Seit Ende Juni ist die WatchGuard-Lösung ThreatSync+ NDR verfügbar. Damit sollen sich auch kleinere Unternehmen professionelle NDR-Funktionalität (Network Detection and Response) leisten können. Wie sieht die Technologie dahinter aus und worin unterscheidet sich ThreatSync+ NDR von bestehenden Angeboten? Die Redaktion hat bei Jonas Spieckermann, Manager Sales Engineering Central Europe, nachgefragt.
Herr Spieckermann, zunächst vorweg: Wozu brauchen Unternehmen NDR?
Jonas Spieckermann: Konkret geht es um den Schutz von On-Premises-Netzwerken. NDR (Network Detection and Response) ist darauf ausgelegt, Bedrohungen aufzuspüren, die den Perimeter-Schutz bereits umgangen haben. Dabei kann es sich um Ransomware handeln, aber auch bisher unentdeckte Sicherheitslücken oder Angriffe auf die Lieferkette lassen sich dank NDR erkennen. Die Notwendigkeit ist offensichtlich: Denn gefühlt bestimmen jede Woche neue Meldungen von erfolgreichen Cyberattacken die Schlagzeilen – und dies, obwohl Unternehmen, die zum Opfer werden, bereits Firewalls sowie irgendeine Form von Endgeräte-Schutz im Einsatz haben.
Angreifer finden also immer wieder Schwachstellen, beispielsweise in Form ungepatchter Software, oder tricksen mit noch ausgefeilteren Methoden die bestehenden Schutzmaßnahmen aus. Genau dann schlägt die Stunde von NDR. ThreatSync+ NDR überwacht die Angriffe, während sie sich im Netz entfalten. Angreifer können das NDR-Tool nicht sehen, aber das NDR-Tool ist dank KI in der Lage, die verborgenen Aktionen der Angreifer im Netzwerkverkehr zu durchschauen. Die Cyberkriminellen können sich bei der Ausweitung ihrer Aktivitäten im Netzwerk nicht länger verstecken.
Worauf wird dabei geachtet?
Jonas Spieckermann: Hinweise auf eine Bedrohung sind beispielsweise Command-and-Control-Kommunikation oder ungewöhnliche Seitwärtsbewegungen im Netzwerk. Aber auch der Versuch von Aufklärungsscans in Netzwerken und Subnetzen, Aktionen zur Datenbereitstellung im Netzwerk, das Einschleusen von Malware und Verschlüsselungspaketen oder Datenabfluss werden von ThreatSync+ NDR aufgedeckt.
Die Firewall sichert also den Perimeter ab und NDR greift ein, wenn dabei was daneben geht?
Jonas Spieckermann: Exakt. Firewalls inspizieren den Datenverkehr und setzen spezifisch definierte Regeln durch. Wenn sie richtig konfiguriert sind, können sie den Port- und Protokollverkehr effektiv verwalten und bekannte Bedrohungen stoppen. Diese Funktionalität wird von ThreatSync+ NDR um eine weitere Intelligenzschicht ergänzt. Die integrierte KI-Engine analysiert sowohl den Netzwerkverkehr von Firewalls als auch die Datenflüsse, die über Router und Switches laufen, tiefgreifend und geht dabei weit über die klassische Inspektion, wie sie eine Firewall durchführt, hinaus.
So erkennt NDR unter anderem stichhaltig Bedrohungen, die sich im Nord-Süd-Datenverkehr des Netzwerkes verbergen oder über offene Ports eindringen – selbst, wenn eine möglicherweise nicht richtig eingerichtete Firewall diese verpasst oder es sich um eine ganz neue Art der Gefahr handelt. Aber auch der Ost-West-Datenverkehr wird akribisch durchleuchtet. Im Zuge dessen wird automatisch auf jedes Detail geachtet, das auf eine kompromittierte Anwendung (z.B. SolarWinds), ein gehacktes Benutzerkonto oder ein infiltriertes Endgerät hindeuten könnte. NDR ist über alle Prozesse und Geräte im Netzwerk im Bilde und schlägt nicht zuletzt Alarm, wenn ein neues Device auftaucht.
Auf diese Weise lässt sich die durchschnittliche Erkennungszeit (Mean Time to Detect, MTTD) im Fall der Fälle drastisch reduzieren. Üblicherweise liegt diese zwischen 15 und 90 Tagen. Im Fall von Ransomware kann es aber schon nach fünf Tagen zu spät sein. Hier spielen NDR-Produkte ihre Stärken aus, indem sie anomalen Datenverkehr zügig verorten und melden. Die Mean Time to Detect sinkt auf wenige Stunden, so dass Angriffe gestoppt werden können, bevor sie Schaden anrichten.
Klingt nach einem essenziellen Baustein im Rahmen verlässlicher IT-Security-Strategien. Warum wird NDR dann nicht von jedem Unternehmen eingesetzt?
Jonas Spieckermann: In großen Unternehmen mit eigenem Security Operations Center (SOC) ist NDR nahezu gang und gäbe. Der Einsatz erfordert dabei üblicherweise komplexe und kostspielige Hardwareinstallationen. Hier liegt der Knackpunkt: In vielen anderen Firmen sind die fachlichen und finanziellen Ressourcen dafür viel zu begrenzt. In genau diese Lücke stoßen wir mit ThreatSync+ NDR. Unsere Lösung wird in der Cloud betrieben und erfordert keinerlei neue Hardware. Somit sind die Kosten für Bereitstellung und Betrieb deutlich geringer. ThreatSync+ NDR ist eine der wenigen NDR-Lösungen, die auch in Unternehmen mit schlanken Budgets und kleinen IT-Teams erfolgreich eingesetzt und betrieben werden können.
Wie funktioniert das?
Jonas Spieckermann: Eine wichtige Kostenschraube ist der Cloud-Ansatz. Darüber hinaus wird einfach bestehende Infrastruktur- und Firewall-Hardware, die sowieso schon auf Unternehmensseite im Einsatz und damit bezahlt ist, vor den Wagen gespannt. Lokale Firewalls, Router und Switches werden so konfiguriert, dass ThreatSync+ NDR in der Lage ist, die Datenströme und Logs sicher zu erfassen. Dabei müssen sich Anwender auch nicht entscheiden, ob der Fokus auf dem auf Firewalls basierenden Nord-Süd-Datenverkehr oder dem zwischen Routern und Switches stattfindenden Ost-West-Traffic liegen soll. Es geht beides gleichzeitig, wobei auch egal ist, von welchem Hersteller die Firewalls, Router und Switches kommen – sofern diese das Netflow- oder Sflow-Protokoll unterstützen.
Wie geht es weiter, wenn die verfügbaren Daten erst einmal eingespeist sind?
Jonas Spieckermann: Dann entfaltet die künstliche Intelligenz Wirkung, um zu unterscheiden, was normal und anomal ist. Im Zusammenspiel mit einer integrierten Policy Engine korreliert die KI die Anomalien und stellt sie als risikobewertete und priorisierte Vorfälle dar. IT-Security-Verantwortliche sind über verschiedene Dashboards hinsichtlich gegenwärtiger Risiken jederzeit im Bilde, aufgeschlüsselt nach Standort, Gerät, Benutzer und Zeitrahmen. Die Leistungsstärke ist dabei wirklich verblüffend: Denn ThreatSync+ NDR ist in der Lage, aus Milliarden von Netzwerkkonversationen die fünf oder sechs kritischen Punkte herauszufiltern, auf denen die vordergründige Aufmerksamkeit liegen sollte, um sein Unternehmen zu schützen. Gleichzeitig erhalten die Verantwortlichen gezielte Hinweise, wie sich die Situation am schnellsten entschärfen lässt.
Damit wird NDR also massentauglich?
Jonas Spieckermann: ThreatSync+ NDR reißt in jedem Fall viele der bisher existierenden Hürden beim NDR-Einsatz ein. Zudem ist die Lösung schnell implementiert. Wenn eine WatchGuard Firebox im Einsatz ist, kann es sofort losgehen, bei Hardwarekomponenten anderer Hersteller dauert es weniger als eine Stunde pro Standort, um die Prozesse in Gang zu bringen. Es wird kein SIEM-System oder SOC vorausgesetzt, ThreatSync+ NDR arbeitet unabhängig davon. Und dank seiner intuitiven Oberfläche können selbst kleinere IT-Teams, in denen nicht nur Cracks sitzen, innerhalb kurzer Zeit souverän damit umgehen.
Herr Spieckermann, vielen Dank für das Gespräch!