Definition Was ist Managed Detection and Response (MDR)?

Anbieter zum Thema

G DATA CyberDefense AG

sysob IT-Distribution GmbH & Co. KG

WatchGuard Technologies GmbH

Bei dem so bezeichneten Managed Detection and Response (kurz: MDR) handelt es sich um eine Dienstleistung zur frühzeitigen Identifikation und Reaktion auf Cyberbedrohungen. Charakteristisch für MDR ist der proaktive Ansatz sowie Reaktionsschnelligkeit.

Basis dieser speziellen IT-Sicherheitslösung bildet das Zusammenspiel von Technik und Expertenwissen. Managed Detection and Response verfolgt dabei das grundsätzliche Ziel, die Sicherheitsinfrastruktur eines Unternehmens kontinuierlich zu überprüfen, Bedrohungen bzw. Attacken von Cyberkriminellen zu identifizieren und diese dann auch schnellstmöglich zu eliminieren.

Als übergeordnetes Ziel fungiert zudem der Anspruch, den jeweiligen IT-Sicherheitsstandard nachhaltig zu verbessern. Neben dem Knowhow und der Expertise von IT-Sicherheitsexperten kommen dabei verschiedene fortgeschrittene Technologien zum Einsatz.

Das Spektrum reicht diesbezüglich von Künstlicher Intelligenz (KI) über die Automatisierung bis hin zum maschinellen Lernen (ML). Durch die Kombination der menschlichen und technologischen Aspekte soll MDR eine hochwirksame Reaktion auf Angriffe und Bedrohungen aus dem Netz gewährleisten.

Proaktiver und reaktionsschneller Ansatz als Schlüsselfaktor

Im Gegensatz zu den klassischen IT-Sicherheitsleistungen wie Managed Security Services (MSS) oder auch MSSP (Managed Security Service Provider) setzen MDR-Anbieter auf einen reaktionsschnellen und proaktiven Ansatz. Dadurch ist es möglich, dass ein spezialisierter Dienst den Unternehmen sowohl bei der Überprüfung und Erkennung als auch hinsichtlich der aktiven Reaktion, Eindämmung und Vorbeugung von Cyberbedrohungen hilft.

Was unterscheidet MDR vom klassischen Managed Security?

Die MDR-Ansätze erfüllen vom Grundprinzip her die gleiche Funktion wie herkömmliche Managed-Security-Produkte: Beide Varianten bieten Unternehmen externe Unterstützung in Sachen Cybersicherheit. Allerdings weist Managed Detection and Response in einigen Bereichen wesentliche Unterschiede zu typischen Managed-Security-Angeboten auf.

Besonders deutlich wird dies gerade im Hinblick auf die jeweilige Netzwerktransparenz. Während MDR in der Regel Client-Netzwerke zum Identifizieren von Ereignissen und Bewegungen nutzt, steht bei Managed-Security-Diensten und insbesondere bei Managed Security Service Providern der Netzwerkrand im Fokus.

Analysen als Basis für moderne Erkennungsmethoden

Das geht gleichzeitig einher mit unterschiedlichen Erkennungsmethoden. MSSPs konzentrieren sich diesbezüglich vorzugsweise auf häufig auftretende, bereits bekannte Bedrohungen, verzichten dabei aber auf umfassende Analysen. MDR-Lösungen profitieren dagegen zusätzlich von menschlicher Expertise.

Denn im Gegensatz zur klassischen Methodik sind bei MDR-Angeboten zusätzlich ein Security Operations Center (SOC) respektive Expertenteams involviert. Dadurch sind MDR-Lösungen in der Lage, einen Sachverhalt weitaus eingehender zu analysieren. Die Ergebnisse der Analysen bilden dann die Basis, um auch neuartige Bedrohungen erkennen zu können.

Unterstützung bei Compliance-Problemen wird häufig vernachlässigt

Den Teilbereich Compliance vernachlässigen MDR-Dienste dagegen. Managed-Security-Dienste fokussieren sich demgegenüber weitaus häufiger auf die Compliance-Thematik. Zudem beschränkt sich MDR meistens auf das Arbeiten mit Protokollformaten. Managed Security Service Provider (MSSP) sind diesbezüglich flexibler und nutzen ein breites Spektrum an Ereignisprotokollen und Kontexten.

(ID:49874156)