Diese Managed-Detection-and-Response-Angebote empfehlen wir Ihnen, wenn Sie Ihr Netzwerk von einem Dienstleister professionell überwachen lassen möchten. Erkennungstechnologie, Log-Daten-Pool, Reaktionszeit, Forensik: Bei der Auswahl für einen MDR-Dienst gilt es viele Faktoren mit einzubeziehen. Foto: Mr.B-king – shutterstock.comVon allen grundlegenden Elementen für die Informationssicherheit erfordert das Monitoring und Protokollieren von Netzwerkaktivitäten weitaus mehr Sorgfalt als andere Sicherheitsmaßnahme wie die Verschlüsselung, Authentifizierung oder das Management von Berechtigungen. Log-Daten müssen erfasst, korreliert und analysiert werden, um für die Erkennung von Anomalien von Nutzen zu sein. Aufgrund des hohen Datenvolumens sind Softwaretools zum Verwalten von Security Incidents daher ein Muss für Unternehmen jeder Größe.Traditionell wurden Ereignisse mithilfe vonSIEM-Tools (Security Information and Event Management) verarbeitet. SIEM-Systeme bieten ein zentrales Repository für die Protokolldaten und Tools zur Analyse, Überwachung und Warnung relevanter Ereignisse. Ein SIEM bietet in der Regel ausgefeilte Funktionen wie Maschinelles Lernen und die Möglichkeit, Bedrohungsdaten von Drittanbietern aufzunehmen.Lesetipp: 6 Risiken, die Sie im Blick haben sollten Was ist Managed Detection and Response?Herkömmliches SIEM versagt bei der Bearbeitung eines Incidents, sobald der Vorfall auf ein bestimmtes Maß eskaliert. In einem solchen Fall sollten Unternehmen auf einen MDR-Service (Managed Detection and Response) zurückgreifen. Da die Menge an Protokolldaten schlichtweg zu hoch ist, um sie manuell zu überprüfen, arbeiten MDR-Anbieter wie auch SIEM-System mit einem hohen Grad an Automatisierung. Der Vorteil von MDR: Der Anbieter stellt die Cybersicherheitsexperten, die bereits erste Schritte unternehmen, um die Folgen eines Vorfalls zu mindern und führt eine Ursachenanalyse durch. Ein weiterer Vorteil eines externen Reaktionsteams besteht darin, dass Sie effektiver auf Vorfälle reagieren können, ohne eigene Ressourcen vorhalten zu müssen. MDR wird oft als Erweiterung eines internen Security Operations Centers (SOC) in Rechnung gestellt.Lesetipp: Mit diesen Tools arbeiten HackerFührende Anbieter von MDR-LösungenDiese servicebezogene Komponente bedeutet, dass Sie bei der Auswahl eines MDR-Anbieters dessen Service-Level-Agreements (SLAs), Reaktionszeiten und andere Benchmarks im Zusammenhang mit der Serviceleistung berücksichtigen müssen. Die organisatorischen Anforderungen variieren stark je nach Unternehmensgröße, Compliance-Anforderungen der Branche und individuellen Ansprüchen. Um Ihnen bei der Entscheidung für einen MDR-Anbieter zu helfen, haben wir für Sie die Lösungen zwölf führender Anbieter untersucht Gemeinsam haben sie alle, dass sie die Netzwerke ihrer Kunden rund um die Uhr überwachen. Im Detail kann jedoch jeder Hersteller mit anderen Vorteilen aufwarten. Die Aufzählung der Anbieter erfolgt in keiner bestimmten Reihenfolge.Lesetipp: Wie Ethical Hacker Ihr Unternehmen sicherer machenSophos Managed Threat ResponseSophos Managed Threat Responsekann sowohl Bedrohungen als auch Vorfälle automatisiert identifizieren. Der Service wendet den Kontext erfasster Daten auf validierte Bedrohungen an, indem er Ereignisdaten mit Geschäftsressourcen korreliert und so Vorfälle selektiert und darauf reagiert. Das Sophos-Team unternimmt bei Bedarf auch erste Schritte zur Reaktion auf Vorfälle oder gibt Empfehlungen zur Behebung der Ursachen für wiederkehrende Vorfälle. Arctic Wolf Managed Detection and ReponseIn den USA ist Arctic Wolf bereits ein etablierter Hersteller, in der DACH-Region startete der Anbieter im Herbst 2021 seine Aktivitäten. Mit dem Service Managed Detection and Responsehilft Arctic Wolf beim Management aktiver Bedrohungen. Zudem sucht die Lösung nicht nur automatisiert nach Bedrohungen, sondern führt auch kontinuierliche Scans Ihrer Systeme durch, sucht nach Schwachstellen und bewertet Risiken. Wie auch Sophos, bietet Arctic Wolf eine EDR-Lösung an und überwacht sowohl mobile Endgeräte als auch IoT-Geräte.Red Canary Managed Detection and ResponseAuch Red Canary bietet mit dem MDR-Service neben der 24-Stunden-Überwachung eine erweiterte Bedrohungserkennung. Red Canary verfügt zudem über spezialisierte Fähigkeiten für die Analyse und Überwachung von Hackertechniken. Des Weiteren bietet der Hersteller, der hauptsächlich in den USA aktiv ist, seinen Kunden Playbooks mit passenden Tools für die Automatisierung und Orchestrierung, die die Reaktion auf Vorfälle verbessern können. Für Unternehmen, in denen sich Incidents oder False Positives häufen, bietet Red Canary zudem Audits der bisherigen Security-Lösungen an, um den eigenen Service besser darauf abzustimmen.Crowdstrike Falcon CompleteCrowdstrike verfügt über ein großes globales Team von Fachkräften, die Bedrohungen in Echtzeit verfolgen und deren Erkenntnisse in den MDR-Dienst Falcon Complete integriert werden. Die Plattform von Crowdstrike ist für die Cloud konzipiert, was bedeutet, dass Management-Tools dort gehostet werden und keine zusätzliche Serverhardware oder -software in Ihrem Rechenzentrum erforderlich ist. Crowdstrike unterstützt auch die Überwachung von Cloud-Workloads, Endpunkten und Identitäten. SentinelOne Vigilance RespondDie interessanteste Funktion, die SentinelOne Vigilance Respond bietet, ist die Storyline-Technologie. Damit können Sie den kompletten Lebenszyklus eines Cyberangriffs nachvollziehen und sehen, welche Auswirkungen ein Vorfall auf welche Geschäftsprozesse hat. SentinelOne erweitert das SOC der Kunden um Sicherheitsexperten, die bei der Reaktion auf Vorfälle, der digitalen Forensik und sogar bei der Malware-Analyse unterstützen können. Zudem bietet SentinelOne an, Sicherheitsexperten zu entsenden, die Ihr internes Team persönlich über die Sicherheitslage Ihres Unternehmens und potenzielle Bedrohungen aufklären. Je nach Service Level gibt es die Meetings auch als On-Demand-Aufzeichnung oder als wiederkehrenden Termin.Rapid7 Managed Detection and ResponseDer Anbieter Rapid7 hat seinen MDR-Dienst in der Erkennung von Anomalien verbessert, indem er seinen Datensatz auf 1,2 Billionen Sicherheitsereignisse erhöht hat. Damit entwickelt er Signaturen und Analysemodelle. Zudem setzt Rapid7 auf Trap-Technologien wie Honeypots und liefert ausführliche Berichte über die Forensik sowie Empfehlungen, um die Reaktion auf Alerts zu verbessern.Alert Logic MDR SolutionsWie Rapid7 hat auchAlert Logicfür den MDR-Dienst in den Ausbau der Datenbasis investiert. Mehr als 140 Milliarden Log-Ereignisse werden täglich in einem global arbeitenden SOC analysiert. Alert Logic überwacht Cloud-Plattformen, eine Vielzahl von SaaS-Anwendungen, Container sowie lokale Ressourcen. Zudem bietet der Hersteller, welcher Anfang des Jahres von Help Systems übernommen wurde, Compliance-Berichte, die eine Vielzahl von branchenspezifischen Anforderungen erfüllen, einschließlich der Frameworks PCI, HIPAA und SOX. Eine weitere Ähnlichkeit mit dem Service von Rapid7 ist, dass Alert Logic Cloud-basiert ist und somit die Möglichkeit bietet, die Bereitstellung zu skalieren und zu reduzieren, sobald die Bedrohung gemindert ist. Dank der Integration mit Slack, Microsoft Teams, ServiceNow und anderen gängigen Collaboration-Plattformen ist das Benachrichtigungsmanagement sehr benutzerfreundlich und benutzerdefinierte Playbooks tragen dazu bei, die Reaktion auf Vorfälle zu formalisieren. Cybereason MCREin Pluspunkt desCybereason MDRsind die Reaktionszeiten der Security-Experten: Der Hersteller verspricht Bedrohungserkennung in einer Minute oder weniger, Triage innerhalb von fünf Minuten und Behebung eines Datenlecks in weniger als einer halben Stunde. Cybereason nutzt die sogenannte “MalOp-Schweregrad-Score-Metrik”, um die Priorisierung von Maßnahmen sowie den Kontext und die Korrelation von Bedrohungen zu verbessern. Dies hilft auch, das Risiko für kritische Geschäftsservices zu messen. Zudem bietet die App “MDR Mobile Admin” eine einfache Möglichkeit, Bedrohungen zu visualisieren und von überall aus eine Reaktion darauf einzuleiten.Binäre Verteidigung Managed Detection and ResponseEin weiterer US-Anbieter, der noch nicht zum Mainstream in Deutschland gehört ist Binary Defense mit seinem Managed-Detection-and-Response-Dienst. Wie auch die Konkurrenz bietet Binary Defense einen 24×7 Service, garantiert allerdings eine Reaktionszeit von 30 Minuten. Durchschnittlich beträgt die Wartezeit für Kunden, bis ein Security-Experte des Anbieters auf eine Cyberbedrohung reagiert, zwölf Minuten. Um Bedrohungen im Netzwerk zu identifizieren, werden verhaltensbasierte Erkennung, Honeypot-Systeme und Threat Hunting. Aktive Bedrohungssuche und Red Teaming sind ebenfalls verfügbar, um die Detection zu verbessern.WithSecure ConterceptWithSecure Contercept ist eine weitere MDR-Option, die behauptet, über 99% der Bedrohungen einzudämmen und zu beheben. Die restlichen Incidents werden automatisch an das Response-Team mit der höchsten Eskalationsstufe weitergeleitet. Dem Hersteller zufolge verbringen seine Experten die Hälfte ihrer Zeit damit, Schwachstellen zu erforschen und Erkennungs- und Reaktionsstrategien zu entwickeln. Zudem wirbt WithSecure wie einige andere Anbieter damit, die Infrastruktur der Kunden kontinuierlich zu überwachen und Berichte bereitzustellen, wie sie ihre System härten können. Critical Start MDREine Reduzierung der Fehlalarme um 80 Prozent bereits am ersten Einsatztag sowie eine Eskalation der Bedrohungen von weniger als 0,01 Prozent verspricht der Anbieter Critical Start MDR.Dafür überwacht er die Kundensysteme, wie auch seine Wettbewerber rund um die Uhr und bietet die Problembehebung remote oder vor Ort an. Daneben gibt es zu dem MDR-Dienst eine breite Palette an digitalen Forensikfunktionen. Critical Start lässt sich leicht in andere Sicherheitsplattformen integrieren, die Sie möglicherweise bereits eingerichtet haben, zum Beispiel MS Defender for Endpoint, VMWare Carbon Black, Crowdstrike, SentinelOne oder Splunk.Expel Managed Detection and ResponseAuch Expel ist in Deutschland noch kein bekannter Anbieter. Dennoch gehört sein MDR-Dienst in unsere Liste. Expel lässt sich über API-Verbindungen in die vorhandene Infrastruktur integrieren und ermöglicht so eine effektivere Identifizierung und Reaktion auf Bedrohungen. Auch die nahtlose Integration in IaaS- und SaaS-Systeme ist möglich, was die Erkennung von Bedrohungen für Identitäten, anomalem Benutzerverhalten oder Missbrauch von Zugriffsrechten über die komplette Infrastruktur hinweg verbessert. Eine besondere Stärke des Herstellers ist die Berichterstattung, da sie viele Details zu den Sicherheitsvorfällen und bösartigen Aktivitäten liefert. Der Kontext umfasst Analysen, die auf den jeweiligen, individuellen Daten des Kunden basieren, aber auch das allgemeine Bedrohungsniveau aus der Expel-Datenbank mit einbezieht. (ms)Lesetipp: Wie Angreifer KI- und ML-Systeme ausnutzen Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren