Cyberbedrohungen
SOC-Stressabbau mit Netzwerkerkennung und -reaktion
Cybersicherheitsteams sind gut gerüstet, um mit Bedrohungen für die von ihnen verwalteten Ressourcen umzugehen. Doch nicht gemanagte Geräte sind ideale Angriffspunkte. Deswegen bedarf es der Network Detection and Response-Funktionalität.
Save to Folio
Unternehmen geben Milliarden für die Cybersicherheit aus und werden trotzdem angegriffen - zum Teil, weil die Angriffsfläche immer größer wird, zum Teil, weil im Netzwerk eine Menge nicht verwalteter Geräte ist, die ideale Ziele für böswillige Akteure sind. Um diese versteckten Orte zu beseitigen, raten Analysten Unternehmen, ihre Cybersicherheit um Network Detection and Response-Funktionen, NDR, (Netzwerkerkennung- und -reaktion) zu erweitern.
Die Security Operations Centers (SOCs) stehen unter einem unglaublichen Druck, Bedrohungen abzuwehren, von denen die meisten Mitarbeiter nie erfahren werden - es sei denn, ein Angriff ist erfolgreich. Sie sind sich der hohen Kosten eines Versagens bewusst und stehen in einem ständigen Wettlauf, die richtigen Risiken zu priorisieren und schnell zu handeln. Deshalb gebührt ihnen eine hohe Anerkennung.
SOCs können sich von einigen intelligenten und leistungsstarken Tools Unterstützung holen für ihre Arbeit. EDR-Technologien (Endpoint Detection and Response) haben sich bei der Erkennung von Bedrohungen auf Geräten, die vom Unternehmen verwaltet werden, als äußerst effektiv erwiesen. Das Problem besteht darin, dass immer mehr nicht verwaltete Geräte auf Unternehmensnetzwerke zugreifen und böswilligen Akteuren Tür und Tor öffnen. Daher sind die weitreichenderen Möglichkeiten von Netzwerkerkennungs- und -reaktionslösungen (NDR) erforderlich.
Tools zur Netzwerkerkennung und -reaktion
Nur ein kleiner Prozentsatz der angeschlossenen Geräte wird jemals auf ein Unternehmensnetzwerk zugreifen. Da aber die Gesamtzahl der weltweiten Geräte bis 2025 voraussichtlich 18,2 Milliarden erreichen wird, bedeutet selbst ein Bruchteil dieses Prozentsatzes von nicht verwalteten Geräten im Unternehmensnetzwerk große Sicherheitsprobleme für die SOC-Mitarbeiter.
Nicht gemanagte Geräte sind ein idealer Ort für Angreifer, um sich dort zu verstecken. Es geht um die verschiedensten Formen: zuvor verwaltete Geräte mit abgelaufenen Sicherheitsagenten, selbst mitgebrachte Geräte, Router und andere Netzwerkgeräte sowie intelligente Geräte wie Thermostate und angeschlossene medizinische Geräte.
Da sie nicht verwaltet werden, lassen sich diese Anlagen nur schwer aktualisieren oder patchen und werden nicht auf Schwachstellen gescannt. Einige können einfach nicht gemanagt werden, entweder weil sie zu einfach angelegt sind, um einen Sicherheitsagenten zu hosten, oder weil das Scannen oder Ändern dieser Geräte durch Vorschriften verboten ist, wie es in Kanada bei einigen medizinischen Geräten der Fall ist.
Diese problematischen Ressourcen breiten sich in der gesamten IT-Umgebung des Unternehmens aus, während die Netzwerke selbst immer schwieriger zu schützen sind. Die Grenzen lösen sich auf, vor allem durch die Zunahme von Remote- und hybride Formen der Arbeit. Nach Angaben von McKinsey arbeiten bereits 58 % der US-Belegschaft dezentral. Das Netzwerk hat keine Grenzen mehr.
Cybersecurity-Teams können nicht mehr darauf hoffen, dass sie die bösen Jungs einfach „draußen halten“ können. EDR kann bösartige Aktivitäten in verwalteten Anlagen erkennen und Anomalien beim Übergang von verwalteten zu nicht verwalteten Geräten beobachten, aber sobald sich eine Bedrohung im nicht verwalteten „Dickicht“ versteckt, ist sie im Grunde genommen unauffindbar. Hinzu kommt, dass sich Angreifer sehr gut im Verborgenen halten und normale Tools und Anwendungen nutzen, um sich im Netzwerk zu bewegen. Viele verstecken sich nach einem Einbruch wochen- oder monatelang, bevor sie ihre Angriffe starten.
SOC-Teams können zwar auf verdächtige laterale Bewegungen achten, aber häufig lässt sich nicht mit Sicherheit wissen, was der Netzwerkverkehr enthält, da der Großteil davon - laut Google sogar 95 % des Webverkehrs - verschlüsselt ist. NDR-Lösungen helfen, die Lücken zu schließen, indem sie nicht verwaltete Ressourcen sichtbar machen.
Auf der Suche nach Bedrohungen
Der NDR-Ansatz konzentriert sich auf die Überwachung, Erkennung und Reaktion auf Bedrohungen und Anomalien im Netz - und zwar in Echtzeit. Dabei werden hochentwickelte Technologien und Methoden eingesetzt, um potenzielle Bedrohungen zu erkennen und zu bekämpfen, die bei herkömmlichen Sicherheitsmaßnahmen möglicherweise übersehen werden.
Zu den NDR-Ansätzen gehören die kontinuierliche Überwachung und Analyse des Datenverkehrs mit Deep Packet Inspection, Verhaltensanalyse sowie maschinelles Lernen auf der Grundlage von Threat Intelligence, um Anomalien und mögliche Bedrohungen zu erkennen.
Branchenanalysten haben untersucht, was NDR-Lösungen für ein umfassendes und möglichst effektives Risikomanagement benötigen. Forrester fordert noch einige zusätzliche Schlüsselfunktionen mehr: integrierte Entschlüsselung, um Einblick in den Netzwerk- und Webverkehr zu erhalten, die Unterstützung von Zero-Trust-Ansätzen und - ganz wichtig - die Priorisierung der SOC-Analysten, um zu verhindern, dass die SOC-Mitarbeiter von Daten und Warnungen überfordert werden.
Gartner merkt an, dass KI und maschinelles Lernen zwar ein Muss für jede NDR-Lösung sind, dass aber auch Bedrohungsintelligenz erforderlich ist, um die Daten im Hinblick auf reale Risiken zu bewerten, und dass eine schichtenübergreifende Korrelation erforderlich ist, um die Anzahl der Warnungen insgesamt zu reduzieren und die Genauigkeit der Bedrohungserkennung zu erhöhen.
Fazit
Durch die Kombination von Echtzeit-Überwachung und automatisierten Reaktionsmöglichkeiten versetzt NDR Unternehmen in die Lage, sich besser gegen hochentwickelte Cyber-Bedrohungen zu schützen und die potenziellen Auswirkungen von Sicherheitsvorfällen zu minimieren.