Network Detection and Response (NDR) ist ein netzwerkbasierter Sicherheitsansatz, der basierend auf statischen Regeln, maschinellem Lernen und Threat Intelligence den gesamten Datenverkehr eines Unternehmens kontinuierlich überwacht und analysiert. Die Lösung bezieht dabei sowohl den gesamten internen Datenverkehr als auch die externe Kommunikation ein und berücksichtigt somit Quellen wie Client- und Serversysteme, Netzwerkkomponenten, aber auch IoT-Sensoren oder OT-Geräte. Darüber hinaus reagieren NDR-Tools automatisch auf erkannte Bedrohungen, indem sie Sicherheitsmaßnahmen wie das Blockieren von Netzwerkverbindungen oder Domänen aktivieren. Darüber hinaus ermöglichen historische Netzwerkinformationen eine umfassende Überprüfung bekannter Indicators of Compromise, was die schnelle Aufklärung bekannter Bedrohungen unterstützt.
Durch die Kombination mit anderen Sicherheitslösungen wie XDR (Extended Detection and Response) und SIEM (Security Information and Event Management) entfaltet NDR seine volle Stärke und trägt wesentlich zur Sicherheit im Unternehmen bei.
NDR macht Bedrohungen sichtbar und ermöglicht die gezielte und schnelle Abwehr erkannter Gefahren.
IT-Sicherheitsteams stehen vor der Herausforderung, angesichts der zahlreichen und immer komplexer werdenden Cyber-Bedrohungen eine aktive, schnelle und umfassende Gefahrenerkennung und -abwehr für Unternehmen zu gewährleisten. Hierfür sind verschiedenste „Threat Detection and Response“ Tools gefragt, die das Ziel haben, stattfindende Angriffsaktivitäten zeitnah zu erkennen, zu melden und somit das IT-Sicherheitsniveau nachhaltig zu erhöhen.
Network Detection & Response bildet dabei den Baustein der Netzwerksicherheit und sorgt für die Sichtbarkeit von Bedrohungen innerhalb der eigenen Netzwerkinfrastruktur. Darüber hinaus ermöglicht NDR die gezielte und schnelle Abwehr von erkannten Bedrohungen.
SECUINFRA arbeitet bei der Implementierung von Network Detection & Response mit Corelight Inc. zusammen, die verschiedene Sensoren mit einer Installation von Suricata und Zeek liefern. Die Kombination beider Systeme ermöglicht eine umfassende Erkennung bekannter Angriffsvektoren über Signaturen sowie eine Vielzahl weiterer Informationen für die Analyse. Darüber hinaus stellt Corelight zahlreiche Erweiterungsskripte für Zeek zur Verfügung, um Angriffe auf Basis einer Anomalie- oder Verhaltensanalyse zu erkennen. Dazu gehören beispielsweise die Erkennung von Command & Control Kommunikation oder die Auswertung von Metadaten innerhalb verschlüsselter Kommunikation, um Rückschlüsse auf die Nutzung einer SSH- oder VPN-Verbindung zu erhalten.
NDR-Werkzeuge ermöglichen die Erkennung von Angriffsmustern, die auf Endgeräten unerkannt bleiben würden. Dazu gehören beispielsweise die Erkennung von Lateral Movement, Command & Control Kommunikation oder Datenexfiltration. Dazu analysieren NDR-Werkzeuge kontinuierlich den Netzwerkverkehr und erkennen bösartiges Verhalten. Zusätzlich können durch Signaturerkennung bekannte Angriffsmuster identifiziert werden.
Der Einsatz von NDR Tools führt zu einem verbesserten IT-Sicherheitsniveau – insbesondere dann, wenn bereits vorhandene SIEM- und EDR-Lösungen durch NDR ergänzt werden.
NDR und SIEM arbeiten zusammen mit dem übergeordneten Ziel, Bedrohungen zu erkennen, zu verifizieren und darauf zu reagieren, indem Informationen gesammelt und gemeinsam genutzt werden.
NDR sammelt und analysiert Netzwerkinformationen, um Angriffe zu identifizieren. Nach der Identifizierung eines Angriffs kann eine NDR-Lösung automatisch reagieren, indem sie die betroffenen Geräte isoliert, um die Ausbreitung des Angriffs zu verhindern und die betroffenen Bereiche zu säubern. Darüber hinaus stellt eine NDR-Lösung alle gesammelten Informationen dem SIEM-System zur Verfügung.
Das SIEM nutzt diese Informationen zusammen mit anderen Ereignissen von verschiedenen Sicherheitsgeräten und -anwendungen in Echtzeit. Es korreliert diese Daten, um potenzielle Bedrohungen zu erkennen und Alarme zu generieren.
Die von NDR gesammelten Informationen können wiederum von Cyber Defense Analysten genutzt werden, um die Erkennungsregeln im SIEM anzupassen und zukünftige Angriffe besser zu erkennen und abzuwehren.
Zusammenfassend unterstützt NDR das SIEM unter anderem durch:
Um ein NDR-Tool einsetzen zu können, muss die Infrastruktur eine Möglichkeit zur Analyse der Netzwerkkommunikation bieten. Dies kann z.B. durch einen Switch SPAN-Port oder einen dedizierten Test Access Point (TAP) erfolgen.
Außerdem muss festgelegt werden, welcher Netzwerkverkehr analysiert werden soll. Typischerweise ist ein erster Analysepunkt die Netzwerkschnittstelle zwischen ihrer Organisation und dem öffentlichen Netz. Hier haben sie die Möglichkeit, alle Zugriffe aus ihrem Netzwerk zu analysieren. Ergänzend können die Übergänge zwischen den einzelnen Netzwerksegmenten innerhalb ihrer Organisation überwacht werden, um z.B. Lateral Movement Aktivitäten zu identifizieren.
SECUINFRA bietet Ihnen die Möglichkeit, Ihre individuelle NDR-Lösung nach dem Baukastenprinzip zu realisieren. Dabei planen unsere Experten gemeinsam mit Ihnen die Implementierung und Anbindung des NDR-Tools an Ihre bestehende Sicherheitsinfrastruktur.
Der Mehrwert aus ihren Netzwerkinformationen
Mit Hilfe der durch das NDR-Tool bereitgestellten Netzwerkinformationen können Erkennungsregeln (Use Cases) für verschiedene Bedrohungsszenarien entwickelt werden. Dazu gehören insbesondere die Erkennung von Lateral Movement, Command & Control Kommunikation oder Datenexfiltration, die durch Informationen auf Endgeräten nicht erkannt werden können.
Historische Informationen über Netzwerkverbindungen ermöglichen eine schnelle und sichere Auswertung von bestehenden Sicherheitsvorfällen. Beispielsweise lässt sich anhand von Informationen über die zugegriffenen Domainnamen leicht ein Überblick über die von einem Angriff betroffenen Clients erstellen. Historische Daten helfen auch bei der nachträglichen Überprüfung bekannter Indicators of Compromise und bieten einen Ansatzpunkt für weitere Untersuchungen.
Netzwerkparameter wie IP-Adressen oder Domainnamen können mit Informationen aus externen Quellen angereichert und hinsichtlich ihrer Vertrauenswürdigkeit bewertet werden – anhand historischer Daten auch im Nachhinein. Das NDR-Tool kann dann direkt auf erkannte Bedrohungen reagieren und Zugriffe unterbinden.
Durch die regelmäßige Überprüfung verschiedener Indikatoren wie verwendete TLS-Zertifikate, besuchte Domains oder Zugriffe auf interne Ressourcen können verdächtige Verhaltensweisen frühzeitig erkannt und unterbunden werden.
Die Eigenschaften verschiedener Monitoring Ansätze
NDR-Tools werden innerhalb der eigenen Infrastruktur an den Übergängen zum öffentlichen Netz oder an den Verbindungen zwischen verschiedenen internen Netzbereichen platziert und verarbeiten den Netzverkehr in Echtzeit. Die Daten werden in der Regel über einen Netzwerk-TAP (Test Access Point) oder einen SPAN (Switch Port Analyser) zur Verfügung gestellt. Der duplizierte Netzwerkverkehr wird also passiv verarbeitet und hat keinen Einfluss auf den aktiven Datenstrom. Die verfügbaren Netzwerkdaten der NDR Tools können in drei Kategorien eingeteilt werden, wobei jede Verarbeitungsart unterschiedliche Vor- und Nachteile bietet. Darüber hinaus ist es auch möglich, Informationen aus DNS-, Proxy- oder Firewall-Logs für die Netzwerkanalyse zu verwenden.
Mit Full-Packet-Capture-Lösungen wird der gesamte Netzwerkverkehr aufgezeichnet und anschließend analysiert. Dadurch stehen den Sicherheitsanalysten alle Informationen verlustfrei zur Verfügung und sie können das Geschehen im Netzwerk genau nachvollziehen. Diese Art der Überwachung erfordert jedoch meist eine manuelle Analyse und kann aufgrund der Masse an Informationen sehr zeitaufwändig sein. Auch eventuelle Schutzmaßnahmen für gefundene Verdachtsfälle müssen manuell eingeleitet werden. Zudem ist zu berücksichtigen, dass die Speicherdauer der Daten aufgrund der benötigten Kapazität begrenzt ist.
Demgegenüber stehen Netzwerk Intrusion Detection/Prevention Systeme (IDS/IPS), die anhand von vordefinierten Regelsätzen verdächtige Netzwerkkommunikation erkennen können. Dabei vergleichen die Werkzeuge den Datenstrom in Echtzeit mit den implementierten Regeln und geben gegebenenfalls eine Alarmmeldung aus. Neben statischen Regeln kommen in IDS/IPS zunehmend auch Verhaltensanalysen durch maschinelles Lernen zum Einsatz. Intrusion Prevention Systeme können automatisch auf Alarme reagieren und verschiedene Schutzmaßnahmen einleiten. IDS hingegen erfordern eine manuelle Weiterverarbeitung entsprechender Alarme. Dabei ist zu beachten, dass den Sicherheitsanalysten nach dem initialen Alarm nur begrenzte Informationen über die Netzwerkverbindungen zur Verfügung stehen, was eine qualifizierte Bewertung des Alarms erschweren kann.
Eine weitere Methode, das interne Netzwerk zu überwachen, ist der Einsatz von Network Security Monitoren (NSM). Ein NSM extrahiert aus dem Datenstrom zahlreiche verbindungs- und protokollspezifische Informationen und stellt diese strukturiert dar. Anschließend erfolgt eine Analyse der gewonnenen Informationen durch implementierte Analyseskripte. Dabei können sowohl signatur- als auch verhaltensbasierte Analysen durchgeführt werden, um Angriffe zu erkennen. Reaktionen auf erkannte Ereignisse können manuell, automatisch oder durch nachgelagerte Analysesysteme wie SIEM/SOAR initiiert werden.
Der Informationsumfang eines NSM ist ein Mittelweg zwischen einem Full-Packet-Capture und den Alarmen eines IDS/IPS. Die Extraktion der Informationen aus dem Netzwerkverkehr führt zu einem überschaubaren Speicherbedarf, der es erlaubt, die Daten über einen längeren Zeitraum vorzuhalten. Zudem bleiben trotz des reduzierten Speicherbedarfs alle sicherheitsrelevanten Informationen für zukünftige Analysen erhalten.
Neben der Analyse von Netzwerkinformationen direkt aus dem Datenstrom besteht die Möglichkeit, Anwendungslogs zu nutzen. Dazu zählen im Netzwerkbereich beispielsweise die Logdaten von DNS-Servern, Web-Proxies oder Firewalls. Im Vergleich zu einem NDR-Tool haben diese Logs jedoch nur einen eingeschränkten Informationsgehalt und zahlreiche Nachteile. Dazu gehört, dass die Logs aus unterschiedlichen Quellen gesammelt und aufbereitet werden müssen. Unterschiedliche Schreibweisen, Zeitstempel oder Bezeichnungen erschweren zudem die Analysearbeit. Darüber hinaus müssen nach erkannten Bedrohungen entsprechende Schutzmaßnahmen manuell oder über andere Systeme umgesetzt werden.
Erst die Kombination von NDR, EDR und SIEM ermöglicht eine umfassende Erkennung von Bedrohungen und eine schnelle Reaktion.
NDR sammelt und analysiert Netzwerkinformationen, um Angriffe zu identifizieren. Nach der Identifizierung eines Angriffs kann ein NDR-Tool automatisch reagieren, indem es die betroffenen Geräte isoliert, um die Ausbreitung des Angriffs zu verhindern und die betroffenen Bereiche zu säubern. Darüber hinaus stellt eine NDR-Lösung alle gesammelten Informationen dem SIEM-System zur weiteren Analyse zur Verfügung.
Im Gegensatz dazu konzentrieren sich EDR-Tools auf die Erhöhung der Sichtbarkeit von Anomalien am Endpunkt: Der Schutz findet direkt am Endgerät statt und nicht an der Netzwerkgrenze. Dazu werden die Aktivitäten der Endgeräte in Echtzeit erfasst, protokolliert und analysiert.
Das SIEM bzw. SOAR nutzt diese Informationen zusammen mit weiteren Ereignissen von verschiedenen Sicherheitsgeräten und -anwendungen in Echtzeit. Es korreliert diese Daten, um potenzielle Bedrohungen zu erkennen und Alarme zu generieren.
Die gesammelten Informationen können wiederum von Sicherheitsanalysten verwendet werden, um die Erkennungsregeln anzupassen und zukünftige Angriffe besser zu erkennen und abzuwehren. So bietet XDR (Extended Detection and Response) als Oberbegriff einen transparenten Einblick in Daten über Netzwerke, Clouds, Endpunkte und Anwendungen hinweg.
Nur durch die Kombination verschiedener Sicherheitskomponenten ist es möglich, Bedrohungen und Angriffe auf Anwendungs-, Netzwerk- und Endpunktebene zu erkennen und schnell darauf zu reagieren.
Kontaktformular am Seitenende
„*“ zeigt erforderliche Felder an
©2024 SECUINFRA GmbH. Alle Rechte vorbehalten.