ArtikelSecurity

MDR-Lösungen der nächsten Generation: Verlässliche Basis für innovative Gefahrenerkennung und -abwehr

Autor/Redakteur: Olivier Vareilhes, Senior Director DACH, Kudelski Security/gg

SOCs (Security Operations Center) haben mit wachsenden Datenmengen und zunehmender Komplexität zu kämpfen. Zudem müssen sie Bedrohungen immer schneller erkennen und präzise reagieren. Traditionelle Tools und Technologien sind nicht immer genug. Daher setzen viele Unternehmen inzwischen auf MDR- (Managed Detection and Response) oder XDR-Lösungen (Extended Detection and Response) der neuen Generation. Diese Herangehensweise verkürzt die Zeitspanne zwischen initialer Bedrohungserkennung und konkreter Reaktion – und stärkt so die Cyber-Abwehrfähigkeiten der Sicherheitsverantwortlichen.

Quelle: Kudelski Security

Die Bedrohungslandschaft entwickelt sich derart rasant, dass es nicht mehr möglich ist, Cybergefahren vollständig abzuwehren. Zu den größten Risiken, auf die sich Sicherheitsexperten fokussieren, zählen Ransomware, die steigende regulatorische Komplexität und Angriffe auf kritische Infrastrukturen. Durch den Einsatz von KI (künstliche Intelligenz) werden Phishing-Attacken zudem immer raffinierter und leichter im großen Stil durchführbar.

Vollständiges Panorama auf Basis verfügbarer Daten

Klassische SOCs analysieren Anomalien mithilfe diverser Tools, jedoch auf isolierte Art und Weise, ohne die Daten, um den größeren, ganzheitlichen Kontext zu berücksichtigen. Dadurch besteht die Gefahr, das Gesamtbild einer Angriffskampagne und einzelne Bedrohungen zu übersehen. MDR-Lösungen der neuen Generation ermöglichen es hingegen, unbegrenzte Datenmengen aus sämtlichen Quellen zu erfassen, zu normalisieren, anzureichern und in Beziehung zu anderen Geschäftsdaten zu setzen. Auf diese Weise entsteht eine vollständige Übersicht der Bedrohung, die die Erkennung von Anomalien ebenso beschleunigt wie die Implementierung von Sicherheitskontrollen und die Priorisierung der jeweils kritischsten Bedrohungen.

Dieser datengesteuerte Sicherheitsansatz basiert auf der zentralen Speicherung aller erfassten Daten unterschiedlicher Typen und Formate in einem Data Lake. Sämtliche Informationen können so für Zwecke der Erkennung, Kontextualisierung und Visualisierung genutzt werden. Im Gegensatz zu herkömmlichen SIEM-Systemen (Security Information and Event Management) zahlen die Kunden bei diesem Modell nicht in Abhängigkeit von der zu verarbeitenden Datenmenge, sondern ausgehend von der Anzahl der zu schützenden Assets wie Server, Clients und Co. Dadurch müssen sie sich nicht mehr auf eine Teilmenge der Daten beschränken und riskieren, potenziell relevante Informationen zu verpassen. Stattdessen steht eine große Menge detaillierter Daten zur Verfügung, die sich mithilfe von KI zu einem vollumfänglichen Lagebild zusammenführen lassen. Die Sicherheitsexperten analysieren Auffälligkeiten somit nicht mehr als Einzelfälle, sondern stets unter Berücksichtigung des breiteren Angriffskontexts.

Anomalien und Schwachstellen proaktiv identifizieren

Der ganzheitliche Ansatz hilft, deutlich mehr Anomalien im Datenaufkommen zu erkennen und diese wesentlich gründlicher zu untersuchen. Dafür liefert das Dashboard einer MDR-Lösung der nächsten Generation wertvolle zusätzliche Funktionen wie dynamisches Risikomanagement sowie Berichte über das Sicherheitsverhalten der Mitarbeiter. So können die operativen Teams, die einen Vorfall bearbeiten, auf einen Blick beurteilen, ob es sich um einen kriminellen Angriff oder einen Anwendungsfehler handelt, wie viele Systeme betroffen sind und wie hoch die Ernsthaftigkeit der jeweiligen Attacke einzuschätzen ist. Selbst zunächst gescheiterte Versuche bleiben dabei nicht verborgen, da jede ausgenutzte Schwachstelle das Risiko künftiger Wiederholungsangriffe birgt.

Der Gesamtkontext eines Angriffs spielt eine wichtige Rolle für die Gefahrenabwehr. Anstelle vereinzelter Alerts erhalten Security-Teams ein Gesamtbild, das über Abteilungen, Länder und Zeitzonen hinausgeht. Das liefert die Basis, um Abwehrmaßnahmen effizienter als traditionelle SOCs zu starten und Risiken für Unternehmen einzudämmen.