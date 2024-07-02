Aktualisiert: 8. Juli 2024
Mitwirkende: Annie Badman, Matthew Kosinski
NDR steht für „Network Detection and Response“ (Netzwerkerkennung und -reaktion) und ist eine Kategorie von Cybersicherheitstechnologien, die nicht-signaturbasierte Methoden – wie künstliche Intelligenz, maschinellesLernen und Verhaltensanalyse – einsetzen, um verdächtige oder bösartige Aktivitäten in einem Netzwerk zu erkennen und auf Cyberbedrohungen zu reagieren.
NDR ist eine Weiterentwicklung der Netzwerkverkehrsanalyse (Network Traffic Analysis, NTA) und wurde ursprünglich dazu konzipiert, Netzwerkverkehrsmodelle aus rohen Netzwerkverkehrsdaten zu extrahieren. Nachdem die NTA-Lösungen um Funktionen zur Verhaltensanalyse und zur Reaktion auf Bedrohungen erweitert wurden, änderte der Branchenanalyst Gartner® den Namen dieser Kategorie im Jahr 2020 in „Network Detection and Response“.
Netzwerke sind die Grundlage der heutigen vernetzten Welt und das Hauptziel von Bedrohungsakteuren.
Traditionell verließen sich Unternehmen auf Tools zur Bedrohungserkennung wie Antivirensoftware, Intrusion Detection Systems (IDS) und Firewalls, um die Netzwerksicherheit zu gewährleisten.
Viele dieser Tools verwenden einen signaturbasierten Erkennungsansatz, bei dem Bedrohungen identifiziert werden, indem Indicators of Compromise (IOCs) mit einer Datenbank mit Signaturen für Cyberbedrohungen abgeglichen werden.
Eine Signatur kann ein beliebiges Merkmal sein, das mit einem bekannten Cyberangriff in Verbindung gebracht wird, z. B. eine Codezeile eines bestimmten Stammes von Malware oder eine bestimmte Phishing-E-Mail-Betreffzeile. Signaturbasierte Tools überwachen Netzwerke auf diese zuvor entdeckten Signaturen und schlagen Alarm, wenn sie sie finden.
Während bekannte Cyberbedrohungen wirksam abgewehrt werden können, haben signaturbasierte Tools Schwierigkeiten, neue, unbekannte oder aufkommende Bedrohungen zu erkennen. Sie haben auch Schwierigkeiten, Bedrohungen zu erkennen, die keine eindeutigen Signaturen haben oder einem legitimen Verhalten ähneln, wie z. B.:
Ransomware-Banden und andere fortschrittliche, hartnäckige Bedrohungen können diese Schwachstellen ausnutzen, um Netzwerke zu infiltrieren, zu überwachen, Privilegien zu erweitern und in günstigen Momenten Angriffe zu starten.
NDR kann Unternehmen dabei helfen, die von signaturbasierten Lösungen hinterlassenen Lücken zu schließen und moderne und zunehmend komplexe Netzwerke zu sichern.
Mithilfe fortschrittlicher Analysen, maschinellem Lernen und Verhaltensanalysen kann NDR sogar potenzielle Bedrohungen ohne bekannte Signaturen erkennen. Auf diese Weise bietet NDR eine zusätzliche Sicherheitsebene in Echtzeit, die Unternehmen dabei hilft, Schwachstellen und Angriffe zu erkennen, die von anderen Sicherheitstools möglicherweise übersehen werden.
Lösungen zur Netzwerkerkennung und -reaktion verfolgen einen proaktiven, dynamisch reagierenden Ansatz bei der Verwaltung von Netzwerkbedrohungen. NDR-Tools überwachen und analysieren kontinuierlich Netzwerkaktivitäten und Verkehrsmuster in Echtzeit, um verdächtige Aktivitäten zu identifizieren, die auf eine Cyberbedrohung hindeuten könnten.
Bedrohungserkennung mit einer NDR-Lösung umfasst in der Regel diese fünf Schritte:
NDR-Lösungen nehmen rohe Netzwerkverkehrsdaten und Metadaten durch Telemetrie auf, d. h. durch die Verwendung von Automatisierung zur Sammlung und Übertragung von Daten aus entfernten Quellen.
NDR-Tools sammeln oft Daten von Endgeräten, Netzwerkinfrastruktur, Firewalls und anderen Quellen, um einen umfassenden Überblick über das Netzwerk zu erhalten. Zu den gesammelten Daten können Netzwerk-Paketdaten, Flussdaten und Protokolldaten gehören.
NDR-Tools nutzen Verhaltensanalysen, KI und maschinelles Lernen, um die Daten auszuwerten und ein Basismodell des normalen Netzwerkverhaltens und der Aktivität zu erstellen.
Nachdem eine Basislinie festgelegt wurde, überwacht das System den Netzwerkverkehr kontinuierlich in Echtzeit. Der NDR vergleicht die aktuelle Netzwerkaktivität mit dieser Baseline, um Abweichungen zu erkennen, die auf eine Datenexfiltration und andere potenzielle Bedrohungen hinweisen könnten.
Solche Abweichungen können unautorisierte Zugriffsversuche, ungewöhnliche Datenübertragungen, anomale Anmeldemuster (z. B. Zugriff auf Daten außerhalb der regulären Geschäftszeiten) oder die Kommunikation mit unbekannten Webservern umfassen.
Bei der Erkennung verdächtiger Aktivitäten weisen NDR-Lösungen die Sicherheitsteams darauf hin, Maßnahmen zu ergreifen. Einige NDR-Tools können auch automatisierte Maßnahmen zur Eindämmung der Bedrohung ergreifen. Diese automatischen Reaktionen umfassen das Blockieren bösartiger IP-Adressen, das Isolieren kompromittierter Geräte oder das Drosseln verdächtigen Datenverkehrs, um weiteren Schaden zu verhindern.
NDR-Systeme passen ihre Modelle der Netzwerkaktivität ständig an, indem sie Rückmeldungen von erkannten Bedrohungen und Reaktionen einbeziehen. Sie integrieren auch Beiträge von Sicherheitsanalysten und Bedrohungsdaten. Diese ständige Weiterentwicklung verbessert die Genauigkeit und Effektivität der NDR-Tools bei der Erkennung und Reaktion auf neue und sich entwickelnde Bedrohungen.
NDR-Lösungen bieten eine Reihe von Funktionen, die Vorteile gegenüber herkömmlichen signaturbasierten Tools zur Bedrohungserkennung bieten können. Zu diesen Funktionen gehören:
NDR-Lösungen bieten Echtzeit-Überwachung und -Analyse und ermöglichen eine schnellere Identifizierung und Reaktion auf potenzielle Bedrohungen. Einige NDR-Tools können auch Prioritäten setzen und Sicherheitsteams oder Security Operations Center (SOCs) entsprechend dem Schweregrad der potenziellen Bedrohung warnen.
NDR kann Einblicke in alle Netzwerkaktivitäten vor Ort und in Hybrid-Cloud-Umgebungen bieten. Diese umfassende Transparenz kann Unternehmen helfen, mehr Sicherheitsvorfälle abzufangen.
Da NDR-Lösungen sowohl den Nord-Süd-Traffic (Ausgang und Eingang) als auch den Ost-West-Traffic (intern) eines Netzwerks überwachen, können sie sowohl Eindringlinge an der Netzwerkgrenze als auch laterale Bewegungen innerhalb des Netzwerks erkennen. Die Fähigkeit, Anomalien innerhalb des Netzwerks zu erkennen, kann dem NDR helfen, fortgeschrittene Bedrohungen aufzuspüren, die auf der Lauer liegen. Einige NDR-Tools können auch Bedrohungen erkennen, die sich im verschlüsselten Traffic verstecken.
NDR nutzt KI und fortschrittliche Algorithmen für maschinelles Lernen, um Netzwerkdaten zu analysieren, Muster zu erkennen und potenzielle Bedrohungen aufzuspüren, einschließlich bisher unbekannter Bedrohungen, die herkömmliche Tools oft übersehen.
Einige NDR-Lösungen verfügen über automatische Reaktionsfunktionen – wie z. B. die Beendigung einer verdächtigen Netzwerkverbindung –, die einen Angriff noch während seiner Ausführung stoppen können. NDR-Tools können auch mit anderen Sicherheitstools integriert werden, um komplexere Notfallpläne auszuführen. Beispielsweise könnte ein NDR nach der Erkennung einer Bedrohung eine Security Orchestration, Automation and Response (SOAR)-Plattform auffordern, ein vordefiniertes Reaktions-Playbook auszuführen.
Viele NDR-Tools lassen sich in Threat-Intelligence-Feeds und -Datenbanken wie das FrameworkMITRE ATT&CK integrieren. Diese Integrationen können Verhaltensmodelle verbessern und die Genauigkeit der Bedrohungserkennung erhöhen. Infolgedessen sind NDR-Tools weniger anfällig für Fehlalarme.
NDR-Lösungen bieten kontextbezogene Daten und Funktionen, die Sicherheitsteams zur Bedrohungsjagd nutzen können, um proaktiv nach bisher unentdeckten Bedrohungen zu suchen.
Trotz ihrer Vorteile haben NDR-Lösungen auch ihre Grenzen. Einige gängige Schwachstellen aktueller NDR-Tools können sein:
NDR-Tools können erhebliche Investitionen in Hardware, Software und Cybersicherheitspersonal erfordern. Die anfängliche Einrichtung kann zum Beispiel die Installation von Sensoren in verschiedenen Netzwerksegmenten und die Investition in einen hochleistungsfähigen Datenspeicher für große Mengen an Netzwerkverkehrsdaten beinhalten.
Die Skalierung von NDR-Lösungen für wachsende Netzwerke kann eine Herausforderung sein. Ein erhöhter Datenfluss kann die Ressourcen belasten und zu Engpässen führen, wodurch Lösungen zur Erkennung von und Reaktion auf Bedrohungen in großen Unternehmen weniger effektiv sind.
NDR-Tools können viele Fehlalarme generieren und Sicherheitsteams mit Alarmmüdigkeit überfordern. Selbst die geringsten Abweichungen von normalen Mustern können als verdächtig eingestuft werden, was zu Zeitverschwendung führt und möglicherweise echte Bedrohungen übersehen lässt.
Die kontinuierliche Überwachung des Netzwerkverkehrs, einschließlich der verschlüsselten Kommunikation, kann Fragen zum Datenschutz aufwerfen. Die Nichteinhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und dem Payment Card Industry Data Security Standard (PCI DSS) kann hohe Geldstrafen und Bußgelder nach sich ziehen.
Die heutigen Unternehmensnetzwerke sind dezentralisiert und ausgedehnt und verbinden Rechenzentren, Hardware, Software, IoT-Geräte und Arbeitslasten sowohl vor Ort als auch in Cloud-Umgebungen.
Unternehmen und ihre Security Operations Centers (SOCs) benötigen eine robuste Reihe von Tools, um einen vollständigen Einblick in diese komplexen Netzwerke zu erhalten. Sie verlassen sich zunehmend auf eine Kombination von NDR mit anderen Sicherheitslösungen.
NDR ist zum Beispiel neben EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) eine der drei Säulen der SOC-Transparenz-Triade von Gartner.
Seit einiger Zeit führen SOCs vermehrt XDR-Lösungen (Extended Detection and Response) ein. XDR integriert Cybersicherheits-Tools in die gesamte hybride IT-Infrastruktur eines Unternehmens, einschließlich Endpunkten, Netzwerken und Cloud-Workloads. Viele XDR-Anbieter bieten NDR-Funktionen an, während offene XDR-Lösungen die vorhandenen NDR-Funktionen eines Unternehmens nutzen können und sich in bestehende Sicherheitsabläufe einfügen.
