Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.
Die Wahrscheinlichkeit, dass Ihr Unternehmen in den nächsten 12 Monaten Ziel eines Cyberangriffs wird, liegt bei 75 %. Klassische IT-Security-Komponenten reichen nicht aus, um einen 100 % Schutz zu erzeugen. Es stellt sich daher die Frage: Wie erkennen Sie, dass Ihr Unternehmen angegriffen wird? Wie reagieren Sie? Und wie stellen Sie den Regelbetrieb wieder her?
Die Grundlage unserer erfolgreichen Angriffsbewältigung ist die langjährige Erfahrung unseres Incident Response Teams aus zahlreichen großen Angriffen, gepaart mit der modernen Lösung des Technologieführers Exabeam. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen unmittelbar notwendige Maßnahmen zur Angriffsabwehr und Wiederherstellung des Regelbetriebs durch.
Wir garantieren Ihnen eine permanente Qualifizierung, Risikoeinschätzung und frühzeitige Alarmierung der kritischen Security Incidents, 24x7 an 365 Tagen im Jahr. Die Experten unseres Incident Response Teams sorgen für die schnelle Wiederherstellung des Regelbetriebs, die forensische Aufarbeitung des Angriffs und unterstützen Sie bei der Optimierung Ihrer Schutzmaßnahmen.
Die Angriffserkennung ist seit mehr als 25 Jahren unser Kerngeschäft. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen notwendige Maßnahmen zur Angriffsabwehr durch. Der Service enthält zudem alle Leistungen unseres Incident Response Service, sodass Ihnen unsere Experten im Ernstfall innerhalb garantierter Reaktionszeiten zur Verfügung stehen.
24x7
automatisierte Angriffserkennung und Alarmierung
10x5 (Mo - Fr, 8:00 - 18 Uhr)
Service-Zeiten
max. 2 Stunden
SLA Qualifizierung von Alarmen und First Response
max. 6 Stunden
SLA Expert Response Remote
Next Business Day
SLA Expert Response OnSite
Optional
24x7 automatisierte Response
Optional
Proaktives Threat Hunting
24x7
automatisierte Angriffserkennung und Alarmierung
24x7
Service-Zeiten
max. 1 Stunde
SLA Qualifizierung von Alarmen und First Response
max. 4 Stunden
SLA Expert Response Remote
Next Business Day
SLA Expert Response OnSite
Optional
24x7 automatisierte Response
Optional
Proaktives Threat Hunting
Der r-tec Managed Detection and Response Service setzt auf modernste technische Lösungen des Technologieführers Exabeam, die in einem DSGVO-konformen europäischen Rechenzentrum betrieben werden. Die Logdateien Ihres Unternehmens werden dabei mittels eines Site Collectors gesammelt und verschlüsselt an die Analyseplattform übertragen. Der Vorteil: Sie benötigen keine Agents für Ihre Systeme.
Folgende Logs sind für die Angriffserkennung relevant:
Logs aus Cloud-Umgebungen wie Microsoft 365 werden direkt über einen Cloud Connector angebunden. Haben Sie bereits ein zentrales Logmanagement oder ein SIEM-System etabliert, können diese direkt an die Analyseplattform angeschlossen werden.
Abweichungen vom Normalverhalten identifizieren
Auf der so erzeugten Datengrundlage führt die Analyseplattform mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen eine Verhaltensanalyse von Nutzern, Geräten, Eigenschaften, Relationen, Sachverhalten oder Ereignissen durch. So kann ein Normalverhalten identifiziert werden. Zudem lassen sich Beziehungen zwischen Nutzern und Geräten sowie das Gruppenverhalten überprüfen. Das heißt, die Analyse konzentriert sich nicht auf einzelne Logquellen oder verknüpfte Events, sondern auf das Gesamtverhalten Ihres Unternehmens, Ihrer Anwender und Ihrer Geräte. Abweichungen vom Normalverhalten und Muster, die zum Beispiel bei Angriffen oder der Angriffsvorbereitung auftreten können, werden auf diese Weise sofort erkannt.
Neben der Prävention von Angriffen leisten wir für Sie auch die Abwehr von laufenden oder erfolgten Angriffen. Als vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter APT Response Dienstleister erfüllen wir dabei die speziellen Vorgaben des Bundesamts.
Offizielle Liste der qualifizierten APT-Response-Dienstleister
Managed Detection and Response (MDR) beschreibt die kontinuierliche Überwachung von IT-Umgebungen mithilfe von neuesten Technologien zur Angriffserkennung. Ziel ist es, Angriffe frühzeitig zu erkennen, um möglichst schnell darauf reagieren und Gegenmaßnahmen einleiten zu können. Der Begriff Managed Detection and Response hat sich mittlerweile in der IT-Security-Branche etabliert. Teilweise werden diese Leistungen auch als SOC-as-a-Service bezeichnet.
Bei Network- bzw. Endpoint-Detection-and-Response-Lösungen (NDR/EDR) liegt der Fokus auf der Analyse von Netzwerk- oder Endpunktdaten. Für eine ganzheitliche Überwachung einer IT-Umgebung sind diese nicht ausreichend bzw. müssen miteinander verbunden werden. Sie können jedoch als wertvolle Informationsquelle für ein MDR-System dienen.
Es wird lediglich ein Site Collector als virtuelle Maschine benötigt, der die Logdaten Ihrer Umgebung entgegennimmt und verschlüsselt an die cloudbasierte Analyseplattform überträgt. Die Installation von Agents ist nicht erforderlich.
Wird ein Angriffsversuch identifiziert, liefern unsere Experten Maßnahmenempfehlungen oder führen optional selbst notwendige Maßnahmen durch. Bei Bedarf ist eine nahtlose Übergabe an unser Incident-Response-Team möglich. Somit stehen im Ernstfall sofort die richtigen Spezialisten zur Verfügung, die das erforderliche Know-how, die Erfahrung und die benötigten Werkzeuge mitbringen. Zudem können die Experten direkt auf umfassendes Wissen über Ihre Umgebung und den entsprechenden Vorfall zugreifen.
Exabeam ist eine reine Cloud-Lösung, die aus einem deutschen DSGVO-konformen Rechenzentrum betrieben wird. So werden die ressourcenintensiven Analysen der großen Datenmengen ermöglicht. Weiterer Vorteil: Sie haben keine Investitionskosten für Hardware und können die Cloud-Ressourcen flexibel erweitern.
Für die Identifizierung gezielter Angriffe müssen große Datenmengen unterschiedlicher Quellsysteme korreliert und auf Anomalien überprüft werden. Der Ansatz, diese Aufgaben mithilfe eines Security-Information-and-Event-Management-Systems (SIEM) zu lösen, schlägt meistens fehl. Das Problem besteht darin, dass klassische SIEM-Lösungen bei der Suche nach Bedrohungen zumeist auf Use Cases setzen. Damit lassen sich allerdings nur Bedrohungen identifizieren, nach denen auch explizit gesucht wird; neue und komplexe Angriffsmuster fallen durchs Raster. Hinzu kommt, dass die Analyse von Security-Events trotz Automatisierung und trotz des Einsatzes von künstlicher Intelligenz nur verlässlich ist, wenn sie durch hoch qualifiziertes Personal erfolgt.
Wie sich die Angriffserkennung in den vergangenen Jahren verändert hat und was Unternehmen bei der Angriffsabwehr beachten sollten erläutert Sebastian Bittig, Leiter unseres Cyber Defense Centers, im Interview. Das komplette Interview finden Sie hier:
In unserem neue Whitepaper erfahren Sie, wie Sie eine effektive Angriffserkennung umsetzen können und welche technischen Komponenten dafür benötigt werden.
