Threat Detection and Response – gerne auch als Managed Service

28. Oktober 2020

Um sich vor Cyber-Bedrohungen zu schützen, hat sich Threat Detection and Response (TDR) zu einer der wichtigsten Cybersecurity-Praktiken entwickelt. Organisationen, die keine erheblichen, oft unzureichenden Investitionen in den internen Aufbau von TDR-Fähigkeiten tätigen möchten, können auf Managed Threat Detection and Response-Dienste zurückgreifen, die wesentliche weitere Vorteile bieten.

Nach den Untersuchungsergebnissen der Marktforscher von Gartner werden sich bis 2024 90 Prozent der Unternehmen, die Leistungen an einen Security Service Provider auslagern möchten, auf TDR-Services konzentrieren. Doch dazu sind zwei Fragen zu klären: Was genau verbirgt sich hinter TDR, und wie kann es zum Schutz von Organisationen beitragen?

Generell versteht man unter Threat Detection and Response die Praxis des Auffindens und Identifizierens von Bedrohungen innerhalb der IT-Infrastruktur eines Unternehmens, zu der auch die mobilen Geräte und Apps, die Cloud, das Internet of Things (IoT) usw. gehören. Als Bedrohung lässt sich alles ansehen, das einer Organisation schaden könnte.

Unternehmen müssen sich jedoch bewusst sein, dass die Arten potenzieller Bedrohungsvektoren nahezu jedes Jahr wachsen beziehungsweise sich stetig verändern. Viele dieser Gefährdungen überwinden die ersten Verteidigungslösungen wie etwa Antivirenprogramme und Firewalls. Inwiefern Organisationen in der Lage sind, auf diese Bedrohungen zu reagieren und sie einzudämmen, ist eine Schüsselkomponente der TDR-Strategie.

Umsetzung von TDR

Wenn eine Organisation Threat Detection and Response durchführt, ist eine 24/7-Suche nach Bedrohungen Grundvoraussetzung. Dabei kommt eine Kombination verschiedener Tools und Methoden zur Erkennung und Bekämpfung zum Einsatz, denn eine einzelne „Wunderwaffe“ gibt es nicht. Üblicherweise stehen Softwaresensoren zur Verfügung, die die Endgeräte überwachen und Daten über Ereignisse und Aktivitäten sammeln. Diese Daten werden von einer Security-Plattform verwaltet, die dem Sicherheitsteam hilft, verdächtige Aktivitäten zu erkennen. Warnungen und Trigger werden für gewöhnlich so eingerichtet, dass das Team genau weiß, wann es einzugreifen hat.

Die Kombination aus menschlicher Intelligenz und automatisierten Prozessen ist der Schlüssel, um eine effektive TDR umzusetzen. Vollständig automatisierte Threat Detection and Response-Lösungen sind nicht effektiv genug. Ebenso wenig wird das Sicherheitsteam eines Unternehmens ohne Softwareunterstützung in der Lage sein, alle Aktivitäten im IT-Ökosystem vollständig zu überwachen und zu analysieren.
Neben dem obersten Ziel, zu verhindern, dass aus Bedrohungen Angriffe werden, verfolgen die TDR-Aktivitäten typischerweise auch noch andere Zwecke:

  • Reduzierung der Verweildauer innerhalb der Netzwerkumgebung. Angreifer haben oft über einen längeren Zeitraum Zugang zu kompromittierten Umgebungen – das Auffinden und Beseitigen dieser Verstöße ist entscheidend.
  • Proaktive Suche nach Bedrohungen, um das vorhandene Unbekannte zu finden, mit denen fast alle Organisationen zu kämpfen haben.
  • Beschleunigte Erkennung und Reaktion auf Datenbankrisiken mit Database Security Tools.
  • Schutz der Anwender vor Cyber-Bedrohungen und Spam durch Secure E-Mail Gateway-Lösungen.
  • Schadensbegrenzung, wenn Verstöße auftreten. TDR-Lösungen und Services helfen den Sicherheitsteams von Organisationen, Schwachstellen zu isolieren, bösartige Prozesse zu stoppen und die Bedrohungen zu eliminieren.
  • Erzeugen einer Antwort auf erfolgreiche Angriffe. Die TDR-Tools sind vor allem dann von besonderem Wert, wenn ein Incident Response Plan entworfen wird, der auch die digitale Forensik berücksichtigt, um die Angriffe besser zu verstehen und die Sicherheit zu erhöhen.

Es gibt zusätzliche Vorteile, die TDR-Verfahren bieten können, wie beispielsweise die Transparenz über den Netzwerkverkehr und die Erhaltung der Datenaktivität.

Herausforderungen im Umfeld von TDR

Wenn Organisationen versuchen, wirksame TDR-Lösungen zu finden, stoßen sie oftmals auf einige Hindernisse:

  • Das Tempo, in dem sich die Cyber-Sicherheit verändert, ist hoch. Neue Bedrohungsvektoren und Techniken werden ständig weiterentwickelt, je nachdem, welche Abwehrmaßnahmen ergriffen werden.
  • Die IT-Umgebungen werden immer komplexer, da sich der Perimeter in Richtung Endpoint, E-Mail, Netzwerk, Cloud-Anwendungen und Datenbanken ausgedehnt hat. Mit neuen Funktionen wie beispielsweise Cloud-Servern kommen auch neuartige, oft unvorhergesehene Schwachstellen hinzu.
  • Die Menge an Informationen, die die Sicherheitsteams von Unternehmen analysieren müssen, ist enorm und wächst weiter. Sich durch all das „Datenrauschen“ zu bewegen, um verwertbare Informationen zu finden, ist eine gewaltige Aufgabe.
  • Die Integration sämtlicher Tools und Lösungen kann eine Herausforderung sein. Viele Organisationen haben mehrere Anbieter und Produkte im Cybersecurity-Bereich.
  • Die Bewertung verschiedener TDR-Lösungen kann sich als schwierig erweisen. Einige Anbieter verwenden eine vage oder zu komplexe Terminologie, die Verwirrung stiftet. Analysten wie Gartner bieten Anleitungen für Threat Detection and Response.

Zusätzlich zu den bereits erwähnten Hindernissen, auf die Unternehmen häufig stoßen, wenn sie versuchen, eine TDR-Lösung zu implementieren, ist die mangelnde Qualifikation. Die Rekrutierung und Bindung von Spitzenkräften im Bereich der Cyber-Sicherheit ist schwierig, da der Wettstreit um erfahrene Personen groß sein kann. Organisationen haben außerdem oft mit Ressourcenbeschränkungen zu kämpfen, die es verhindern, eine vollständig interne TDR-Fähigkeit angemessen zu finanzieren.

Fred Tavas ist Country Manager DACH & CEE bei Trustwave.

Trustwave

Lesen Sie auch