Managed Endpoint Detection and Response: IT-Sicherheit aus einem Guss
IT-Sicherheit in Unternehmen ist heute mehr als der Einsatz einer Endpoint-Protection-Lösung. Benötigt wird ein umfassendes Konzept, was Fachkräftemangel und fehlendes Know-how kompensiert. Eine Lösung dafür ist Managed Endpoint Detection and Response (kurz MEDR).
IT-Verantwortliche sehen ihre Unternehmen heute vielfältigen Cyberbedrohungen ausgesetzt. Oft spionieren Angreifer Monate im Voraus die IT-Systeme aus, um geeignete Angriffspunkte zu identifizieren, und infiltrieren dann gezielt die IT-Infrastruktur. Dabei agieren Cyberkriminelle häufig längere Zeit unbemerkt im Netzwerk, wie eine aktuelle Studie des Technologieunternehmens Foundry zeigt. 13 Prozent der Sicherheitsvorfälle bleiben bis zu drei Monate unentdeckt, sechs Prozent sogar bis zu sechs Monate.
IT-Sicherheit braucht Personal und Expertise
Endpoint-Protection-Lösungen sind eine gute Basis für den Schutz vor Cyberangriffen, aber Prävention allein reicht oft nicht mehr aus. Insbesondere, weil die Komplexität der Netzwerke deutlich gestiegen ist. Im Vorfeld suchen die Angreifer Schwachstellen wie etwa ungepatchte Systeme oder Mitarbeitende, die sie mit einem Social-Engineering-Trick oder einer Phishing-Mail überlisten. Für Unternehmen ist es entscheidend, verdächtige Aktivitäten im Netzwerk zu entdecken und umgehend zu stoppen, bevor Angreifer Schaden anrichten können. Dies ist aber angesichts der hohen Komplexität und des Fachkräftemangels in Eigenleistung kaum zu schaffen. Zahlen des International Information System Security Certification Consortium legen den Finger in die Wunde. Personalmangel führt zu falsch konfigurierten Systemen, kritische Systeme werden zu langsam gepatcht und es fehlt Zeit für eine angemessene Risikobewertung. Vor diesem Hintergrund suchen Unternehmen nach Angeboten, um die IT-Sicherheit zu verstärken. Ein Lösungsansatz ist Managed Endpoint Detection and Response (MEDR). Eine MEDR-Lösung hilft IT-Verantwortlichen in Unternehmen dabei, Cyberbedrohungen zu erkennen, die präventive Abwehrmassnahmen, wie etwa eine Endpoint Protection, überwinden konnten. Dafür steht das «D» (Detect) in MEDR. Der Identifikation der Bedrohung erfolgt eine Reaktion – «R» für Respond.
MEDR sorgt für Sicherheit
Eine Managed-Endpoint-Detection-and-Response-Lösung überwacht kontinuierlich und in Echtzeit alle Aktivitäten auf allen Endpoints, wie PCs oder Server, im Netzwerk. Die gesammelten Informationen gehen an eine zentrale MEDR-Plattform, die cloudbasiert ist. Hier werden die Daten automatisiert korreliert und analysiert. Somit wird klar, ob Vorgänge, wie das Starten oder Beenden von Prozessen, verdächtig sind oder nicht. Sollte der Verdachtsfall eintreten, kontaktiert die MEDR-Plattform einen Analysten, damit eine genaue Untersuchung und bei Bedarf eine umgehende Reaktion erfolgt, um einen Angriff sofort zu beenden. Je nach Art des Vorfalls agiert die MEDR-Lösung auch automatisiert und trennt dabei beispielsweise infiltrierte Geräte vom Netzwerk, um dieses zu schützen. So verstreicht nicht wertvolle Zeit, die eine Analyse in Anspruch nimmt. Dabei lernt das System durch den Einsatz von Machine Learning ständig weiter. Die Erkenntnisse der manuellen Analysen verfeinern die Arbeitsweise der MEDR-Lösung zusätzlich und helfen, künftige Bedrohungen noch schneller zu erkennen und zu stoppen.
Zwar enthalten auch moderne Sicherheitslösungen mit einer speziellen Verhaltenserkennung Funktionen, um Bedrohungen durch ihr Agieren zu erkennen, aber MEDR setzt auf eine deutlich erweiterte Sensorik bei der Erkennung. Zudem ist ein Analyseteam integraler Bestandteil von Managed Endpoint Detection and Response. Die Analysten prüfen alle verdächtigen Scan-Ergebnisse und ordnen sie ein. Hierzu haben sie Zugriff auf die Informationen der Plattform. Bei klassischen Sicherheitslösungen ist dies nicht der Fall. Eine genaue Untersuchung erfolgt hier nicht, wodurch auf schädliche Vorgänge nicht sofort reagiert werden kann. Dadurch fehlt die «Respond-Komponente».
Kriminellen das Handwerk legen
Ein gutes Beispiel für umfassende Schutzstrategien sind Banken. Denn die Zahl der Banküberfälle ist seit Jahren rückläufig. Der Aufwand, den Bankräuber betreiben müssen, steht in keinem Verhältnis zum möglichen Ertrag. Eine Bank hat mehrere Massnahmen, um das Vermögen ihrer Kunden zu schützen. Als erste Präventionsmassnahme sind diese in einem Tresor gesichert. Dies reicht nicht aus – genau wie der alleinige Einsatz einer Antivirensoftware für die IT-Sicherheit eines Unternehmens. Daher setzt das Geldhaus auf Kameras und Türsensoren, um Kriminelle zu entdecken (Detect). Um das Sicherheitsniveau noch einmal zu steigern, setzt die Bank auch auf eine Alarmanlage und eine automatische Türverriegelung.
Zusätzlich ist Wachpersonal im Einsatz, das den Tresorraum und die Sicherheitssysteme immer im Blick hat und im Ernstfall sofort reagiert (Respond) – so wie die Analysten bei einer MEDR-Lösung. Die Gesamtheit der Sicherheitsmassnahmen erschwert Einbrüche. Das Analystenteam fungiert bei MEDR-Lösungen im Prinzip als Wachpersonal. Für Unternehmen ist der Unterhalt von eigenem Personal, was sich nur um die Überwachung des Netzwerks und die IT-Sicherheit kümmert, oft unwirtschaftlich. Diese Mitarbeitenden müssen über ein fundiertes Fachwissen und Erfahrung verfügen. Daher lohnt es sich, die IT-Sicherheit in die Hände eines spezialisierten und vertrauenswürden Dienstleisters zu geben, der diese Aufgaben wahrnimmt.
Was der MEDR-Anbieter leisten sollte
Security-Dienstleiter sollten generell vertrauenswürdig sein, denn Unternehmen vertrauen ihnen die Absicherung ihrer IT-Systeme an. Der Anbieter erhält dabei einen detaillierten Blick in die IT-Infrastruktur und durch die Analysten auch die Möglichkeit, darauf einzuwirken. Es bietet sich daher an, auf einen Partner zu vertrauen, der über eine langjährige Erfahrung im Bereich IT-Sicherheit verfügt und auch darauf spezialisiert ist. Dieser kann wertvolle Informationen aus IT-Notfalleinsätzen und der Zusammenarbeit mit Strafverfolgungsbehörden ziehen, von denen auch das Unternehmen profitiert. Die Analysten stehen zudem in regelmässigem Austausch mit der weltweiten Cybercrime-Research-Community und verfügen über weitreichende Erfahrungen. Sinnvoll ist ausserdem, darauf zu achten, dass der Anbieter die MEDR-Lösung selbst entwickelt hat. Dadurch wird das Risiko minimiert, dass Analysten Meldungen der Sensoren falsch verstehen und hierdurch fehlerhafte Rückschlüsse ziehen. Generell sollte der Dienstleister individuell auf das Unternehmen eingehen, um sicherzustellen, dass mögliche automatisierte Reaktionen auf verdächtige Vorgänge nicht wichtige Abläufe unterbrechen und somit die Arbeitsfähigkeit unnötig einschränken. Zudem lohnt sich ein Blick auf die Datenschutzbestimmung und den Standort des Unternehmens: Deutsche und europäische Anbieter unterliegen strengen Datenschutzbestimmungen, wie der EU-Datenschutz-Grundverordnung. Eine weitere Frage besteht zudem darin, ob der Anbieter in der Vergangenheit in Verbindung mit Datenschutzvorfällen stand.
Vorteile für Unternehmen
Managed Endpoint Detection and Response hat viele Vorteile für Unternehmen: IT-Verantwortliche legen damit die IT-Sicherheit in die Hände eines kompetenten Dienstleisters und müssen sich nicht selbst darum kümmern. Es besteht dadurch keine Notwendigkeit, in zusätzliches Know-how in Form von hochspezialisiertem und teurem Personal zu investieren. Ein hohes Sicherheitsniveau ist dank schneller Erkennung von Bedrohungen und Reaktion auf Angriffe gewährleistet. IT-Verantwortliche sparen zudem Aufwand und Zeit und haben Ressourcen frei für andere wichtige Aufgaben, zum Beispiel dem Vorantreiben der Digitalisierung in ihrem Unternehmen – dabei können sie sich auf umfängliche IT-Sicherheit verlassen. Prävention allein reicht heute nicht aus, entscheidend ist die richtige und schnelle Reaktion bei Security-Vorfällen.