Die Gründe für die Wahl eines Anbieters von Managed Security Services (MSSP) können vielfältig sein, aber einer der Hauptgründe ist die Überwindung des Fachkräftemangels im Bereich der Cybersicherheit. Es ist sehr schwierig, die richtigen Talente im Bereich Cybersicherheit zu finden und qualifizierte Fachkräfte nach ihrer Ausbildung zu halten.
Es gibt noch weitere Herausforderungen, die es wert sind, hervorgehoben zu werden, wenn man eine Auslagerung an einen MSSP in Betracht zieht. Eine davon ist, dass die Leistungsbeschreibungen sehr komplex und schwer zu verstehen sind. Zum Beispiel können Service Level Agreements (SLAs) schwer zu vergleichen sein, z. B. was enthalten ist und was nicht. Kunden haben oft nur begrenzte Vorstellungen davon, was sie brauchen, was sie verlangen und was sie in einer MSSP-Beziehung suchen. Die Kunden müssen eine klare Vorstellung davon haben, was der MSSP liefern wird und welche Ressourcen Sie bereitstellen müssen.
Es ist daher sehr wichtig, dies zu verstehen:
- Was wollen Sie schützen? Wissen Sie, wo sich Ihre kritischen Vermögenswerte befinden?
- Wer ist für die angemessene Reaktion auf einen Vorfall bei einem MSSP verantwortlich? Sind Ihre internen Prozesse auf die erfolgreiche Interaktion mit einem MSSP abgestimmt und personell entsprechend ausgestattet?
- Wenn Sie einen Incident-Response-Service kaufen, haben Sie vereinbart, welche Rechte oder Einschränkungen dieser Service beinhaltet? Kann der MSSP zum Beispiel den Laptop des Geschäftsführers unter Quarantäne stellen oder einen Port auf Ihrer Firewall blockieren? Was sind die geschäftlichen Konsequenzen? Die frühzeitige Erkennung und Eindämmung von Angriffen ist von entscheidender Bedeutung, insbesondere bei ransomware.
- In vielen Bereichen gibt es Diskussionen über Anwendungsfälle, was vor allem bei der Beschaffung eines verwalteten Dienstes viele gute Zwecke erfüllt.
- Wie lauten die vereinbarten Leistungsindikatoren und wie werden sie gemessen? Verstehen Sie vollständig, was die KPIs bedeuten?
Wie sieht ein Bedrohungserkennungsdienst von einem MSSP normalerweise aus? Ein idealer MSSP-Service sollte auf dem SOC Visibility Triad-Modell aufbauen, das von Gartner eingeführt wurde. Die Triade kombiniert Netzwerkerkennung und -reaktion (NDR), endpoint Erkennung und Reaktion (EDR) und Ereignisprotokolle, die in der Regel über ein Security Event Information Management (SIEM) verwaltet werden. Mithilfe dieses Modells können MSSPs Vorfälle korrelieren und in einem Berichtsportal melden.
Es gibt noch andere MSSP-Dienste, die erworben werden können, aber die Zunahme der Bedrohungserkennungsdienste wird nach Schätzungen mehrerer Forschungsunternehmen wie Gartner, IDC und Forrester den größten Teil der Investitionen erhalten.
Um die Dynamik und die Verantwortlichkeiten zwischen Ihnen und Ihrem MSSP zu antizipieren, ist es ratsam, einige Szenarien zu betrachten:
1. Erstellen Sie Ihre eigene SIEM-Lösung
- Es dauert lange, bis ein Wert für die Organisation entsteht, normalerweise 12 Monate oder länger.
- Es ist schwierig, Talente für die Cybersicherheit zu finden, anzuziehen und im Unternehmen zu halten.
- Mit welchen Protokollquellen beginnen Sie? Was ist gut für die Sicherheit?
- Wie stellt man eine 24/7-Abdeckung her?
2. Gute oder schlecht geführte MSSP-Beziehung mit SIEM als Dienst
- Schnellerer Wertzuwachs als beim Aufbau eines eigenen Unternehmens, das in mindestens sechs bis 12 Monaten einsatzbereit sein kann.
- Der Wert sinkt mit der Zeit, wenn die Beziehung nicht ordnungsgemäß verwaltet wird.
- MSSP hat eine Vorstellung davon, welche Protokollquellen für die Erkennung von Bedrohungen geeignet sind. Aber die Protokollanalyse zur Erkennung von Bedrohungen ist nur so gut wie die Protokolle, die Sie analysieren.
- Der Dienst kann rund um die Uhr erreichbar sein.
3. Gut verwaltete MSSP-Beziehung mit Vectra als Dienstleistung
- Bietet dem Kunden einen Mehrwert innerhalb eines Monats anstelle von sechs bis 12 Monaten mit SIEM als Service.
- Der Wert steigt im Laufe der Zeit, wenn ein gemeinsam vereinbarter Plan und eine gemeinsam vereinbarte Kadenz für den Betrieb besteht.
- Der Dienst kann rund um die Uhr erreichbar sein.
- Ausbau des Dienstes mit EDR und SIEM als Service im Laufe der Zeit, um die Erkennung von Bedrohungen zu verbessern.
- Lässt sich in bestehende Investitionen wie SIEMs, EDR, Firewalls und SOAR-Systeme integrieren. Beschleunigt und steigert den Gesamtwert.
Abschließend sollten Sie immer einen Projektmanager mit der Überwachung der Implementierung betrauen, unabhängig davon, in welchem Bereich Sie beginnen. Achten Sie auch darauf, monatliche Betriebsbesprechungen mit Ihrem MSSP und vierteljährliche Geschäftsüberprüfungen durchzuführen. So können Sie strategisch darüber nachdenken, wie Sie eine produktive Arbeitsbeziehung aufbauen und neue Bereiche zur Verbesserung des Dienstes und seines Gesamtwerts ermitteln können.