Tipps für MSPs: So bringen Sie Licht in den Cybersecurity-Dschungel

Bei seiner Zusammenarbeit mit den Partnern von Bitdefender erlebt Nathan Eames täglich, vor welch große Herausforderungen die rapiden Veränderungen bei Cybersicherheit, Cyberkriminalität und Compliance-Vorgaben die MSPs stellen. Er hat daraus einige hilfreiche Strategien und Empfehlungen abgeleitet, um diese effizient angehen und meistern können.

Die traditionelle reaktive Cyberdefensive ist heutigen Gefahren wie Angriffen mithilfe kompromittierter Anmeldedaten, Living-off-the-Land-Taktiken oder gezielten Ransomware-Operationen nicht mehr gewachsen. Um die Qualität ihrer Dienste aufrecht zu erhalten, benötigen Managed Service Provider (MSPs) ein präventionsorientiertes Abwehrmodell. Im Folgenden finden sich hierfür einige strategische Empfehlungen.

Eigene Standards der Sicherheitstrategie setzen

Um eine konsistente Sicherheitslage zu schaffen, sollten MSPs ihr Managed-Detection and-Response (MDR)-Angebot für alle ihre Kunden standardisieren. MSPs können sich nicht mehr länger auf die optionalen, individuellen IT--Sicherheitsansätze, die ihre Kunden einsetzen, verlassen. Denn arbeiten Unternehmen mit nicht mehr zeitgemäßen Schutzmaßnahmen wie herkömmliche Antivirenprogramme, trägt der MSP das operative Risiko. Und oft auch die Schuld im Ernstfall.

Deshalb standardisieren führende MSPs MDR als grundlegende Kontrollmaßnahme für ihren gesamten Kundenstamm. So können sie Angriffsflächen minimieren und die gleiche, rund um die Uhr verfügbare, von Experten gesteuerte Abwehr für jeden Kunden anbieten. Standards reduzieren den Betriebsaufwand aufgrund unterschiedlicher Schutzstufen und beschleunigen die Reaktion sowie das Bereitstellen von Services.

Von der Reaktion zur Prävention

Da Cyberkriminelle heute selten allein auf Malware setzen, müssen MSPs über reaktive Tools hinausgehen und präventionsorientierte Absicherungsmaßnahmen einführen. Denn Angreifer nutzen zunehmend legitime Systemtools und Anmeldedaten, um böswillige Aktivitäten auszuführen, ohne neuen Code einzuschleusen. Eine Untersuchung von Bitdefender zu 700.000 Sicherheitsvorfällen hat gezeigt, dass in 84 Prozent der größeren Fälle die Hacker mittlerweile legitime Dienstprogramme missbrauchen. Solche Living-Off-the-Land (LOTL)-Angriffe umgehen traditionelle Abwehrmaßnahmen, indem sie sich in normale Systemaktivitäten einfügen.

Eine wirksame, so schnell wie möglich greifende Prävention verlangt die Früherkennung dieser Angriffe. Häufig verwendete LOTL-Techniken sind der Missbrauch von Betriebssystem-Tools wie PowerShell, cmd.exe und WMI, legitimen Anmeldedaten, Remote-Access-Kanälen, die Ausnutzung von RMM (Remote Monitoring and Management) sowie Techniken zur lateralen Bewegung im Opfernetz. Diese Fileless-Taktiken umgehen herkömmliche Antivirusansätze vollständig, da sie nicht auf bösartige Dateien angewiesen sind, die mit einer Signaturerkennung identifiziert werden können. Um die sich daraus ergebende Angriffsoberfläche zu schließen, müssen MSPs präventionsorientierte Hardening-Technologien einsetzen und Angriffsflächen automatisch minimieren, ohne die Arbeitsabläufe der Benutzer zu stören. Ein präventionsorientierter Ansatz

• blockiert abnormale oder riskante Aktionen, bevor Hacker sie ausnützen können;
• zwingt Angreifer zu auffälligerem, leichter erkennbarem Verhalten;
• verkürzt die Verweildauer der Angreifer und schränkt die laterale Bewegung ein;
• reduziert die Abhängigkeit von manuellen Untersuchungen; und
• entlastet MSP-Techniker durch weniger Fehlalarme.

Die stille, automatisierte Prävention ist eine der effektivsten Möglichkeiten für MSPs, die operative Arbeitsbelastung zu reduzieren und gleichzeitig die Sicherheitsergebnisse für ihren gesamten Kundenstamm zu verbessern.

Zusammenarbeit von SOC und MSP verbessert die Reaktionsfähigkeit

Eine präventionsorientierte Strategie erfordert eine Kombination aus fortschrittlicher Technologie und menschlicher Expertise. Im Rahmen ihrer MDR-Dienste bieten Security Operation Center (SOC) Zugang zu rund um die Uhr verfügbaren, externen Sicherheitsanalysten, umfassende Funktionen zur Analyse von Bedrohungen sowie die Möglichkeiten, Angriffe schnell einzudämmen. MSPs steuern den wesentlichen Kontext bei: eine fundierte Kenntnis der Infrastruktur, Konfigurationen, Benutzer und Geschäftsabläufe beim Kunden.

SOC-Analysten und MSP-Ingenieure, die effektiv zusammenarbeiten, können Risiken schneller erkennen, eskalieren und Alerts zutreffender priorisieren. Außerdem erhalten geschäftliche digitale Abläufe zu berücksichtigende Vorgaben, um Probleme zu beheben, einen Angriff optimal einzudämmen und seine Folgen zu minimieren. MSPs, die eine verwaltete MDR als echte Erweiterung ihres Teams nutzen anstatt bloß als Alarmdienst, der Benachrichtigungen ohne Kontext weiterleitet, verbessern ihre Fähigkeit, Kunden zu schützen und Ausfallzeiten zu reduzieren, erheblich.

Sicherheit – Zuvorkommend und von Menschen gesteuert

Aufklärung optimiert den Sicherheitsstatus

Eine der größten Probleme für MSPs ist der Unwille oder die fehlende Einsicht der Kunden, ihre Sicherheitslage zu optimieren - oft begründet mit beschränktem Budget und aus einem Gefühl der falschen Sicherheit, stärkere Abwehrmaßnahmen seien unnötig. Viele Unternehmen nutzen immer noch traditionellen Antivirus oder glauben, dass sie kein lohnendes Ziel seien. Dabei nehmen Vorfälle auch bei kleineren und mittleren Unternehmen zu.

Um diese Haltung zu ändern, sollten MSPs im Gespräch mit ihren Kunden Risiken klar und regelmäßig kommunizieren sowie Beispiele aus der Praxis für Angriffe liefern, welche MDR und eine gehärtete IT-Infrastruktur verhindern konnten. Monatliche Reportings ermöglichen es, den kontinuierlichen Mehrwert einer besser aufgestellten Sicherheit zu veranschaulichen. Zudem sollten MSPs Sicherheitsbriefings, Roadshows oder Diskussionen auf Führungsebene anbieten und Entscheidungen zur Cybersicherheit als geschäftliche, operative sowie Compliance-Anforderungen formulieren.

Eine solche Aufklärung fördert die Akzeptanz von Sicherheitsanstrengungen und diese Akzeptanz reduziert Sicherheitsvorfälle. Selbst anfangs zögerliche Kunden beginnen, proaktive Sicherheitsmaßnahmen zu schätzen, sobald sie den dadurch ermöglichten Wert einer geschützten und gesicherten Geschäftskontinuität erkennen.

Interne Prozesse für eine präventive Abwehr

Um präventionsorientierte Abwehrmodelle zu unterstützen, sind ausgereifte interne Prozesse erforderlich. Mit dem Wachstum werden gereifte, effektive und operative Abläufe für MSPs unverzichtbar. Ein präventiver Ansatz basiert auf einer starken internen Governance und klar definierten Prozessen. Dazu zählen:

• konsistente Onboarding- und Offboarding-Workflows;
• robuste Change-Management-Praktiken;
• dokumentierte Verfahren zur Reaktion auf Vorfälle;
• Compliance-konforme Richtlinien und Kontrollen;
• sowie klare Eskalationswege und Kommunikationsvorgaben.

Indem MSPs diese Prozesse intern standardisieren, liefern sie ihren Kunden zuverlässigere und besser vorhersehbare Ergebnisse. Ausgereifte Abläufe reduzieren die Belastung der Fachkräfte bei Sicherheitsvorfällen und helfen MSPs zudem, größere Kunden zu gewinnen und in regulierte Branchen zu expandieren, die ein höheres Maß an operativer Disziplin erwarten.

Präventionsorientiertes, von Menschen gesteuertes Verteidigungsmodell

MSPs müssen immer raffinierteren Angriffen, steigenden Ansprüchen der Kunden, höheren Messlatten für Compliance und dem Fachkräftemangel in der Cybersicherheit begegnen. Der Indikator für den Erfolg auf dem MSP-Markt ist nicht mehr, wie schnell Teams auf Vorfälle reagieren können, sondern wie effektiv sie diese verhindern. Eine präventionsorientierte, von Menschen gesteuerte Abwehr, die proaktive Absicherungsmaßnahmen, MDR-Know-how und die Zusammenarbeit zwischen SOC zu einer kohärenten Defensivstrategie vereinen, verschafft MSPs einen deutlichen Wettbewerbsvorteil.

Zum Autor:

Nathan Eames ist Senior Director EMEA Cloud & MSP Sales bei Bitdefender.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden