Wir raten dazu, das Thema aus der Sicht des Risikomanagements anzugehen. Wie wertvoll sind die Kronjuwelen Ihres Unternehmens? Sind Sie in einer hochregulierten Industrie tätig? Was könnten Sie verlieren, wenn es zu einem digitalen Einbruch kommt? Wie teuer wird es, den Schaden wieder zu korrigieren?
Die Beantwortung dieser Fragen wird Ihnen dabei helfen zu entscheiden, ob es sich lohnt in eigene Ressourcen und Technologien zu investieren oder ob ein externer Dienstleister eine bessere Lösung ist.
Schauen wir uns die verschiedenen Optionen doch mal an.
Die Nutzung einer SIEM-Lösung verlangt nach geschultem Personal
Tools wie das so genannte Security Information & Event Management (kurz SIEM) zu implementieren und forensische Software anzuschaffen, kann kosten- und zeitintensiv sein. Im Normalfall dauert es rund 1-2 Jahre, bis eine SIEM-Lösung implementiert ist und es ist nicht ungewöhnlich, dass das Deployment Budget und Zeitplan sprengt. Außerdem handelt es sich dabei nicht nur darum, eine Entscheidung für die Anschaffung von Technologie zu treffen, es geht besonders auch darum, in das eigene Team zu investieren.
Der einzige Weg, um valide und umsetzbare Daten von einer In-House-Lösung wie SIEM zu bekommen, ist indem man Experten im Team hat. Allerdings ist die größte Herausforderung beim Aufbau von Erkennungs- und Reaktionsfähigkeiten das Finden und Halten von Cyber Security-Experten. Frost & Sullivan sagen voraus, dass im Jahr 2022 etwa 1,8 Millionen Cyber Security-Experten fehlen werden. Also sind die Ressourcen knapp und knappe Ressourcen sind dementsprechend teuer.
Der Faktor, dass Cyberattacken normalerweise nicht innerhalb der normalen Geschäftszeiten passieren, erhöht die Kosten nochmals. Wenn Sie ein exponiertes Ziel sind, benötigen Sie Mitarbeiter, die in Schichten rund um die Uhr in Ihrem Security Operations Center (SOC) arbeiten.
Die Balance zwischen Kosten und Verfügbarkeit mit einer EDR-Lösung finden
Das Ausrollen einer Endpoint Detection & Response (kurz EDR) Lösung ist ein schneller Weg, um Möglichkeiten zur Erkennung und Reaktion auf fortschrittliche Gefahren und gezielte Attacken zu etablieren, die ggf. traditionelle Endpoint-Lösungen umgehen könnten.
EDR ermöglicht Übersicht und Aufklärung, allerdings kann es durchaus sein, dass Unternehmen sich den gleichen Herausforderungen stellen müssen wie oben bei SIEM-Lösungen schon angesprochen. Sie werden qualifizierte Mitarbeiter benötigen, um Falschmeldungen zu filtern, Daten zu finden, mit denen sie arbeiten können und auf die gefundenen Gefahren reagieren zu können. Und nochmals: Das Finden und Halten von Cyber Security-Experten ist ein Problem, das sich in den nächsten Jahren nur verstärken wird.
Die fortschrittlichsten EDR-Lösungen automatisieren das Monitoring aller wichtigen Aktivitäten 24/7. Das bedeutet, dass Ihr IT-Team die Erkennungen innerhalb der normalen Arbeitszeit analysieren kann und die Automatisierung sich um alles Weitere kümmert. Weiterhin können die Lösungen Ihnen dabei helfen, Gefahren schnell zu isolieren und Gegenmaßnahmen zu ergreifen.
Es ist wichtig, den Unterschied zwischen Endpoint Protection Plattformen (EPP) und Endpoint Detection & Response (EDR) Lösungen zu verstehen. EPP läuft mit minimaler Überwachung, während EDR Gefahren erkennt, um die man sich kümmern muss. Irgendjemand wird immer die Erkennungen überprüfen müssen.
Um es leichter für IT-Teams zu machen, die knapp an Ressourcen sind, kann das Monitoring der Erkennungen an einen externen EDR Service-Provider outsourced werden.
Hohe Verfügbarkeit bei niedrigeren Kosten mit einem Managed Detection & Response (MDR) Service
Eine weitere Option mit einer Verfügbarkeit 24/7/365 – bei niedrigeren Kosten als eigene Cyber Security-Spezialisten einzustellen – ist ein Managed Detection & Response (MDR) Service.
Lassen Sie uns ein Beispiel anschauen, um zu demonstrieren, wie groß die Datenmengen sind, mit denen Cyber Security-Experten es zu tun haben. Unsere Sensoren haben ungefähr 2 Milliarden Ereignisse innerhalb eines Monats bei einem unserer Kunden registriert. Die Systeme haben diese dann auf 900.000 verdächtige Ereignisse gefiltert. Nur 15 von diesen Ereignissen stellten sich als wirkliche Gefahren heraus.
Zum Vergleich: Mit einer In-House-SIEM-Lösung hätten Ihre Mitarbeiter und externe Personalressourcen diese 900.000 verdächtigen Ereignisse durchgehen müssen, um Falschmeldungen herauszufiltern und dann die echten Gefahren zu finden. Arbeitsintensive Jobs wie diese lösen sogar bei den engagiertesten Analysten Erschöpfung aus und das jenseits vom Faktor, dass solch ein Team auch noch 24/7 verfügbar sein muss.
Aus dem oben genannten Beispiel arbeitet die folgende Präsentation den wichtigsten Grund heraus, warum Ihr Unternehmen darüber nachdenken sollte, einen Managed Security Service anstatt einer In-House-SIEM-Lösung für die Erkennung und Reaktion auf Cybergefahren zu wählen: Kosten, Kosten, Kosten!
[slideshare id=76055011&doc=costs-of-mdr-vs-siem-170517120940]
Der Aufbau von Fertigkeiten zur Erkennung und Reaktion auf Sicherheitsvorfälle innerhalb des Unternehmens ist komplex. Wenn Sie richtig wählen, wird ein Managed Detection & Response (MDR) Service-Provider Ihr Cyber Security-Partner: seine Fähigkeiten werden eine Erweiterung Ihrer eigenen Fähigkeiten.
Das ist der Grund, warum wir Ihnen den Rat geben, einen Managed Detection & Response Service anstatt einer Do-It-Yourself-Herangehensweise in Betracht zu ziehen.
Wie können Sie eine Entscheidung über Ihr Sicherheitsinvestment fällen?
Die Optionen, die wir in diesem Artikel genannt haben, sind nicht unbedingt exklusiv zu sehen. Wir haben Erfahrung mit verschiedenen Kunden, die eine Kombination aus SIEM, MDR und SOC nutzen. MDR wird dabei genutzt, um Gefahren zu erkennen und dem SOC-Team dabei zu helfen, richtig auf die Gefahren zu reagieren. MDR- oder EDR-Lösungen können das interne SOC-Team unterstützen, zum Beispiel durch erweiterte Verfügbarkeit.
Eine gründliche Risikoanalyse hilft dabei zu erkennen, wie Ihr Investitionslevel in der Cyber Security sein muss. Durch einen Überblick über alle Risiken, die Ihr Unternehmen betreffen, können fundierte Entscheidungen über die Entschärfung der Risiken getroffen werden. Tools wie der F-Secure’s Cyber Breach Impact Quantification Service helfen dabei den Wert von Sicherheits- und Risikomanagement zu quantifizieren. Denn wenn Sie genau wissen, was ein Einbruch Ihr Unternehmen kosten wird, ist es sehr einfach Investments zu begründen.
Wollen Sie mehr erfahren? Lesen Sie unseren Leitfaden zu Erkennung und Reakion (auf Englisch)
Kategorien