und analysiert diese Informationen, um Bedrohungsanomalien zu erkennen.
  • MDR ist ein von Experten bereitgestellter Service, der die Analyse von Telemetriedaten mit umfassender Bedrohungsexpertise und leistungsstarken Analyse- und Reaktionsfunktionen kombiniert.

Wie unterscheiden sich MDR-Anbieter von MSSPs (Managed Security Services Provider)?

MDR-Anbieter sind auf die Bedrohungserkennung und -reaktion spezialisiert. Das tägliche Cybersecurity Management, wie die Bereitstellung Ihrer Sicherheitstechnologien, die Aktualisierung von Richtlinien, die Anwendung von Patches oder die Installation von Updates, sind nicht Teil des MDR-Service. Managed Service Provider (MSPs) bieten entsprechende IT Security Management Services für Unternehmen und Organisationen, die Unterstützung in diesem Bereich benötigen.

Worauf Sie bei der Auswahl Ihres MDR-Anbieters achten sollten

Bei der Auswahl von MDR-Services ist folgender Fragenkatalog hilfreich:

  • Wie umfassend ist das Serviceangebot des Anbieters? Wie umfangreich sind die Bedrohungsinformationen des Anbieters und wie viel Erfahrung bringt er im Bereich Threat Intelligence mit?
  • Welche Servicemodelle sind verfügbar und wie sehr orientieren sich diese an Ihren Anforderungen?
  • Wie viele Mitarbeiter stellen den Service bereit?
  • Welche Erfahrung besitzt der Anbieter in Ihrer Branche?
  • Ist der Service rund um die Uhr aktiv? Verfügt der Anbieter über globale Security Operations Center (SOCs) an unterschiedlichen Standorten?
  • Wie schnell werden Bedrohungen im Schnitt erkannt und behoben?
  • Wie lässt sich das Serviceangebot in Ihre vorhandenen Sicherheitssysteme integrieren?
  • Was sagen Kunden über den Service?
  • Wie schneidet der Anbieter bei unabhängigen Tests ab?
  • Wird eine Breach Protection Warranty angeboten? Wenn ja, wie hoch ist die Deckung, die Ihr Unternehmen tatsächlich in Anspruch nehmen kann?

Sophos MDR bietet die branchenweit beste Cybersecurity

Sophos Managed Detection and Response ist der MDR-Service, dem weltweit die meisten Kunden vertrauen. Mit Sophos MDR schützen Sie Ihre Computer, Server, Netzwerke, Cloud-Workloads, E-Mail-Konten und mehr. Sie haben Interesse an Sophos MDR? Kontaktieren Sie uns noch heute.

Kontaktieren Sie uns

 

Sophos Ransomware-Report 2024

Wie wahrscheinlich ist es, dass Sie Opfer von Ransomware werden? Wie viele Ihrer Computer wären betroffen? Diese und viele weitere Antworten finden Sie im Sophos Ransomware-Report 2024.

Jetzt herunterladen

sophos-state-of-ransomware-2024-report-cover-card

 

Verwandtes Sicherheitsthema: Was ist Endpoint Security?

Weitere Cybersecurity News