Network Detection and Response (NDR) erklärt

  • Die zentralen Thesen:
  • Was macht Network Detection and Response (NDR)?
    NDR analysiert kontinuierlich den Netzwerkverkehr, erstellt Verhaltensmodelle zur Erkennung von Anomalien und automatisiert Reaktionen mit KI.
  • Wie hat sich NDR aus NTA entwickelt?
    Der Schwerpunkt lag dabei auf der Verlagerung von der grundlegenden Verkehrsüberwachung hin zu erweiterten Inspektionen und automatisierten Reaktionen mithilfe von Verhaltens- und Signaturanalysen.
  • Welche Hauptfunktionen bietet NDR von Stellar Cyber?
    Deep Packet Inspection, verteilte Sensoren, zentralisierter Datensee, KI-basierte Bedrohungserkennung und automatisierte SOAR-Integration.
  • Wie reduziert Stellar Cyber ​​das Datenvolumen und verbessert die Erkennung?
    Es erreicht eine bis zu 500-fache Datenreduktion und reichert die Daten mit Bedrohungsinformationen an, wodurch eine KI-gesteuerte Korrelation und Reaktion in Echtzeit ermöglicht wird.
  • Wie trägt NDR zur Vereinheitlichung von Sicherheitsvorgängen bei?
    Die NDR-Lösung von Stellar Cyber ​​ist integriert in Open XDR, was eine nahtlose Korrelation mit ermöglicht SIEM, SOAR und UEBA auf einer Plattform.

Network Detection and Response (NDR) sorgt für mehr Transparenz in den Netzwerken eines Unternehmens, indem es interne Netzwerkaktivitäten passiv erfasst und analysiert. Mit dem Aufkommen von LLMs und neuen Anforderungen an die Netzwerkverteidigung entwickeln sich NDR-Tools bereits über diese Kernfunktion hinaus. Gartners NDR-Bericht beschreibt im Detail, wie die Tools auf dem heutigen Markt mit LLM-Erweiterung, multimodaler Bedrohungserkennung und IaaS-basierter Bereitstellung die Grenzen verschieben.

Die Auswirkungen moderner NDR-Lösungen sind erheblich: einheitlichere Reaktion auf Vorfälle, präzisere Analysen und schnellere Forensik. Dieser Leitfaden bietet eine umfassende und detaillierte Einführung in NDR.

#image_title

Gartner® Magic Quadrant™ NDR-Lösungen

Erfahren Sie, warum wir der einzige Anbieter im Challenger-Quadranten sind …

Mehr erfahren
#image_title

Erleben Sie KI-gestützte Sicherheit in Aktion!

Entdecken Sie die hochmoderne KI von Stellar Cyber ​​zur sofortigen Bedrohungserkennung ...

Planen Sie eine Demo

Wie funktioniert NDR?

NDRs zeichnen sich durch die Fähigkeit aus, Netzwerkpakete und Verkehrsmetadaten kontinuierlich zu analysieren, die innerhalb des Ost-West-Verkehrs (intern) und zwischen Nord und Süd (interne Netzwerke und öffentliches Internet) auftreten. Jede einzelne Netzwerkaktion stellt einen wichtigen Datenpunkt dar, der vom NDR erfasst wird. Jeder dieser Datenpunkte wird dann verwendet, um ein Modell des täglichen Verhaltens eines internen Netzwerks zu erstellen.

Dadurch lassen sich Abweichungen sofort erkennen. Diese unnatürlichen Muster werden in Form einer Warnung zur weiteren Untersuchung an Analysten weitergeleitet. Dort wird beurteilt, ob der Datenverkehr auf einen Angriff hindeutet oder harmlos ist. Moderne NDRs mit automatisierten Reaktionsfunktionen können als Reaktion auf eine erkannte Bedrohung automatisch Abhilfemaßnahmen – wie beispielsweise eine IP-Sperre – einleiten. Dadurch bleibt das Netzwerk geschützt, während der Analyst dessen Legitimität prüft.

Die Entwicklung des NDR

Die Anfänge des NDR reichen zurück bis Netzwerkverkehrsanalyse (NTA). Dieses ältere Tool wurde gemeinsam von Sicherheits- und Netzwerkadministratoren verwendet: Es ermöglichte ihnen, den Überblick darüber zu behalten, welche Assets Netzwerkverkehr empfangen, wie schnell jede App oder jedes Gerät reagiert und wie viel Verkehr von und zu bestimmten Quellen gesendet wird.

Mit der Entwicklung der Bedrohungslandschaft Anfang der 2010er Jahre stellten Sicherheitsadministratoren jedoch fest, dass Daten zum Netzwerkvolumen nicht das gesamte Bild wiedergaben. Sich allein auf NTA zur Bedrohungserkennung zu verlassen, erforderte einen äußerst erfahrenen und aufmerksamen Netzwerkadministrator und überließ vieles dem Zufall. Network Detection and Response legt den Schwerpunkt auf die universelle Erfassung von Netzwerkdaten und eine zusätzliche Analyseebene.

Heutige NDR-Tools Diese grundlegende Verhaltensanalyse wird durch Dateisignaturvergleiche und Regelimplementierung verstärkt. Sobald eine potenzielle Bedrohung erkannt wird, kann NDR verdächtige Dateien automatisch unter Quarantäne stellen, kritische Informationen an Sicherheitsadministratoren melden und Warnmeldungen mit den größeren Sicherheitsvorfällen verknüpfen.

Welche Rolle spielt NDR in der Cybersicherheit?

Traditionell stützte sich die Cybersicherheit von Unternehmen auf statische Tools zur Bedrohungserkennung, wie etwa Antivirenprogramme und Firewalls. Diese basierten auf einer signaturbasierten Erkennung und verglichen die in ein Netzwerk eingeführten oder dort freigegebenen Dateien mit den Kompromittierungsindikatoren in der Datenbank jedes Tools.

Dieses System – heute als perimeterbasierte Cybersicherheit bezeichnet – wies jedoch einige inhärente Schwachstellen auf. Wird die Firewall beispielsweise nicht kontinuierlich aktualisiert, kann ein Angreifer durch die Lücken schlüpfen. Sobald ein einzelnes Gerät oder ein Dienst kompromittiert ist, wird das inhärente Vertrauen zwischen Geräten im internen Netzwerk ausgenutzt, da der Angreifer mit der Rechteausweitung beginnt.

NDRs nutzen diese Angriffskette und erkennen, dass fast jeder Angriff mindestens ein internes Netzwerk betrifft. Cybersicherheitsteams können Bereitstellung einer NDR-Lösung sowohl im Nord-Süd- als auch im Ost-West-Verkehr – und bietet ihnen Einblick in den Datenverkehr, der in die Organisation eingeht und zwischen internen Geräten ausgetauscht wird. Dies schließt einen der größten Angriffspunkte aus, auf den Angreifer angewiesen sind. Unsere NDR-Käuferratgeber Einzelheiten dazu, wie diese Verkehrsdaten verarbeitet und auf mögliche böswillige Aktivitäten analysiert werden.

Welche Rolle spielt NDR im Security Operations Center?SOC)?

Das moderne SOC Es muss überall gleichzeitig verfügbar sein: Angesichts der weitläufigen Strukturen moderner Netzwerke ist das keine leichte Aufgabe. Daher spielt NDR eine wichtige Rolle für die Effizienz heutiger Netzwerke. SOCDa es sich um eine zentrale Erkennungsplattform handelt, können folgende Funktionen bereitgestellt werden: SOC durch einen geeigneten NDR.

Vollständige Netzwerktransparenz

Ein Kernbestandteil eines SOC Seine Fähigkeit, Bedrohungen über das gesamte Spektrum von Geräten, Benutzern und Diensten hinweg zu erkennen und darauf zu reagieren, ist entscheidend. Netzwerkdaten sind eine wertvolle Informationsquelle, doch die schiere Datenmenge bremst oft die Arbeit von Triage-Spezialisten und Bedrohungsanalysten. Die NDR-Architektur ermöglicht die automatische Erfassung von Paket-, Fluss- und Protokolldaten aus der Netzwerkinfrastruktur und von Firewalls. Sie analysiert zudem verschlüsselten Datenverkehr, ohne diesen abfangen zu müssen. Dies ermöglicht eine detaillierte Analyse unter Einbeziehung einer größeren Bandbreite an Datenquellen und trägt somit maßgeblich zur Effektivität bei. SOC einen umfassenderen Überblick über ihre Netzwerke.

Verbundene Warnungen

Triage-Spezialisten spielen eine Schlüsselrolle bei der Bearbeitung von Sicherheitswarnungen, indem sie Rohdaten erfassen und eingehende Alarme analysieren. Zu ihren Aufgaben gehört es, Warnungen zu validieren, ihren Schweregrad zu bewerten oder anzupassen und sie mit Kontextinformationen anzureichern. Moderne NDRs beschleunigen dies durch die Integration mit anderen Sicherheitstools und die automatische Kennzeichnung von Netzwerkanomalien im größeren Kontext – von Phishing-E-Mails bis hin zu verdächtigen Dateidownloads.

Schnelle Netzwerkerkennung

SOC Managern ist bewusst, wie wichtig fundierte Netzwerkkenntnisse sind. Diese Nachfrage kann die Einstellung und Schulung neuer Mitarbeiter erschweren. SOC Teammitglieder sind schwierig und zeitaufwändig. Mit NDR in SOCSelbst neue Teammitglieder ohne Netzwerkkenntnisse können Bereitstellung einer NDR-Lösung und beginnen Sie, Bedrohungen zu erkennen.

Schnelle Netzwerkreaktion

Die analytischen Fähigkeiten von NDR werden Analysten über ein intuitives Dashboard zur Verfügung gestellt. Diese Benutzeroberfläche ermöglicht die automatische Priorisierung von Warnmeldungen und ermöglicht einen deutlich schnelleren Beginn manueller Netzwerkreaktionen.

NDR vs. Endpoint Detection and Response (EDR)

Moderne Cybersicherheit erfordert Transparenz über mehr als nur Netzwerkaktivitäten – EDR ist die entsprechende Lösung, die sich auf das Endpunktverhalten konzentriert. Die Erkennung von Netzwerk- und Endpunkten ist relativ einfach: So wie NDR jede Aktion in einem Netzwerk erfasst und in ein breiteres Trenddiagramm einordnet, analysiert EDR jede Aktion auf Geräteebene im Verhältnis zu ihrem historischen oder rollenspezifischen Verhalten.

EDR-Produkte werden typischerweise über einen einsatzfähigen Endpoint-Agenten auf jedem Endpunkt bereitgestellt. Durch die lokale Präsenz kann EDR Prozessinformationen erfassen, die durch die Überwachung der laufenden Prozesse im System zur Identifizierung potenzieller Schadprogramme beitragen. Dateiinformationen werden ebenfalls geprüft, um deren Integrität zu validieren, während Benutzerinformationen die Legitimität jedes Kontos verifizieren. Schließlich werden Systeminformationen erfasst, um einen umfassenden Überblick über die Integrität der Endpunkte zu erhalten.

Anstatt zwischen NDR und EDR zu unterscheiden, setzen die meisten Unternehmen NDR parallel zu EDR ein. Dies ermöglicht die Nachverfolgung und Überwachung einer kompletten Angriffskette. Von der anfänglichen Kompromittierung eines Kontos über die Eskalation von Netzwerkberechtigungen bis hin zur letztendlichen Malware-Bereitstellung können komplexe Angriffe frühzeitig erkannt werden. Angesichts dieses Potenzials bieten einige Cybersicherheitsanbieter eine weitere Analyse- und Orchestrierungsebene zwischen den beiden Systemen an – die erweiterte Erkennung und Reaktion (Extended Detection and Response, EDR).XDR).

Wie vergleicht sich NDR mit EDR? XDR?

NDR, EDR und XDR Es handelt sich um subtil unterschiedliche Technologien, die jeweils auf verschiedene Aspekte der Bedrohungserkennung und -abwehr abzielen. Auch ihr Anwendungsbereich ist unterschiedlich – von netzwerkspezifisch bis hin zur gesamten Angriffsfläche der Organisation.

NDR (Netzwerkerkennung und -antwort)

EDR (Endpoint Detection and Response)

XDR (Erweiterte Erkennung und Reaktion)
Geltungsbereich Netzwerkverkehr. Endpunkte (Laptops, Server, Geräte). Alles (Endpunkte, Netzwerk, Cloud).
Primäre Datenquellen Netzwerkmetadaten, Verkehrsflüsse. Endpunkttelemetrie, Datei- und Prozessverhalten. Aggregierte Telemetrie über mehrere Domänen hinweg.
Reaktionsfähigkeiten Beschränkt auf Aktionen auf Netzwerkebene, bietet zunehmend automatisierte Antworten. Beschränkt auf endpunktspezifische Reaktionen, wie etwa Quarantäne. Bietet vollständige Freiheit plattformübergreifender automatisierter Antworten.
Komplexität der Bereitstellung Mittel (erfordert Netzwerkintegration). Mittel (erfordert Agenteninstallation auf Endpunkten). Hoch (erfordert Integration über alle Sicherheitsplattformen oder primären Datenquellen hinweg).
Bester Anwendungsfall Erkennen von seitlichen Bewegungen und heimlichen Bedrohungen. Identifizierung kompromittierter Endpunkte. Umfassende Bedrohungserkennung und -reaktion.

In NDR-Lösungen verwendete Techniken

Da NDRs kontinuierlich so große Datenmengen verarbeiten und analysieren, ist es wichtig, die verschiedenen Strategien zu verstehen, die sie gegen komplexe Bedrohungen einsetzen.

Verschlüsselte Verkehrsanalyse

Die Sicherung von verschlüsseltem Datenverkehr ist seit jeher ein heikles Thema. Da der Großteil des heutigen Datenverkehrs verschlüsselt ist, kann die unzureichende Analyse des verschlüsselten Datenverkehrs ein schwerwiegendes Versäumnis sein. Die Entschlüsselung aller Netzwerkpakete während der Übertragung kann jedoch das Risiko der Offenlegung von Daten und Token drastisch erhöhen.

Um dies zu umgehen, setzen marktführende Tools oft auf eine Reihe von NDR-Techniken. Um Token- oder entschlüsselte Datenlecks zu verhindern, können Sensoren hinter Proxy-Servern eingesetzt werden. Dabei wird verschlüsselter Datenverkehr erkannt und über einen Proxy geleitet: Der Datenverkehr wird wie gewohnt entschlüsselt, und die Sensoren leiten anschließend alle Informationen an die zentrale NDR-Engine weiter. Erfahren Sie hier mehr über unsere NDR-Funktionen.

Wenn Proxyserver für einen bestimmten Anwendungsfall nicht geeignet sind, lässt sich die Legitimität eines Datenverkehrs anhand seiner Muster präzise erkennen. Vollständig verschlüsselter Datenverkehr kann durch JA3-Fingerprinting auf Malware geprüft werden, ohne die Verschlüsselung zu knacken. Darüber hinaus können Muster und Metadaten kombiniert werden, um die Absicht hinter einem verschlüsselten Paket zu erkennen, da der Sensor weiterhin Serverzertifikat, IP-Adressen, Domänennamen, Sitzungsdauer und Byteanzahl aus dem Paketheader und dem TLS/SSL-Handshake extrahieren kann.

Wenn die Datenverkehrsentschlüsselung unbedingt erforderlich ist, können moderne NDRs in Paketentschlüsselungsdienste integriert werden. Die resultierenden Netzwerkdaten werden dann wie gewohnt an die zentrale Analyse-Engine gesendet.

Automatisierte Asset-Erkennung

Es ist wichtig zu wissen, welche Geräte Daten in ein Netzwerk hinein und aus diesem heraus übertragen. NDRs verfolgen automatisch Assets und fügen sie dem Asset-Management-Dashboard hinzu, basierend auf der jeweiligen MAC-Adresse, IP-Adresse und dem Hostnamen. Dadurch können Risiken auf Netzwerkebene entsprechend der betroffenen Assets angezeigt werden.

Protokolldecodierung

Netzwerkprotokolle sind etablierte Regelsätze, die definieren, wie Daten zwischen Geräten in einem Netzwerk formatiert, übertragen, empfangen und interpretiert werden. Sie sind wichtige Bestandteile des Kontextpuzzles. Daher rekonstruieren NDRs im Wesentlichen die Rohdaten, die sie zur Bestimmung des geeigneten Protokolls benötigen. Anschließend vergleichen sie die realen Netzwerkdaten mit dem erwarteten Protokoll und erkennen so Verkehrsabweichungen schnell.

Verhaltensanalyse

Neben den Protokollen hinter jedem Datenverkehr können NDRs ein Modell der täglichen Funktionsweise jedes Netzwerks erstellen. So kann es beispielsweise über mehrere Monate hinweg passieren, dass ein Mitarbeiter um 10 Uhr morgens per SFTP Daten auf eine bestimmte Website hochlädt. Lädt dieser Mitarbeiter plötzlich um 5 Uhr morgens eine Datei auf fünf weitere interne Geräte hoch, wird diese verdächtige Aktion zur weiteren Analyse markiert.

So implementieren Sie Network Detection and Response

Die Bereitstellung eines NDR muss alle Netzwerke abdecken, auf die Ihr Unternehmen angewiesen ist – egal, ob diese cloudbasiert, vollständig vor Ort oder eine Kombination aus beidem sind. Die folgenden Bereitstellungsmethoden geben Ihnen einen detaillierten Einblick in die technische Bereitstellung von NDRs in einem Unternehmen.

Sensorbereitstellung

NDR erfordert den Einsatz von Sensoren in jedem zu überwachenden Netzwerk. Es gibt jedoch spezifische Sensoren für unterschiedliche Anwendungsfälle, und eine erfolgreiche Implementierung erfordert den richtigen Sensor für die jeweilige Aufgabe. Beispielsweise benötigen Linux-Distributionsumgebungen einen Linux-Serversensor. Diese werden oft mit einer voreingestellten Menge an verfügbaren CPU-Ressourcen eingesetzt, die sie jederzeit nutzen können, um die Serverqualität zu schützen und gleichzeitig Befehlsausführungen und Protokolle zu erfassen. Auch Windows-Server benötigen einen eigenen Sensortyp; diese erfassen den gesamten Umfang von Windows Ereignistypen.

Modulare Sensoren sind eine weitere Art: Sie ermöglichen die Integration anpassbarer Funktionen in den Sensor. Dies kann beispielsweise die Protokollweiterleitung umfassen – falls eine Bereitstellung mit einem SIEM oder andere Sicherheitstools – und die Erfassung des Netzwerkverkehrs – je nach Bedarf des NDR. Für höhere Sicherheitsanforderungen können modulare Sensoren auch mit Sandbox- und Intrusion-Detection-Systemen eingesetzt werden.

Nachdem für jede Bereitstellung die richtigen Sensoren identifiziert wurden, ist es wichtig, diese entsprechend einzurichten. Hierfür stehen zahlreiche Bereitstellungsmethoden zur Verfügung: Ein SPAN-Port ist eine der gängigsten. Er funktioniert, indem er den Netzwerkverkehr eines Netzwerk-Switches auf den Port mit dem NDR-Sensor spiegelt. Dadurch kann das NDR-Tool den gesamten Datenverkehr an diesem Port passiv als Paket erfassen.

Virtuelle Umgebungen basieren auf der Bereitstellung virtueller Taps, die Kopien der zwischen VMs innerhalb des Hosts fließenden Daten erfassen. Physische TAPs erfassen diesen Datenverkehr nicht, da er niemals physische Netzwerkkabel passiert. Die Netzwerkaktivität von Remote-Endpunkten kann mit agentenbasierten Collectoren überwacht werden. Dabei handelt es sich um leichtgewichtige Collector-Systeme, die direkt auf einem Gerät installiert werden.

Datenaufnahme

Da alle Daten kontinuierlich von Sensoren überwacht werden, müssen sie anschließend von der zentralen Analyse-Engine des NDR erfasst und analysiert werden. Dies geschieht durch zwei Prozesse: Empfänger und Konnektoren. Ersterer ist eine laufende Aufgabe, die Sensoreingaben entgegennimmt und an die kontaktierten IP-Adressen oder Portnummern verteilt – letzterer analysiert die zugehörigen Rohdaten der Netzwerkpakete.

Download und Einrichtung

Das Herunterladen und Konfigurieren der NDR-Verwaltungskonsole hängt vom gewählten Anbieter ab. In allen Fällen ist jedoch zunächst die Einrichtung von Administratorrollen, Alarmschwellenwerten und Benachrichtigungsprotokollen erforderlich. Ein bis zwei Wochen Schulung sind in der Regel die Mindestanforderung bei der Einführung eines neuen Tools. Dies hilft, die Integration in die Arbeitsabläufe der Analysten zu optimieren.

Aktivieren und Optimieren automatisierter Antworten

Automatisierte Reaktionen sind eine Schlüsselfunktion moderner NDR-Tools: Sie ermöglichen zudem eine erhebliche Zeitersparnis im Kampf gegen potenzielle Angriffe. Je nach NDR müssen dessen automatisierte Reaktionsmaßnahmen wie TCP-Sitzungsbeendigung, dynamische Netzwerksegmentierung oder Verkehrsdrosselung konfiguriert werden – zusammen mit dem Verhaltensprofil, das die jeweilige Aktion auslöst. Weitere Informationen zum Bereitstellen eines NDR finden Sie hier.

Integration von NDR mit anderen Sicherheitstools

Die Fähigkeit von NDR, heuristische Modelle des normalen Netzwerkverhaltens zu erstellen und so Abweichungen davon zu erkennen, ergänzt die Erkenntnisse anderer Sicherheitstechnologien optimal. Durch die Integration dieser Technologien kann jeder Alarm auf Netzwerkebene berücksichtigt werden. Die folgenden Sicherheitstools werden häufig und erfolgreich in NDR integriert.

EDR

Durch die Integration von EDR und NDR ist es möglich, nicht nur die Angriffskette vollständig zu verstehen, sondern auch automatisch über das EDR-Gerät auf Bedrohungen zu reagieren. Wenn beispielsweise Malware auf ein Gerät zurückgeführt wird, kann eine gemeinsame EDR/NDR-Lösung dieses automatisch vom Netzwerk isolieren. Diese Eindämmung verhindert die Ausbreitung der Bedrohung und gibt Sicherheitsteams gleichzeitig die Möglichkeit, den Vorfall zu untersuchen und notwendige Abhilfemaßnahmen zu ergreifen.

SIEM

SIEMSie sind in Sicherheitsteams allgegenwärtig – sie ermöglichen die Protokollanalyse und -erkennung und sind die Vorläufer des modernen Bedrohungsmanagements. Da sie jedoch in Sicherheitsteams weit verbreitet sind, … SIEMs verarbeiten so viele Protokolle – und Protokolle allein bieten keinen umfassenden Einblick in die Bedrohungen – SIEMDiese Systeme sind sehr anfällig für Fehlalarme. Die Folge sind Tausende von Warnmeldungen pro Tag, die praktisch unmöglich manuell zu überprüfen sind.

NDRs ermöglichen die Einrichtung einer zusätzlichen Authentifizierungsebene – immer dann, wenn SIEM Wird ein potenzieller Vorfall erkannt, können die zugehörigen Netzwerkdaten analysiert werden. Weisen beide Datenquellen auf einen Angriff hin, kann über das zentrale Dashboard des NDR eine Warnung ausgegeben werden. Dies hilft nicht nur, Fehlalarme herauszufiltern, sondern bietet dem prüfenden Analysten auch eine bessere Grundlage für seine Arbeit.

Firewalls

NDR verbessert die Bedrohungserkennung der Firewall, indem es ungewöhnliches oder bösartiges Netzwerkverhalten erkennt. Da es das Verhalten auf eine bestimmte IP-Adresse zurückführt, können diese Echtzeitinformationen an die Firewall übermittelt werden, die in jedem Netzwerk oder Subnetzwerk installiert ist. Diese erstellt und setzt dann automatisch eine entsprechende Richtlinie durch, die den verdächtigen Datenverkehr blockiert.

Klingt zu gut, um
wahr sein?
Sehen Sie selbst!

Demo anfordern
Nach oben scrollen
Melden Sie sich für Newsletter an