Turnkey-Schutz as a Service

Security as a Service (SaaS) ist die Zukunft der Informationssicherheit.

Nachdem wir einige Zeit mit SaaS-Modellen (Software-as-a-Service) gearbeitet haben, beschäftigen wir uns mittlerweile zunehmend mit ähnlichen Schemata zur Bereitstellung ganzer Infrastrukturen (IaaS) und Plattformen (PaaS). Wir sind der Meinung, dass dies eine gute Richtung für Unternehmen weltweit ist; der Einsatz einer sogenannten Turnkey-Lösung (schlüsselfertige Lösung) hilft Unternehmen, sich auf ihre Kernaufgaben zu konzentrieren. Aber ist es möglich, Großunternehmen einen vollständig integrierten Schutz innerhalb eines Security-as-a-Service-Modells zu bieten?

Turnkey-Schutz: Das verstehen wir darunter

Um diese Frage beantworten zu können, müssen wir zunächst definieren, was wir unter einem „vollständig integrierten Schutz“ verstehen. Ist von Großunternehmen die Rede, bedeutet dies der Schutz der Infrastruktur in allen Phasen der Threat Response (Reaktion auf Bedrohungen):

  • In der Phase der Vorfallprävention, durch den Einsatz von Endpunktlösungen auf Endpunkten;
  • In der Phase der Bedrohungserkennung durch die Überwachung und Analyse von Daten, die von clientseitigen Sicherheitslösungen zum Security Operations Center (SOC) fließen.
  • In der Phase der Bedrohungssuche und -erkennung, in der Hypothesen über neue Bedrohungen getestet und die historischen Daten nachträglich auf neue Kompromissindikatoren und Angriffsindikatoren (IoCs/IoAs) gescannt werden;
  • In der Phase der Bedrohungsvalidierung, in der das SOC-Team festlegt, ob ein individuelles verdächtiges Ereignis eine echte Bedrohung oder eine legitime Handlung (Fehlalarm) darstellt;
  • In der Phase der Vorfallsreaktion, in der wie die Angriffskette nachstellen und Empfehlungen für eine mögliche Behebung aussprechen.

Endpoint Protection Platform- und EDR-Lösungen (Endpoint Detection and Response) handhaben die erste Phase im automatischen Modus. In allen folgenden Phasen ist die Einbeziehung von SOC-Experten jedoch sehr wichtig. Das Problem hier: nicht jedes Unternehmen kann sich einen internen SOC-Experten leisten.

Was ist mit Unternehmen ohne SOC?

Die Existenz eines firmeninternen SOCs ist keine unbedingte Voraussetzung für den Rundum-Schutz eines Unternehmens. Tatsächlich steht einer Vielzahl aller Großunternehmen kein internes SOC zur Verfügung – dies ist lediglich bei etwa 20% der Firmen der Fall, wenn man auf der Insights-Plattform von Gartner die Gesamtzahl der Reviews für Endpoint-Protection-Plattformen mit der Anzahl der Reviews für Lösungen der EDR-Klasse vergleicht (die die Verfügbarkeit eines SOC voraussetzen).

Doch wie kommen die restlichen 80 % aus? Für die meisten ist es sinnvoll, Sicherheitsfunktionen auszulagern. Die Suche nach Bedrohungen, deren Einschätzung und Bestätigung sowie die Reaktion auf Vorfälle, kann von einem Managed Security Service Provider (MSSP) oder einem Anbieter von Sicherheitslösungen durchgeführt werden, der im Wesentlichen einen Teil der MSSP-Funktionen übernimmt (unser Fall).

Kaspersky MDR: Security as a Service basierend auf einer öffentlichen PaaS.

Kaspersky MDR: Security as a Service basierend auf einer öffentlichen PaaS.

Bei diesem Ansatz erhalten Kunden eine Reihe von Lösungen mit einer viel breiteren Funktionalität als gewöhnliche EDR-Lösungen. Er umfasst sowohl die Erkennung von Bedrohungen durch die Analyse von Netzwerkverkehrsanomalien (Network Detection and Response, NDR) als auch die Option, Vorfallinformationen von Experten interpretieren zu lassen (Managed Detection and Response, MDR). Unser SOC ist deshalb einzigartig, weil seine Experten schnell auf Informationen über Vorfälle und neue Bedrohungen weltweit zugreifen können. Darauf basierend können sie dann im Interesse des Kunden spezifische Maßnahmen ergreifen. Und obwohl Bedrohungserkennungs- und -reaktionsprozesse (EDR + NDR = XDR) bereits gut automatisiert sind, überholen wir auch diesen Bereich kontinuierlich und möchten ihn auch in Zukunft zusätzlich stärken.

Durch die ATT&CK-Evaluation-Methodik wurde die Wirksamkeit unseres Ansatzes bereits bestätigt. Aufgrund der besonderen Natur des Ansatzes, konzentrierte sich die zweite Bewertungsphase, MITRE ATT&CK Evaluation Round 2, ausschließlich auf die Bedrohungserkennungsfunktionen unserer Lösungen. Die Vorfallsreaktion und -prävention sowie das Threat Hunting wurden absichtlich von der Prüfung ausgeschlossen.

Unsere EDR-Lösungen haben sich darüber hinaus als verlässlich und geeignet für sowohl firmeninterne als auch ausgelagerte SOCs erwiesen. Dem zuvor erwähnten Insights-Portal von Gartner Peer zufolge befindet sich unsere Lösung Kasperky Targeted Attack unter den Top 3 und qualifiziert sich somit als Customers‘ Choice (Kundenwahl) für Endpoint Detection & Response. Ein großes Danke an all unsere Kunden, die sich die Zeit genommen haben, eine Rezension zu hinterlassen.

Gartner Peer Insights: Allgemeines Ranking aller EDR-Lösungen. Quelle: Gartner.

Gartner Peer Insights: Allgemeines Ranking aller EDR-Lösungen. Quelle: Gartner.

Zusammenfassend möchte ich noch Folgendes sagen: Ich glaube fest daran, dass die Zukunft der Informationssicherheit zweifellos dem Modell Security as a Service gehört; allerdings mit der Option für Kunden, den Automatisierungsgrad ihres ausgewählten Toolkits frei zu wählen und ihre Turnkey-Lösung mit zusätzlichen Funktionen aufzurüsten.

Tipps