Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

„Die Cybersicherheit behalten wir im Blick“

Managed Detection and Response - Ein Experteninterview mit Sebastian Bittig

Mit immer trickreicheren Methoden versuchen Cyberkriminelle, klassische Angriffserkennungssysteme zu überlisten. Mithilfe von Managed Detection and Response (MDR) können Attacken jedoch frühzeitig sichtbar gemacht und gestoppt werden. Was MDR kann und mit welchen Vorteilen die Lösung im Vergleich zu konventionellen SIEM-Systemen aufwarten kann, hat Sebastian Bittig, Leiter unseres Cyber Defense Centers, im Interview erläutert.

Herr Bittig, Managed Detection and Response gewinnt in der Cyber-Security-Welt zunehmend an Bedeutung. Was verbirgt sich hinter diesem Begriff?

Im Grunde geht es um die kontinuierliche Überwachung von IT-Umgebungen. Dazu zählen beispielsweise Netzwerke oder IT-Systeme, also alle digitalen Bereiche, die ein Unternehmen benötigt, um sein Kerngeschäft reibungslos zu betreiben. Ziel ist es, Angriffe frühzeitig zu erkennen, um möglichst schnell darauf reagieren und Gegenmaßnahmen einleiten zu können. Der Begriff Managed Detection and Response hat sich mittlerweile am Markt etabliert. Teilweise werden diese Leistungen auch als SOC-as-a-Service bezeichnet.

Wie konnten Unternehmen Angriffe bisher identifizieren?

Viele Unternehmen haben bisher ein Security Information and Event Management – kurz: SIEM – zur Angriffserkennung eingesetzt. Diese Cyber-Security-Lösung prüft relevante Daten in Echtzeit auf Anomalien und schlägt bei Auffälligkeiten Alarm. Bei der Datenanalyse setzt ein SIEM in der Regel auf zuvor definierte Use Cases. Das reicht aber erfahrungsgemäß nicht mehr aus, um heutige Angriffe zuverlässig erkennen zu können. Benötigt wird außerdem ein erfahrenes Expertenteam, das alle gemeldeten Anomalien analysiert und entsprechende Gegenmaßnahmen empfiehlt oder selbst einleitet.

Das Problem ist, dass SIEM-Lösungen in der Regel sehr viele Alarme produzieren. Unternehmen müssen daher jede Menge Mitarbeiter einsetzen, die diese Alarme analysieren, einstufen und bearbeiten. Unserer Erfahrung nach können die meisten Betriebe die zunehmende Masse an Meldungen ab einem bestimmten Punkt aber kaum noch händeln. Und nicht nur das: Unternehmen müssen außerdem das Regelwerk, das das SIEM-System für die Anomalieanalyse nutzt, immer auf dem aktuellsten Stand halten. Es ist daher notwendig, regelmäßig neue Angriffsmethoden in Form von neuen Use Cases zu entwickeln. Diese führen dann zu weiteren Alarmen.

So kommen klassische SIEM-Lösungen und deren Nutzer an ihre Grenzen. Immer komplexere Angriffsmethoden sorgen für mehr Use Cases, für ein immer größer werdendes Regelwerk und für einen Anstieg der Alarmmeldungen, denen möglichst schnell nachgegangen werden muss. In der Folge gehen die Personalkosten durch die Decke und Analysten neigen aufgrund der hohen Arbeitslast dazu, Alarme zu ignorieren oder eher oberflächlich zu bewerten.

Was unterscheidet Managed-Detection-and-Response von einem SIEM-as-a-Service?

Beim Managed-Detection-and-Response-Service wird die Angriffserkennung mit einem Reaktionsservice kombiniert. Die Erkennung erfolgt durch Experten, die über fundiertes Know-how und jede Menge Erfahrung verfügen. Unterstützt werden sie von einem Next-Generation-SIEM-System, das nicht nur mit einem starren Regelwerk arbeitet, sondern zusätzlich mit einer verhaltensbasierten Überprüfung der Gesamtumgebung. Dabei kommt Machine Learning zum Einsatz: Das heißt, das System lernt das Verhalten von Nutzern und Geräten kennen und leitet aus den dabei gewonnenen Erkenntnissen ein Normalverhalten ab. Auf diese Weise können Abweichungen und damit auch Angriffe viel früher und zuverlässiger erkannt werden.

Welche Vorteile hat ein Next-Generation-SIEM-System im Vergleich zu einem SIEM-System?

Von Next-Generation-SIEM-Systemen profitieren Unternehmen gleich in mehrfacher Hinsicht: Unter anderem ist die Angriffserkennung durch den Einsatz neuer Technologien skalierbar. Zudem sinken die Kosten und der Aufwand. Grund dafür ist der mit fortschreitender Digitalisierung steigende Log- und Netzwerkverkehr in Unternehmen. Dieser führt dazu, dass die Masse an Events und Alarmen zunimmt. Beim Einsatz eines SIEM-Systems kann es passieren, dass man nach einer gewissen Zeit nicht mehr mitkommt und nicht alle Meldungen bearbeiten kann. Moderne Next-Generation-SIEM-Systeme hingegen können durch Machine Learning sowohl Normalzustände als auch Abweichungen erkennen und automatisch darauf reagieren. Das heißt: Vieles passiert nicht mehr händisch.

Bei r-tec kommt hinzu, dass wir unsere Next-Generation-SIEM-Lösung komplett aus einer deutschen Cloud betreiben. Damit ist die Angriffserkennung sehr gut an die individuelle Entwicklung des Unternehmens anpassbar. Das System wächst automatisch mit dem Grad der Digitalisierung und kann bei Bedarf einfach durch das Hinzubuchen zusätzlicher Produkte aus der Cloud erweitert werden. So lässt sich die in der Zukunft benötigte Detection- und Response-Fähigkeit schon jetzt sicherstellen. Dadurch ist eine Next-Generation-SIEM-Lösung im Vergleich zu einem klassischen SIEM-System außerdem kostengünstiger. Eine qualitativ hochwertige, effektive Angriffserkennung wird auf diese Weise auch für den Mittelstand händel- und bezahlbar.

Neben dem Wegfall administrativer Hürden überzeugt zudem die Geschwindigkeit: Wir merken, dass Cyberkriminelle immer häufiger an Wochenenden oder kurz vor Feiertagen wie Weihnachten angreifen. In der Regel ist die Personaldecke in diesen Zeiten dünn, sodass die Identifizierung der Attacke und die darauf folgende Reaktion vergleichsweise lange dauert. Der Faktor Zeit spielt aber eine entscheidende Rolle: Denn wenn der Angreifer es geschafft hat, mehr als einen Nutzer des Unternehmensnetzwerkes zu kompromittieren, ist es meist schon zu spät. Die Auswirkungen sind dann gravierend. Mithilfe eines Managed Detection and Response Service werden Unregelmäßigkeiten zu jeder Zeit automatisch erkannt, von Experten bewertet und Gegenmaßnahmen eingeleitet.

Ich schätze, dass in 80 bis 90 Prozent aller Angriffsfälle, bei denen uns die Kunden zur Unterstützung hinzugezogen haben, unser MDR-Service frühzeitig Alarm geschlagen hätte. Dann hätten rechtzeitig Gegenmaßnahmen eingeleitet werden können, um erfolgreiche Angriffe vorab zu verhindern oder zumindest einzudämmen.

Sebastian Bittig, Leiter Cyber Defense Center

 

 

Können Sie ein Beispiel aus Ihrem Berateralltag nennen, bei dem Managed Detection and Response Angriffe hätte verhindern können?

Ich schätze, dass in 80 bis 90 Prozent aller Angriffsfälle, bei denen uns die Kunden zur Unterstützung hinzugezogen haben, unser MDR-Service frühzeitig Alarm geschlagen hätte. Dann hätten rechtzeitig Gegenmaßnahmen eingeleitet werden können, um erfolgreiche Angriffe vorab zu verhindern oder zumindest einzudämmen.

Ein Beispiel: Der klassische Angriffsweg führt meist über Phishing. Stellen Sie sich vor, ein Angreifer schickt eine infizierte E-Mail an einen Mitarbeiter. Damit kompromittiert er das System des Mitarbeiters, bewegt sich von dort aus durch das interne Netzwerk und versucht weitere Nutzer und Systeme zu kompromittieren, häufig mit dem Ziel die höchstmöglichen Rechte in der Umgebung zu erlangen. Auf dem Weg dahin benutzt er immer wieder valide Nutzeraccounts und baut seinen Zugriffsbereich damit weiter aus.

Durch den Einsatz von Next-Generation SIEM-Systemen kann das Vorgehen der Angreifer frühzeitig erkannt und nachvollziehbar gemacht werden. Wenn beispielsweise ein Nutzer aus der Buchhaltung plötzlich auf Systeme anderer Abteilungen zugreift, sich andere Benutzer als bisher ins Buchhaltungssystem einloggen oder die Aktivität eines Nutzers auf ungewöhnliche Weise steigt, weil Scans durchgeführt werden, schlägt das System an. Schließlich stellen all diese ungewohnten Verhaltensmuster Indizien für einen Sicherheitsvorfall dar.

Die Summe der Indizien führt dann zu einem Alarm und das System wird sofort isoliert: Der Endpoint wird automatisch vom Netzwerk getrennt und der betreffende Nutzer wird gesperrt, sodass der Angreifer vorerst gestoppt bzw. behindert wird. Die Schotten werden quasi dicht gemacht, bevor ein Mitarbeiter die Chance hat, sich damit auseinanderzusetzen. Danach haben Sie die Möglichkeit, den Vorfall in Ruhe zu analysieren und, falls nötig, weitere Gegenmaßnahmen einzuleiten.

Klassische SIEM-Lösungen können bei modernen Angriffen kaum noch mithalten. Angreifer wissen heute einfach, wie sie vorgehen müssen, um konventionelle SIEM-Systeme zu umgehen bzw. in der Masse der Events unterzutauchen. Mithilfe unseres MDR-Service auf Basis eines Next-Generation SIEM können wir diese Methodiken jedoch sichtbar machen.

Das sehen wir zum Beispiel bei unseren Red-Teaming-Projekten, bei denen unsere IT-Security-Spezialisten die Perspektive von Hackern einnehmen und Angriffe simulieren, um das Sicherheitsniveau des jeweiligen Kunden zu prüfen. Obwohl viele Unternehmen SIEM-Systeme und externe Dienstleister für die Überwachung einsetzen, kommen wir immer wieder unbemerkt an wichtige Daten und können ganze Umgebungen kompromittieren.

Wie gut sind Unternehmen Ihrer Erfahrung nach auf Angriffe vorbereitet und mit welchen Problemen müssen sie sich bei Vorfällen typischerweise auseinandersetzen?

Grundsätzlich treffen wir im Beratungsalltag auf drei verschiedene Unternehmenstypen. Zunächst einmal gibt es Kunden, die sich ein SIEM eigenständig angeschafft haben, es aber nicht nutzen können. Das Problem liegt in der Regel darin, dass sie mit der Anzahl der auftretenden Alarmmeldungen überfordert sind. Viele Unternehmen unterschätzen einfach den mit SIEM-Systemen verbundenen Aufwand. Wir machen immer wieder die Erfahrung, dass sie vor dem Kauf übersehen, dass nach der Implementierung Use Cases gepflegt und Alarmmeldungen bearbeitet werden müssen. Übrig bleibt dann letztendlich nur ein teures System, das in der Ecke steht und keinen Nutzen bringt.

Daneben treffen wir auf Unternehmen, die nur wenige Use Cases eingerichtet haben, auf die sie sich voll und ganz konzentrieren. Dieses Vorgehen suggeriert jedoch eine völlig falsche Sicherheit: Angriffsmethoden, die bei der Erstellung der Use Cases nicht berücksichtigt werden, bleiben dann unentdeckt.

Darüber hinaus gibt es Unternehmen, die sich gegen ein SIEM entschieden haben und stattdessen auf Endpoint-Detection-and-Response-Lösungen setzen. Dabei handelt es sich jedoch eher um ein Next-Generation-Antivirus-Programm. Für eine wirklich gute Erkennungsrate brauche ich aber nicht nur Informationen von Endpoints, sondern auch von weiteren Systemen wie z. B. Firewalls, Proxy-Servern oder dem Active Directory. Daher können Endpoint-Detection-and-Response-Lösungen ein SIEM-System definitiv nicht ersetzen, sind aber eine gute Ergänzung und liefern wertvolle Informationen, die das SIEM-System verarbeitet.

WEBCAST

Webcast Managed Detection and Response

Besuchen Sie auch unseren Webcast zum Thema! Im Rahmen des Webcasts „Managed Detection and Response: Angriffe sichtbar machen und bewältigen“ erläutern unsere Experten, warum eine moderne Angriffs- und Bedrohungserkennung notwendig ist. Um die Praxis kennenzulernen gibt es eine Live-Demo des Exabeam Fusion SIEM.

 

weitere Informationen

Wie stellt r-tec die Effektivität der Managed-Detection-and-Response-Service sicher?

Zunächst legen wir großen Wert darauf, dass die Hersteller, mit denen wir zusammenarbeiten, wirkungsvolle Produkte anbieten. Deshalb haben wir Herstellerevaluierungen durchgeführt und im Rahmen von Red-Teaming-Tests reale Angriffe simuliert, bevor wir Partnerschaften mit den jeweiligen Anbietern eingegangen sind. Das heißt, wir haben uns die zur Wahl stehenden Lösungen genau angeschaut und in einer eigenen Umgebung mit unserer Erfahrung auf Herz und Nieren geprüft.

Hinzu kommt, dass wir auf langjährige Erfahrung sowie auf die Use Cases unseres Cyber Defence Centers und auf das Fachwissen des Incident-Response-Teams zurückgreifen können, um Hintergrundwissen und Erkennungsmethoden zu optimieren. Hilfreich ist auch unsere Erfahrung im Bereich Threat Hunting. Hier suchen wir proaktiv nach Bedrohungen in der Kundenumgebung, bevor diese real werden können. Dafür durchforsten wir beispielsweise die Log-Daten nach bestimmten Indikatoren, die wir bei einem anderen Kunden gesehen haben. So gelingt es, Sicherheitslücken zu schließen, bevor ein Angriff überhaupt stattgefunden hat.

Darüber hinaus beinhaltet unsere Managed-Detection-and-Response-Lösung auch einen Incident-Response-Service. Im Angriffsfall stehen unsere Experten dadurch rund um die Uhr auf Abruf zur Verfügung. So können wir eine riesige Bandbreite an Aufgaben abdecken.

Wie gehen Sie vor, wenn Kunden den Managed-Detection-and-Response-Service buchen?

Zunächst wird ein sogenannter Site-Collector installiert, der relevante Informationen aus allen relevanten Log-Quellen beim Kunden sammelt und verschlüsselt in die Cloud überträgt. Schließlich handelt es sich bei diesem System um einen Cloud-Service, der aus einem DSGVO-konformen Rechenzentrum heraus betrieben wird.

Im Gegensatz zu klassischen SIEM-Systemen ist der Einrichtungsaufwand minimal, da Use Cases nicht händisch angelegt werden müssen. Bei der MDR-Implementierung werden die benötigten Connectoren für alle gängigen Systeme gleich mitgeliefert. Im Rahmen unserer Evaluierungstests war das Anbinden der Top 5 Quellen innerhalb von zwei Stunden erledigt.

Danach folgt eine „Anlern-Phase“, die etwa 6 bis 8 Wochen dauert. In dieser Zeit analysiert das System alle vorhandenen Daten und „erlernt“ quasi den Normalzustand. Dieser Schritt erfolgt automatisch, sodass für den Kunden kein zusätzlicher Aufwand entsteht. Danach ist das System einsatzbereit. Schlägt es Alarm, analysieren unsere Experten die erkannte Anomalie. Wird diese als kritisch eingestuft, treten wir über vorher abgestimmte Meldewege mit dem jeweiligen Kunden in Kontakt. Dieser entscheidet dann auf Grundlage unserer Einschätzung, ob er eine Incident Response auslösen möchte. Wenn ja, steht dem Unternehmen unser Incident-Response-Team zur Verfügung, das gemeinsam mit den IT-Verantwortlichen den Vorfall analysiert und die erkannte Anomalie bei Bedarf schnellstmöglich eindämmt.

In einer weiteren Ausbaustufe ist auch eine vollautomatisierte Reaktion auf zuvor definierte Vorfälle möglich. So kann das System bei einem Phishing-Angriff beispielsweise ohne händisches Eingreifen das betreffende Endgerät vom Netzwerk isolieren und die Zugangsdaten des Benutzers sperren.

Was müssen Kunden nach der MDR-Implementierung tun?

Im Grunde nichts. Wir bieten Managed Detection and Response als Full Managed Service an und übernehmen alle damit zusammenhängenden Aufgaben, sodass das jeweilige Unternehmen für den Worst Case gerüstet ist, im Bedarfsfall Incident-Response-Experten an seiner Seite hat und schnell reagieren kann.

Der Kunde muss sich somit keine Gedanken über mögliche Angriffe machen. Er oder sie erhält Gewissheit darüber, dass keine Gefahrenmeldung im Geschäftsalltag unbearbeitet bleibt. Stattdessen können sich Unternehmer komplett um ihr Kerngeschäft kümmern. Die Cybersicherheit behalten wir im Blick.  

Herr Bittig, wir danken Ihnen für dieses Gespräch.

R-TEC SERVICE

Managed Detection & Response-Service

Mit dem r-tec Managed Detection and Response Service bringen wir zwei Methoden der Angriffsprävention zusammen: Zum einen bieten wir neueste Technologien, die aus der Cloud betrieben werden und daher keine hohen Investitionskosten verursachen. Zum anderen setzen wir auf IT-Sicherheitsexperten, die IT-Security-Events analysieren und Sie im Angriffsfall mit Know-how, Werkzeugen und Prozessen unterstützen, um Schäden schnellstmöglich einzudämmen.

weitere Informationen