Erfahren Sie, wie Unternehmen verdächtige Netzwerkaktivitäten überwachen, aufdecken und abwehren.
InsightIDR-ProduktUnter NDR (Network Detection and Response) versteht man die Anwendung von Regeln oder Signaturen auf den Traffic im Netzwerk, um automatisch Warnmeldungen auszulösen, wenn Aktivitäten auf bösartiges Verhalten schließen lassen.
NDR-Lösungen entwickelten sich aus der Network Traffic Analysis (NTA), die ebenfalls den Traffic im Netzwerk überwachen sollte. Damit wurde der Notwendigkeit Rechnung getragen, dass Standardlösungen automatisierte Abwehrmaßnahmen enthalten müssen.
Und das wiederum bedeutet, dass die meisten modernen Lösungen potenzielle Bedrohungen überwachen, erkennen und auf sie reagieren können. Nachdem eine Bedrohung entdeckt wurde, kann das Sicherheitspersonal also sofort Maßnahmen ergreifen, um sie einzudämmen oder darauf zu reagieren, indem es bösartige Prozesse unterbindet oder infizierte Endpunkte unter Quarantäne stellt.
Laut Gartner® setzen Unternehmen NDR ein, um nach einem Verstoß Aktivitäten wie Ransomware, Insider-Bedrohungen oder eine Ausbreitung im Netzwerk zu erkennen und einzudämmen. Wichtige Funktionen von NDR:
Beim NDR arbeitet ein Team von Sicherheitsexperten an der Erfassung von Prozessen zur Überwachung, Erkennung und Reaktion auf Warnmeldungen, die sich negativ auf die Integrität des Netzwerks und des Unternehmens auswirken könnten. Betrachten wir diese Prozesse etwas genauer:
Einer der wichtigsten Aspekte dieses Prozesses ist der Zugriff auf Echtzeitinformationen über Benutzer-, Anwendungs- und Web-Aktivitäten. Darüber hinaus sollten die Netzwerkdaten leicht durchsuchbar sein, damit Analysten ihre Untersuchungen von Warnmeldungen auf der Grundlage verdächtiger Aktivitäten beschleunigen können. Außerdem ist es wichtig, dass benutzerdefinierte Warnungen erstellt werden können und eine Bibliothek mit Angreiferverhaltensanalysen zur Verfügung steht. So kann der Prozess von Anfang an auf einer Fülle von Informationen über frühere verdächtige Aktivitäten aufbauen.
Es muss unbedingt eine Baseline für die üblichen Verhaltensweisen und Aktionen im Netzwerk erstellt werden, damit automatisierte Systeme zwischen normalem und verdächtigem Verhalten unterscheiden können. Mit User Behavior Analytics (UBA) kann Ihr Team beispielsweise schnell feststellen, ob es sich bei einer potenziellen Bedrohung um einen externen Angreifer handelt, der sich als Mitarbeiter ausgibt, oder um einen Mitarbeiter, der durch Fahrlässigkeit oder Böswilligkeit ein erhöhtes Risiko darstellt. UBAs ordnen die Aktivitäten im Netzwerk einem bestimmten Benutzer zu – und nicht einer IP-Adresse oder Ressource. Diese werden anschließend mit der normalen Baseline für die Aktivitäten des betreffenden Benutzers verglichen.
NDR-Lösungen sollten in der Lage sein, bei Erkennung eines Vorfalls automatische Maßnahmen zu ergreifen. Heutzutage muss ein Angreifer schnell ausgeschaltet werden können, wenn eine Netzwerkgrenze verletzt wird, egal ob On-Premises oder in der Cloud. Das kann über eine Quarantäne, die Trennung der Verbindung oder auch eine Reihe von vordefinierten Aktionen erfolgen, die von Analysten des Security Operations Center (SOC) entwickelt wurden. Dazu gehören die tiefgehende Analyse von Vorfällen, das Reverse-Engineering von Angriffsmethoden wie Malware und die Erstellung von Vorfallsberichten.
Ein TI-Feed (Threat Intelligence) ist ein kontinuierlicher Datenstrom, der eine automatisierte Priorisierung von Bedrohungen und deren Behebung ermöglicht. Mit einem TI-Feed sollte ein Sicherheitsunternehmen den möglichen Mangel an Kontext für bestimmte Bedrohungen ausgleichen können. Solche Threat-Feeds gibt es in vielen Formen, von auf Open Source basierenden Community-Listen bis hin zu kostenpflichtigen privaten Feeds. Ihre Wirksamkeit hängt dabei stark von einer Reihe von Faktoren ab:
Kontextbezogene Datenfeeds bieten Analysten nicht nur Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs), sondern auch eine umfassende Darstellung über die Infrastruktur- und Tool-Nutzung des Angreifers. Feeds mit kontextbezogenen Informationen unterstützen die erfolgreiche Bedrohungserkennung sehr viel effektiver.
NDR bietet zahlreiche Vorteile. Die genaue Überwachung Ihres Netzwerks auf böswillige Aktivitäten und die schnelle Abwehr von Gefahren sind von unschätzbarem Wert in Bezug auf Schutz, Erkennung und Gesamtnutzen. Dies sind nur einige der Vorteile:
NDR-Lösungen sind unverzichtbar, aber die Methoden moderner Angreifer gehen über das Netzwerk hinaus – und Ihre Sicherheitsabdeckung sollte dies ebenfalls tun. NDR ist hervorragend für die Untersuchung von Netzwerkprotokollen geeignet, deckt aber keine Warnmeldungen und Ereignisse an Endpunkten ab und erstreckt sich auch nicht auf die Cloud.
Deshalb werden NDR-Produkte in der Regel nicht als Einzellösungen eingesetzt. Sie bilden vielmehr einen Teil eines Lösungspakets, das eine umfassende Abdeckung für eine wirklich erweiterte Erkennung und Abwehr (Extended Detection and Response, XDR) bietet. Dies beinhaltet:
Die Benutzertelemetrie bietet Einblicke in Datei- und Netzwerkzugriffe, Registrierungszugriffe oder -manipulationen, Speicherverwaltung sowie Start- und Stoppaktivitäten. Zu den erkannten ungewöhnlichen Verhaltensweisen können Prozesse zählen, die Befehlsfenster erzeugen, Versuche der Speicherinjektion oder der Zugriff auf ungewöhnliche Dateispeicherorte.
Die Server-Telemetrie liefert Informationen über äußerst differenzierte Daten. Da Server so viele wichtige Unternehmensfunktionen steuern, kann die XDR-Telemetrie dazu beitragen, Untersuchungen und Abhilfemaßnahmen bei Vorfällen auf einer Makroebene zu priorisieren.
Netzwerktelemetrie bietet Einblicke in den Datenverkehr, insbesondere bei einem plötzlichen Anstieg des Datenvolumens, neuen Netzwerkprotokollen oder ungewöhnlichen Berechtigungserweiterungen. Fortgeschrittene Verschlüsselungsmethoden behindern oft eine tiefere Netzwerkanalyse, die Bedrohungsakteuren sonst entgegenwirken könnte. In Kombination mit der Endpunkttelemetrie kann die Analyse des Netzwerkverkehrs ein Eckpfeiler einer XDR-Offensive sein.
Cloud-Telemetrie bietet Einblicke in die Infrastruktur. Dazu kann auch die Erkennung von Sicherheitsanomalien bei allen eingesetzten Cloud-Workloads oder Komponenten gehören. Angreifende, die es speziell auf die Cloud eines Unternehmens abgesehen haben, können sich mit den richtigen Anmeldedaten leicht Zugang verschaffen. Daher ist es wichtig, dass Sie die moderne Erkennungstechnologie von XDR nutzen, um Bedrohungen schneller zu finden und Cloud-Umgebungen zu schützen.
Indem die Analyse des Angreiferverhaltens als Methode zur Bedrohungserkennung eingesetzt wird, können Teams schnell neue Regeln für aufkommendes Angreiferverhalten entwickeln und Meldungen innerhalb von Minuten nach dem Entdecken einer neuen Technik oder eines neuen Trends herausgeben. UBAs können Verstöße in der Angriffskettenphase der Ausbreitung im Netzwerk erkennen. ABAs dienen der Erkennung von Angreiferaktivitäten in allen anderen Phasen des Angriffszyklus.
Gartner Market Guide for Network Detection and Response, Jeremy D’Hoinne, Nat Smith, Thomas Lintemuth, 14. Dezember 2022.