IT Security Teams stehen in Anbetracht der zahlreichen und fortschrittlichen Cyberbedrohungen vor der Herausforderung, für Unternehmen eine aktive, schnelle und umfassende Cyber Detection & Response sicherzustellen. Network Detection & Response (NDR) spielt hierbei eine entscheidende Rolle für zuverlässige und effektive Bedrohungserkennung.
Um dieses Ziel zu erreichen, kommen unterschiedlichste „Threat Detection and Response“ Tools in Frage, die das Ziel haben, stattfindende Angriffsaktivitäten zeitnah aufzuspüren, zu melden und somit die Cyber Resilience umfassend und nachhaltig zu erhöhen. Network Detection & Response (NDR) spielt hierbei eine maßgebliche Rolle und sollte – ergänzt um weitere Services – einen festen Platz in der Cyber Defense Strategie von Unternehmen einnehmen.
Mit dem netzwerkbezogenen Sicherheitsansatz Network Detection and Response (NDR) kann der gesamte Datenverkehr eines Unternehmens kontinuierlich überwacht und analysiert werden – basierend auf statischen Regeln, Machine Learning und Threat Intelligence. Die Lösung bezieht dabei sowohl den gesamten internen Datenverkehr als auch die externe Kommunikation ein, berücksichtigt also Quellen wie beispielsweise Client- und Serversysteme, Netzwerkkomponenten, aber auch IoT-Sensoren oder OT-Geräte. Das somit erreichte tiefgehende Verständnis des normalen Netzwerkverhaltens führt zu einer zuverlässigen und schnellen Identifizierung von Anomalien.
Die 6 wichtigsten Merkmale von NDR sind:
- Überwachung von Netzwerkverkehr: Eine NDR-Lösung überwacht und analysiert den Netzwerkverkehr hinsichtlich potenzieller Bedrohungen. Dies kann durch die Verwendung von Technologien wie Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) erfolgen.
- Verhaltensanalyse: Eine NDR-Lösung verwendet Machine Learning-Algorithmen, um das verhaltensmäßige Muster des Netzwerkverkehrs zu analysieren und Anomalien zu erkennen, die auf eine mögliche Bedrohung hinweisen können.
- Automatische Reaktion: Eine NDR-Lösung kann automatisch auf erkannte Bedrohungen reagieren, indem sie z.B. Netzwerkverbindungen trennt oder Regeln im Firewall-System implementiert.
- Integritätsschutz: Eine NDR-Lösung kann auch dafür sorgen, dass die Integrität des Netzwerks durch Überwachung von Änderungen an Konfigurationen und durch Überwachung von unbefugten Zugriffen auf Netzwerkressourcen gewahrt wird.
- Berichterstattung und Forensik: Eine NDR-Lösung bietet die Möglichkeit, detaillierte Berichte und Forensik-Daten zu erstellen, die bei der Untersuchung von Sicherheitsvorfällen und bei der Identifizierung von Angreifern hilfreich sind.
Um jedoch eine effektive, nachhaltige und zuverlässige Bedrohungserkennung realisieren zu können, bedarf es des Zusammenspiels von NDR mit weiteren Lösungen.
Netzwerkbedrohungen erkennen und gezielt darauf reagieren
Durch die systematische, automatisierte Überwachung des Datenverkehrs und des Netzwerkverhaltens lernen NDR-Lösungen das „normale Verhalten“. Treten von diesem gelernten Verhalten abweichende Muster auf, wie beispielsweise verdächtige Zugriffe auf Systeme oder Datenexfiltrationen, wird durch die NDR-Lösung automatisiert ein Alarm ausgelöst.
Idealerweise sollten die Alarme zentral gesammelt werden, beispielsweise in einem SIEM-System (Security Information and Event Management) und mit weiteren Daten, beispielsweise von einer EDR-Lösung (Endpoint Detection and Response), korreliert werden. Mithilfe des SIEM kann der Cyber Defense Analyst auftretende Unregelmäßigkeiten zentral und effizient analysieren und falls nötig gezielt darauf reagieren. Von Vorteil ist hierbei die Unterstützung durch ein SOAR-System (Security Orchestration Automation and Response).
Die Folge des Zusammenspiels dieser Detection & Response Lösungen ist ein deutlich verbessertes IT-Sicherheitsniveau für Unternehmen, durch das erreicht werden kann, dass selbst hochentwickelte Cyberangriffe so frühzeitig identifiziert und abgewehrt werden können.
So kann NDR das SIEM unterstützen
Sowohl NDR als auch SIEM sammeln und teilen Informationen und arbeiten auf dieser Basis mit dem übergreifenden Ziel zusammen, Bedrohungen zu erkennen, zu verifizieren und darauf zu reagieren.
Nach der Identifizierung eines Angriffs kann eine NDR-Lösung automatisch reagieren, indem es die betroffenen Geräte isoliert, um die Ausbreitung des Angriffs zu verhindern und die betroffenen Bereiche zu bereinigen. Des Weiteren stellt die NDR-Lösung alle gesammelten Informationen dem SIEM-System zur Verfügung.
Im Einzelnen unterstützt NDR das SIEM durch:
- Erfassung und Analyse von Verbindungsdaten aus dem Netzwerkverkehr
- Bereitstellung einer unveränderlichen Datenquelle
- Optimierung von vollständigen, umfassenden Berichten
- Abdeckung von Protokolllücken
- Protokollanalysen sowie Aggregation und Erkennen verhaltensbedingter Bedrohungen