< BACK TO BLOG

September 12, 2023
by Arctic Wolf

SIEM, MSSP und MDR im Vergleich

Cybersecurity ist eine Reise voller neuer Herausforderungen.

Die Cyberkriminalität nimmt alarmierend zut Endpoint Detection and Respons(EDR) reicht nicht mehr aus, um eine komplexe IT-Umgebung zu schützen, und Unternehmen kämpfen mit Qualifikationsdefiziten, Cloud-Sicherheit und dem Erhalt umfassender Lösungen, die ihren Anforderungen gerecht werden, ohne ihr Budget zu sprengen.

Eine Option ist der Aufbau und Betrieb eines unternehmensinternen Security Operations Centers (SOC) und die gleichzeitige Nutzung eines SIEM. Es gibt jedoch zwei weitere Sicherheitsoptionen, die ein Unternehmen in Betracht ziehen kann, um die Vorteile eines internen SOC zu nutzen, ohne das für den internen Betrieb erforderliche Kapital oder die erforderlichen Ressourcen aufzuwenden.

Diese beiden sind:

Managed Security Services Providers (MSSPs)
Managed Detection and Response (MDR)-Lösungen

Jeder Dienst ist einzigartig und hat seine eigenen Vor- und Nachteile. Jeder spielt eine andere Rolle im Bereich der Cybersecurity, aber welche ist die richtige Lösung für Ihr Unternehmen?

Was ist ein SIEM?

Wie der Name schon sagt, kombiniert SIEM Security Event Management (SEM) – das Protokoll- und Sicherheits- oder Ereignisdaten in Echtzeit überwacht, sammelt, analysiert und korreliert – und Security Information Management (SIM), das eher eine historische, langfristige Sicht der Protokolldaten bietet, sowie Reporting-Funktionen.

Das SIEM wird oft als Eckpfeiler eines SOC angesehen, da die Lösung Sicherheitsteams dabei hilft, ihre Umgebungen zu überwachen und auf Bedrohungen zu reagieren.

Was sind die Vorteile eines SIEM?

Es gibt mehrere Gründe, warum SIEM im Jahr 2015 das am schnellsten wachsende Sicherheitssegment war. Zu den Vorteilen eines SIEM gehören:

Sammeln, Aggregieren und Speichern von Daten aus verschiedenen Quellen
Kontrolle und Flexibilität über die Aufnahmequellen
Funktionen zur Regelerstellung, die das normale Verhalten aller Systeme festlegen und es dem SIEM ermöglichen, automatisch Anomalien zu finden und Warnungen zu erstellen
Kompatibilität mit typischen Compliance-Berichten für Vorschriften wie HIPAA, PCI und andere

Obwohl die Möglichkeit, Daten aus verschiedenen Quellen schnell zu sammeln und auf einer einzigen Glasscheibe anzuzeigen, für die Sicherheit wertvoll ist, ist SIEM aus gutem Grund nicht mehr das am schnellsten wachsende Sicherheitssegment. Während ein SIEM für unzählige Unternehmen immer noch ein Grundpfeiler der Sicherheit ist, wird seine Wirksamkeit bei der Erkennung und Reaktion auf Bedrohungen durch mehrere Faktoren beeinträchtigt.

Was sind die Nachteile eines SIEM?

Zu den Nachteilen eines SIEM gehören:

Ständiger Bedarf an Neukonfiguration aufgrund der regelbasierten Funktionen von SIEM. Dies ist sowohl anspruchsvoll als auch ressourcenintensiv und kann dazu führen, dass Bedrohungen übersehen werden.
Eine lange Bereitstellungszeit, die im Durchschnitt sechs Monate bis ein Jahr dauert. Dazu gehört auch die Zeit, die Sicherheitsingenieure benötigen, um neue Regeln festzulegen und vorkonfigurierte Korrelationen zu deaktivieren.
Belastung Ihres internes Sicherheitspersonals während der Bereitstellung und Verwaltung.
Konsistente Fehlalarme, die ohne korrekte Korrelationen auftreten.
Hohe Betriebskosten aufgrund des Fachwissens und des Zeitaufwands für die Bereitstellung und Verwaltung.
Aufgrund des traditionellen Designs von SIEM als lokale Lösung ist die Überwachung von Cloud-Umgebungen nicht möglich.

Erfahren Sie, Wie Sie Ihre Beziehung zu Ihrem SIEM definieren und optimieren können in unserem neuen Leitfaden.

Sollte Ihr Unternehmen eine SIEM-Lösung einsetzen?

Während SIEMs sich hervorragend für die Datenaggregation, Ereigniskorrelation, Compliance und IT-Fehlerbehebung eignen – und bei der Erkennung von Bedrohungen helfen – können diese Lösungen komplex, arbeitsintensiv, teuer und laut sein und nur begrenzte Einblicke bieten. Sie erfordern eine kontinuierliche Optimierung und Aktualisierung im Hinblick auf neue Bedrohungen, was für Unternehmen, denen es an qualifiziertem Personal oder anderen Ressourcen mangelt, schwierig sein kann.

Kurz gesagt: Ein SIEM ist nur so effektiv wie die Leute, die es verwalten. Ein SIEM hat seinen Platz als Datenerfassungstool in einem SOC und wird dies auch in absehbarer Zukunft tun, ihm fehlt jedoch die Fähigkeit, aussagekräftige Analysen durchzuführen, die Fehlalarme reduzieren oder eine komplexe Bedrohungserkennung und -abwehr ohne erhebliche betriebliche Wartung ermöglichen. Es allein reicht nicht mehr aus.

Unternehmen sollten einen Schritt zurücktreten und sich fragen, warum sie eine SIEM-Lösung zur Lösung von Sicherheitsherausforderungen einsetzen möchten und ob es effektivere Möglichkeiten gibt, ihre Sicherheitsziele zu erreichen. Die Personalbesetzung ist eine Schlüsselkomponente, die Unternehmen bei diesem Entscheidungsprozess berücksichtigen sollten. Wenn Ihre Organisation über ein internes SOC-Team verfügt, kann ein SOC ein starkes Werkzeug für sie sein. Wenn nicht, sind die Kosten und Ressourcen, die für ein SIEM erforderlich sind, das Ergebnis möglicherweise nicht wert.

Was ist ein MSSP?

Managed Security Services Provider (MSSP) sind IT-Sicherheitsanbieter, die die Sicherheit einzelner Organisationen überwachen, aufrechterhalten und verwalten. Einige Organisationen lagern alle ihre Sicherheitsfunktionen an MSSPs aus, während andere einen Anbieter nutzen, um ihre internen Fähigkeiten zu ergänzen und Lücken zu schließen. Aus einem einfachen Grund erfreuen sich verwaltete Sicherheitsdienste zunehmender Beliebtheit: Sie bieten ein erschwingliches, abonnementbasiertes Sicherheitsmodell.

MSSPs sind KEINE MSPs. Ein MSP bietet umfassendere IT- und Infrastrukturbetriebe an, die möglicherweise auch Cybersecurity umfassen: Ein MSSP widmet sich ausschließlich der Cybersecurity.

Was sind die Vorteile eines MSSP?

Ein MSSP kann für eine Organisation, die Probleme mit Personal und Ressourcen hat, attraktiv klingen. Zu den Vorteilen eines MSSP-Modells gehören:

Vorhersehbarkeit durch ausgelagerte Mitarbeiter und Lösungen
Gesparte Zeit, die Sie auf andere Aufgaben konzentrieren können
Entlastung von Druck und Verantwortung für das Sicherheitsumfeld

Während die Übertragung der gesamten Arbeit an eine andere Organisation insbesondere für KMU von Vorteil sein kann, bedeutet mangelnde Autorität auch, dass Ihre Organisation keine Kontrolle darüber hat, wie die Sicherheitsumgebung verwaltet wird.

Was sind die Nachteile eines MSSP?

MSSPs können Ihr Sicherheitsniveau verbessern, aber nur, wenn sie eine Lücke in Ihrem bestehenden IT-Ökosystem schließen – etwas, das schwer zu beurteilen ist, ohne die Fähigkeiten des Anbieters unabhängig zu bewerten.

Zu den Nachteilen der Verwendung eines MSSP gehören:

Mangelnde Kontrolle über das Sicherheitsportfolio des Anbieters, was zu Risiken führen kann
Mangel an personalisierter Unterstützung
Nur wenige bieten eine Reaktion auf Vorfälle oder Unterstützung nach einem Verstoß
Begrenzter Funktionsumfang, der Triage und Reaktion ausschließen kann
Fehlender Einblick in die Sicherheitsumgebung Ihres Unternehmens

Sollte Ihr Unternehmen einen MSSP beschäftigen?

MSSPs sind eine kostengünstige Möglichkeit, Ihre internen Kapazitäten zu erweitern und den Fachkräftemangel im Sicherheitsbereich zu schließen. Der Mangel an persönlicher Betreuung, fehlender Compliance-Unterstützung und mangelnder Sichtbarkeit bringen jedoch neue Risiken mit sich.

Wenn Ihre Organisation klein ist oder über wenig Budget oder Ressourcen verfügt, kann der Einsatz eines MSSP eine hervorragende Möglichkeit sein, Ihre Sicherheit zu erhöhen und einige dieser Aufgaben zu übernehmen. Wenn es jedoch darum geht, Ihr Sicherheitsniveau langfristig zu skalieren und zu verbessern, müssen Sie diese Beziehung und Angebote möglicherweise neu bewerten. Darüber hinaus ist ein MSSP kein Ersatz für ein SOC.

Darüber hinaus ist ein MSSP kein Ersatz für ein SOC. Während Ihr MSSP möglicherweise über einen Sicherheitsexperten verfügt, der eine Reihe von Einzellösungen für Sie verwaltet, sind diese Tools immer noch genau das: Tools. Sie erhalten keinen Premium-Sicherheitsdienst, der Ihnen hilft, Ihre Fähigkeiten zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle zu verbessern.

SIEM im Vergleich zu MSSP

Die beste Art, sich ein SIEM und einen MSSP vorzustellen, ist, dass das SIEM das Werkzeug ist und ein MSSP die Menschen sind und dass es für ein Unternehmen möglich ist, beide einzusetzen. Der SIEM sammelt alle Daten, und der MSSP verwaltet sie und erstellt Sicherheitswarnungen basierend auf den aggregierten Daten, die der SIEM bereitstellt. Dies wird oft als hybrides SOC-Modell bezeichne.

Während ein SIEM möglicherweise gut für ein großes Unternehmen mit einem internen SOC geeignet ist, eignet sich ein MSSP möglicherweise besser für eine kleinere Organisation wie ein KMU, dem es an Kapital und Ressourcen für die interne Verwaltung mangelt, oder sogar für eine größere Organisation, die über begrenzte IT-Ressourcen verfügt oder wünscht, dass ein MSSP bestimmte wiederkehrende IT-Aufgaben verwaltet.

Nachdem diese beiden Lösungen nun klar sind, ist es an der Zeit, eine dritte einzuführen, die die Fähigkeiten sowohl eines SIEM als auch eines MSSP nutzt und sie erweitert: MDR.

Was ist eine MDR-Lösung?

MDR ist eine Art Sicherheitsdienst, der Kunden rund um die Uhr eine kontinuierliche Bedrohungsüberwachung ihrer IT-Umgebung bietet, einschließlich Ereignissen, Protokollen, verdächtigen Aktivitäten und Warnungen. MDR ist weder gleichbedeutend mit einem verwalteten SIEM-Dienst noch ein Ersatz für SIEM.

Das entscheidende Merkmal von MDR ist vielmehr das bereitgestellte Team von SOC-Analysten, die die Umgebung einer Organisation überwachen. Sie fungieren als Erweiterung der IT- und Sicherheitsteams des Kunden und führen Echtzeit- und kontinuierliche Überwachung, Reaktion auf Vorfälle, Schwachstellenscans und -bewertungen, Compliance-Management und Berichterstattung durch und erstellen regelmäßig Berichte über den Status des Sicherheitsniveaus im Unternehmen.

Auch branchenübergreifend erfreuen sich MDR-Lösungen zunehmender Beliebtheit. Gartner prognostiziert, dass 50 % der Unternehmen bis 2025 eine MDR-Lösung nutzen werden und 40 % der mittelständischen Unternehmen sie bis 2024 als einzige Lösung nutzen werden. Sie wird zu einem Muss in der Sicherheits-Toolbox.

Was sind die Vorteile einer MDR-Lösung?

Durch die Kombination einer Sicherheitsplattform mit dem menschlichen Element kann eine MDR-Lösung das Angebot eines SIEM auf verschiedene Weise verbessern. Zu den Vorteilen von MDR gehören:

Von Menschen durchgeführte KI-Erkennungen, die durch die Kombination von menschlichem Fachwissen, Daten und fortschrittlicher Ereignisanalyse entstehen
Bedrohungsreaktion
Fähigkeit, mit MSSP- und MSP-Anbietern zusammenzuarbeiten
Hochwertige Warnungen, die im Vergleich zu SIEM-Warnungen genauer und umsetzbarer sein können
Starke Berichterstattung

MDR im Vergleich zu MSSP

Der Hauptunterschied besteht darin, dass MDR eine Full-Service-Lösung ist und ein MSSP ein Anbieter ist, der eine Lösung ermöglicht. In einer gemeinsam verwalteten Situation verwaltet ein MSSP die Tools des Kunden in seinem Namen, während die MDR-Seite die Daten dieser Tools überwacht, um Kunden zu selektieren und vor Bedrohungen zu warnen. Die beiden unterscheiden sich auch, wenn es um die Reaktion auf Vorfälle geht. Die Reaktion auf Vorfälle ist oft ein separater Dienst und Retainer, wenn es um MSSPs geht.

Allerdings bieten viele MDR-Unternehmen im Rahmen ihrer Gebührenstruktur unterschiedliche Stufen der Reaktion auf Vorfälle an. MDR-Lösungen reagieren, wie der Name schon sagt, auch auf ausgelöste Warnungen, wodurch ein Problem gestoppt werden kann, bevor es zu einem schwerwiegenden Vorfall oder Verstoß wird.

MDR im Vergleich zu SIEM

Wie oben erwähnt, ist MDR kein Ersatz für SIEM. Stattdessen handelt es sich um eine darüber liegende Schicht, die für bessere Sichtbarkeit, stärkere Abdeckung und eine Verbesserung des Sicherheitsniveaus sorgt. Während ein SIEM eine Organisation über ihre Angriffsfläche informieren kann, kann eine MDR-Lösung die Angriffsflächen aktiv härten, indem sie Bedrohungen identifiziert und behebt, bevor Bedrohungsakteure sie ausnutzen können. Einige MDR-Lösungen bieten sogar Threat Hunting, bei dem automatisierte Tools mit menschlichen Analysten kombiniert werden, um unbekannte Bedrohungen aufzuspüren.

Sollte Ihr Unternehmen eine MDR-Lösung einsetzen?

MDR bietet die Kosteneffizienz eines MSSP, die On-Demand-Expertise eines internen SOC mit Sicherheitsexperten und eine deutlich verbesserte Version eines SIEM. Es ist ein ganzheitlicherer Ansatz, der Ihr Sicherheitsniveau verbessert. MDR bietet personalisierten Service durch ein engagiertes Team, das Ihr Unternehmen und Ihre Umgebung versteht, sowie bessere Technologie, proaktive Funktionen und größere Kosteneinsparungen im Vergleich zu einem internen SOC.

Von einer proaktiven und reaktiven Position aus ermöglichen MDR-Lösungen Unternehmen eine einfache Erkennung, Reaktion und Wiederherstellung. Sie sind außerdem auf dem neuesten Stand der Technik und nutzen gleichzeitig die angeborene Fähigkeit menschlicher Experten, ungewöhnliche oder unsichtbare Bedrohungen zu erkennen, zu verstehen und darauf zu reagieren.

Erfahren Sie, wie Sie Ihre Beziehung zu Ihrem SIEM definieren und optimiere , in unserem Leitfaden.

Erfahren Sie, wie eine MDR-Lösung das Sicherheitsniveau Ihres Unternehmens verbessern kann, mit dem LeitfadenA Security Leader’s Guide to Leveraging MDR for Security Maturity and Development.

Arctic Wolf

Arctic Wolf provides your team with 24x7 coverage, security operations expertise, and strategically tailored security recommendations to continuously improve your overall posture.

Kategorien

Newsletter abonnieren

Continue Reading

Warum EDR nicht ausreicht

© 2024 Arctic Wolf Networks Inc. Alle Rechte vorbehalten.
Impressum	Datenschutzerklärung	Nutzungsbedingungen	Cookie-Richtlinie	Verpflichtungserklärung der Organisation	Nachhaltigkeit	Cookie Einstellungen

Lösungen

BRANCHEN

Schnelle Erkennung, Reaktion und Wiederherstellung vor komplexen Bedrohungen.

Erkennung von und Reaktion auf komplexe Bedrohungen, die auf Ihre Cloud-Infrastruktur und Anwendungen abzielen.

Entdecken, analysieren und schützen Sie Ihre Umgebung vor digitalen Risiken.

Entdecken, sichern und vereinfachen Sie Ihre Cloud-Umgebung gegen Schwachstellen durch Fehlkonfigurationen.

Bereiten Sie Ihre Mitarbeiter darauf vor, Social-Engineering-Angriffe zu erkennen und zu verhindern.

Schnelle Behebung von Cyberangriffen und Sicherheitslücken, von der Eindämmung der Bedrohung bis zur Wiederherstellung des Geschäftsbetriebs.

Funktionsweise

Security Operations erfolgreich durchführen.

Sammeln, verbessern, analysieren.

Ökosystemintegrationen und Technologiepartnerschaften.

Maßgeschneiderte Sicherheitsexpertise und geführte Risikominderung.

Sicherheitsexperten schützen Sie proaktiv und rund um die Uhr.

Erfahren Sie, wie unsere globalen Concierge Security® und Triage Security Teams helfen, Cyberrisiken zu begegnen.

AUSGEWÄHLTE RESSOURCEN

WHITEPAPER

Die Wahrheit über den Status Quo der Cybersecurity

Obwohl die Zahl der eingesetzten Security-Tools steigt, machen Sicherheitsvorfälle fast täglich Schlagzeilen. Warum ist das so und was können Entscheider tun? Erfahren Sie mehr.

LEITFADEN

Proactive Cybersecurity Guide

Erfahren Sie, wie Sie über einen reaktiven Sicherheitsansatz hinausgehen und die Evaluierung und Minderung von Cyberrisiken verbessern können.