Security

Neue Generation von MDR-Lösungen

Wie sich SASE und MDR ergänzen

30.09.2021
Von 

Johan van den Boogaart ist Regional Sales Director Deutschland bei Cato Networks, Pionier im Marktsegment SASE. Zuvor war van den Boogaart als Regional Sales Manager fünf Jahre bei dem inzwischen von HPE übernommenen Zerto, einem Anbieter aus dem Bereich Backup und IT-Resilience sowie als Region Manager DACH beim Software-Defined-Storage-Spezialisten Nexenta und bei Stromasys, Spezialist für Emulation von Legacy-Server-Software.

Alle Artikel des Autors
Erweiterte Angriffsfläche durch Homeoffice-Nutzung und Angreifer, die sich immer weniger Zeit nehmen, um ans Ziel zu gelangen, lassen die Nachfrage nach MDR (Managed Detection and Response) steigen. Gleichzeitig verändert sich MDR stark – was Channel-Partnern neue Möglichkeiten bietet.
Die Akzeptanz von MDR-Technologien (Managed Detection and Response) steigt. Die neue Generation von MDR-Plattformen ergänzt sich zudem mit dem SASE-Ansatz und ermöglicht IT-Dienstleistern neue Möglichkeiten.
Die Akzeptanz von MDR-Technologien (Managed Detection and Response) steigt. Die neue Generation von MDR-Plattformen ergänzt sich zudem mit dem SASE-Ansatz und ermöglicht IT-Dienstleistern neue Möglichkeiten.
Foto: alphaspirit.it - shutterstock.com

Die wachsenden Auswirkungen verdeckter Cyberangriffe auf deutsche Unternehmen wurden 2021 sehr deutlich, als die Hackergruppe "REvil" bei einem Ransomware-Angriff auf das US-Softwareunternehmen Kaseya weltweit Tausende von Unternehmen lahmlegte. Zu den Opfern gehörte auch ein IT-Dienstleister aus Deutschland, dessen Kunden davon betroffen waren. An anderer Stelle erklärte ein Landrat in Ostdeutschland kürzlich den Katastrophenfall, nachdem die Computersysteme der Behörde durch einen Angriff lahmgelegt wurden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnete den Angriff als die erste "Cyber-Katastrophe" des Landes. Als Folge des Angriffs konnte der Landkreis über Wochen etwa keine Sozial- und Unterhaltsleistungen mehr auszahlen.

Diese Vorfälle verdeutlichen ein umfassenderes Problem für Unternehmen und Organisationen aller Art und Größe, die zu Zielen organisierter Krimineller geworden sind, um Zahlungen zu erpressen. Die Bedrohungen haben sich durch den Wechsel zu mehr Homeoffice-Arbeit noch verschärft: Remote-Arbeiten während der Pandemie verursachte bei deutschen Unternehmen - nach Schätzungen des Instituts der deutschen Wirtschaft in Köln - Schäden in Höhe von rund 52 Milliarden Euro durch Cyberangriffe.

Der Gesamtschaden für deutsche Unternehmen durch Cyberkriminalität erreichte im vergangenen Jahr einen Rekordwert von 224 Milliarden Euro, mehr als doppelt so viel wie 2019. Rund ein Viertel des Anstiegs entfiel laut einerBitkom-Umfragedie Zunahme der Heimarbeitsplätze. Doch nur 16 Prozent der deutschen Unternehmen haben während der Pandemie IT-Sicherheitsbudgets aufgestockt, so Ergebnisse einer Umfrage des BSI.

Angreifer werden immer schneller

Cybersicherheit ist kein neues Problem, aber die großflächige Umstellung auf Arbeit von zuhause hatte massive Auswirkungen darauf, wie gut Unternehmen ihre Mitarbeiter und Systeme schützen können. Selbst bei Organisationen, die über viele Jahre ausgereifte Cyber-Abwehrsysteme aufgebaut hatten, fielen ins Chaos, als Mitarbeiter Mitte 2020 sehr kurzfristig ins Homeoffice umziehen mussten. Und der Trend, grundsätzlich mehr von zu Hause aus zu arbeiten, ist wohl unumkehrbar.

Mit SASE-Angeboten wie dem von Cato Networks lassen sich alle Netzwerkressourcen des Unternehmens - Niederlassungen, mobile Mitarbeiter, physische und cloudbasierte Rechenzentren - in einem globalen, Managed SD-WAN-Service zusammenfassen und absichern.
Mit SASE-Angeboten wie dem von Cato Networks lassen sich alle Netzwerkressourcen des Unternehmens - Niederlassungen, mobile Mitarbeiter, physische und cloudbasierte Rechenzentren - in einem globalen, Managed SD-WAN-Service zusammenfassen und absichern.
Foto: Cato Networks

Darauf haben sich auch Cyberkriminelle eingestellt. Hinzu kommt, das Angreifer immer schneller aus dem Stealth-Modus zu einem lähmenden Angriff übergehen. Laut einer Studie betrug die globale durchschnittliche "dwell time" - definiert als die Dauer zwischen dem Beginn eines Cyber-Einbruchs und seiner Identifizierung - zuletzt 56 Tage. Das sind 28 Prozent weniger als im Vorjahr (78 Tage). Der Bericht hält auch fest, dass Cyber-Angreifer bei 29 Prozent der Angriffe zunehmend durch finanzielle Gewinne wie Erpressung, Lösegeld, Kartendiebstahl und illegale Überweisungen motiviert sind - gefolgt von Datendiebstahl (mit 22 Prozent) der vor allem auf geistiges Eigentum oder andere wertvolle Informationen abzielt.

Zunehmende Akzeptanz von Managed Detection and Response

Diese besorgniserregenden Entwicklungen haben dazu geführt, dass die Akzeptanz von MDR-Technologien (Managed Detection and Response) steigt. Schwerpunkt liegt hier derzeit auf Plattformen, die Angriffe schnell stoppen können. Bis 2025 werden laut Gartner 50 Prozent der Unternehmen "MDR-Dienste für Bedrohungsüberwachungs-, Erkennungs- und Reaktionsfunktionen nutzen, die eine aktive Eingrenzung der Bedrohungen bieten."

Dabei verändert sich MDR aktuell selbst stark. Der Richtungswechsel wirkt sich auch darauf aus, welche Möglichkeiten Channel-Partner haben, ihren Kunden mit MDR-Angeboten Vorteile zu bieten. Eine große Herausforderung war, dass viele MDR-Lösungen der ersten Generation von Systemhäusern erhebliche Investitionen in Lösungen und Ausbildung erforderten, bevor sie MDR am Markt anbieten konnten.

Darüber hinaus erforderten diese Lösungen ein gewisses Maß an Zugriff auf die Kundeninfrastruktur, beispielsweise um Sensoren bereitzustellen. Schlimmer noch: Bevor die Sicherheitsvorteile realisiert werden konnten, benötigte die MDR-Lösung eine mehrmonatige Phase des Lernens, um zu definieren, wie ein normales - oder "sauberes" - Netzwerk aussieht. Dies war eine große Herausforderung für alle Vertriebspartner.

Die neue Generation von MDR-Plattformen

Die neue, zweite Generation von MDR-Plattformen, nutzt Cloud-basierte Technologien - getrieben auch durch die zunehmende Akzeptanz von SASE-Plattformen (Secure Access Service Edge). SASE überwindet die Herausforderungen, die normalerweise durch die Vielzahl von Konnektivitäts- und Sicherheitslösungen an jedem Standort und für jeden Nutzer benötigt werden, beispielsweise SD-WAN-Geräte, Firewalls, IPS-Appliances und VPN-Clients - mit einem Netzwerk, das jede Unternehmensressource verbindet und sichert: physische ebenso wie cloudbasierende und mobile - und das überall.

Beispiel für eine "Security Heat-Map" für den Account eines Unternehmens, wie sie als Teil der MDR-Reports von Cato Networks bereitgestellt wird.
Beispiel für eine "Security Heat-Map" für den Account eines Unternehmens, wie sie als Teil der MDR-Reports von Cato Networks bereitgestellt wird.
Foto: Cato Networks

Ein Beispiel dafür ist Cato Networks MDR 2.0 Lösung, der erste MDR-Dienst, der Bedrohungen und Schwachstellen bereits bei der Bereitstellung identifiziert. Als Netzwerk- und Sicherheitsplattform für Unternehmen verfügt Cato Networks bereits über einen tiefen Einblick in die Datenverkehrsmuster von Unternehmen und speichert die Metadaten für jede IP-Adresse, Sitzung und jeden Datenstrom, der das globale Backbone von Cato durchquert, in einem riesigen Data Warehouse. Cato MDR 2.0 kombiniert dieses Data Warehouse mit dem Cato Threat Hunting System (CTHS), einer Reihe multidimensionaler Algorithmen und Verfahren für maschinelles Lernen, die von den Cato Research Labs entwickelt wurden, um den Kundenverkehr kontinuierlich auf die Netzwerkattribute zu analysieren, die auf Bedrohungen hinweisen.

Wichtige MDR-Funktionen für IT-Dienstleister

Damit wird MDR zu einer Erweiterung der SASE-Plattform, die bereits eine integrierte Sicht auf das gesamte Unternehmensnetzwerk, Sicherheitskontrollen und - besonders wichtig -, die Kommunikationsströme zwischen Benutzern und Systemen hat. Dies bedeutet, dass die typischen Verzögerungen bei der Integration unterschiedlicher Werkzeuge und Baselining beseitigt werden. Die enge Integration zwischen MDR und den unterschiedlichen SASE-Elementen in einer Plattform erhöht die Effektivität der Lösung, da Anomalien schneller erkennt, Warnungen generiert, Ursachen untersucht und koordinierter reagieren lässt, um Angriffe einzudämmen.

Die Verwaltungskonsole von Cato Networks fungiert als zentrale Schnittstelle, in der alle verbundenen Standorte, Cloudressourcen und Benutzer angezeigt werden.
Die Verwaltungskonsole von Cato Networks fungiert als zentrale Schnittstelle, in der alle verbundenen Standorte, Cloudressourcen und Benutzer angezeigt werden.
Foto: Cato Networks

Hilfreich für Channel-Partner sind Onboarding-Tools, die ihnen helfen, eine Sicherheitscheckliste durchzuarbeiten, um den MDR-Dienst in kürzester Zeit aktiv zu schalten. Solche eine Checkliste sorgt auch dafür, dass die Sicherheit den wichtigsten Compliance-Anforderungen entspricht. Ebenfalls wertvoll ist, wenn der Hersteller automatische Sicherheitsbewertungsprozesse anbietet, mit denen sich die Umgebung des Kunden mit MDR Best Practices von Unternehmen weltweit vergleichen lässt. Dazu können allgemeine Elemente, wie die ordnungsgemäße Konfiguration der Netzwerksegmentierung, Firewall-Regeln und Sicherheitskontrollen wie IPS und Anti-Malware gehören. Solche Bewertungstools erleichtern es Systemhäusern abzuschätzen, wie lange ein MDR-Projekt dauern wird - und bieten die Möglichkeit, inhärente Probleme, wie mangelnde Netzwerksegmentierung, als zusätzliche Dienstleistungen anzugehen.

Mehr zum Thema

SASE-Spezialist Cato Networks startet Vertrieb in Deutschland

Cato Networks holt Michael Woduschegg als Regional Sales Director Schweiz und Österreich

Was Sie über SASE wissen sollten

Zur Startseite