Angreifern auf der Spur

Was der Netzwerkverkehr offenbart

7. Dezember 2021, 11:30 Uhr | Autor: Thomas Krause / Redaktion: Diana Künstler | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Wie NDR funktioniert: Illegitimen Netzwerkverkehr enttarnen

NDR-Tools überwachen und analysieren mithilfe von Netzwerksensoren kontinuierlich die Datenströme im Unternehmen. Hierzu zählt sowohl der Nord/Süd-Verkehr, der in die Unternehmensumgebung eintritt oder sie verlässt, als auch der gesamte interne Ost/West-Verkehr, der sich seitlich durch das Netzwerk bewegt. Darüber hinaus identifizieren sie automatisch alle Assets im Netzwerk und beseitigen so blinde Flecken in der Abwehr – wie nicht verwaltete Geräte, IoT-Hardware, OT-Geräte oder auch private Geräte, die im Homeoffice genutzt werden. Dabei ist NDR nichtintrusiv, da sie nur mit Kopien des Datenverkehrs arbeitet, wodurch außer einem Sensor keine Agenten oder andere Eingriffe ins Netzwerk erforderlich sind.

Da NDR eine Kombination aus nicht signaturbasierten Techniken wie dem verhaltensbasierten Erkennen von Anomalien, maschinellem Lernen und zentraler Threat Intelligence verwendet, kann sie Gefahren erkennen, die anderen Sicherheitstools entgehen. So erstellt NDR durch Analyse der kompletten Netzwerk-Metadaten und des Netzwerkverkehrs Modelle für das normale Verhalten im Netzwerk. Werden davon abweichende Verkehrsmuster entdeckt warnen NDR-Tools die Sicherheitsteams vor möglichen Gefahren. Zudem können sie diese Daten mit Protokollen von anderen bestehenden Sicherheitslösungen wie Endpoint Security, EDR, Firewall und SIEM integrieren sowie automatisierte Reaktionen dieser Applikationen auslösen, um Gefahren präventiv zu entschärfen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Analyse des Netzwerkverkehrs besser handhabbar machen

Network Detection and Response wird bislang in der Regel nur in sehr großen Unternehmen eingesetzt. Dies liegt zum einen daran, dass sie häufig viele False Positives liefern, weil sie enorm große Datenmengen analysiert. Infolgedessen benötigt es auch entsprechend viele Sicherheitsfachkräfte und damit ein hohes Cybersecurity-Budget, um klassische NDR wirklich zu nutzen. Durch technologische Innovationen eignet sich der Einsatz moderner NDR-Tools jedoch nun auch für mittelständige Unternehmen mit begrenzten Budget- und Personalressourcen. Zu den Vorteilen einer modernen NDR zählen:

1. Effizienz durch Künstliche Intelligenz und Machine Learning: So können neue NDR-Technologien die Analyse des Netzwerkverkehrs wesentlich besser handhabbar machen, indem sie mithilfe Künstlicher Intelligenz anomales Verhalten granular und zutreffend erkennen.

2. Hohe Automatisation: Dass moderne NDR in Endpoint Detection and Response (EDR), Firewall, SIEM, und anderen Tools integriert ist, beschleunigt die Reaktion auf Sicherheitsvorfälle und automatisiert sie. So kann dank vordefinierter Standardreaktionen zum Beispiel automatisch der ausgehende Datenverkehr durch die Firewall gestoppt oder ein infizierte Netzwerkressource in Quarantäne geschickt werden, um Angriffe nahezu in Echtzeit abzuwehren. Mithilfe von Playbooks lassen sich mehrere Maßnahmen auf einmal auslösen, vom Alarm über das Zurücksetzen von Passwörtern bis hin zum Aktualisieren von Firewall-Regeln.

Um Angriffe nachzuverfolgen, nimmt NDR automatisch Protokolle auf und korreliert sie. Diese Korrelation-Engines ermöglichen es Sicherheitsteams, komplexe Angriffsketten zu erkennen, indem sie verdächtige Ereignisse bis zur Ursache zurückverfolgen und Schwachstellen beseitigen können.

3. Viel Übersicht: Auch bieten moderne NDR-Tools eine übersichtliche und stark visualisierte Benutzeroberfläche, durch die Sicherheitsteams in Echtzeit ein verständliches Bild der externen und internen Risiken erhalten. Dies erleichtert Fachkräften, Netze zu überwachen, den Verkehr zu analysieren und auch andere Entscheider darüber zu informieren. Das spart kostbare Zeit und Ressourcen.

Thomas Krause, Fore Nova
Thomas Krause, Regional Director DACH bei Fore Nova
© Fore Nova

Hacker müssen Daten durch das Netzwerk bewegen oder mit Malware kommunizieren, um ihre Ziele zu erreichen. Durch das kontinuierliche Überwachen des gesamten Netzwerkverkehrs schließt NDR die Lücke in der Abwehr traditioneller Sicherheitstechnologie. War der netzwerkbasierte Schutz bisher nur großen Unternehmen mit entsprechenden Budgets und Personalressourcen vorbehalten, können mithilfe moderner NDR-Lösungen jetzt auch kleine und mittelständige Unternehmen diese Angriffe sehr früh erkennen, verfolgen und präventiv stoppen.

 


  1. Was der Netzwerkverkehr offenbart
  2. Wie NDR funktioniert: Illegitimen Netzwerkverkehr enttarnen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Anbieterkompass