Was ist NDR?
Gartner Market Guide für Network Detection and Response (NDR)
In aktuellen Gartner®-Berichten zu Network Detection and Response (NDR) stellt Gartner fest, dass OT- und IT-Umgebungen …
Erleben Sie KI-gestützte Sicherheit in Aktion!
Entdecken Sie Stellar Cybers hochmoderne KI zur sofortigen Erkennung und Reaktion auf Bedrohungen. Planen Sie noch heute Ihre Demo!
Wie funktioniert NDR?
Ihr Netzwerk ist das zentrale Nervensystem Ihrer gesamten Organisation. Unabhängig davon, ob Sie ausschließlich „on-metal“ eingesetzt werden, ohne Präsenz in der Cloud, oder sich „All-In“ für einen Cloud-Anbieter entschieden haben, ermöglicht das Netzwerk eine wichtige Kommunikation von einem Geschäftszentrum zum anderen. Früher ging man davon aus, dass der Einsatz einer Firewall ausreichende Sicherheit für ein Netzwerk bietet. Allerdings führten die Anbieter neue Sicherheitskontrollen ein, um das Netzwerk zu schützen und die Weiterentwicklung der Angriffsmethoden zu bekämpfen. Intrusion-Detection- oder Intrusion-Prevention-Systeme verbesserten die Fähigkeit der Firewall, erfolgreiche Cyberangriffe zu verhindern. Angesichts der Abhängigkeit von bekannten Netzwerksignaturen von Angriffen wurden die meisten IDS/IPS-Produkte für Angreifer kaum mehr als ein Ärgernis, wenn Angreifer ihre Taktik auch nur geringfügig änderten. bewältigen."
![| Stellarer Cyber Was ist NDR? Der endgültige Leitfaden – Die Entwicklung des NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
Die Entwicklung des NDR
Wie es Sicherheitsanbieter tun, wenn sie mit den sich verändernden Herausforderungen von Angreifern konfrontiert werden, wurde ein neuer Produkttyp mit der Bezeichnung „ Netzwerkverkehrsanalyse (NTA). Wie der Name schon sagt, analysieren NTA-Produkte Inhalte und Kennzahlen des Datenverkehrs zwischen den Vermögenswerten von Organisationen sowie des Datenverkehrs zu und von externen Quellen. Ein Analyst könnte die Details außergewöhnlicher Muster untersuchen, um festzustellen, ob Korrekturmaßnahmen erforderlich sind. Jetzt kommt der NDR ins Spiel. NDR kombiniert die besten IDS/IPS-, NTA- und anderen Netzwerksicherheitsfunktionen in einer einzigen Lösung zum Schutz eines Netzwerks. NDR-Produkte sollen einen ganzheitlichen Überblick über Sicherheitsbedrohungen in Ihrem Netzwerk liefern. Mithilfe einer Kombination aus bekannten bösartigen Netzwerksignaturen, Sicherheitsanalysen und Verhaltensanalysen können NDRs eine schnelle und hochwirksame Erkennung von Bedrohungen ermöglichen. Genauer gesagt können NDR-Produkte nicht nur den Inhalt des Netzwerkverkehrs analysieren, sondern auch anomale Aktivitäten identifizieren, indem sie die Metadaten des Netzwerkverkehrs (Größe/Form des Verkehrs) analysieren. Diese Funktion ist beim Umgang mit verschlüsseltem Datenverkehr von Vorteil, bei dem es für das NDR-Produkt möglicherweise nicht möglich ist, in Echtzeit zu entschlüsseln. Typische NDR-Produkte bieten Erkennungsfunktionen und die Fähigkeit, auf eine potenzielle Bedrohung zu reagieren.
Welche Rolle spielt NDR in der Cybersicherheit?
Wie die meisten Cybersicherheitsexperten zustimmen würden, berühren die meisten Angriffe das Netzwerk auf die eine oder andere Weise. Aktuelle Studien deuten darauf hin, dass 99 % der erfolgreichen Angriffe im Netzwerkverkehr erkannt werden können, von denen viele identifiziert und entschärft werden könnten, bevor der Angreifer seine Nutzlasten einsetzt. Moderne Netzwerkschutzlösungen machen den Schutz von Netzwerken für jeden Sicherheitsexperten viel einfacher, da ihre Funktionen benutzerfreundlich sind. In Verbindung mit der Zunahme automatisierter Funktionen, die in den meisten Lösungen enthalten sind, ist die Identifizierung von Bedrohungen in einem Netzwerk jetzt einfacher als je zuvor. Für die meisten Sicherheitsteams gilt dies auch für diejenigen, denen es an Netzwerkkenntnissen mangelt Bereitstellung einer NDR-Lösung in ihrem Sicherheitsstapel und beginnen, Bedrohungen zu identifizieren, während sie sich zwischen Netzwerkressourcen und in das Netzwerk hinein und aus diesem heraus bewegen, ohne dass ein menschliches Eingreifen erforderlich ist. Durch die Einbeziehung eines NDR in einen Sicherheits-Stack können Sicherheitsteams auch enorme strategische und taktische Vorteile erzielen, die über die bloße Identifizierung von Bedrohungen im Netzwerk hinausgehen.
Verteidigung in der Tiefe
Austausch von Informationen
Sobald die Bedrohungen erkannt werden, können diese Informationen problemlos an eine SIEM- oder XDR-Plattform weitergegeben werden, um sie mit anderen Bedrohungen zu korrelieren, von denen einige möglicherweise als schwaches Signal angesehen werden. Da ein ständiger Strom von Netzwerkbedrohungen nun mit anderen sicherheitsrelevanten Daten analysiert wird, profitieren Sicherheitsteams von einer ganzheitlicheren Sicht auf Bedrohungen in ihren gesamten Netzwerkumgebungen. Beispielsweise kommt es häufig vor, dass Angreifer Multi-Vektor-Angriffe gegen ihre Ziele durchführen, indem sie beispielsweise eine Phishing-E-Mail-Kampagne gegen mehrere Mitarbeiter starten und gleichzeitig versuchen, eine bekannte Schwachstelle auszunutzen, die irgendwo im Netzwerk entdeckt wurde. Wenn sie separat untersucht werden, haben sie möglicherweise eine niedrigere Priorität, als wenn sie als Teil eines gezielten Angriffs betrachtet werden. Wenn NDR in Verbindung mit einem XDR vorhanden ist, werden diese Angriffe nicht mehr isoliert untersucht. Stattdessen können sie mit relevanten Kontextinformationen korreliert und ergänzt werden, wodurch die Feststellung, dass sie miteinander in Zusammenhang stehen, erheblich erleichtert wird. Dieser zusätzliche Schritt, der in den meisten Fällen automatisch erfolgen kann, führt dazu, dass Sicherheitsanalysten ohne größeren Aufwand produktiver und effizienter werden. Weitere Informationen zu den strategischen Vorteilen von NDR finden Sie im NDR-Käuferratgeber.
Wie vergleicht sich NDR mit EDR und XDR?
NDR-Anforderungen
- NDR-Produkte müssen Informationen zum Netzwerkverkehr in Echtzeit sammeln und die gesammelten Daten speichern, um eine automatisierte Analyse zu ermöglichen.
- NDR-Produkte müssen in der Lage sein, gesammelte Daten zu normalisieren und mit kontextrelevanten Informationen anzureichern, um eine umfassende Analyse zu ermöglichen
- NDR-Produkte Außerdem muss eine Basislinie für den regulären Netzwerkverkehr erstellt werden, in der Regel mithilfe von Algorithmen für maschinelles Lernen. Sobald die Basislinie festgelegt ist, sollte das NDR-Produkt schnell Fälle aufdecken, in denen der beobachtete Netzwerkverkehr außerhalb der typischen Verkehrsmuster liegt, und Sicherheitsanalysten in Echtzeit über die Anomalie informieren.
- NDR-Produkte sollte sowohl lokale als auch Cloud-Assets abdecken.
- NDR-Produkte sollte daran arbeiten, verwandte Warnungen in umsetzbaren Untersuchungsbereichen zusammenzufassen, sodass Sicherheitsanalysten 1) das Ausmaß eines Angriffs leicht verstehen und 2) Gegenmaßnahmen ergreifen können
- NDR-Produkte muss ein automatisiertes Mittel bereitstellen, um geeignete Reaktionsmaßnahmen zu ergreifen, wenn diese aufgrund der Art und des Umfangs eines Angriffs als notwendig erachtet werden
EDR-Anforderungen
- EDR-Produkte Sie müssen Sicherheitsteams die Möglichkeit geben, Endpunktdaten in Echtzeit zu sammeln und zu analysieren. In der Regel wird dies über einen einsetzbaren Endpunkt-Agenten bereitgestellt, der problemlos über das vom Unternehmen bevorzugte Tool verteilt werden kann. Diese Endpunktagenten sollten zentral verwaltet und einfach aktualisiert werden können, ohne dass das Gerät neu gestartet werden muss.
- EDR-Produkte sollten in der Lage sein, Anwendungen und Dienste in Echtzeit zu analysieren, um potenziell schädliche Dateien und Dienste auszurotten. Wenn verdächtige Dateien und Dienste entdeckt werden, sollte es möglich sein, sie automatisch unter Quarantäne zu stellen.
- EDR-Produkte sollte eine anpassbare Korrelationsregel-Engine enthalten, mit der Sicherheitsteams entweder einen Satz öffentlich verfügbarer Korrelationsregeln hochladen oder ihre eigenen Regeln von Grund auf erstellen können. Diese Regeln sollten die Möglichkeit umfassen, eine Bedrohung zu erkennen und bei Bedarf eine automatisierte Reaktion einzuleiten.
- EDR-Produkte müssen aus Datensicht einfach in ein anderes Sicherheitsprodukt wie eine SIEM- oder XDR-Plattform integriert werden können, damit die gesammelten umfangreichen Daten im Kontext anderer sicherheitsrelevanter Informationen analysiert werden können.
- EDR-Produkte sollte Bereitstellungen auf Microsoft Windows-Geräten und verschiedenen Varianten von Linux-Geräten unterstützen.
- Modernes EDR Produkte können auch auf bestimmten cloudbasierten Plattformen und anderen cloudbasierten Anwendungen wie Microsoft Office 365 bereitgestellt werden.
XDR-Anforderungen
Erweiterte Erkennung und Reaktion (XDR) Produkte sind eine der neuesten Technologien auf dem Markt und entstanden aus dem Bedürfnis heraus, schlanken Sicherheitsteams die Bereitstellung kontinuierlicher Sicherheitsergebnisse im gesamten Unternehmen zu erleichtern. XDR-Produkte müssen die folgenden Funktionen umfassen, um die Vorteile zu bieten, die die meisten Sicherheitsteams erwarten.
- XDR-Produkte muss Daten aus jeder verfügbaren Datenquelle aufnehmen. Zu diesen Daten können gehören: 1) Warnungen von allen bereitgestellten Sicherheitskontrollen, 2) Protokolldaten von allen von einer Organisation genutzten Diensten, wie etwa die vom Identitätsmanagementsystem der Organisation erstellten Protokolle, und 3) Protokoll- und aktivitätsbezogene Informationen aus jeder Cloud Umgebung und Anwendung, beispielsweise Aktivitätsinformationen, die von einer Cloud Access Security Broker (CASB)-Lösung gesammelt werden.
- XDR-Produkte sollte idealerweise alle gesammelten Daten normalisieren, um eine umfassende Analyse im großen Maßstab zu ermöglichen.
- XDR-Produkte sollten maschinelles Lernen und künstliche Intelligenz (KI) nutzen, um scheinbar unterschiedliche, voneinander unabhängige Warn- und Aktivitätsdaten zu leicht untersuchbaren Sicherheitsvorfällen/-fällen zu korrelieren.
- XDR-Produkte sollte alle gesammelten Daten automatisch mit wichtigen Informationen kontextualisieren, damit Sicherheitsanalysten ihre Untersuchungen schnell abschließen können.
- XDR-Produkte sollten die Bemühungen von Sicherheitsanalysten lenken, indem sie vermutete Sicherheitsvorfälle nach ihren potenziellen Auswirkungen auf die Organisation priorisieren.
- XDR-Produkte sollte eine automatisierte Reaktionsfähigkeit bieten, die ohne menschliches Eingreifen basierend auf der Schwere/Auswirkung einer potenziellen Bedrohung eingeleitet werden kann.
Zusammenfassend lässt sich sagen, dass sowohl NDR- als auch EDR-Produkte letztendlich Eingaben in eine XDR-Plattform sind, die es Sicherheitsanalysten ermöglicht, Cybersicherheitsuntersuchungen schneller und effektiver als je zuvor durchzuführen.
Häufige NDR-Anwendungsfälle
Seitliche Bewegung
Indem sie sich über das Netzwerk bewegen, könnten sie auch eine anfällige Anwendung oder einen anfälligen Dienst identifizieren, der es ihnen ermöglicht, später eine „Hintertür“ zu öffnen, um nach Belieben wieder in die Umgebung einzudringen. Um die Persistenz in einer Umgebung aufrechtzuerhalten, versuchen viele Angreifer außerdem, die Privilegien eines kompromittierten Benutzerkontos auf Administratorrechte auszuweiten, wodurch sie freie Hand haben, Änderungen an der Umgebung vorzunehmen, möglicherweise bestimmte Sicherheitsfunktionen zu deaktivieren und Protokolle zu löschen könnten Brotkrümel hinterlassen, die Sicherheitsteams für den Abschluss ihrer Untersuchungen nutzen können. Mit einem NDR, der die Netzwerkaktivität in Echtzeit überwacht, können Sicherheitsteams verdächtige Aktivitäten zwischen Netzwerkressourcen und ungewöhnliche Verkehrsmuster von ihrem Netzwerk zur Außenwelt schnell erkennen. NDR-Produkte korrelieren diese abnormale Aktivität mit Benutzeraktionen, die aufzeigen können, wann sich ein Angreifer frei über seine Netzwerkressourcen bewegt.