INCIDENT RESPONSE SERVICE

Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

©
Managed Detection and Response

Die Wahrscheinlichkeit, dass Ihr Unternehmen in den nächsten 12 Monaten Ziel eines Cyberangriffs wird, liegt bei 75 %. Klassische IT-Security-Komponenten reichen nicht aus, um einen 100 % Schutz zu erzeugen. Es stellt sich daher die Frage: Wie erkennen Sie, dass Ihr Unternehmen angegriffen wird? Wie reagieren Sie? Und wie stellen Sie den Regelbetrieb wieder her?

Angriffserkennung und
-abwehr aus einer Hand

Die Grundlage unserer erfolgreichen Angriffsbewältigung ist die langjährige Erfahrung unseres Incident Response Teams aus zahlreichen großen Angriffen, gepaart mit der modernen Lösung des Technologieführers Exabeam. Wir garantieren Ihnen eine permanente Qualifizierung, Risikoeinschätzung und frühzeitige Alarmierung der kritischen Security Incidents, 24x7 an 365 Tagen im Jahr. Die Experten unseres Incident Response Teams sorgen für die schnelle Wiederherstellung des Regelbetriebs, die forensische Aufarbeitung des Angriffs und unterstützen Sie bei Bedarf bei der Optimierung Ihrer Schutzmaßnahmen.

Unser Service
Technologie
Service Überblick
Warum r-tec?

Angriffe rechtzeitig identifizieren und konsequent bekämpfen

Die Realität der letzten großen Angriffe hat gezeigt, Angreifer haben mitunter mehrere Monate Zeit, sich im Netzwerk der betroffenen Unternehmen auszubreiten, bis der Angriff überhaupt erkannt wird oder die betroffenen Systeme ausfallen. Die Angriffswege lassen sich nur schwer identifizieren und für die Eindämmung des Angriffs ist es meist zu spät. Vorhandene SIEM-Lösungen liefern keine automatisierte Anomalieerkennung und können wegen fehlender personeller Ressourcen meist nicht optimal betrieben werden. Der unnötige und lange Ausfall aller Systeme und die verzögerte Wiederherstellung des Regelbetriebes mit immensen Schäden ist die Folge.

Der r-tec Managed Detection and Response Service

Mit unserem Managed Detection and Response Service (MDR) sorgen wir für die nötige Angriffserkennung. Ermöglicht wird die schnelle Identifikation von Attacken durch die Kombination eines Next-Generation-SIEM-Systems mit unserer Erfahrung im Bereich der Bedrohungsbewertung:

Hohe Erkennungsraten durch Machine Learning

Wir nutzen die modernsten Technologien unseres Partners Exabeam. Diese basieren nicht nur auf statischen Regeln und Use Cases, sondern beinhalten auch eine verhaltensbasierte Anomalieerkennung. Mithilfe von Machine Learning wird dieser Vorgang kontinuierlich optimiert. Auf diese Weise erzielen wir hohe Erkennungsraten und reduzieren Falschmeldungen. Somit bleibt unseren Experten mehr Zeit für die Analyse der wirklich kritischen Ereignisse in Ihrer Umgebung.

Langjährige Erfahrung im Bereich der Angriffserkennung

Bei jedem Schritt können Sie sich auf die langjährige Erfahrung und das fachliche Know-how unserer Cyber Security Experten verlassen. Die Angriffserkennung ist schließlich seit mehr als 25 Jahren unser Kerngeschäft. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen notwendige Maßnahmen zur Angriffsabwehr durch. Der Service enthält zudem alle Leistungen unseres Incident Response Service, sodass Ihnen unsere Experten im Ernstfall innerhalb garantierter Reaktionszeiten zur Verfügung stehen.

THREAT HUNTING

Threat Hunting für die optimale Angriffsabwehr

Zu den wichtigsten Bausteinen unserer Managed Detection and Response Lösung zählt das Threat Hunting. Im Gegensatz zu klassischen Detection-Ansätzen wird dabei nicht gewartet, bis es konkrete Anzeichen für einen Angriff oder eine Angriffsvorbereitung gibt. Stattdessen wird proaktiv nach potenziellen Bedrohungen gesucht. Dafür untersuchen unsere Analysten die aus Ihrer Umgebung aufgezeichneten Daten nach Bedrohungen. Dabei nutzen wir verschiedene Threat-Intelligence-Quellen und Erkenntnisse aus aktuellen Angriffen, die unser Incident Response Team abgewehrt hat.

© Jr Korpa | Unsplash

IHR NUTZEN

Service Highlights

  • Zuverlässige Angriffserkennung auf Basis modernster Technologien
  • Reduzierung der Reaktionszeit
  • Frühzeitige Eindämmung von Angriffen
  • Im Ernstfall steht Ihnen ein Team aus Spezialisten mit garantierten Reaktionszeiten zur Verfügung
  • Direkter Kontakt zu IT Security Experten
  • Durch kontinuierliche Überwachung der Bedrohungslage immer auf dem neuesten Stand im Hinblick auf Cybergefahren
  • Individuelle, auf Ihre Bedürfnisse ausgerichtete Lösungen

Modernste Technologien für die Angriffserkennung

Der r-tec Managed Detection and Response Service setzt auf modernste technische Lösungen des Technologieführers Exabeam, die in einem DSGVO-konformen europäischen Rechenzentrum betrieben werden. Die Logdateien Ihres Unternehmens werden dabei mittels eines Site Collectors gesammelt und verschlüsselt an die Analyseplattform übertragen. Der Vorteil: Sie benötigen keine Agents für Ihre Systeme.

Folgende Logs sind für die Angriffserkennung relevant:

  • Active Directory
  • Endpoints
  • Firewalls
  • Domain Name Server
  • Domain Controller
  • VPN
  • Cloud-Apps
  • Antivirus und Proxy

 

Logs aus Cloud-Umgebungen wie Microsoft 365 werden direkt über einen Cloud Connector angebunden. Haben Sie bereits ein zentrales Logmanagement oder ein SIEM-System etabliert, können diese direkt an die Analyseplattform angeschlossen werden.

Abweichungen vom Normalverhalten identifizieren

Auf der so erzeugten Datengrundlage führt die Analyseplattform mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen eine Verhaltensanalyse von Nutzern, Geräten,  Eigenschaften,  Relationen,  Sachverhalten oder Ereignissen durch. So kann ein Normalverhalten identifiziert werden. Zudem lassen sich Beziehungen zwischen Nutzern und Geräten sowie das Gruppenverhalten überprüfen. Das heißt, die Analyse konzentriert sich nicht auf einzelne Logquellen oder verknüpfte Events, sondern auf das Gesamtverhalten Ihres Unternehmens, Ihrer Anwender und Ihrer Geräte. Abweichungen vom Normalverhalten und Muster, die zum Beispiel bei Angriffen oder der Angriffsvorbereitung auftreten können, werden auf diese Weise sofort erkannt.

Service Überblick

Managed Detection and Response

Einrichtung

Im Rahmen der Einrichtung werden alle Voraussetzungen für die Serviceerbringung geschaffen. Zudem werden Meldewege und Verhalten im Falle eines Security Incidents besprochen. So kann im Ernstfall schnell und geplant vorgegangen werden.

24 x 7 Angriffserkennung

Mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen wird automatisch eine fortlaufende Verhaltensanalyse von Nutzern, Geräten, Relationen und Ereignissen durchgeführt. Auffälligkeiten und Abweichungen vom Normalverhalten können so erkannt werden.

Qualifizierung von Meldungen

Unsere Cyber Security Experten qualifizieren Meldungen der automatischen Angriffserkennung und beurteilen das für Ihr Unternehmen bestehende mögliche Risiko.

Meldung und Maßnahmenempfehlungen

Besteht durch ein Ereignis ein Risiko, melden wir über vorab definierte Meldewege und geben ihnen Sofortmaßnahmen an die Hand. Optional können auch vorab definierte automatische Reaktionen ausgelöst werden.

Incident Response

Benötigen Sie Unterstützung bei der Behandlung eines Security Incidents, steht Ihnen einen Team aus Experten mit garantierten Reaktionszeiten zur Verfügung und unterstützt Sie von der Eindämmung, über die Wiederherstellung des Normalzustands bis zur anschließenden Absicherung gegen eine erneute Infizierung.

SERVICE FAQ

Was ist Managed Detection and Response?

Managed Detection and Response (MDR) beschreibt die kontinuierliche Überwachung von IT-Umgebungen mithilfe von neuesten Technologien zur Angriffserkennung. Ziel ist es, Angriffe frühzeitig zu erkennen, um möglichst schnell darauf reagieren und Gegenmaßnahmen einleiten zu können. Der Begriff Managed Detection and Response hat sich mittlerweile in der IT-Security-Branche etabliert. Teilweise werden diese Leistungen auch als SOC-as-a-Service bezeichnet.

Reicht es aus, eine NDR- oder EDR-Lösung zu betreiben?

Bei Network- bzw. Endpoint-Detection-and-Response-Lösungen (NDR/EDR) liegt der Fokus auf der Analyse von Netzwerk- oder Endpunktdaten. Für eine ganzheitliche Überwachung einer IT-Umgebung sind diese nicht ausreichend bzw. müssen miteinander verbunden werden. Sie können jedoch als wertvolle Informationsquelle für ein MDR-System dienen.

Welche Komponenten werden benötigt?

Es wird lediglich ein Site Collector als virtuelle Maschine benötigt, der die Logdaten Ihrer Umgebung entgegennimmt und verschlüsselt an die cloudbasierte Analyseplattform überträgt. Die Installation von Agents ist nicht erforderlich.

Was passiert bei der Identifikation eines Angriffs?

Wird ein Angriffsversuch identifiziert, liefern unsere Experten Maßnahmenempfehlungen oder führen optional selbst notwendige Maßnahmen durch. Bei Bedarf ist eine nahtlose Übergabe an unser Incident-Response-Team möglich. Somit stehen im Ernstfall sofort die richtigen Spezialisten zur Verfügung, die das erforderliche Know-how, die Erfahrung und die benötigten Werkzeuge mitbringen. Zudem können die Experten direkt auf umfassendes Wissen über Ihre Umgebung und den entsprechenden Vorfall zugreifen.

Gibt es auch eine On-Premise-Lösung?

Exabeam ist eine reine Cloud-Lösung, die aus einem deutschen DSGVO-konformen Rechenzentrum betrieben wird. So werden die ressourcenintensiven Analysen der großen Datenmengen ermöglicht. Weiterer Vorteil: Sie haben keine Investitionskosten für Hardware und können die Cloud-Ressourcen flexibel erweitern.

Warum reichen klassische SIEM-Lösungen nicht aus?

Für die Identifizierung gezielter Angriffe müssen große Datenmengen unterschiedlicher Quellsysteme korreliert und auf Anomalien überprüft werden. Der Ansatz, diese Aufgaben mithilfe eines Security-Information-and-Event-Management-Systems (SIEM) zu lösen, schlägt meistens fehl. Das Problem besteht darin, dass klassische SIEM-Lösungen bei der Suche nach Bedrohungen zumeist auf Use Cases setzen. Damit lassen sich allerdings nur Bedrohungen identifizieren, nach denen auch explizit gesucht wird; neue und komplexe Angriffsmuster fallen durchs Raster. Hinzu kommt, dass die Analyse von Security-Events trotz Automatisierung und trotz des Einsatzes von künstlicher Intelligenz nur verlässlich ist, wenn sie durch hoch qualifiziertes Personal erfolgt.

EXPERTEN INTERVIEW

Managed Detection and Response - Ein Experteninterview mit Sebastian Bittig

Wie sich die Angriffserkennung in den vergangenen Jahren verändert hat und was Unternehmen bei der Angriffsabwehr beachten sollten, hat Sebastian Bittig, Leiter des r-tec Cyber Defense Centers, in einem Gespräch mit der r-tec-Blogredaktion erläutert. Das komplette Interview können Sie hier lesen:

Mehr erfahren

WARUM
r-tec?

Unsere Kernkompetenz

  • Technisch voraus, menschlich auf Augenhöhe
  • Passgenaue Servicelösungen, kurze Reaktionszeiten, schnelle Terminierung, direkter Expertenkontakt
  • Schnelle Hilfe im Angriffsfall
  • Spezialisiertes Cyber Security Unternehmen mit ausgeprägter Service Struktur
  • 25 Jahre Erfahrung in Konzeption, Aufbau und Betrieb von Cyber Security Lösungen
  • ISO 9001 und ISO 27001 zertifiziert

Jetzt Kontakt aufnehmen.

(Mit * markierte Felder sind Pflichtfelder.)

r-tec IT Security GmbH verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Wir verwenden Ihre persönlichen Daten nur zur Bereitstellung der von Ihnen angeforderten Produkte und Dienstleistungen. Von Zeit zu Zeit möchten wir Sie über unsere Produkte und Dienstleistungen sowie andere Inhalte, die für Sie von Interesse sein könnten, informieren. Wenn Sie damit einverstanden sind, dass wir Sie zu diesem Zweck kontaktieren, aktivieren Sie bitte das folgende Kontrollkästchen:

Sie können diese Benachrichtigungen jederzeit abbestellen. Weitere Informationen zum Abbestellen, zu unseren Datenschutzverfahren und dazu, wie wir Ihre Privatsphäre schützen und respektieren, finden Sie in unserer Datenschutzerklärung.

Um Ihnen die gewünschten Inhalte bereitzustellen, müssen wir Ihre persönlichen Daten speichern und verarbeiten. Wenn Sie damit einverstanden sind, dass wir Ihre persönlichen Daten für diesen Zweck speichern, aktivieren Sie bitte das folgende Kontrollkästchen.

Was ist die Summe aus 9 und 2?