Leigh Prather - stock.adobe.com
NDR: Unerwünschte Besucher im Netzwerk zeitnah erkennen
Angreifer dringen häufig unbemerkt in Netzwerke ein und bewegen sich innerhalb der Umgebung, bevor erkennbare Auffälligkeiten bemerkt werden. Da kommen NDR-Lösungen ins Spiel.
Wenn Unternehmen Auffälligkeiten in ihrem Netzwerk wahrnehmen, ist es leider meist schon zu spät. Insbesondere wenig bekannte Cyberbedrohungen, die auf dezentrale Architekturen abzielen, machen es den Sicherheitsverantwortlichen zunehmend schwerer, die eigene Angriffsfläche zu reduzieren.
Hinzu kommt, dass vielerorts IT-Teams überlastet sind – und der Fachkräftemangel kommt erschwerend hinzu. Daher wird es jetzt vor allem darum gehen, neue Angriffsmethoden so rasch wie möglich zu erkennen, statt einfach nur auf Auffälligkeiten zu reagieren, und Erkennungs- sowie Reaktionsstrategien zu entwickeln, die imstande sind, verdächtige Vorkommnisse zu erkennen und Warnmeldungen dementsprechend zu priorisieren.
Der Markt für automatisierte Netzwerküberwachung wächst – das bestätigt nicht zuletzt der aktuelle Gartner Market Guide for Network Detection and Response (NDR). Der zunehmende Cloud-Nutzung sowie die veränderten Arbeitsweisen zwingen Unternehmen dazu, ihre Sicherheitsstrategie zu überdenken.
Der IBM-Studie Cost of a data breach 2022 zufolge dauert es durchschnittlich 207 Tage, bis eine Sicherheitsverletzung entdeckt wird. Wie also lässt sich diese Zeit verkürzen? An dieser Stelle kommen NDR-Lösungen ins Spiel, denn sie sind dafür konzipiert, die Anwesenheit von Hackern im Netzwerk so früh wie möglich zu erkennen, um die Geschäftskontinuität zu gewährleisten und Lösegeldzahlungen zu vermeiden. Zwar investieren einige Unternehmen kräftig in Tools zur Erkennung von Angriffen – allerdings sind zahlreiche Insellösungen ein weiteres Problem, das sich kontraproduktiv auf die Erkennung von Cyberbedrohungen auswirkt.
Laut dem CCS Insight Report verwendet ein Unternehmen mit mehr als 1.000 Mitarbeitern im Schnitt 70 Sicherheitslösungen von 35 Anbietern. Dieser Wildwuchs erschwert eine wirksame Kontrolle und fördert die Zahl an Falschmeldungen, die die Arbeit der Security-Teams erschweren. So kommt es, dass viele Warnungen unbeantwortet bleiben. Der Einsatz einer NDR-Lösung kann daher nicht nur die Kosten für die Verwaltung der Hard- und Sicherheitssoftware reduzieren, sondern auch die Effizienz der Angriffserkennung deutlich erhöhen.
NDR: Network Detection and Response
Moderne NDR-Lösungen entlasten die ohnehin schon überlasteten Teams von Cyberanalysten und nutzen maschinelles Lernen, um relevante Angriffsinformationen zu liefern. Sie analysieren den Netzwerkverkehr unabhängig von der verwendeten Architektur, basieren auf maschinellem Lernen und künstlicher Intelligenz, wobei die Best-of-Breed-Lösungen keine vordefinierten Kenntnisse über die Umgebung benötigen, in der sie eingesetzt werden, sprich, sie arbeiten signaturfrei.
So ist zu beobachten, dass vielerorts NDR-Lösungen Intrusion-Detection-Systeme (IDS), welche mit programmierbaren Signaturen arbeiten, ablösen. Ein Grund hierfür ist die zunehmende Komplexität der Angriffe, die sich der internen Kommunikation bedienen. Um Bedrohungen der Netzwerksicherheit frühzeitig erkennen zu können, sollte eine NDR-Lösung detaillierte Informationen für forensische Analysen liefern, um so die Suche nach anormalem Verhalten zu erleichtern.
Das Problem: Raffinierte Cyberkriminelle verändern in regelmäßigen Abständen ihren Code, um möglichst spät entdeckt zu werden. Allerdings hinterlassen sie bei ihren Aktionen stets Spuren im Netzwerk. NDR-Lösungen sind in der Lage, diese Spuren zu entdecken und damit schon zu einem frühen Zeitpunkt Warnmeldungen auszusenden.
NDR, EDR oder beides?
Um Cyberattacken und verdächtige Verhaltensweisen zu erkennen, gibt es prinzipiell zwei Ansätze: EDR-Lösungen (Endpoint Detection and Response) basieren auf einem Softwareagenten, der auf jedem der überwachten Systeme benötigt wird, während NDR-Lösungen eine Kopie des überwachten Netzwerkverkehrs analysieren. Obwohl beide Ansätze ein gemeinsames Ziel verfolgen, unterscheiden sie sich sowohl konzeptionell als auch technisch. Daher sollten Interessenten einen Blick auf die jeweiligen Vorteile werfen.
Nach der Installation eines Agenten ermöglicht eine EDR-Lösung die Überwachung der ausgeführten Prozesse, der Änderungen am Dateisystem, der Rechteverwaltung und der Persistenz eines Prozesses, um einen Neustart zu verhindern. Eine NDR-Lösung erkennt verdächtiges Verhalten im Netzwerk, wie etwa Shellcode oder Seitwärtsbewegungen (Lateral Movement), und bietet gleichzeitig die nötige Sichtbarkeit, um das Wissen über die eigene IT-Umgebung zu erweitern – eine wichtige Voraussetzung, um effektive Maßnahmen für die Resilienz gegenüber Cyberangriffen zu implementieren.
„Um Bedrohungen der Netzwerksicherheit frühzeitig erkennen zu können, sollte eine NDR-Lösung detaillierte Informationen für forensische Analysen liefern, um so die Suche nach anormalem Verhalten zu erleichtern.“
Gerald Hahn, Gatewatcher
Warum also zwischen beiden Ansätzen wählen? Die Qualität der Entscheidungen hängt direkt von Informationen ab, die von den Sensoren gesendet werden. Diese Informationen wollen verstanden und im Kontext betrachtet werden. Eine NDR-Lösung stellt relevante Daten bereit, um den für Entscheidungen und Analysen erforderlichen Kontext zu schaffen.
Die Erkennung als solches ist obligatorisch für eine Lösung zur automatisierten Netzwerküberwachung – allerdings darf die Suche nach Anzeichen für eine Kompromittierung und deren Untersuchung nicht vergessen werden. Denn Cyberkriminelle versuchen zunächst ein Einfallstor in das Netzwerk eines potenziellen Opfers zu finden und sich Zutritt zu verschaffen, um später zurückzukehren und den Angriff weiter voranzutreiben.
Es wäre riskant, darauf zu warten, dass eine EDR-Lösung die Kompromittierung eines oder mehrerer Systeme erkennt, um erst dann zu reagieren. Raffinierte oder komplexe Angriffe sind durch sogenannte Aufklärungs- oder Querverschiebungsphasen gekennzeichnet, die von einer NDR-Lösung auf Basis der Verhaltens- und Kontextanalyse des Netzwerkverkehrs erkannt werden.
In Anbetracht der Schwierigkeiten bei der Bereitstellung eines EDR-Agenten und der Tatsache, dass es bisweilen sogar unmöglich ist, diesen Agenten zu installieren – etwa aufgrund veralteter Betriebssysteme –, ist eine Ergänzung durch die Implementierung einer modernen Netzwerklösung vom Typ NDR sinnvoll. Sobald diese Lösung installiert ist, kann sie zuverlässig Bedrohungen erkennen, analysieren und diese reagieren, ohne auf die Implementierung einer weiteren Lösung zu warten.
Über den Autor:
Gerald Hahn ist Country Manager DACH, Mittel- und Osteuropa bei Gatewatcher.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
