Suche
Schließen Sie dieses Suchfeld.

Was ist NDR? Der endgültige Leitfaden

Sicherheitsentscheider stehen heute vor einer Vielzahl von Möglichkeiten, wenn es um den Aufbau eines modernen Sicherheits-Stacks geht. Eine häufig übersehene Sicherheitskontrolle ist Network Detection and Response (NDR). NDR-Cybersicherheitslösungen sind nicht neu. Aufgrund der vermeintlichen Komplexität der Bereitstellung, Wartung und Nutzung räumen viele Sicherheitseigentümer dieser Technologie jedoch in ihrem Sicherheits-Stack den Vorrang ein, da sie davon ausgehen, dass andere netzwerkbezogene Sicherheitsprodukte verhindern können, dass ihre Netzwerke gefährdet werden. Dieser Leitfaden bietet eine umfassende NDR-Definition als moderne Cybersicherheitslösung und ihre Bedeutung bei der Bekämpfung von Cyberangriffen.

Wie funktioniert NDR?

Netzwerkerkennungs- und Reaktionstechnologien sind darauf ausgelegt, Bedrohungen in Ihrer gesamten Netzwerkinfrastruktur zu identifizieren und Sicherheitsanalysten in die Lage zu versetzen, schnell entscheidende Gegenmaßnahmen zu ergreifen, um das Risiko eines schädlichen Verstoßes zu mindern. Im Gegensatz zu anderen Netzwerktechnologien, bei denen Benutzer Halbexperten im Netzwerkbereich sein müssen, können Sicherheitsanalysten mit unterschiedlichem Fachwissen problemlos NDR-Produkte verwenden. Um besser zu verstehen, wie NDR-Funktionen sorgen für die Sicherheit eines Netzwerks, müssen wir zunächst entschlüsseln, wie sie eingesetzt werden und funktionieren. 

Ihr Netzwerk ist das zentrale Nervensystem Ihrer gesamten Organisation. Unabhängig davon, ob Sie ausschließlich „on-metal“ eingesetzt werden, ohne Präsenz in der Cloud, oder sich „All-In“ für einen Cloud-Anbieter entschieden haben, ermöglicht das Netzwerk eine wichtige Kommunikation von einem Geschäftszentrum zum anderen. Früher ging man davon aus, dass der Einsatz einer Firewall ausreichende Sicherheit für ein Netzwerk bietet. Allerdings führten die Anbieter neue Sicherheitskontrollen ein, um das Netzwerk zu schützen und die Weiterentwicklung der Angriffsmethoden zu bekämpfen. Intrusion-Detection- oder Intrusion-Prevention-Systeme verbesserten die Fähigkeit der Firewall, erfolgreiche Cyberangriffe zu verhindern. Angesichts der Abhängigkeit von bekannten Netzwerksignaturen von Angriffen wurden die meisten IDS/IPS-Produkte für Angreifer kaum mehr als ein Ärgernis, wenn Angreifer ihre Taktik auch nur geringfügig änderten. bewältigen."

Was ist NDR? Der endgültige Leitfaden – Die Entwicklung des NDR

Die Entwicklung des NDR

Wie es Sicherheitsanbieter tun, wenn sie mit den sich verändernden Herausforderungen von Angreifern konfrontiert werden, wurde ein neuer Produkttyp mit der Bezeichnung „ Netzwerkverkehrsanalyse (NTA). Wie der Name schon sagt, analysieren NTA-Produkte Inhalte und Kennzahlen des Datenverkehrs zwischen den Vermögenswerten von Organisationen sowie des Datenverkehrs zu und von externen Quellen. Ein Analyst könnte die Details außergewöhnlicher Muster untersuchen, um festzustellen, ob Korrekturmaßnahmen erforderlich sind. Jetzt kommt der NDR ins Spiel. NDR kombiniert die besten IDS/IPS-, NTA- und anderen Netzwerksicherheitsfunktionen in einer einzigen Lösung zum Schutz eines Netzwerks. NDR-Produkte sollen einen ganzheitlichen Überblick über Sicherheitsbedrohungen in Ihrem Netzwerk liefern. Mithilfe einer Kombination aus bekannten bösartigen Netzwerksignaturen, Sicherheitsanalysen und Verhaltensanalysen können NDRs eine schnelle und hochwirksame Erkennung von Bedrohungen ermöglichen. Genauer gesagt können NDR-Produkte nicht nur den Inhalt des Netzwerkverkehrs analysieren, sondern auch anomale Aktivitäten identifizieren, indem sie die Metadaten des Netzwerkverkehrs (Größe/Form des Verkehrs) analysieren. Diese Funktion ist beim Umgang mit verschlüsseltem Datenverkehr von Vorteil, bei dem es für das NDR-Produkt möglicherweise nicht möglich ist, in Echtzeit zu entschlüsseln. Typische NDR-Produkte bieten Erkennungsfunktionen und die Fähigkeit, auf eine potenzielle Bedrohung zu reagieren.

Welche Rolle spielt NDR in der Cybersicherheit?

Moderne Angreifer suchen nach Schwachstellen in der Umgebung einer Organisation, die sie ausnutzen können. Während Endpunkte für die meisten Angreifer eine beliebte Angriffsfläche darstellen, suchen sie zunehmend nach Möglichkeiten, ihre Cyberbedrohungen im regulären Netzwerkverkehr zu verbergen. Dieser Ansatz erfreut sich zunehmender Beliebtheit, da die Überwachung, Analyse und Erkennung von Bedrohungen beim Durchqueren des Netzwerks als komplex empfunden wird. Noch vor nicht allzu langer Zeit erforderte die Identifizierung von Bedrohungen im Netzwerkverkehr Ressourcen mit umfassender Erfahrung in der Konfiguration, Wartung und Überwachung des Netzwerkverkehrs. Heutzutage ist die Cybersicherheitslandschaft jedoch völlig anders, sodass der Schutz eines Netzwerks für alle Sicherheitsexperten, nicht nur für diejenigen, die Netzwerkexperten sind, viel einfacher zugänglich ist. 

Wie die meisten Cybersicherheitsexperten zustimmen würden, berühren die meisten Angriffe das Netzwerk auf die eine oder andere Weise. Aktuelle Studien deuten darauf hin, dass 99 % der erfolgreichen Angriffe im Netzwerkverkehr erkannt werden können, von denen viele identifiziert und entschärft werden könnten, bevor der Angreifer seine Nutzlasten einsetzt. Moderne Netzwerkschutzlösungen machen den Schutz von Netzwerken für jeden Sicherheitsexperten viel einfacher, da ihre Funktionen benutzerfreundlich sind. In Verbindung mit der Zunahme automatisierter Funktionen, die in den meisten Lösungen enthalten sind, ist die Identifizierung von Bedrohungen in einem Netzwerk jetzt einfacher als je zuvor. Für die meisten Sicherheitsteams gilt dies auch für diejenigen, denen es an Netzwerkkenntnissen mangelt Bereitstellung einer NDR-Lösung in ihrem Sicherheitsstapel und beginnen, Bedrohungen zu identifizieren, während sie sich zwischen Netzwerkressourcen und in das Netzwerk hinein und aus diesem heraus bewegen, ohne dass ein menschliches Eingreifen erforderlich ist. Durch die Einbeziehung eines NDR in einen Sicherheits-Stack können Sicherheitsteams auch enorme strategische und taktische Vorteile erzielen, die über die bloße Identifizierung von Bedrohungen im Netzwerk hinausgehen.

Verteidigung in der Tiefe

Erstens folgen Sie durch die Aufnahme von NDR in Ihren Sicherheits-Stack der Best Practice des „Defense-in-Depth“-Sicherheitsansatzes. Während Endpoint-Schutzplattformen und Endpoint-Detection-and-Response-Lösungen beispielsweise darauf ausgelegt sind, Bedrohungen auf den Endpunkten zu identifizieren, sind sie im Allgemeinen blind gegenüber Bedrohungen, die sich über das Netzwerk bewegen. Ebenso sind Produkte zur Verhinderung von Datenverlust sehr gut darin zu erkennen, wann wichtige Daten von einem bestimmten Ort verschoben werden. Allerdings sind sie nicht besonders gut darin, diese kritischen Informationen, die das Netzwerk durchqueren, aufzuspüren, insbesondere wenn sie im regulären Netzwerkverkehr verschleiert sind. In dieser Situation haben NDR-Sicherheitsprodukte das Potenzial, die Fähigkeit eines Sicherheitsteams zu verbessern, das Risiko eines erfolgreichen Cyberangriffs zu reduzieren. Ähnlich wie die anderen genannten Produkte darauf ausgerichtet sind, Bedrohungen in einem bestimmten Asset oder Datentyp zu erkennen, konzentriert sich der NDR ausschließlich auf das Verständnis des Netzwerkverkehrs, wie es kein anderes Sicherheitsprodukt kann. Durch die schnelle Analyse des Netzwerkverkehrs in Echtzeit können NDR-Sicherheitsprodukte potenzielle Bedrohungen im Netzwerkverkehr aufdecken, die möglicherweise unbemerkt geblieben sind.

Austausch von Informationen

Sobald die Bedrohungen erkannt werden, können diese Informationen problemlos an eine SIEM- oder XDR-Plattform weitergegeben werden, um sie mit anderen Bedrohungen zu korrelieren, von denen einige möglicherweise als schwaches Signal angesehen werden. Da ein ständiger Strom von Netzwerkbedrohungen nun mit anderen sicherheitsrelevanten Daten analysiert wird, profitieren Sicherheitsteams von einer ganzheitlicheren Sicht auf Bedrohungen in ihren gesamten Netzwerkumgebungen. Beispielsweise kommt es häufig vor, dass Angreifer Multi-Vektor-Angriffe gegen ihre Ziele durchführen, indem sie beispielsweise eine Phishing-E-Mail-Kampagne gegen mehrere Mitarbeiter starten und gleichzeitig versuchen, eine bekannte Schwachstelle auszunutzen, die irgendwo im Netzwerk entdeckt wurde. Wenn sie separat untersucht werden, haben sie möglicherweise eine niedrigere Priorität, als wenn sie als Teil eines gezielten Angriffs betrachtet werden. Wenn NDR in Verbindung mit einem XDR vorhanden ist, werden diese Angriffe nicht mehr isoliert untersucht. Stattdessen können sie mit relevanten Kontextinformationen korreliert und ergänzt werden, wodurch die Feststellung, dass sie miteinander in Zusammenhang stehen, erheblich erleichtert wird. Dieser zusätzliche Schritt, der in den meisten Fällen automatisch erfolgen kann, führt dazu, dass Sicherheitsanalysten ohne größeren Aufwand produktiver und effizienter werden. Weitere Informationen zu den strategischen Vorteilen von NDR finden Sie im NDR-Käuferratgeber.

Wie vergleicht sich NDR mit EDR und XDR?

Da so viele Cybersicherheitsprodukte und -dienste angeblich ähnliche Vorteile bieten, kann es für einige Sicherheitsentscheider schwierig sein, zu erkennen, welche Produkte eingesetzt werden sollten, um zusätzliche Vorteile zu erzielen. NDR ist vor dieser Verwirrung nicht gefeit. Um Entscheidungsträgern das Verständnis der Gemeinsamkeiten und Unterschiede zwischen Standardsicherheitskontrollen zu erleichtern, werden im Folgenden die Unterschiede zwischen NDR, EDR und XDR erläutert.

NDR-Anforderungen

Um ein grundlegendes Verständnis für den Schwerpunkt dieses Leitfadens, NDR, zu vermitteln, sind hier zunächst die standardmäßigen Table-Stake-Funktionen einer NDR-Lösung aufgeführt:
  • NDR-Produkte müssen Informationen zum Netzwerkverkehr in Echtzeit sammeln und die gesammelten Daten speichern, um eine automatisierte Analyse zu ermöglichen.
  • NDR-Produkte müssen in der Lage sein, gesammelte Daten zu normalisieren und mit kontextrelevanten Informationen anzureichern, um eine umfassende Analyse zu ermöglichen
  • NDR-Produkte Außerdem muss eine Basislinie für den regulären Netzwerkverkehr erstellt werden, in der Regel mithilfe von Algorithmen für maschinelles Lernen. Sobald die Basislinie festgelegt ist, sollte das NDR-Produkt schnell Fälle aufdecken, in denen der beobachtete Netzwerkverkehr außerhalb der typischen Verkehrsmuster liegt, und Sicherheitsanalysten in Echtzeit über die Anomalie informieren. 
  • NDR-Produkte sollte sowohl lokale als auch Cloud-Assets abdecken.
  • NDR-Produkte sollte daran arbeiten, verwandte Warnungen in umsetzbaren Untersuchungsbereichen zusammenzufassen, sodass Sicherheitsanalysten 1) das Ausmaß eines Angriffs leicht verstehen und 2) Gegenmaßnahmen ergreifen können
  • NDR-Produkte muss ein automatisiertes Mittel bereitstellen, um geeignete Reaktionsmaßnahmen zu ergreifen, wenn diese aufgrund der Art und des Umfangs eines Angriffs als notwendig erachtet werden

EDR-Anforderungen

Endpoint Detection and Response (EDR)-Produkte müssen die folgenden Funktionen bieten, um den notwendigen Schutz ihres Schwerpunktbereichs, der Endpunktgeräte, zu gewährleisten:
  • EDR-Produkte Sie müssen Sicherheitsteams die Möglichkeit geben, Endpunktdaten in Echtzeit zu sammeln und zu analysieren. In der Regel wird dies über einen einsetzbaren Endpunkt-Agenten bereitgestellt, der problemlos über das vom Unternehmen bevorzugte Tool verteilt werden kann. Diese Endpunktagenten sollten zentral verwaltet und einfach aktualisiert werden können, ohne dass das Gerät neu gestartet werden muss. 
  • EDR-Produkte sollten in der Lage sein, Anwendungen und Dienste in Echtzeit zu analysieren, um potenziell schädliche Dateien und Dienste auszurotten. Wenn verdächtige Dateien und Dienste entdeckt werden, sollte es möglich sein, sie automatisch unter Quarantäne zu stellen. 
  • EDR-Produkte sollte eine anpassbare Korrelationsregel-Engine enthalten, mit der Sicherheitsteams entweder einen Satz öffentlich verfügbarer Korrelationsregeln hochladen oder ihre eigenen Regeln von Grund auf erstellen können. Diese Regeln sollten die Möglichkeit umfassen, eine Bedrohung zu erkennen und bei Bedarf eine automatisierte Reaktion einzuleiten. 
  • EDR-Produkte müssen aus Datensicht einfach in ein anderes Sicherheitsprodukt wie eine SIEM- oder XDR-Plattform integriert werden können, damit die gesammelten umfangreichen Daten im Kontext anderer sicherheitsrelevanter Informationen analysiert werden können. 
  • EDR-Produkte sollte Bereitstellungen auf Microsoft Windows-Geräten und verschiedenen Varianten von Linux-Geräten unterstützen. 
  • Modernes EDR Produkte können auch auf bestimmten cloudbasierten Plattformen und anderen cloudbasierten Anwendungen wie Microsoft Office 365 bereitgestellt werden. 

XDR-Anforderungen

Erweiterte Erkennung und Reaktion (XDR) Produkte sind eine der neuesten Technologien auf dem Markt und entstanden aus dem Bedürfnis heraus, schlanken Sicherheitsteams die Bereitstellung kontinuierlicher Sicherheitsergebnisse im gesamten Unternehmen zu erleichtern. XDR-Produkte müssen die folgenden Funktionen umfassen, um die Vorteile zu bieten, die die meisten Sicherheitsteams erwarten. 

  • XDR-Produkte muss Daten aus jeder verfügbaren Datenquelle aufnehmen. Zu diesen Daten können gehören: 1) Warnungen von allen bereitgestellten Sicherheitskontrollen, 2) Protokolldaten von allen von einer Organisation genutzten Diensten, wie etwa die vom Identitätsmanagementsystem der Organisation erstellten Protokolle, und 3) Protokoll- und aktivitätsbezogene Informationen aus jeder Cloud Umgebung und Anwendung, beispielsweise Aktivitätsinformationen, die von einer Cloud Access Security Broker (CASB)-Lösung gesammelt werden.
  • XDR-Produkte sollte idealerweise alle gesammelten Daten normalisieren, um eine umfassende Analyse im großen Maßstab zu ermöglichen.
  • XDR-Produkte sollten maschinelles Lernen und künstliche Intelligenz (KI) nutzen, um scheinbar unterschiedliche, voneinander unabhängige Warn- und Aktivitätsdaten zu leicht untersuchbaren Sicherheitsvorfällen/-fällen zu korrelieren. 
  • XDR-Produkte sollte alle gesammelten Daten automatisch mit wichtigen Informationen kontextualisieren, damit Sicherheitsanalysten ihre Untersuchungen schnell abschließen können.
  • XDR-Produkte sollten die Bemühungen von Sicherheitsanalysten lenken, indem sie vermutete Sicherheitsvorfälle nach ihren potenziellen Auswirkungen auf die Organisation priorisieren.
  • XDR-Produkte sollte eine automatisierte Reaktionsfähigkeit bieten, die ohne menschliches Eingreifen basierend auf der Schwere/Auswirkung einer potenziellen Bedrohung eingeleitet werden kann. 

Zusammenfassend lässt sich sagen, dass sowohl NDR- als auch EDR-Produkte letztendlich Eingaben in eine XDR-Plattform sind, die es Sicherheitsanalysten ermöglicht, Cybersicherheitsuntersuchungen schneller und effektiver als je zuvor durchzuführen. 

Häufige NDR-Anwendungsfälle

Es sollte offensichtlich sein, dass sich NDR-Produkte auf die Identifizierung von Sicherheitsbedrohungen konzentrieren, während diese die Netzwerkinfrastruktur einer Organisation durchdringen. Allerdings kann es für Sicherheitsentscheider möglicherweise einfacher sein, die Vorteile eines NDR-Produkts zu verstehen, wenn sie die Diskussion unter Berücksichtigung eines Anwendungsfalls betrachten. In der folgenden Diskussion werden mehrere gängige Sicherheitsanwendungsfälle beschrieben, bei deren Bewältigung ein NDR-Produkt einem Sicherheitsteam helfen kann.

Seitliche Bewegung

Eine häufige Herausforderung für ein Sicherheitsteam besteht darin, zu verstehen, wann sich ein Angreifer seitlich in seiner Umgebung bewegt. Wenn es einem Angreifer beispielsweise gelingt, ein Benutzerkonto oder einen Endpunkt unbemerkt zu kompromittieren, besteht der nächste logische Schritt darin, dass der Angreifer versucht, weiter in die Umgebung vorzudringen. Angenommen, sie können im Stealth-Modus von einem Gerät zum anderen wechseln. In diesem Fall können sie möglicherweise herausfinden, wo in der Umgebung vertrauliche Informationen vorhanden sind, was ihren Angriff im Falle von Ransomware wirkungsvoller macht.

Indem sie sich über das Netzwerk bewegen, könnten sie auch eine anfällige Anwendung oder einen anfälligen Dienst identifizieren, der es ihnen ermöglicht, später eine „Hintertür“ zu öffnen, um nach Belieben wieder in die Umgebung einzudringen. Um die Persistenz in einer Umgebung aufrechtzuerhalten, versuchen viele Angreifer außerdem, die Privilegien eines kompromittierten Benutzerkontos auf Administratorrechte auszuweiten, wodurch sie freie Hand haben, Änderungen an der Umgebung vorzunehmen, möglicherweise bestimmte Sicherheitsfunktionen zu deaktivieren und Protokolle zu löschen könnten Brotkrümel hinterlassen, die Sicherheitsteams für den Abschluss ihrer Untersuchungen nutzen können. Mit einem NDR, der die Netzwerkaktivität in Echtzeit überwacht, können Sicherheitsteams verdächtige Aktivitäten zwischen Netzwerkressourcen und ungewöhnliche Verkehrsmuster von ihrem Netzwerk zur Außenwelt schnell erkennen. NDR-Produkte korrelieren diese abnormale Aktivität mit Benutzeraktionen, die aufzeigen können, wann sich ein Angreifer frei über seine Netzwerkressourcen bewegt.

Kompromittierte Anmeldeinformationen

Ein weiterer alltäglicher Sicherheitsanwendungsfall, den NDR-Produkte erfüllen können, ist mit kompromittierten Anmeldeinformationen verbunden. Leider kann ein Angreifer heutzutage auf viele Arten an gültige Benutzeranmeldeinformationen gelangen, indem er sie im Dark Web kauft oder einen unwissenden Mitarbeiter dazu bringt, seine Anmeldeinformationen als Reaktion auf eine betrügerische E-Mail oder über eine bösartige Website zur Verfügung zu stellen. Sobald der Angreifer die Anmeldeinformationen erhält, kann er leicht auf die Umgebung zugreifen. Sobald der Angreifer im Unternehmen ist, kann er eine Reihe bösartiger Aktivitäten ausführen, wie z. B. die Bereitstellung lähmender Ransomware, das Löschen geschäftskritischer Daten oder die Weitergabe vertraulicher Unternehmensinformationen an die Außenwelt, um Chaos anzurichten. NDR-Produkte erleichtern durch die Art und Weise, wie ein NDR funktioniert, die Erkennung kompromittierter Anmeldeinformationen. Wenn beispielsweise festgestellt wird, dass sich ein in Nordamerika ansässiger Mitarbeiter aus China anmeldet. In diesem Fall erkennt das NDR-Produkt diese Anomalie und generiert eine Warnung, die ein Sicherheitsanalyst schnell untersuchen kann. Da das NDR-Produkt die Warnung automatisch kontextualisiert, kann der Sicherheitsanalyst schnell feststellen, ob diese Anomalie eine Bedrohung darstellt, und in Sekundenschnelle eine automatisierte Reaktion einleiten, z. B. die Einschränkung des Benutzerzugriffs auf alle Netzwerkumgebungen und die Erzwingung eines Passwort-Resets. Sie könnten auch sicherstellen, dass der Zugriff des Benutzers auf alle cloudbasierten Anwendungen und Netzwerkressourcen über eine Integration in ein CASB-Produkt deaktiviert wird.