Managed Detection & Response Service
Managed Detection & Response – Tag und Nacht geschützt durch die AVANTEC Cyber-Security-Experten
Oftmals stehen Firmen vor dem Problem, dass sie zu wenig Zeit oder keine verfügbaren Personalressourcen haben, um die Alerts und Events von Detection & Response Lösungen systematisch zu analysieren und zu qualifizieren. Der AVANTEC Managed Detection & Response (MDR) Service bietet hier Abhilfe. Wir überwachen für Sie die Network Detection & Response (NDR) Lösung von Vectra wie auch die Endpoint Detection & Response (EDR) Lösung von CrowdStrike.
Übersicht: Warum braucht es Managed Detection & Response?
Der reine Schutz unserer Netzwerke mittels präventiven Massnahmen reicht heute nicht mehr aus. Egal wie viel in die Abwehr von Cyber-Attacken investiert wird, ein Angreifer mit genügend finanziellen Ressourcen wird früher oder später einen Weg in das Netzwerk finden. Ab diesem Zeitpunkt ist es zentral wie schnell der Angriff erkannt und geeignete Massnahmen eingeleitet werden. Wird der Angriff schnell erkannt, ist der Schaden nur geringfügig und die nötigen Aufräumarbeiten sind schnell und günstig abgeschlossen. Hat ein Angreifer mehrere Wochen oder sogar Monate Zeit, kann der Schaden schnell existenzbedrohliche Ausmasse annehmen.
Um Security Incidents zeitnah zu erkennen, benötigt es einen funktionierenden Detection & Response Stack. Dazu gehören in erster Linie sogenannte «Detection & Response» Lösungen welche nach den präventiven Massnahmen eingesetzt werden. Dabei wird heute zwischen «NDR – Network Detection & Response» und «EDR – Endpoint Detection & Response» unterschieden.
Damit Detection-Lösungen sinnvoll eingesetzt werden können, müssen die generierten Events im Kontext analysiert werden. Beispielsweise werden bei der Analyse eines Events der NDR-Lösung, Daten der EDR-Lösung sowie zentrale Log-Daten beigezogen. Oftmals ermöglicht nur ein Gesamtbild dieser Daten eine abschliessende Analyse des Vorfalls.
Detection & Response ist für Unternehmen sämtlicher Grössen wichtig. Je nach Verfügbarkeit von Personal und Know-How kann dies intern umgesetzt werden. Fehlen die nötigen Ressourcen, kann der Managed Detection & Response Service der AVANTEC eingesetzt werden.
Network Detection & Response
Network Detection & Response (NDR) Lösungen überwachen Ihren Netzwerk-Verkehr kontinuierlich. Die NDR-Lösung scannt den Traffic nach bekannten Angriffsmustern oder typischen Verhaltensweisen von Angreifern in einem Netzwerk. Zusätzlich erstellt die Lösung eine Baseline Ihres Netzwerkes und erkennt damit allfällige Anomalien. Die Lösungen werden klassischerweise mittels Mirror-Ports (SPAN oder TAP) mit Daten versorgt. Die Lösungen detektieren in einem ersten Schritt also nur. Eine Response kann mittels API-Integration weiterer Lösungen erreicht werden. Die Lösungen können mittlerweile auch in der Cloud eingesetzt werden.
AVANTEC empfiehlt Vectra als NDR-Lösung. Vectra besticht durch einen innovativen AI-Ansatz. Eine Kombination verschiedener Methoden aus der Data Science, maschinelles Lernen und Verhaltensanalyse erkennt Angreifer im Netz sehr zuverlässig. Vor allem die sehr kleine False-Positive-Rate ist sehr eindrücklich.
Das AVANTEC Detection & Response Team überwacht Ihre Vectra-Lösung kontinuierlich. Events werden geprüft, im Kontext analysiert und schlussendlich klassifiziert. Allfällige Massnahmen werden mit Ihnen besprochen und falls gewünscht zusammen ausgeführt.
Mehr zur empfohlenen Lösung:
Endpoint Detection & Response
Endpoint Detection & Response (EDR) Lösungen überwachen das Verhalten und den Netzwerk-Verkehr auf Ihren Endpoints. Die Daten werden in einer zentralen Datenbank gesammelt und aufbewahrt. Die Daten werden dort teilweise automatisiert auf Auffälligkeiten geprüft, aber auch eine manuelle Analyse ist möglich und nötig. Finden Sie beispielsweise verdächtigen Netzwerk-Verkehr auf Ihrem Proxy, ist es ein leichtes herauszufinden welches System, Benutzer oder Prozess dafür verantwortlich ist und wie dieser auf dem System landete. Die Frage ob dieser Prozess oder das Binary-File auch auf anderen Endpoints läuft, beantworten Sie in wenigen Minuten. EDR-Lösungen laufen als Agent auf Ihren Clients und Servern. Die Lösungen bieten meistens auch automatische Response Möglichkeiten, so können beispielsweise als malicious eingestufte Prozesse automatisch terminiert werden. Auch eine komplette Isolation des Endpoints kann so umgesetzt werden.
AVANTEC empfiehlt CrowdStrike als EDR-Lösung. Der sehr schlanke Agent sowie das cloudbasierte Management macht das Deployment sehr einfach. Zudem generiert die Lösung wenig operativen Management-Aufwand. Die Agenten gibt es für alle gängigen Betriebssysteme. Die zentrale Management-Konsole besticht durch ihre Benutzerfreundlichkeit. Das Durchsuchen der Daten ist damit sehr einfach und man kommt schnell zum gesuchten Resultat.
Das Auswerten von EDR-Daten setzt tiefes Know-how in verschiedenen Security-Bereichen voraus. Das AVANTEC MDR Team überwacht die CrowdStrike-Lösung, analysiert Events und klassifiziert diese in ihrem jeweiligen Kontext. Weitergehende Massnahmen werden mit Ihnen besprochen und falls gewünscht zusammen ausgeführt.
Mehr zur empfohlenen Lösung:
Vulnerability Management
Mit einer Vulnerability Management Lösung erhalten Sie jederzeit eine aktuelle und umfassende Übersicht aller Schwachstellen Ihrer Infrastruktur – egal, ob on-premise oder in der Cloud.
AVANTEC empfiehlt für das Management von Schwachstellen die Plattform von Tenable. Sie bietet einen vollständigen Einblick in die gesamte Angriffsoberfläche und eine einheitliche Sicht auf alle Assets und Schwachstellen. Zudem beinhaltet Tenable Tools, Metriken und Tracking-Möglichkeiten zur systematischen Reduzierung des Risikos.
Das AVANTEC MDR Team analysiert laufend die von Tenable gefundenen Vulnerabilities und erstellt eine risikobasierte Priorisierung. Basierend darauf schlagen wir Ihnen konkrete Verbesserungsmassnahmen zur Erhöhung des Schutzniveaus und zur kontinuierlichen Verbesserung Ihrer Security Posture vor. Bei Bedarf hilft Ihnen AVANTEC gerne auch bei der Umsetzung der Massnahmenvorschläge.
Mehr zur empfohlenen Lösung:
AVANTEC Managed Detection & Response Service Leistungen
Die kontinuiertliche Analyse von Alerts und Events ist sehr zeitaufwändig und verlangt nach spezifischem Know-how. In den vergangenen Jahren haben uns zahlreiche Kunden darauf hingewiesen, dass Sie diese Analyse zwar wichtig und wünschenswert finden, aber schlichtweg keine verfügbaren Personalressourcen dafür haben. Aus diesem Grund haben wir den AVANTEC Managed Detection & Response Service aufgebaut. Wir überwachen für Sie die NDR (Vectra) und/oder EDR (CrowdStrike) Lösungen. Sie profitieren von folgenden Vorteilen:
- Die Analyse und Qualifikation von Alerts und Events erfolgt durch hochqualifizierte und erfahrene Security Engineers von AVANTEC.
- Sie profitieren dabei vom Einbezug unseres breiten Security Know-hows und spezifischen Kenntnissen über Ihre Infrastruktur und Anwendungsfälle.
- Pro Tag erhalten Sie mindestens eine qualifizierte Analyse (per Remote Zugriff) des Security Status und der Events Ihrer Systeme durch einen erfahrenen Security Engineer.
- Wir definieren mit Ihnen Playbooks für das Vorgehen im Incident-Fall. Nach Absprache mit Ihnen automatisieren wir die Response und Gegenmassnahmen soweit wie möglich (z.B. Isolation eines kompromittierten Endpoints).
- Bei Identifikation von kritischen Security Events werden diese analysiert und klassifiziert. Bei einem kritischen Security Incident (Sicherheitsvorfall) erfolgt eine telefonische Kontaktaufnahme mit Ihnen zur vertieften gemeinsamen Analyse und Besprechung von Massnahmen. Bei kritischen Events auch 24/7.
- Regelmässige telefonische Review-Termine (1 pro Monat) zur Besprechung der Events in der letzten Beobachtungs-Periode. Besprechung von allfälligen Massnahmen und Verbesserungsvorschlägen für die Erhöhung des Schutzniveaus.
- Zusätzliche und weitergehende Dienstleistungen wie Incident Response oder Threat Hunting können nach Absprache und nach Verfügbarkeit zusätzlich geleistet werden.
AVANTEC Managed Detection & Response Factsheet
Hier können Sie das AVANTEC Managed Detection & Response Factsheet nach Angabe Ihrer Kontaktdaten downloaden:
Aufzeichnung des MDR Webinars
So helfen EDR und NDR Hacker abzuwehren
Viele Firmen möchten sich vor Hackern schützen, verfügen aber nicht über die Mittel oder das Know-how, ihr Netzwerk und ihre Endpoints permanent zu überwachen. Mit dem Detection & Response Service von AVANTEC kann diese entscheidende Lücke im Sicherheitskonzept geschlossen werden.
Die meisten Unternehmen gehen davon aus, dass sie früher oder später gehackt werden oder bereits gehackt worden sind. Mit Detection-and-Response-Lösungen können Unternehmen ihre IT sicher machen. Wie, erklärt Mike Thurnherr, Security Engineer bei AVANTEC.
Haben Sie Fragen? Wir helfen Ihnen gerne weiter!
Haben Sie eine Frage zu unseren Produkten und Dienstleistungen? Wünschen Sie weitere Informationen oder Kontakt mit einem Engineer oder Account Manager? Wir freuen uns auf Ihre Kontaktaufnahme.