Was ist Network Detection and Response (NDR)?

Vereinfacht ausgedrückt ist Network Detection and Response (NDR) eine Cyber Security Lösung, die den Netzwerkverkehr eines Unternehmens in Echtzeit und kontinuierlich überwacht und analysiert, um sowohl Malware als auch bösartige Aktivitäten im Netzwerk zu erkennen und darauf zu reagieren.

 Check out our infographic on NDR:

NDR ergänzt seit langem etablierte Cybersicherheitsösungen wie Netzwerk-Firewalls und Intrusion-Prevention-Systeme (IPS), die bekannte oder signaturbasierte Malware und bösartigen Datenverkehr am Eindringen in das interne Netzwerk hindern. NDR ermöglicht die Erkennung unbekannter, nicht signaturbasierter Malware und Bedrohungen, die bereits ins Netzwerk eingedrungen sind. NDR nutzt außerdem fortschrittliche technische Fähigkeiten wie eine Verhaltensanalyse, künstliche Intelligenz (KI) und maschinelles Lernen, um eine tiefgreifende Analyse des Netzwerkverkehrs durchzuführen. Damit werden versteckte anomale Aktivitäten, hinter denen sich bösartiges Verhalten verbergen kann, erkennt und in einen Kontext gestellt.

Die Entstehung von NDR

Gartner erkannte NDR erstmals im Jahr 2020 als eigenständiges Cyber-Security-Segment mit der Veröffentlichung des Market Guide for Network Detection and Response an. NDR hat in den letzten Jahren stark an Bedeutung gewonnen und entwickelt sich schnell zu einer unverzichtbaren Lösung im Cyber Security Arsenal von Unternehmen.

In der Tat ist NDR eine der drei Säulen der SOC Visibility Triage von Gartner, einem Sicherheitsmodell, das auch Security Information & Event Management (SIEM) und Endpoint Detection & Response (EDR) umfasst. NDR liefert die wichtigen Netzwerkdaten, die die anderen Säulen ergänzen und den Sicherheitsteams einen vollständigen Einblick in die Bedrohungen ermöglichen.

Gartner stellt bei der Veröffentlichung der SOC Visibility Triad fest: "Die zunehmende Komplexität von Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung von und die Reaktion auf Bedrohungen nutzen. Netzwerkbasierte Technologien ermöglichen es technischen Fachleuten, einen schnellen Einblick in die Bedrohungen einer gesamten Umgebung zu erhalten, ohne Agenten einzusetzen."

NDR ist ein Must-Have

NDR ist notwendig, um Unternehmen vor immer gefährlicheren und komlexeren Cyber-Bedrohungen sowie einer stetig größer werdenden Angriffsfläche zu schützen.

Ausgefeilte Cyber-Bedrohungen

Ein großer Teil der heutigen Cyberangriffe geht von unbekannter Malware aus. Da täglich mehr als 500.000 neue Malware und Malware-Varianten erstellt werden, ist es unmöglich, jede neue Malware zu identifizieren, bevor sie eingesetzt wird.

Darüber hinaus werden bei modernen Cyberangriffen immer komplexere Taktiken und Techniken angewandt. Anstatt die Malware direkt auf den Computer des Opfers zu bringen, werden Cyberangriffe in komplizierten Phasen durchgeführt, die sich über Wochen oder Monate erstrecken können. Bei diesen Angriffen, die als Advanced Persistent Threats (APT) bezeichnet werden, nutzen die Angreifer in der Regel legitime Tools, Prozesse und Anmeldeinformationen, um sich der Erkennung zu entziehen, ihre Rechte zu erweitern und sich im Netzwerk zu verbreiten. Sobald das Ziel des Angreifers erreicht wird, ist es zu diesem Zeitpunkt für die Sicherheitsabwehr des Unternehmens in der Regel zu spät, um zu reagieren. Ein Paradebeispiel für einen solchen Angriff ist der Angriff auf die Lieferkette von SolarWinds, der die Welt im Jahr 2020 erschütterte.

Eine gute Analogie für einen modernen, nicht signaturbasierten Cyberangriff ist die Einschleusung eines Maulwurfs durch die Polizei in eine kriminelle Organisation. Der Maulwurf gibt vor, sich unter die Bande zu mischen, während er heimlich Informationen sammelt. In dem Maße, wie der Maulwurf mehr Vertrauen gewinnt und sich zu höheren Positionen in der Bande hocharbeitet, sammelt er schließlich genügend Beweise, um die Galionsfigur der Organisation zu belasten. Der Maulwurf ist so gut getarnt, und seine Aktivitäten werden so heimlich durchgeführt, dass er während der gesamten Operation unentdeckt bleibt.

Was die kriminelle Organisation in dieser Analogie wirklich braucht, ist die vollständige Transparenz jeder einzelnen Aktion des Maulwurfs. Dazu wird alles, was er sagt gesammelt, um ihn auszuschalten, bevor er ernsthaften Schaden anrichten kann. Das ist genau das, wie NDR in Unternehmensnetzwerken vorgeht.

Ausweitung der Angriffsfläche

Die Angriffsfläche bezieht sich auf alle möglichen Einstiegspunkte im Netzwerk für einen unbefugten Zugriff auf ein System. Die Zunahme von Remote-Arbeitsplätzen und die Einführung von Technologien der digitalen Transformation wie Cloud Computing und IoT-Geräte, vergrößern die Angriffsfläche für Unternehmensnetzwerke und erhöhen damit das Risiko eines Angriffs.

Remote Network Access: Fernarbeit hat die Anforderungen an den Fernzugriff und damit die Bedrohung für Unternehmensnetzwerke erhöht. Persönliche Computer und Geräte, die Mitarbeiter für den Zugriff auf das interne Netzwerk verwenden, wurden möglicherweise nicht streng geprüft, um sicherzustellen, ob sie sauber und frei von Malware sind. Erschwerend kommt hinzu, dass die Mitarbeiter VPNs und Anwendungen zur Umgehung von Proxys nutzen, mit denen die schwachen Fernzugriffsrichtlinien eines Unternehmens umgangen werden können. Angreifer können leicht in das Netzwerk eines Unternehmens eindringen, indem sie das Gerät eines entfernten Users z.B. durch einen Phishing Angriff infizieren.

Das Internet der Dinge (IoT) und BYOD: Immer mehr Unternehmen binden IoT-Geräte in ihre Netzwerke ein, die von Netzwerkdruckern und intelligenten Thermostaten bis hin zu Fernüberwachungssystemen für das Gesundheitswesen reichen. Durch diese mit dem Netzwerk verbundenen Geräte erschlossen sich neue Möglichkeiten und die Effizienz und die Produktivität von Unternehmen wurden gesteigert. Jedoch stellen sie auch ein erhebliches Risiko für Unternehmensnetzwerke dar. Vielen dieser Geräte mangelt es an nativen Sicherheitsfunktionen und diese bieten somit Bedrohungsakteuren einen perfekten Einstiegspunkt in das Netzwerk. Darüber hinaus bringen Mitarbeiter und Auftragnehmer häufig ihre eigenen Mobil- und Computergeräte in das Unternehmensnetzwerk ein. Die meisten IT-Organisationen haben nur sehr wenig Einblick in diese BYODs oder sogar in einige ihrer eigenen IoTs.

Schwachstellen und Zero-Days: Die digitale Transformation ist bereits in vollem Gange und Unternehmen stehen unter enormem Druck, Anwendungen bereitzustellen, die die Bedürfnisse der User erfüllen. App-Entwickler haben daher Features, Funktionalität und die Zeit bis zur Markteinführung über die Sicherheit gestellt. In den letzten Jahren wurden in vielen weit verbreiteten Anwendungen, Diensten und Komponenten wie Microsoft Exchange, Citrix ADC, Ivanti Pulse Connect Secure und Drupal kritische Sicherheitslücken entdeckt. Bedrohungsakteure nutzen das zu ihrem Vorteil aus, um verheerende und weitreichende Angriffe zu starten. Darüber hinaus sind Angreifer ständig auf der Suche nach neuen Schwachstellen, um unbekannte Zero-Day-Angriffe zu starten.

Angriffe werden durchsickern

Was macht NDR einzigartig?

Der NDR ist einzigartig, weil er einen völlig neuen Ansatz der Cyber Security verfolgt. Während herkömmliche Sicherheitslösungen, wie z. B. Netzwerk-Firewalls und IPS, darauf ausgelegt sind, einen Einbruch in das Netzwerk zu verhindern, geht NDR davon aus, dass bereits ein Eindringen in das Netzwerk stattgefunden hat und dass sich die Angreifer bereits im Netzwerk des Unternehmens befinden.

Einige fortgeschrittene Kunden würden einen protokollbasierten Ansatz wie SIEM in Betracht ziehen. Dieser stützt sich jedoch nur auf die von bestehenden Informationsquellen erfassten Protokolle und ist daher nur begrenzt geeignet, den gesamten Netzwerkverkehr und sein Verhalten zu verstehen.

Erinnern Sie sich daran, dass keine Organisation eine 100%ige Präfention gegen Cyber Threats erreichen kann? Der NDR unterstützt diesen Fakt und verfolgt einen proaktiven Ansatz bei der Suche nach Bedrohungen und der Reaktion auf diese Bedrohungen.

Das Paket ist der Schlüssel

Es gibt keinen besseren Ort für die Suche nach versteckten Bedrohungen als die Netzwerkebene. Außer in dem äußerst unwahrscheinlichen Fall, dass ein Angreifer direkt auf ein Ziel stößt, das alle seine Ziele in der allerersten Phase eines Angriffs erfüllt, erzeugen alle böswilligen Aktivitäten, wie klein und gut getarnt sie auch sein mögen, Netzwerkverkehr und Kommunikation. Sobald der Datenverkehr generiert ist, kann er analysiert werden, und jede Aktivität, die von den Basismodellen abweicht, wird in einen Kontext zueinander gestellt. Verdächtige Aktivitäten werden markiert. Anschließend können sie entweder automatisch oder manuell untersucht werden und darauf reagiert werden. Ein weiterer Vorteil von NDR besteht darin, dass Angreifer im Gegensatz zu anderen Sicherheitsmaßnahmen nicht unbedingt wissen, dass ihre Aktivitäten überwacht werden, was sie daran hindert, Ausweichmanöver zu unternehmen, und die Erkennung ihrer Aktivitäten zu verbessern.

Vollständige Netzwerktransparenz

Da NDR den Datenverkehr von den Core-Switches übernimmt, bietet es zwei einzigartige Anwendungsfälle. Erstens kann NDR neue oder unbekannte Geräte in seinem Netzwerk erkennen. Zweitens sieht es viel mehr Datenverkehr, z. B. seitwärts gerichteten Datenverkehr. Wenn ein entfernter User seinen kompromittierten Laptop in das Netzwerk einbringt, würde die Malware beginnen, all Ihre internen Ressourcen anzugreifen.

Um auf die vorherige Analogie zurückzukommen. NDR ist so etwas wie eine versteckte Überwachungskamera, die überall in den Räumlichkeiten der Bande installiert ist. Die Kameras können jede Aktion des Maulwurfs und alles, was er sagt, überwachen. Bei einer solchen Sichtbarkeit werden sie mit Sicherheit Verdacht schöpfen und der Maulwurf wird in kürzester Zeit entdeckt werden.

Wie funktioniert NDR?

Der NDR setzt mehrere Spitzentechnologien ein, um seine Erkennungs- und Reaktionsfähigkeiten zu verbessern, darunter maschinelles Lernen, Verhaltensanalyse, künstliche Intelligenz, Datenentschlüsselung, Bedrohungsintelligenz und die Korrelation von Sicherheitsgeräten.

Kerndetektionsfähigkeiten

Maschinelles Lernen: Maschinelles Lernen (ML) ist die grundlegende Technologie, die dem NDR zugrunde liegt. Da immer mehr Netzwerkverkehr analysiert wird, optimiert ML dynamisch die Basismodelle für normale Netzwerkaktivitäten von Usern, Anwendungen usw. ML verleiht NDR ein Gedächtnis für alle Netzwerkaktivitäten, das die Korrelation von früherem und Echtzeit-Datenverkehr ermöglicht, um anomale Ereignisse in den richtigen Kontext zu setzen.

Verhaltensanalyse + KI: Der aus dem Netzwerk abgerufene Datenverkehr wird mit KI-gestützter Verhaltensanalyse analysiert, um anomale Aktivitäten in Ihrem Netzwerk zu erkennen. Die Verhaltensanalyse stellt Querverweise zu früheren und Echtzeitdaten her, um scheinbar unverdächtige Ereignisse zu korrelieren. Mithilfe der Verhaltensanalyse identifiziert NDR Signale, die auf User-Aktionen hinweisen, die von Mustern abweichen, wie z. B. Standort oder Namenskonventionen, und untersucht Aktivitäten, Apps und abgerufene Dateien, um Bedrohungen zu identifizieren.

Entschlüsselung des Datenverkehrs: Der Großteil des Netzwerkverkehrs wird heute aus Datenschutzgründen verschlüsselt. Der verschlüsselte Datenverkehr bietet Angreifern jedoch die perfekte Tarnung, um ihre Aktivitäten zu verbergen, z. B. C2-Kommunikation und Datenexfiltration. Ohne die Möglichkeit, verschlüsselten Datenverkehr zu untersuchen, sind herkömmliche Sicherheitslösungen blind für alle bösartigen Aktivitäten, die sich im Datenverkehr verstecken. NDR-Lösungen hingegen verfügen über integrierte Funktionen zur Entschlüsselung des Datenverkehrs und ermöglichen eine vollständige Transparenz des Datenverkehrs und der darin verborgenen bösartigen Aktivitäten.

Threat Intelligence: NDR integriert Threat Intelligence-Feeds der neuesten Cyber Security Threats, um eine zusätzliche Kontextualisierung und Priorisierung der erkannten Netzwerkanomalien zu ermöglichen.  

Core Response Capabilities

Verlauf der Bedrohung: NDR ist nicht nur in der Lage, Bedrohungen zu erkennen, sondern auch einen vollständigen Einblick in die Bedrohungshistorie zu geben. Das bedeutet, dass in einer Zeitachse alle bösartigen Aktivitäten der gesamten Cyber-Kill-Chain dargestellt werden. In diesem Fall sind die Sicherheitsteams in der Lage, bei der Reaktion auf einen Vorfall eine Vielzahl von Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten: Was hat die Anlage oder das Konto vor der Warnung getan? Was hat es nach der Warnung getan? Wann ist die Situation eskaliert? Auf diese Weise verschafft NDR den Sicherheitsteams das nötige Wissen, um schnell zu reagieren und Abhilfe schaffen zu können.

Korrelation der Lösungen: NDR funktioniert nicht nur als eigenständige Lösung, sondern korreliert auch mit anderen Cybersicherheitslösungen, um die Erkennungs- und Reaktionsmöglichkeiten zu verbessern. So kann NDR beispielsweise mit der Netzwerk-Firewall kommunizieren, um IP-Adressen zu blockieren, die als bösartig eingestuft wurden. NDR kann auch in SOAR (Security Orchestration, Automation & Response) integriert werden, um automatisierte Reaktionsmaßnahmen zu ergreifen, sobald Regeln in vorkonfigurierten SOAR-Playbooks ausgelöst werden.

Umsetzung in der Praxis: Nutzen von NDR für Unternehmen

NDR ist also eine hervorragende Lösung zur Erkennung von und Reaktion auf Netzwerkbedrohungen. Doch wie lässt sich dies mit den Unternehmenszielen in Einklang bringen und in ein praktischer Nutzen für Unternehmen daraus schaffen?

Verhindern Sie schädliche Verluste: Cyberangriffe haben das Potenzial, Unternehmen und Organisationen großen Schaden zuzufügen. Diese reichen von kostspieligen Datenverlusten oder Datenlecks über hohe Lösegeldzahlungen für Ransomware-Angriffe bis hin zu teuren Geschäftsausfällen und erheblichen Imageschäden. NDR sucht aktiv nach versteckten Bedrohungen im Netzwerk, die von anderen Sicherheitslösungen übersehen werden, und ermöglicht so eine schnellere Erkennung von Bedrohungen, bevor sie erhebliche Verluste und Störungen verursachen.

Rationalisierung der Sicherheitsabläufe: Andere Sicherheitslösungen produzieren entweder zu viele Fehlalarme oder erfordern umfangreiche manuelle Untersuchungen, so dass IT-/Sicherheitsteams unter Alarmmüdigkeit leiden oder mit der Arbeitslast überfordert sind. Dies führt nicht nur zu geringer Arbeitsfreude, sondern hemmt auch die Innovation. NDR hilft bei der Rationalisierung der Bedrohungsuntersuchung mit kontextbezogenen Warnungen und einer effizienten Reaktion auf Vorfälle durch die vollständige Transparenz der Bedrohungen, einschließlich einer Zeitleiste der Aktivitäten, die den Eintrittspunkt, die kompromittierten Hosts, die Ausbreitungspfade usw. anzeigt.

Die digitale Transformation erfolgreich meistern: Die meisten Unternehmen hatten bei der Einführung von Cloud Computing keine klare Cloud-Strategie. Durch die einfache Untersuchung von und Reaktion auf Threat Alerts haben IT-Teams mehr Freiheit, innovative IT-Initiativen zu planen und zu starten, die einen praktischen Nutzen für das gesamte Unternehmen schaffen.

Mehr Mut zur digitalen Transformation:   Sicherheitsbedenken können Unternehmen davon abhalten, mutige und transformative Initiativen zur digitalen Transformation in Angriff zu nehmen. Zum Beispiel könnten Unternehmen davon absehen, in IoT-Geräte zu investieren, die die geschäftliche Effizienz und Produktivität steigern, weil sie nicht über die entsprechenden Sicherheitsfunktionen verfügen. Mit der Fähigkeit, jeglichen anomalen Datenverkehr zu erkennen, auch von und zu IoT-Geräten, ermöglicht es NDR den Führungskräften, ihre digitale Transformation mit der Gewissheit voranzutreiben, dass ihre Systeme geschützt sind.