Managed Detection and Response (MDR) Security-Services für den Angriffsfall

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Dr. Andreas Bergler

Cyberattacken lassen sich kaum verhindern, deshalb kommt es auf deren Erkennung und Abwehr an. Für Detection and Response (DR) sind aber Security-Expertise und Tools nötig, die vielen Unternehmen fehlen. Der Channel sollte hier Angebote aufbauen.

Firmen zum Thema

Für den effektiven Schutz der Kunden lohnen sich für den Security-Channel MDR-Leistungen.
Für den effektiven Schutz der Kunden lohnen sich für den Security-Channel MDR-Leistungen.
(Bild: lassedesignen - stock.adobe.com)

Die Investitionen in Sicherheitslösungen steigen auf ein Rekordniveau, die Schäden durch erfolgreiche Cyberattacken allerdings auch. Offensichtlich reicht der Schutz bei vielen Unternehmen nicht aus. Obwohl es wie eine Binsenweisheit klingt, scheinen die betroffenen Unternehmen es nicht genug zu berücksichtigen: Es gibt keine hundertprozentige Sicherheit. Cyberattacken haben eines Tages Erfolg.

Securitykonzepte dürfen deshalb nicht mit der Schutzphase (Protection) enden, man muss auch daran denken, erfolgreiche Attacken zu erkennen und darauf eine Antwort finden zu können. Lösungen für die Detection- und für die Response-Phase müssen zum Einsatz kommen, um die Folgeschäden der Angriffe so weit wie möglich zu mindern.

Gute Aussichten für Detection & Response

Marktforscher sind sich einig, dass es einen hohen Bedarf an DR-Lösungen gibt. Insbesondere Managed Detection and Response (MDR) dürfte auf ein hohes Interesse stoßen. Gartner definiert MDR folgendermaßen: MDR-Provider bieten Kunden rund um die Uhr Bedrohungsüberwachungs-, Erkennungs- und Response-Services, die eine Kombination aus Technologien auf Host- und Netzwerkebene, fortschrittlichen Analysen, Threat Intelligence und menschlichem Fachwissen bei der Untersuchung und Reaktion nutzen.

Laut ESG-Umfragen stimmen 82 Prozent der Cybersicherheits-Fachleute darin überein, dass die Verbesserung der Erkennung und Reaktion auf Bedrohungen in ihren Organisationen eine hohe Priorität haben. Darüber hinaus geben 77 Prozent der befragten Experten an, dass Manager das Security-Team unter Druck setzen, um die Erkennung und Reaktion zu verbessern. Doch DR ist nicht einfach. Die Security leidet unter Problemen wie der steigenden Komplexität der Bedrohungen, einer zunehmenden Arbeitsbelastung in der Cybersicherheit und einer wachsenden Angriffsfläche durch IoT, Cloud-Dienste und Remote Work. Gleichzeitig fehlen vielen Unternehmen die richtigen Mitarbeiter, Fähigkeiten und Tools.

Viele CISOs (Chief Information Security Officer) wenden sich deshalb an Dienstleister, um Hilfe zu erhalten, und machen MDR zu einem der am schnellsten wachsenden Segmente auf dem Cybersicherheitsmarkt. ESG-Untersuchungen zeigen, dass 27 Prozent der Organisationen ein MDR-Projekt aktiv verfolgen, während weitere elf Prozent planen, dies in Zukunft zu tun.

MDR ist mehr als ein weiterer Managed Security Service

IDC nennt MDR auch „The Next Generation of Managed Security Services“. Tatsächlich sollte man MDR und die klassischen MSS (Managed Security Services) nicht gleichsetzen. Fortinet zum Beispiel erklärt den Unterschied wie folgt: MDR-Anbieter kombinieren Netzwerkforensik- und Endpunkt-Sicherheitstools mit menschlicher Analyse und Automatisierung, um Bedrohungen zu erkennen und darauf zu reagieren. Das Service-Angebot basiert in erster Linie auf der Erkennung und Abwehr von Bedrohungen. Durch verbesserte Erkennungszeiten können Unternehmen in Echtzeit auf Sicherheitsvorfälle reagieren und so die Auswirkungen erfolgreicher Angriffe begrenzen. Im Vergleich zu MDR befassen sich MSS eher mit der Bereitstellung, Verwaltung und Überwachung von Sicherheitsressourcen wie Firewalls und Netzwerkzugriffskontrollen, wie Fortinet erläutert.

Der MDR-Tisch ist reich gedeckt

Der Channel hat bereits damit begonnen, MDR in das eigene Portfolio aufzunehmen, so zum Beispiel der Managed Services Provider TPx. „Unser Ziel ist es, Kunden dabei zu helfen, Angriffe schnell zu identifizieren, zu blockieren und zu beheben, um Schäden und Ausfallzeiten zu minimieren“, sagt Jared Martin, Vice President MSx Managed Services bei TPx. „Fortgeschrittene Bedrohungen zielen darauf ab, herkömmliche Sicherheitsmaßnahmen zu vermeiden. Deshalb sind Echtzeitinspektionen und sofortige Maßnahmen durch erfahrene Sicherheitsanalysten so wichtig. Hier kommt der neue MDR-Service von TPx ins Spiel.“

Die MDR-Lösung von TPx umfasst ein Team spezialisierter Sicherheitsanalysten, die in mehreren geo-redundanten Security Operations Centern (SOCs) angesiedelt sind und rund um die Uhr zur Verfügung stehen, um erweiterte Dienste zur Bedrohungssuche und -minderung durchzuführen, die die Reaktionszeiten verkürzen und den Schaden minimieren. „MDR ist im heutigen Kampf gegen Cyberkriminelle von entscheidender Bedeutung, denn je früher ein Verstoß entdeckt wird, desto einfacher ist die Behebung“, sagt Martin.

Als Security-Dienstleister muss man nicht lange nach Möglichkeiten suchen, um MDR als Service vermitteln und anbieten zu können. Viele Security-Hersteller haben inzwischen MDR in ihrem Programm. Hier einige Beispiele: Alert Logic, Bitdefender MDR, Cybereason MDR, Digital Guardian Endpoint Detection and Response Service, F-Secure Rapid Detection & Response Service, Fidelis Managed Detection and Response, Fortinet FortiEDR, IBM Security Managed Detection and Response (MDR), Kaspersky Managed Detection and Response, Kudelski Security MDR, Mandiant Managed Defense, McAfee Managed Detection and Response (MDR), Palo Alto Networks Cortex XDR-Services, Rapid7 MDR, Sentinel One Vigilance MDR, Sophos Managed Threat Response (MTR), Trend Micro Managed XDR, Trustwave Managed Threat Detection and Response.

Welches MDR-Offering man als Channel-Partner anbietet, hängt natürlich zum einen von bestehenden Partnerschaften ab. Man wird also zuerst schauen, welches MDR-Angebot die bestehenden Security-Partner haben. Dann sollte sich aber der Blick auf die eigenen Kunden richten.

Wo besteht ihr genauer Bedarf? Welche MDR-Services sind gefragt? Liegt der Bedarfsschwerpunkt eher auf Incident Response (IR) oder gibt es bereits in der Detection Lücken? Nicht zuletzt muss man sich als Channel-Partner selbst prüfen: MDR setzt spezielle Security-Kenntnisse und Fähigkeiten voraus. Gibt es diese in ausreichender Anzahl im eigenen Team oder sollte man sich eher als Reseller von MDR-Diensten platzieren?

Erfreulicherweise ist die Bandbreite der verfügbaren MDR-Lösungen und Dienste hoch, sodass man als Security-Dienstleister das passende Angebot finden wird, um von der hohen Nachfrage nach MDR profitieren zu können.

(ID:47087397)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research