11.04.2022

Was ist Network Detection and Response?

Gartner Inc. definiert NDR als die Verwendung von "nicht-signaturbasierten Techniken (z. B. maschinelles Lernen oder andere analytische Techniken) zur Erkennung von verdächtigem Datenverkehr in Unternehmensnetzwerken.

NDR-Tools analysieren kontinuierlich den Rohdatenverkehr und/oder die Datenflussaufzeichnungen, um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln."

Diese Art von Netzwerksicherheitslösung überwacht den Nord/Süd- und Ost/West-Verkehr mithilfe strategisch platzierter Sensoren. Wenn verdächtige Verkehrsmuster erkannt werden, werden Warnungen an die Administratoren gesendet.

Eine schnelle Reaktion ist ein großer Vorteil von NDR-Lösungen, und automatisierte Funktionen vereinfachen den Prozess der Netzsicherheit weiter.

Was macht eine NDR-Lösung?

NDR-Lösungen überwachen und analysieren kontinuierlich den Netzwerkverkehr im Unternehmen, um eine «Baseline» für das normale Netzwerkverhalten zu erstellen. Wenn verdächtige Netzwerkverkehrsmuster entdeckt werden, die von dieser Grundlinie abweichen, warnen NDR-Tools die Sicherheitsteams vor möglichen Bedrohungen in ihrer Umgebung.

Warum brauchen Sie eine NDR-Lösung?

Netzwerke weiten sich in die Cloud aus und wachsen stetig sowohl in ihrer Größe als auch in ihrer Komplexität. Dies hat zu einer noch nie dagewesenen Menge an Daten geführt, die das Netzwerk durchqueren, und eine perfekte Umgebung für böswillige Akteure geschaffen, um sich darin zu verstecken.

NDR-Lösungen lösen dieses Problem, indem sie Telemetriedaten von Netzwerkgeräten sammeln und Analysetechniken wie maschinelles Lernen anwenden, um Bedrohungen zu erkennen, die andere Tools übersehen.

Wie erhöht NDR Ihre Sicherheit?

NDR-Lösungen und -Tools können:

  • Anomalen Netzwerkverkehr erkennen, den herkömmliche Tools übersehen, indem sie nicht-signaturbasierte Erkennungstechniken wie Verhaltensanalysen und maschinelles Lernen anwenden.
  • eine Basislinie des normalen Netzwerkverhaltens modellieren und Sicherheitsteams bei verdächtigem Datenverkehr alarmieren, der von diesem normalen Bereich abweicht.
  • Überwachen Sie den gesamten Datenverkehr - unabhängig davon, ob er in das Netzwerk eintritt, es verlässt oder sich innerhalb des Netzwerks bewegt -, so dass die Teams über die nötige Transparenz verfügen, um Sicherheitsvorfälle zu erkennen und zu entschärfen, unabhängig davon, woher eine Bedrohung stammt.
  • Analysieren Sie rohe Netzwerk-Telemetriedaten in Echtzeit oder nahezu in Echtzeit und liefern Sie zeitnahe Warnmeldungen, damit die Teams schneller auf Vorfälle reagieren können.
  • Sie können ein bösartiges Verhalten einer bestimmten IP-Adresse zuordnen und forensische Analysen durchführen, um festzustellen, wie sich Bedrohungen seitlich innerhalb einer Umgebung bewegt haben. Auf diese Weise können Teams erkennen, welche anderen Geräte möglicherweise infiziert sind, was zu einer schnelleren Reaktion auf Vorfälle und zur Eindämmung von Bedrohungen sowie zu einem besseren Schutz vor ungünstigen Auswirkungen auf das Geschäft führt.
  • Bereitstellung von Reaktionsfunktionen, die die manuelle Reaktion auf Vorfälle und die Suche nach Bedrohungen verbessern oder die Abläufe rationalisieren und den Teams durch Automatisierung Zeit sparen können.

Verteidigung gegen sich entwickelnde Bedrohungen mit Network Detection and Response

Malware passt sich stündlich an, um versteckte Schwachstellen auszunutzen und Systeme zu infiltrieren, und NDR erweist sich als eine der stärksten Abwehrmaßnahmen. Es gibt drei Dinge, die Sie beachten müssen, wenn Sie Ihre Netzwerksicherheitsfunktionen verbessern wollen.

  • Keine Netzwerksicherheitslösung ist zu 100 % wirksam gegen Malware
  • Wachsende Signaturen-Datenbanken sind eine Herausforderung für die ständige Aktualisierung
  • Falschmeldungen sind ein Produktivitätskiller und verschwenden wertvolle Zeit, wenn Sie die falsche Lösung wählen.

Beschleunigte Reaktion auf Bedrohungen

Durch die Kombination von kontextbezogener, unternehmensweiter Transparenz und fortschrittlichen Analysetechniken sollten NDR-Tools in der Lage sein, frühe Anzeichen von Angriffen zu erkennen.

Ihre fortschrittlichen Funktionen zur Erkennung von Bedrohungen sollten z. B. ungewöhnliche Fernzugriffe, Port-Scans, die Verwendung eingeschränkter Ports oder Protokolle usw. erkennen.

Die besten NDR-Lösungen bieten zuverlässige, nach Schweregrad geordnete Warnmeldungen, automatisierte Reaktionsmöglichkeiten, um den Teams Zeit zu sparen, und manuelle Reaktionsmöglichkeiten, um die Suche nach Bedrohungen und die Reaktion auf Vorfälle zu verbessern.

Im Folgenden werden die verschiedenen Funktionen des NDR noch genauer erläutert

Erkennung von bösartigen Aktivitäten

Dateilose Malware ist sehr beliebt geworden, weil sie von herkömmlichen Erkennungsmethoden oft übersehen wird. Angreifer verwenden oft nicht bösartige Tools, die dem Netzwerk vertraut sind, um ihre Aktivitäten zu verbergen.

NDR-Lösungen nutzen maschinelles Lernen und KI, um den Datenverkehr auf genau diese Situationen zu analysieren. Sie sind nützlich für die Erkennung von Command-and-Control-Aktivitäten, die Identifizierung verdächtiger Anwendungen und die Aufdeckung und Isolierung kompromittierter Systeme innerhalb des Netzwerks.

Schnelle Reaktion

NDR ermöglicht eine schnelle Reaktion im Falle eines Angriffs. Zum Beispiel, wenn ein Mitarbeiter versehentlich auf einen bösartigen Link in einer Phishing-E-Mail klickt. Mithilfe einer Analyse von Angriffskampagnen identifiziert diese Lösung betroffene Geräte, Köder, die zuvor bei anderen Angriffen verwendet wurden, und führt eine Echtzeitüberwachung für diese Art von Aktivitäten durch.

Umfassende Netzwerkintelligenz

Malware schleicht sich unbemerkt durch das Netzwerk eines Unternehmens, extrahiert Daten und richtet Schaden an. Da sie nicht Teil der IT-Struktur des Unternehmens ist, sind Endpunktsicherheits- und protokollbasierte Lösungen bei der Erkennung von Angriffen nahezu nutzlos.

NDR hingegen basiert auf KI und maschinellem Lernen und ist mit einer umfangreichen Datenbank verbunden, in der alle identifizierten Bedrohungen gespeichert sind. Dank dieser Funktionen werden verdächtige Geräte oder Datenverkehr, die auf das Vorhandensein von Malware hindeuten könnten, sofort erkannt.

Worauf Sie bei einer NDR-Lösung achten sollten

Kontextbezogene netzweite Sichtbarkeit

Ohne kontextbezogene netzwerkweite Sichtbarkeit sind Sicherheitsteams im Grunde blind. NDR-Lösungen müssen einen umfassenden Einblick in alle Unternehmensgeräte, Entitäten und den Netzwerkverkehr bieten.

Sie müssen den gesamten Datenverkehr in Echtzeit überwachen und analysieren und nicht nur den Datenverkehr überwachen und analysieren, der in die Umgebung eintritt und sie verlässt, sondern auch den gesamten Datenverkehr, der sich seitlich im Netzwerk bewegt.

Der Einsatz eines NDR-Tools mit kontextbezogener Transparenz liefert ein vollständiges Bild der Netzwerkaktivitäten. Sicherheitsteams können sehen, welche Benutzer sich in ihrem Netzwerk befinden, mit welchen Geräten sie interagieren, von wo aus sie auf das Netzwerk zugreifen und welche Art von Daten sie austauschen.

Dank dieser Transparenz können sie nicht nur Bedrohungen erkennen, sondern auch feststellen, woher die Bedrohungen kommen, wohin sie sich ausgebreitet haben und welche Benutzer gefährdet sind. Sie liefert auch andere nützliche forensische Informationen wie den Standort eines Benutzers, den Gerätetyp, Zeitstempel von Ereignissen und vieles mehr.

Da Unternehmen zu einer "Cloud-first"-Strategie übergehen, sollten NDR-Lösungen auch Sichtbarkeit in Multi-Cloud-Umgebungen bieten.

Verhaltensbasierte, nicht signaturbasierte Erkennungstechniken

Nicht-signaturbasierte, fortschrittliche Analysetechniken, wie maschinelles Lernen und Verhaltensmodellierung, schaffen eine Grundlage dafür, wie normale Netzwerkaktivitäten aussehen.

NDR-Tools sollten in der Lage sein, verdächtigen Datenverkehr, der vom normalen Bereich abweicht und von herkömmlichen signaturbasierten Tools übersehen wird, schnell zu identifizieren und entsprechende Warnungen auszugeben.

Dies ist beispielsweise der Fall, wenn ein Angreifer verlorene oder gestohlene Anmeldeinformationen verwendet, um sich Zugang zu verschaffen, oder wenn ein böswilliger Mitarbeiter sensible Daten hortet und/oder exfiltriert.

Wie Sie eine NDR-Lösung auswählen

Suchen Sie nach einer NDR-Lösung, die netzwerkweite Transparenz bietet. Die Sichtbarkeit des gesamten Netzwerkverkehrs bedeutet, dass IT-Teams in der Lage sind, Bedrohungen mit größerer Genauigkeit zu analysieren und zu überwachen, und die automatisierten Sicherheitsfunktionen verringern die Anzahl der falsch-positiven Warnungen, mit denen sich IT-Teams auseinandersetzen müssen.

Je schneller der Datenverkehr überwacht und analysiert wird, desto geringer ist die Wahrscheinlichkeit, dass sich Malware durch das Netzwerk bewegt. Da viele Branchen bei der digitalen Transformation und der Netzwerksicherheit einen Cloud-first-Ansatz verfolgen, sollten Sie nach einer NDR-Lösung suchen, die Cloud-fähig ist und in Multi-Cloud-Umgebungen eingesetzt werden kann.

Wie Sie wissen, ob Sie eine NDR-Lösung benötigen

Sicherheitsteams, die mit einer einzigen Lösung Einblick in On-Premise-, Remote- und Cloud-Umgebungen haben möchten, sollten NDR in Betracht ziehen. NDR ist die beste Lösung, um Ihrem Team einen vollständigen Einblick in Ihr Netzwerk zu verschaffen und es davon abzuhalten, sich über das zu sorgen, was es nicht sehen kann.

Wenn Sie bereits ein (SIEM) und ein Endpoint Detection and Response (EDR) Tool im Einsatz haben, fragen Sie sich vielleicht, ob Sie eine NDR-Lösung benötigen. Gartner schlägt vor, dass Sicherheitsteams alle drei Tools einsetzen, um ein Security Operations Center (SOC) Sichtbarkeitstrias zu schaffen, das einen proaktiven Ansatz bietet, um die Wahrscheinlichkeit zu verringern, dass ein Bedrohungsakteur lange genug in Ihrem Netzwerk bleibt, um das zu bekommen, was er sucht.

NDR ist auch eine ideale Lösung, wenn Ihr Team in einer Umgebung mit Internet of Things (IoT)- und Operational Technology (OT)- oder Industrial Control Systems (ICS)-Geräten arbeitet, in der Sie keine Agenten für endpunktbasierte Erkennung installieren können. Beispielsweise können Unternehmen mit SCADA-Systemen (Supervisory Control and Data Acquisition) NDR verwenden, um den Datenverkehr zwischen Geräten zu überwachen und zu prüfen und bei Protokollen zu warnen, die selten gesehen werden.

 


Gerne stellen wir Ihnen unsere NDR-Lösungen in einem persönlichen Gespräch vor.