Top-Herausforderungen für MSSPs und MDRs und wie man sie überwindet

[post-views]
September 23, 2022 · 9 min zu lesen
Top-Herausforderungen für MSSPs und MDRs und wie man sie überwindet

Einige Dinge werden nie alt. In der Welt der Sicherheitsanbieter wird es immer einen Mangel an Fachleuten, Zeit und echten Anbietern geben, während Sie immer einer Vielzahl von Risiken, Komplexität und Kostendruck ausgesetzt sein werden. Es gibt jedoch einige weniger offensichtliche Herausforderungen, die das Wachstum und die Skalierbarkeit Ihres MSSP oder MDR behindern. Lassen Sie uns direkt in einige beunruhigende alltägliche Probleme eintauchen, um sie zu lösen und Ihr Geschäft auf die nächste Stufe zu bringen.

Herausforderung 1. Abdeckung der Protokollquellen

Wir beginnen mit einer der kompliziertesten, denn egal, wie lange Sie in der Cybersicherheit tätig sind, das Finden eines Gleichgewichts ist schwierig. Wo liegt der Mittelweg zwischen einer großartigen Abdeckung, die Sie auf der sicheren Seite hält, und großen Datenmengen in Verbindung mit Alarmmüdigkeit? Nun, diese Frage ist Stunden wert, denn jeder Fall ist einzigartig. Es gibt jedoch universelle Empfehlungen, die hoffentlich verhindern, dass Ihr Auge zuckt, wenn jemand nach der Protokollierungsstrategie fragt.

Lösung

Bevor Sie etwas tun, formulieren Sie die Frage um von Welche Protokolle sollte ich sammeln? to Wofür sammle ich dieses bestimmte Protokoll?

Dies sollten Sie bei der Auswahl der Protokolle berücksichtigen:

  • Versuchen Sie nicht, alle Techniken abzudecken. Verbessern Sie stattdessen Ihr Wissen über die Kill-Chain, um die Angriffsvektoren zu verstehen. Sie können mit den Grundlagen bei MITRE ATT&CK beginnen und dann Ihr Wissen mit einer Reihe von Artikeln von Jose Luiz Rodriguez über ATT&CK-Datenquellen verfeinern.
  • Denken Sie daran, dass kein Angriff nur auf ein Framework zurückzuführen ist. Deshalb sollten Sie flexibel sein.
  • Halten Sie sich über neue Techniken auf dem Laufenden, indem Sie ständig die neuesten Forschungen prüfen und die führenden Unternehmen im Auge behalten.
  • Berücksichtigen Sie immer das Geschäftsbereich und die Region Ihrer Kunden. Basierend darauf definieren Sie die häufigsten APTs und Angriffsvektoren.
  • Verwenden Sie immer nur die zuverlässigen und neuesten Bedrohungsinformationen und vermeiden Sie historische Daten.
  • Denken Sie daran, dass Sichtbarkeit nicht nur vor, sondern auch während und nach einem Cybersicherheitsvorfall entscheidend ist.

Die großartige Grundlage Ihres Protokollquellenwissens kann der NIST Guide to Computer Security Log Management (Dokument 800-92) sein. Während NIST noch an der Aktualisierung dieses Leitfadens arbeitet, hat das Institut ein Memorandum für die Leiter der Exekutivabteilungen und -agenturen veröffentlicht. Die Revisionen werden hauptsächlich durch die fortschreitende Natur der jüngsten Angriffe angetrieben. for the heads of executive departments and agencies. The revisions are mainly driven by the progressing nature of recent attacks.

Der nächste Schritt, ebenso wichtig wie die Protokollerfassung, ist die Analyse der protokollierten Ereignisse. Wir haben bereits Tipps für eine erfolgreiche Protokollanalyse hier.

Herausforderung 2. Vielfalt der Plattformen

Als Sicherheitsdienstleister stellt die Vielseitigkeit eine Herausforderung dar. Im Interesse der Kundenzufriedenheit und eines größeren Zielmarktes sollten Sie in der Lage sein, verschiedene Produkte und Tools zu unterstützen, darunter mehrere SIEMs, EDRs und XDRs. Dies schafft ein gewaltiges Managementproblem, erfordert eine zusätzliche Lernkurve und verlangt nach mehr Spezialisten in Ihrem Team.

Lösung

Um großartige Servicequalität zu liefern und zu unterstützen, ist der beste Weg, universelle Lösungen zu suchen. Im Fall der Cybersicherheit sollten Sie als erstes in Ihre Arbeitsabläufe integrieren Sigma. Es ist eine gemeinsame Sprache für Cybersicherheit, die es Ihnen ermöglicht, eine generische Anfrage zu erstellen und diese dann für verschiedene Plattformen zu verwenden. Wenn Sie neu bei Sigma sind, sehen Sie sich die folgenden Materialien an:

  • SigmaHQ GitHub-Repository
  • A Cheat Sheet zu den Grundlagen der Detection-Engineering mit Sigma von Josh Brower und Chris Sanders
  • Anatomie einer Sigma-Regel von Thomas Roccia
  • The pySigma GitHub-Repository gestartet von Thomas Patzke und Florian Roth. pySigma ist eine Python-Bibliothek zur Analyse und Konvertierung von Sigma-Regeln in Abfragen
  • A Leitfaden zu Sigma-Regeln für Anfänger

Ein weiterer Tipp ist, sich für vertrauenswürdige Anbieter zu entscheiden, die mehrere Bedürfnisse mit einer Lösung abdecken können. Vermeiden Sie jedoch One-Size-Fits-All-Produkte, da je umfassender das Angebot ist, desto schwieriger ist es, es ausreichend tief zu halten. Sehen Sie, wie LTI die Herausforderung gelöst hat der Verwaltung mehrerer SIEM- und EDR-Lösungen durch die Nutzung der Plattform von SOC Prime.

Herausforderung 3. Neu auftretende Bedrohungen

Die Bedrohungslandschaft verändert sich mit zunehmend hoher Geschwindigkeit, was uns nur die Möglichkeit lässt, die Erkennungs- und Reaktionsmethoden ständig zu verbessern. Jedes Unternehmen findet seine eigene Antwort auf diese Herausforderung. Einige setzen auf neue Software, während andere neue Spezialisten einstellen. Aber ist das wirklich effektiv? Solche Maßnahmen erhöhen die Kosten, bringen aber nicht unbedingt die gewünschten Ergebnisse. Was ist der am besten geeignete Ansatz?

Lösung

Dies sind die Empfehlungen, die Ihre Sicherheitslage angesichts der sich ständig ändernden Bedrohungslandschaft erheblich stärken können:

  1. Setzen Sie auf verhaltensbasierte Erkennungen anstatt auf IOC-basierte Regeln. Verhaltensbasierte Erkennungsregeln halten einfach länger, weil sie hauptsächlich nach den Mustern suchen, die Angreifer wiederholt verwenden. Gleichzeitig eignen sich IOC-basierte Erkennungen am besten für eine retrospektive Überprüfung der historischen Daten, um festzustellen, ob Sie zuvor angegriffen wurden. Denken Sie daran, dass eine einfache Abfrage zum Identifizieren ungewöhnlicher rundll32 Aktivität viel länger dienen wird als eine Erkennung, die auf dem IOC-Bericht basiert.
  2. Integrieren/Sondern Sie Ihre Threat-Hunting-Verfahren. Obwohl viele Unternehmen Threat-Hunting vermeiden oder es auf sehr grundlegende Weise durchführen, ist es eine großartige Lösung, um Ihre proaktive Cyberabwehr zu verbessern.
  3. Seien Sie sich neuer Bedrohungen, Angriffsvektoren, Techniken, Bedrohungsakteure usw. bewusst. Bleiben Sie immer auf dem Laufenden mit neuen Berichten, lernen Sie und versuchen Sie, den Branchenführern und Experten zu folgen. Es kann Sie sicherlich vor vielen unangenehmen Überraschungen bewahren.
  4. Nutzen Sie die kollaborative Cyberabwehr zu Ihrem Vorteil. Es gibt verschiedene Open-Source-Projekte, die für Ihr Unternehmen äußerst vorteilhaft sein können. Versuchen Sie, mit den GitHub-Repositories zu beginnen, wie zum Beispiel LOLBAS, ELF Parser, YARA, regexploit, lynis, etc.
  5. Suchen Sie nach Erkennungsregeln in der SOC Prime-Plattform. Es ist eine großartige Möglichkeit, Erkennungen, Bedrohungskontexte, Binärdateien und zugehörige Red Canary Simulationen zu finden.

Herausforderung 4. Timing

Während wir darüber streiten könnten, was das wertvollste Gut ist, würden alle zustimmen, dass Zeit unbezahlbar ist. Die Unfähigkeit, Bedrohungen rechtzeitig zu erkennen, kann nicht nur zu finanziellen Verlusten führen, sondern auch zu Datenverlust, Compliance-Problemen und Reputationsrisiken. Natürlich kann, wenn es um Cybersicherheit geht, niemand und nichts eine 100%ige Garantie geben, aber konsequent und strategisch zu agieren wird mehr bewirken, als Sie denken.

Eine rechtzeitige Erkennung hängt oft von den bereits erwähnten Faktoren ab: Kill-Chain-Wissen, kluge Protokollerfassung und -analyse, Integration von Threat-Hunting und aktuelle Informationen über neu auftretende Bedrohungen. Ein zusätzlicher Schritt zur Steigerung der Servicegeschwindigkeit ist jedoch die Automatisierung der wiederkehrenden Prozesse, wo immer dies möglich ist. Aber welche Automatisierung ist für MSSPs und MDRs besonders effizient?

Lösung

Um mehr Zeit und Ressourcen für geschäftskritische Aktivitäten freizugeben, versuchen Sie, die folgenden Verfahren zu automatisieren:

  • Scannen und Überwachen. Normalerweise sind diese Prozesse leicht zu automatisieren, da sie nicht viel menschliche Aufmerksamkeit erfordern.
  • Datenanreicherungstasks. Die meisten datenbezogenen Aufgaben auf der anfänglichen Ebene können automatisiert werden, da menschliche Aufmerksamkeit danach viel nützlicher ist.
  • Grundlegendes Sortieren und Analysieren. Bevor Sie die Rohdaten an Ihren Analysten weitergeben, können Sie den Prozess des Sortierens und der einfachen Analyse, zumindest für die häufigsten Fälle, leicht automatisieren.
  • Low-Level Incident Response. Der Incident-Response kann stark variieren. Einige der Grundlagen können jedoch leicht automatisiert werden.
  • Weitere Ideen: automatisiertes Penetrationstesting, Erkennungsbereitstellung, Software-Updates, etc. Diese Liste kann je nach Unternehmenspolitik und Strategie angepasst und erweitert werden.

Das Konzept der Robotic Process Automation (RBA) wird immer noch argumentiert, mehrere Nachteile zu haben, wie:

  • Nicht alle Cybersicherheitsaufgaben können automatisiert werden. Es ist eigentlich weit davon entfernt.
  • RPA-Bots können gehackt werden, was zu betrieblichen Störungen oder dem Verlust sensibler Daten führen kann.
  • Sie benötigen immer noch einen sachkundigen Spezialisten, um den Automatisierungsprozess einzurichten und aufrechtzuerhalten. Sie können Ihre Prozesse also nicht automatisieren und sie dann vergessen.
  • Da sich die Bedrohungslandschaft ändert, müssten Sie auch mehrere Anpassungen vornehmen.
  • Einige Unternehmen können aufgrund ihrer Richtlinien keine Automatisierung anwenden.

Herausforderung 5. Wettbewerb

Wahrscheinlich würde jedes Unternehmen behaupten, dass hoher Wettbewerb eine ihrer Herausforderungen ist, egal was sie tun. Jede Branche hat jedoch ihre Besonderheiten, sodass sich die Strategien, um sich von den Mitbewerbern abzuheben, dramatisch unterscheiden würden.

Lösung

Als Sicherheitsdienstleister können Sie immer auf die folgende Checkliste zurückgreifen, die Sie immer wieder auf Kurs bringt:

  1. Nachweis von Fachwissen und Qualität. Sie können sich vorstellen, dass jeder einzelne Anbieter sagt, er sei der Beste. Seien Sie derjenige, der es beweisen kann, und lassen Sie Ihre Bewertungen sprechen. Wenn Sie großartige Arbeit leisten, werden Ihre zufriedenen Kunden mit Sicherheit ihre positiven Erfahrungen teilen. Manchmal muss man einfach nur fragen.
  2. Wählen Sie Ihre Partner weise. Wenn Sie eine Auswahl an zuverlässigen Anbietern haben, werden Sie keine Probleme haben, die Qualität Ihrer Dienstleistungen zu beweisen.
  3. Zeigen Sie Ihren hohen Wert. Einige Unternehmen könnten in ein Wettrennen geraten, indem sie die Preise senken und mehr Kunden gewinnen, als sie bewältigen können. Versuchen Sie, Qualität über Quantität zu gehen, und Sie werden die Wunder des Mundpropaganda-Marketings sehen.
  4. Beweisen Sie Ihre Effektivität durch klare Berichterstattung. Denken Sie daran, dass Sie Dienstleistungen für Unternehmen erbringen, und fast jede Entscheidung, die Unternehmensleiter treffen, basiert auf dem ROI. Zeigen Sie, dass Ihre Dienstleistungen entscheidend sind, indem Sie regelmäßige und explizite Berichte bereitstellen.
  5. Geschwindigkeit und Effizienz. Cybersicherheit zählt jede Sekunde. Sie sollten daher daran arbeiten, qualitativ hochwertige Ergebnisse mit der bestmöglichen zeitlichen Abstimmung zu liefern, jedoch ohne unrealistische Versprechen zu machen.
  6. Seien Sie anders. Auch wenn diese Nische mit Angeboten überladen ist, sehen Sie, wie Ihre Mitbewerber sich vermarkten. Engagieren sie sich in der Gemeinschaft? Was sind ihre Hauptverkaufsargumente? Und wie gewinnen sie neue Kunden? Dies sind nur einige Fragen, die Ihnen helfen könnten, Ihre Strategie umzudrehen.

Fazit

Cybersicherheit ist eine herausfordernde Branche, sodass es immer Herausforderungen zu überwinden gibt. Aber wenn Sie eine richtige Strategie, einen konsequenten Ansatz und zuverlässige Anbieter an Ihrer Seite haben, ist nichts unmöglich für Sie. SOC Prime ist ein vertrauenswürdiger Partner zahlreicher MSSPs und MDRs. Überprüfen Sie die Effektivität des größten Bedrohungserkennungsmarktes selbst kostenlos.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko