Home » Fachbeiträge » itsa 2022 » Managed Detection and Response: r-tec vereint modernste Technik mit Expertenwissen

Managed Detection and Response: r-tec vereint modernste Technik mit Expertenwissen

Der Managed Detection and Response Service des Wuppertaler IT-Spezialisten r-tec vereint ein automatisch arbeitendes Next-Generation-SIEM-System mit einer manuellen Expertenanalyse. Im Angriffsfall steht den Kunden außerdem ein Incident-Response-Team zur Seite, das für die schnelle Wiederherstellung des Normalbetriebs sorgt.

4 Min. Lesezeit
Foto: ©AdobeStock/Chor muang

Advertorial

Managed Detection and Response

Für die meisten Cyberkriminellen stellen klassische Security- Information-and-Event-Management-Systeme (SIEM) längst keine ernst zu nehmenden Gegner mehr dar. In immer kürzeren Abständen entwickeln sie neue Angriffsmuster und Tools, mit deren Hilfe klassische SIEM-Lösungen ohne großen Aufwand überlistet werden können.

Das Problem besteht darin, dass die Systeme bei der Suche nach Bedrohungen ausschließlich auf Use Cases setzen. Damit lassen sich allerdings nur Bedrohungen identifizieren, nach denen auch explizit gesucht wird; neue und komplexe Angriffsmuster fallen hingegen unentdeckt durchs Raster.

r-tec verbindet Next-Generation-SIEM-System mit manueller Analyse

Um ein hohes Sicherheitsniveau zu erreichen, benötigen Unternehmen stattdessen mehrstufige Angriffserkennungssysteme, die verschiedene Präventionsmethoden miteinander kombinieren. Wie eine effektive Angriffserkennung aussieht, zeigt der Managed Detection and Response Service (MDR) der r-tec IT Security GmbH. Dieser vereint modernste Technik mit dem Know-how erfahrener IT-Sicherheitsexperten.

Dabei kommt ein Next-Generation-SIEM-System zum Einsatz, das nicht mit einem starren Regelwerk, sondern mit einer verhaltensbasierten Anomalieerkennung arbeitet. Mittels Machine Learning lernt das System das Verhalten von Nutzern und Geräten im Unternehmensnetzwerk kennen und leitet aus den gewonnenen Erkenntnissen ein Normalverhalten ab. Auch das Verhalten von Gruppen und Beziehungen innerhalb des Netzwerks kann überprüft werden. Das heißt, die technischen Komponenten analysieren nicht nur einzelne Logquellen oder verknüpfte Events, sondern das Gesamtverhalten des jeweiligen Unternehmens. Anschließend können Abweichungen und somit auch bis dahin unbekannte Angriffsmuster zuverlässig identifiziert werden.

Verhaltensbasierte Umgebungsprüfung versus Use-Case-Einsatz

Unternehmen profitieren außerdem von einer enormen Zeitersparnis. „Im Vergleich zu herkömmlichen SIEM-Systemen verursacht das von uns eingesetzte Next Generation SIEM nur einen minimalen Einrichtungsaufwand, da Use Cases und Regelwerke nicht händisch an das jeweilige Unternehmen angepasst werden müssen“, erklärt r-tec-Geschäftsführer Dr. Stefan Rummenhöller. „Stattdessen erlernt unser Next-Generation- SIEM-System im Rahmen einer sechs- bis achtwöchigen Anlernphase automatisch den Normalzustand.“ Alle dafür benötigten Daten werden mithilfe von Site-Kollektoren aus den Logquellen des Kunden gesammelt und verschlüsselt in eine Cloud übertragen.

„Da immer wieder neue Angriffsmuster in der IT-Welt auftauchen, müssen herkömmliche SIEM-Lösungen ständig mit Use Cases gefüttert werden“, gibt Stefan Rummenhöller zu bedenken. „Dies führt wiederum zu einem Anstieg der Alarme und Fehlermeldungen, die Unternehmensmitarbeiter analysieren, einstufen und bearbeiten müssen. Ab einem bestimmten Zeitpunkt ist die Masse an Meldungen allerdings kaum noch händelbar.“ Beim Einsatz eines Next-Generation-SIEM-Systems sei das regelmäßige Einpflegen von Use Cases aufgrund der verhaltensbasierten Umgebungsüberprüfung nicht mehr notwendig. „Daher bietet diese moderne Form der Angriffserkennung Unternehmen die Möglichkeit, Ressourcen und Kosten zu sparen.“

Fachkundige Experten beurteilen Anomalien

Werden Anomalien erkannt, leitet das System diese an das r-tec-MDR-Expertenteam weiter, das die betreffenden Events manuell untersucht und klassifiziert. „Eine vollständig autonome Angriffserkennung, die in erforderlichem Maße auf einen Angriff reagieren kann, gibt es derzeit nicht“, erläutert Rummenhöller. „Selbst wenn ein Unternehmen über die beste technische Lösung verfügt, sollte auf eine Qualifizierung durch sachkundige Spezialisten nicht verzichtet werden.“

Identifizieren die Experten einen Security Incident, bestimmen sie im nächsten Schritt dessen Kritikalität. Besteht ein hohes Risiko, werden anschließend alle relevanten Personen über den Vorfall informiert, sodass schnellstens geeignete Maßnahmen ergriffen werden können.

Durch die Kombination aus technischer Lösung und manueller Expertenanalyse gelingt es r-tec letztlich, auch neue Angriffsversuche aufzudecken, die von herkömmlichen IT-Security-Komponenten nicht erkannt werden können.

Da Managed Detection and Response als Full-Managed-Service angeboten wird, entsteht für Kunden bei der Angriffserkennung nur ein geringer Aufwand. r-tec übernimmt von der Implementierung der technischen Komponenten über die Anomaliequalifizierung bis hin zur Erstellung von Maßnahmenempfehlungen alle anfallenden Aufgaben.

Incident Response Service hilft bei der Angriffsbewältigung

Auch im Angriffsfall können sich Unternehmen auf das r-tec-Team verlassen. Im MDR-Service ist nämlich ein Incident Response Service inbegriffen. Das heißt, auf Wunsch unterstützen die Experten ihre Kunden außerdem bei der Angriffsbewältigung. Sie kümmern sich unter anderem um die Eindämmung von Attacken sowie um die Wiederherstellung des Normalzustandes im jeweiligen Betrieb. „Unser MDR-Team informiert nach der Identifikation eines Angriffs sofort das Incident- Response-Team, das innerhalb garantierter Reaktionszeiten zur Verfügung steht“, erklärt der r-tec-Geschäftsführer. „Möchten unsere Kunden diesen Service in Anspruch nehmen, definieren wir bereits bei der Implementierung gemeinsam sinnvolle Meldewege und legen fest, wie im Angriffsfall agiert werden soll. So können wir bei Bedarf schnell reagieren.“

In Kombination mit dem Incident Response Service stellt Managed Detection and Response eine umfassende Lösung dar, mit deren Hilfe das Wuppertaler Unternehmen seine Kunden in jeder Phase eines Angriffs unterstützt. Kunden erhalten somit alle MDR-Leistungen aus einer Hand.

MDR-Service für aktuelle und zukünftige Herausforderungen

Da die Lösung komplett aus der Cloud betrieben wird, lässt sich die Angriffserkennung zudem ganz unkompliziert an die individuellen Bedürfnisse des jeweiligen Unternehmens anpassen. Falls nötig, können zusätzliche Produkte aus der Cloud hinzugebucht werden. Auf diese Weise lässt sich das System in Zukunft kostengünstig auf neue Entwicklungen einstellen. Betrieben wird der Cloud-Service in einem DS-GVO-konformen Rechenzentrum.

„Wir sorgen dafür, dass Unternehmen für den Ernstfall gerüstet sind – und es in Zukunft auch bleiben“, verspricht Stefan Rummenhöller. „Da unser MDR-Team sämtliche IT-Sicherheitsherausforderungen löst, können sich unsere Kunden ohne Ablenkung um ihr Kerngeschäft kümmern. Um die Konsequenzen einer möglichen Attacke müssen sie sich keine Sorgen machen.“

Weitere Informationen zumr-tec-MDR-Service finden Sieim Internet unter: www.r-tec.net/mdr

Andere interessante Fachbeiträge

Sieben Punkte für die IT-Sicherheit 2022/23

In sieben Punkten spannen Sicherheitsexperten den Bogen vom Sicherheitsbewusstsein der Mitarbeitenden bis zur nahen Zukunft mit künstlicher Intelligenz (KI) und Machine Learning. Vor allem aber wird deutlich: IT-Sicherheit ist ein permanenter Prozess. 

Eine Welt ohne Passwörter

Einerseits nehmen Cyberangriffe auf Unternehmen weiter zu, andererseits wollen Mitarbeitende möglichst einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. Wie IT-Security-Abteilungen diesen Spagat managen, verrät Tobias Becker, SaaS Sales Leader für die DACH-Region beim Sicherheitsexperten LastPass, im Interview.

Microservice-, Container- und (Multi-)Cloud-gerechte Security

Um Security in komplett neu gestalteten Strukturen und Architekturen von vornherein angemessen mitzubauen, kommen neben neuen Entwicklungsmodellen wie DevOps und DevSecOps auch neue Security-Ansätze zum Einsatz – allen voran risikobasierte Authentifizierung und Continuous Adaptive Trust.