Lernen Sie die verschiedenen Arten von Managed Security Service-Anbietern kennen und erfahren Sie, welche Fähigkeiten unerlässlich sind.
MDR KUNDENRATGEBER 2024Ein Managed Security Service Provider (MSSP) übernimmt einige oder alle Aspekte des Cybersecurity-Programms eines Kunden. Der Begriff MSSP vereint dabei viele verschiedene Arten von Service-Anbietern – vom Schwachstellen-Management über die Erkennung und Abwehr bis hin zur Anwendungssicherheit. Ein MSSP muss viele Kompetenzen haben, darunter folgende:
Proaktive und reaktive Sicherheitsansätze: Ein ganzheitliches Sicherheitsprogramm muss mehr leisten können, als nur auf Bedrohungen zu reagieren. Es muss gezielt nach ihnen suchen und sie unterbinden, bevor sie sich dem Netzwerk nähern können. Zum Leistungsumfang eines MSSP-Sicherheitsservices sollten proaktive Verfahren wie die erweiterte Erkennung und Abwehr (Extended Detection and Response, XDR) gehören, die Bedrohungen frühzeitig und schneller über den eigentlichen Endpunkt hinaus erkennen und abwehren.
Ein maßgeschneidertes Programm für Ihr Unternehmen: MSSPs sollten sich mit Ihrer spezifischen Umgebung vertraut machen, Einblick in diese gewähren und maßgeschneiderte Beratung anbieten, um so den Angriffserfolg zu verringern, schnell und souverän auf Vorfälle zu reagieren und Ihre Sicherheitslage zu verbessern.
Fundierte Sicherheitsfunktionen, und nicht nur Warnmeldungen: Ein Managed Service-Kunde erhält in der Regel vollen Zugriff auf die von seinem MSSP-Team verwendete Technologie. Dies umfasst in der Regel Dashboards, Berichte und die Möglichkeit, Informationen und Warnmeldungen bei Bedarf zusätzlich anzupassen.
Gartner definiert einen MSSP als ein Unternehmen, das „ausgelagerte Überwachungs- und Verwaltungsdienste für Sicherheitsgeräte und -systeme anbietet“. Das Schlüsselwort ist hier „ausgelagert“. Wenn ein Sicherheitsunternehmen die Auslagerung der Funktionen seines Programms in Betracht zieht, benötigt es wahrscheinlich dringend Hilfe bei der Überwachung und Sicherung seines Netzwerks.
Das kann an Budgetkürzungen liegen, dem Mangel an qualifiziertem Personal oder der Einführung neuer Services oder Produkte, die abgesichert werden müssen. MSSPs decken die meisten – wenn nicht sogar alle – Funktionsbereiche eines fundierten Sicherheitsprogramms ab.
MDR-Anbieter leisten im Allgemeinen Aufgaben wie die kontinuierliche Überwachung rund um die Uhr und die Abwehr erweiterter Bedrohungen durch endpunktbasierte Angriffsdaten. MDR sollte zudem auf Basis einer umfassenden Kenntnis der Umgebung und der Sicherheitsziele eines Kunden einen individuell zugeschnittenen Service bieten. Darüber hinaus sollten bekannte und unbekannte Angreifer mithilfe von mehrschichtigen Erkennungsmethoden aufgespürt werden können.
MVM-Experten helfen Kunden beim Aufbau oder der Verbesserung von Programmen zum Schwachstellenmanagement und sorgen für einen besseren Schutz von Netzwerkressourcen. Sie vermitteln ein Gesamtbild der Bedrohungslage, um Prioritäten zu setzen und Gegenmaßnahmen zu ergreifen. Zu den Merkmalen eines MVM-Service gehören in der Regel von Analysten durchgeführte Scan-Konfigurationen, monatliche Berichte, eine verwaltete Infrastrukturwartung und die Aufdeckung von Assets.
Die Anwendungsentwicklung ist bereits kompliziert genug, ohne dem Prozess auch noch Sicherheit „aufzuzwingen“ und dadurch Reibungsverluste zu verursachen. Ein Managed Application Security-Anbieter sollte die Sicherheitslage einer Anwendung beurteilen, dokumentieren und optimieren können. In der Regel können sie die meisten modernen Frameworks abdecken, interne und öffentliche internetgestützte Anwendungen unterstützen und die Ergebnisse auf die Teilmenge der Schwachstellen mit dem größten Risiko beschränken.
Es gibt viele gute Gründe für den Einsatz eines MSSP. Der wichtigste ist wohl der Personalmangel in bestimmten Bereichen. Wenn Sie sich für einen Anbieter entschieden haben, kann ein MSSP die Fähigkeiten eines Kunden in den Bereichen Erkennung und Abwehr, Schwachstellen-Management, Anwendungssicherheit und vieles mehr schnell ausweiten.
Bessere Sicherheitslage: Durch die Einbeziehung eines Expertenteams kann ein SOC entsprechende Risiken früher aufdecken, seine Angriffsfläche verkleinern und mit Techniken der digitalen Forensik und mit Incident-Response (DFIR) schnell Untersuchungen durchführen.
Einzigartiger und wertvoller Kompetenzbereich: Auf den Mangel an qualifizierten Fachkräften, mit dem ein internes SOC konfrontiert sein kann, wurde bereits hingewiesen. Ein Programm zur Anwerbung dieser Spezialisten kann kostspielig sein und nur zu ein oder zwei Einstellungen führen, die möglicherweise nicht von Dauer sind. Ein MSSP kann Ihnen fast sofort Zugriff auf diese spezialisierten Fachkenntnisse verschaffen.
Geringerer Overhead: Mit der Beauftragung eines MSSP entfällt die Notwendigkeit, umfangreiche und spezialisierte Cybersicherheitslösungen zur Abwehr jeder Bedrohung und zum Schließen jeder Sicherheitslücke zu unterhalten. Natürlich rechnet der MSSP die Kosten für diese Technologie in seine Preise ein. Es liegt jedoch in seiner Verantwortung, im Auftrag seiner Kunden auf dem neuesten technologischen Stand zu bleiben. Der Anbieter bietet seinen Kunden in der Regel auch Zugang zu Analysen des Netzwerk-Traffics, des Nutzerverhaltens und mehr.
Schnellere Beseitigung von Bedrohungen oder Verstößen: Was bisher Stunden über Stunden in der Woche dauerte, kann nun in wenigen Minuten erledigt werden. Ein vertrauenswürdiger MDR-Partner sollte die Fähigkeit eines SOC, Gegenmaßnahmen zu ergreifen, deutlich verbessern und beschleunigen können. Die durchschnittliche Zeit bis zur Behebung eines Sicherheitsrisikos verkürzt sich erheblich, wenn der Anbieter einen speziell auf die Umgebung des Kunden zugeschnittenen Aktionsplan erstellen kann.
Ein Managed Service Provider (MSP) unterscheidet sich von einem MSSP dadurch, dass der MSP bestimmte Services für den IT-Betrieb und der MSSP Services für die IT-Sicherheit erbringt. Es ist also eine Frage von Betrieb versus Sicherheit, wobei beides Hand in Hand geht, da Unternehmen ihre Betriebsabläufe unbedingt sichern müssen, um profitabel und zukunftsfähig zu sein. MSPs bieten in der Regel grundlegende Sicherheitsfunktionen wie Patches, Erkennung von Bedrohungen und Malware-Lösungen, jedoch keine erweiterten Funktionen wie Schwachstellen-Scans, DFIR-Tools und XDR-Lösungen an.
Immer mehr MSPs haben ihr Leistungsangebot um dieses zusätzliche „S“ erweitert, da das erhöhte Sicherheitsbedürfnis größtenteils auf den Ausbruch der Pandemie vor ein paar Jahren zurückzuführen ist.
Die Unterzeichnung des Vertrags und die Implementierung der Services eines MSSPs in Ihre Sicherheitsarchitektur kann durchaus eine aufregende Zeit sein. Die Suche nach einem Anbieter ist abgeschlossen, Sie haben Ihre Problembereiche identifiziert, und mit dem Eintreffen eines erweiterten Teams erfahrener Analysten, das für Sie die neueste Technologie zum Einsatz bringen wird, kann nun Entspannung einkehren.
Doch zuerst müssen Sie natürlich den Findungsprozess durchlaufen. Woher wissen Sie, wer der beste Anbieter ist und ob er auch der beste für Sie ist? Verschaffen wir uns einen ersten Überblick.
Wie gestaltet sich der Umgang mit dem Service im täglichen bzw. monatlichen Rhythmus? Haben Sie einen einzigen Ansprechpartner oder werden Sie bei jeder Kommunikation mit Ihrem MSSP mit einem anderen Service-Mitarbeiter zu tun haben? Ist der Anbieter ausschließlich auf den Sicherheitsbetrieb ausgerichtet, oder unterstützt er Sie auch beim Ausbau Ihres Reifegrads?
Konzentriert sich ein potenzieller Anbieter darauf, Ihre Ergebnisse im Zeitalter erhöhter Bedrohungen zu verbessern? Wird er Protokolle und Daten analysieren und sich an der Bedrohungssuche und dem Vorfallmanagement beteiligen? Können Sie sich am Ende des Tages auf andere geschäftliche Prioritäten konzentrieren und Ihre allgemeine Sicherheitslage verbessern, sobald der Anbieter mit der Arbeit begonnen hat?
Kann Ihr potenzieller MSSP Daten nicht nur erfassen, sondern auch auswerten? Welchen Sinn haben die von einem Anbieter erfassten Daten, wenn sie keine umsetzbaren Erkenntnisse liefern? Ihr Managed Security Services Partner sollte eine Baseline des üblichen Benutzerverhaltens im gesamten Netzwerk erstellen und anhand der Erkenntnisse neue Maßnahmen einleiten können. Anhand dieser Daten – oder der Analyse des Benutzerverhaltens (User Behaviour Analytics, UBA) – sollte der MSSP Bedrohungen aufdecken können, ohne sich auf eine vorherige, spontane Identifizierung verlassen zu müssen.
Erfahren Sie mehr über die Managed SOC Servicesvon Rapid7