Neue LANline-Testreihe MSS
Sicherheit aus der Cloud
Ein umfassender Schutz der Unternehmens-IT erfordert Sicherheitslösungen auf mehreren Ebenen. Kleinere und mittlere Firmen verfügen oft nicht über die nötigen Security-Spezialisten, um diese Systeme selbst zu betreiben. Mit einer neuen Testreihe untersucht LANline deshalb, wie gut Security-Services aus der Cloud die IT-Umgebungen von Anwenderunternehmen schützen können.
Die Bedrohungslage für IT-Systeme hat sich im vergangenen Jahr unter anderem durch den Ukraine-Krieg weiter verschärft. Mit einer Entspannung ist nicht zu rechnen. Vielmehr ist davon auszugehen, dass die Zahl der Angriffsversuche auf IT-Infrastrukturen von Unternehmen und Behörden auch in Zukunft steigen wird. Dies ist insbesondere für kleinere und mittlere Unternehmen ein großes Problem, weil sie meist nicht über die finanziellen und personellen Ressourcen verfügen, um sich vor den vielfältigen und sich ständig wandelnden Bedrohungsszenarien zu schützen. Einen Ausweg aus diesem Dilemma versprechen Managed Security Services (MSS). Auf Sicherheitslösungen spezialisierte Anbieter offerieren MSS als Cloud-Service. Diese Alternative zu selbstbetriebenen Security-Systemen kann angesichts des akuten Engpasses bei Sicherheitsspezialisten auch für größere Unternehmen von Interesse sein.
In der neuen LANline-Testreihe untersuchen wir Managed Cloud Services aus den folgenden fünf Einzeldisziplinen: Managed Detection and Response (MDR), Schwachstellen-Management, Secure Access Service Edge (SASE), Antivirus/Anti-Malware und Managed Firewall Services. Die Absicherung von in der Cloud zum Beispiel bei AWS oder Azure laufenden Anwendungen steht nicht im Fokus dieser Testreihe: Der Schwerpunkt liegt darauf, wie gut Managed Security Services aus der Cloud die im eigenen Rechenzentrum betriebenen IT-Systeme schützen können.
Managed Detection and Response (MDR)
Um IT-Umgebungen möglichst umfassend schützen zu können, sollten Cloud-basierte MDR-Services sowohl EDR- als auch NDR-Funktionen (Endpoint/Network Detection and Response) umfassen und zudem über SIEM-Tools (Security-Information- und Event-Management) für eine detaillierte Analyse aktueller und historischer Logdaten verfügen. Zur Erkennung von Eindringlingen und schädlicher Software kommt meist eine Kombination aus signaturbasierten Verfahren und KI/ML-Technik (künstliche Intelligenz/maschinelles Lernen) zum Einsatz, um verdächtige Verhaltensmuster auf Endsystemen wie auch im Netzwerkdatenverkehr aufzuspüren.
Wird eine Attacke erkannt, sollte das MDR-Tool in der Lage sein, den Zeitpunkt und Einfallsweg des Angriffs zu ermitteln. Es sollte erkennen, ob die Angreifer bereits Daten verschlüsselt, gelöscht oder gestohlen haben, um dann die mit dem jeweiligen Unternehmen vereinbarten Gegenmaßnahmen einzuleiten. Damit MDR-Lösungen die überwachten Systeme auch vor bisher nicht bekannten Bedrohungen möglichst schnell schützen können, ist es wichtig, dass das Security Operations Center (SOC) des MDR-Anbieters die weltweite Bedrohungslage rund um die Uhr analysiert und seine Schutzmechanismen sofort aktualisiert, sobald neue Zero-Day-Schwachstellen auftreten.
Bei der Auswahl eines MDR-Services empfiehlt es sich, zu prüfen, ob Schnittstellen vorhanden sind, über die sich Security-Lösungen anderer Hersteller integrieren lassen. So kann es zum Beispiel von Vorteil sein, wenn eine MDR-Lösung Telemetriedaten von Drittanbietern analysieren kann. Durch eine Integration mit Werkzeugen anderer Hersteller lassen sich zudem Spezialfunktionen beispielsweise für ein gezieltes Threat Hunting nutzen.
- Sicherheit aus der Cloud
- Schwachstellen-Management
Lesen Sie mehr zum Thema
