MDR vs. SIEM: Bringen Sie Licht ins Akronym-Verlies der IT-Sicherheitsbranche
Die IT-Sicherheitsbranche ist voller Akronyme, die nicht eindeutig definiert und für Nicht-Experten verwirrend sein können. Zu den aktuell besonders häufig verwendeten Begriffen zählen SIEM (Security Information and Event Management) und MDR (Managed Detection and Response). Wir möchten, dass Sie bei der Verteidigung Ihrer Unternehmensburg nicht auf die Falltür treten und im Akronym-Verlies verderben.
Als Burgherr ist es Ihre Aufgabe, Ihre Burg vor möglichen Bedrohungen zu schützen. Jeden Tag bewegen sich viele Menschen mit Taschen voller Daten durch die (Netzwerk-)Tore Ihrer Burg, darunter Kunden, Partner und Mitarbeiter. Jeder einzelne könnte potenziell ein trojanisches Pferd sein und so eine Bedrohung für die Sicherheit der Burg darstellen. Daher sind effektive Maßnahmen zum Schutz vor unliebsamen Knappen und Mägden unerlässlich.
In diesem Beitrag werden wir Ihnen die Unterschiede zwischen SIEM und MDR aufzeigen und Ihnen helfen zu erkennen, welche Sicherheitslösung am besten für Ihre Burg geeignet ist.
SIEM – der Chronist
Security Information and Event Management (SIEM) kann als ein Chronist betrachtet werden, der in Ihrem Königreich unterwegs ist und „alle“ Ereignisse im Königreich protokolliert. Hierzu sammelt der SIEM-Chronist Daten aus den unterschiedlichsten Quellen ein – z.B. von der Zugbrücke (Firewall), den Markständen (Endpoints) sowie dem königlichen Meldeamt (Active Directory). Indem der (oder ein anderer Leser seiner Niederschriften) diese Ereignisse in Beziehung zueinander setzt, kann er mögliche Gefahren aufdecken.
Doch damit diese Aufzeichnungen wirklich von Nutzen sind, braucht es den königlichen Sicherheitsbeamten, der die Informationen interpretieren kann. Wenn die Zugbrücke als einzigen Besucher heute einen Knappen aus Palatina meldet, das Meldeamt aber eine Neuanmeldung eines Knappen aus Saarlodrium verzeichnet, macht dies den Knappen verdächtig. Ohne die Aufmerksamkeit des Sicherheitsbeamten, die mögliche Gefahr zeitnah zu erkennen (und ggf. weitere Nachforschungen anzustellen), wäre der Chronist zwar ein wertvolles Werkzeug – seine Aufzeichnungen wären aber nutzlos, um die drohende Gefahr rechtzeitig abzuwenden.
Ein SIEM ist somit gewissermaßen ein passives Werkzeug, das alleine keine Sicherheit bieten kann und die Angreifer nicht selbst bekämpft. Es benötigt die menschliche Expertise des Sicherheitsbeamten, um diese Informationen richtig zu interpretieren und in sinnvolle Schutzmaßnahmen umzusetzen – und zusätzlich die Leibgarde der Schatzkammer, um die Kronjuwelen zu schützen. Ach ja, und den feindlichen Angreifer muss auch erstmal noch jemand finden und wieder aus der Burg befördern.
MDR – die Wachen
Managed Detection and Response (MDR) hingegen ist ein Team von Sicherheitsbeamten, Wachen, Detektiven und Polizisten, dass kontinuierlich Ihr Königreich überwacht und mögliche Bedrohungen identifiziert. Mit Schwert und Schild bewaffnet versuchen die Wachen, Taschendiebe bereits am Betreten der Burg zu hindern oder bei Bedarf innerhalb der Burg aufzuspüren und hinauszuwerfen. Sie finden Löcher in der Burgmauer und füllen die Löcher sofort mit Mörtel wieder auf. Zusätzlich stehen sie in Kontakt mit den MDR-Teams benachbarter Burgen und erhalten Fahndungsfotos der dort abgewiesenen Störenfriede. Und da es sich um eine moderne Burg handelt, greift das Team auf künstliche Intelligenz zurück, um Gefahren zu erkennen, die den menschlichen Sinnen entgangen sind.
MDR handelt also (im Gegensatz zu SIEM) aktiv und proaktiv, um Bedrohungen abzuwehren und zu bekämpfen. Es ist nicht nur ein passives Werkzeug, sondern eine aktive Abwehr, die von menschlicher Kraft und künstlicher Intelligenz profitiert – um Bedrohungen zu erkennen und sie aktiv zu bekämpfen.