SOC- und MDR-Services können das Sicherheitsniveau im Unternehmen erhöhen sowie Rechts- und Compliance-Risiken minimieren. Dieses Whitepaper zeigt, wie Sie den richtigen Partner für Ihr Security Operations Center finden und welche zehn Faktoren bei der Auswahl eines Anbieters am wichtigsten sind.
Inhalt:
Ein Security Operations Center (SOC) gilt als Mittel der Wahl, um die IT-Sicherheit im Unternehmen auf ein angemessenes Niveau zu bringen und gesetzliche Anforderungen wie das IT-Sicherheitsgesetz 2.0 (ITSIG) oder die NIS-2-Richtlinie (Network and Information Security zu erfüllen. Der Aufbau und Betrieb eines eigenen SOC überfordert jedoch die meisten kleinen und mittleren Unternehmen. Sie sind daher mit Dienstleistungen von Serviceprovidern oft besser beraten, die als Managed SOC oder MDR (Managed Detection and Response) angeboten werden.
Der Markt für SOC- und MDR-Services ist jedoch groß und unübersichtlich. Daher ist es für viele Unternehmen schwierig, die eigenen Anforderungen zu definieren und das Angebot mit dem besten Preis-Leistungs-Verhältnis zu finden.
Das vorliegende Whitepaper bietet wertvolle Unterstützung bei dieser Aufgabe. Aus der Erfahrung von mehr als 70 Projekten haben die Autoren die zehn wichtigsten Faktoren herausgearbeitet, die bei der Auswahl eines SOC/MDR-Partners eine Rolle spielen. Ein Exkurs zu den besonderen Anforderungen bei öffentlichen Ausschreibungen rundet das Informationsangebot ab.
Sie erfahren unter anderem:
- Warum ein klares Zielkonzept entscheidend ist und wie Sie in sechs Schritten Ihre Ziele definieren.
- Welche Betriebs- und Servicemodelle es gibt und welche Vor- und Nachteile sie haben.
- Wie Sie mit dem richtigen methodischen Ansatz erhebliche Kosteneinsparungen erzielen können.
Originalauszug aus dem Dokument:
1. Die technische Zielarchitektur
• Soll das SOC/MDR EDR,XDR oderSIEM-basiert arbeiten?
Die Gretchenfrage bei der Auswahl und umfassend an dieser Stelle kaum zu beantworten. Eine erste Einschätzung zum derzeitigen Stand, wissend das bei der derzeitigen Entwicklung am Markt sich dies rasch ändern könnte.
Ein Endpunktbasierter Service (Basis EDR) mit einer 7x24h Überwachung der Alarme bietet einen guten Zugewinn an Sicherheit und ist gleichzeitig in Implementierung und Kosten noch handhabbar. Einige Hersteller von EDR-Lösungen bieten diesen Service direkt an, oder man wendet sich an einen Dritten als MSSP.
Die Erweiterung über eine XDR-Lösung, welche auf der EDR-Lösung aufbaut und weitere Quellen anschließt, erweitert die Absicherung, da auch die Datenbasis für die Angriffserkennung vergrößert wird. Das Vorgehen und die Anbieter sind ähnlich zu einem EDR-basierten Vorgehen.
Die SIEM-basierte Variante ist der „Klassiker“, hier können vielfältig Log-Quellen angeschlossen und korreliert werden, die Protokollierung erfolgen und auch Non-Security Use-Cases umgesetzt werden. Hier gibt es die meisten Anbieter und zumindest bisher ist dieses Vorgehen am häufigsten. Durch die schnelle Entwicklung der XDR-Lösungen könnte hier jedoch zeitnah ein Paradigmenwechsel anstehen.