Die Rolle von Network Detection & Response bei der effektiven Bedrohungserkennung

In unserem heutigen Beitrag beleuchten unsere Autoren die Rolle von Network Detection & Response (NDR) in der Cyber Defense Strategie von Unternehmen.

Erfahren Sie auch, wie Sie durch das Zusammenspiel von NDR, EDR und SIEM eine effektive, nachhaltige und zuverlässige Bedrohungserkennung realisieren können.

Was ist Network Detection and Response (NDR)?

Network Detection and Response (NDR) ist ein netzwerkbezogener Sicherheitsansatz, der basierend auf statischen Regeln, Machine Learning und Threat Intelligence den gesamten Datenverkehr eines Unternehmens kontinuierlich überwacht und analysiert.

Die Lösung bezieht dabei sowohl den gesamten internen Datenverkehr als auch die externe Kommunikation ein, berücksichtigt also Quellen wie beispielsweise Client- und Serversysteme, Netzwerkkomponenten, aber auch IOT-Sensoren oder OT-Geräte. Durch die systematische, automatisierte Überwachung des Datenverkehrs und des Netzwerkverhaltens lernen NDR-Lösungen das „normale Verhalten“. Treten von diesem gelernten Verhalten abweichende Muster auf, wie beispielsweise verdächtige Zugriffe auf Systeme oder Daten Exfiltrationen, wird durch die NDR-Lösung automatisiert ein Alarm ausgelöst. Diese Alarme sollten zentral, beispielsweise in einem SIEM-System (Security Information and Event Management), gesammelt und mit weiteren Daten, beispielsweise von einer EDR-Lösung (Endpoint Detection and Response) korreliert werden.

Mithilfe des SIEM kann der Cyber Defense Analyst auftretende Unregelmäßigkeiten zentral und effizient analysieren und falls nötig gezielt darauf reagieren – beides idealerweise unterstützt von einem SOAR-System (Security Orchestration Automation and Response).

Was sind die 5 wesentlichen Eigenschaften einer NDR-Lösung?

Eine Network Detection and Response (NDR)-Lösung besitzt eine Reihe von wesentlichen Eigenschaften, die dazu beitragen, Netzwerkbedrohungen zu erkennen und darauf zu reagieren.

Die 5 wichtigsten Merkmale von NDR sind:

  • Überwachung von Netzwerkverkehr: Eine NDR-Lösung überwacht und analysiert den Netzwerkverkehr hinsichtlich potenzieller Bedrohungen. Dies kann durch die Verwendung von Technologien wie Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) erfolgen.
  • Verhaltensanalyse: Eine NDR-Lösung verwendet Machine Learning-Algorithmen, um das verhaltensmäßige Muster des Netzwerkverkehrs zu analysieren und Anomalien zu erkennen, die auf eine mögliche Bedrohung hinweisen können.
  • Automatische Reaktion: Eine NDR-Lösung kann automatisch auf erkannte Bedrohungen reagieren, indem sie z.B. Netzwerkverbindungen trennt oder Regeln im Firewall-System implementiert.
  • Integritätsschutz: Eine NDR-Lösung kann auch dafür sorgen, dass die Integrität des Netzwerks durch Überwachung von Änderungen an Konfigurationen und durch Überwachung von unbefugten Zugriffen auf Netzwerkressourcen gewahrt wird.
  • Berichterstattung und Forensik: Eine NDR-Lösung bietet die Möglichkeit, detaillierte Berichte und Forensik-Daten zu erstellen, die bei der Untersuchung von Sicherheitsvorfällen und bei der Identifizierung von Angreifern hilfreich sind.

Die Vorteile von NDR in der Cyberabwehr

Wie oben erörtert, handelt es sich bei einer NDR-Lösung aufgrund der Features Künstlicher Intelligenz und Machine Learning um ein kontinuierlich dazulernendes System. Das damit erreichte tiefgehende Verständnis des normalen Netzwerkverhaltens führt zu einer zuverlässigen und schnellen Identifizierung von Anomalien. Zudem ermöglichen NDR-Lösungen die Erkennung von Angriffsmustern, die auf Endgeräten unentdeckt bleiben würden. Durch die kontinuierliche Analyse wird auch ein signaturunabhängiges Erkennen bisher unbekannter Sicherheitsbedrohungen erreicht. Die Folge ist ein verbessertes IT-Sicherheitsniveau – vor allem dann, wenn bereits vorhandenen SIEM-, EDR- oder SOAR-Lösungen durch NDR ergänzt werden. Selbst hochentwickelte Cyberangriffe können so frühzeitig identifiziert und abgewehrt werden.

Beispiel Ransomware-Angriff: Hier hinterlassen die Angreifer bereits Spuren im Netzwerkdatenverkehr, lange bevor sie ihr eigentliches Ziel, z.B. die Verschlüsselung von Daten, erreichen. Ein Hinweis auf eine Ransomware-Attacke könnten beispielsweise Anfragen und Kommunikation mit Zielen außerhalb des Netzes sein, möglicherweise zu unüblichen Arbeitszeiten. Auch der interne Netzverkehr kann Hinweise liefern: Greifen vermeintlich Mitarbeiter plötzlich auf Systeme und Anwendungen zu, die sie üblicherweise nicht nutzen?

Zudem kann auch eine Daten Exfiltration aus dem internen Netzwerk ein weiterer Indikator für einen bevorstehende Verschlüsselung sein, da Ransomware-Gruppen die gestohlenen Daten oft für eine weitere Erpressung des betroffenen Unternehmens nutzen.

Wie arbeitet NDR mit einem Security Information and Event Management (SIEM) zusammen?

NDR und SIEM arbeiten mit dem übergreifenden Ziel zusammen, Bedrohungen zu erkennen, zu verifizieren und darauf zu reagieren, indem sie Informationen sammeln und teilen.

NDR sammelt und analysiert Netzwerkinformationen, um Angriffe zu identifizieren. Nach der Identifizierung eines Angriffs kann eine NDR-Lösung automatisch reagieren, indem es die betroffenen Geräte isoliert, um die Ausbreitung des Angriffs zu verhindern und die betroffenen Bereiche zu bereinigen. Weiter stellt eine NDR-Lösung alle gesammelten Informationen dem SIEM-System zur Verfügung.

Das SIEM nutzt diese Informationen zusammen mit weiteren Ereignissen von verschiedenen Sicherheitsgeräten und -anwendungen in Echtzeit. Es korreliert diese Daten, um potenzielle Bedrohungen zu erkennen und Alarme zu generieren.

Auch können die Informationen, die durch NDR gesammelt werden, wiederum von Cyber Defense Analysten verwendet werden, um die Erkennungsregeln im SIEM anzupassen und zukünftige Angriffe besser zu erkennen und abzuwehren.

Zusammenfassend unterstützt NDR das SIEM unter anderem durch:

  • Erfassung und Analyse von Verbindungsdaten aus dem Netzwerkverkehr
  • Bereitstellung einer unveränderlichen Datenquelle
  • Optimierung von vollständigen, umfassenden Berichten
  • Abdeckung von Protokolllücken
  • Protokollanalysen sowie Aggregation und Erkennen verhaltensbedingter Bedrohungen

Wie ergänzt Endpoint Detection & Response (EDR) eine NDR-Lösung?

Der Begriff EDR steht für eine auf Endgeräte bezogene Detektion und Reaktion. Der Fokus von EDR-Lösungen liegt also auf der Erhöhung der Visibilität von Anomalien auf dem Endpunkt: Der Schutz findet direkt auf den Endgeräten und nicht an der Netzwerkgrenze statt. Endpunkte – also alle Geräte, die mit einem Netzwerk verbunden sind – stellen potenzielle Einfallstore für Cyberbedrohungen dar. Mit Endpoint Protection & Response (EDR) werden die Aktivitäten der Endgeräte in Echtzeit erfasst, protokolliert und analysiert.

EDR-Lösungen stellen somit einen wertvollen Bestandteil des Cyber Defense-Toolsets dar, sind jedoch durch ihren Fokus auf Endgeräte nicht in der Lage, Netzwerkverkehr und -aktivitäten zu überwachen, die außerhalb des Endgeräts stattfinden. Diese Art von Überwachung und Analyse erfordert eine Network Detection and Response (NDR)-Lösung. Beide Technologien ergänzen sich somit hervorragend und führen dazu, dass durch die Korrelation der gewonnenen Informationen ein detaillierteres Sicherheitsbild entsteht und Angriffe umfassend erkannt und abgewehrt werden können.

Warum Sie NDR, EDR und SIEM kombinieren sollten

Nach wie vor vertrauen SOC-Teams bei ihrer Arbeit in hohem Maße auf Tools zur Erkennung und Reaktion von Endpunkten (EDR) sowie zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM). Diese Tools können jedoch keinen Einblick in den Datenverkehr bieten und geben somit nur einen kleinen, sehr begrenzten Ausschnitt über sicherheitsrelevante Vorgänge. Erst durch die Ergänzung mit einem NDR können Cyberangriffe frühzeitig erkannt, analysiert und gezielt abgewehrt werden. Nur eine Kombination von NDR, EDR und SIEM ermöglicht es somit, Bedrohungen und Angriffe auf Anwendungsebene, Netzwerkebene und Endpunktebene zu erkennen und umgehend zu reagieren. 

Sie möchten eine effektive Bedrohungserkennung für Ihr Unternehmen sicherstellen? Gerne beraten wir Sie in einem persönlichen Gespräch – kontaktieren Sie uns gerne online oder telefonisch: +49 30 5557021 11!   

Beitrag teilen auf:

XING
Twitter
LinkedIn

SECUINFRA SIEM Experts Team • Autor

Managed SIEM & Co-Managed SIEM Experten

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen.

> alle Artikel
Cookie Consent mit Real Cookie Banner