Cyberbedrohungen
NDR: Mehr als nur eine Option
Der Einsatz von Network Detection and Response kann nicht länger nur ein nützliches Extra sein, sondern muss Standardbestandteil moderner Cybersicherheitsmaßnahmen werden. Warum? NDR ergänzt EDR, erhöht die Visibilität und beschleunigt Reaktionen.
Save to Folio
Network Detection and Response (NDR)-Technologie muss heutzutage eine essenzielle Rolle in der Cybersicherheitslandschaft spielen. Doch viele IT-Admins und sogar IR-Profis sehen die Bedeutung von NDR eher als „nice to have“ denn als Muss. Während meiner jahrelangen Arbeit im Incident Response-Bereich hab ich aus erster Hand erfahren, wie der Einsatz einer NDR-Lösung die Reaktion auf Vorfälle verändern und die Reaktionszeiten von Tagen auf Minuten reduzieren kann. Trotzdem gibt es nach wie vor Widerstände, die oft auf falschen Vorstellungen über die Geschwindigkeit der Bereitstellung und die Integration beruhen.
NDR vs. EDR: Komplementäre Technologien
EDR-Tools (Endpoint Detection and Response) sind zwar leistungsstark, haben aber auch ihre Einschränkungen. Die Bereitstellung von EDR-Agenten nimmt viel Zeit in Anspruch, insbesondere wenn die Active Directory (AD)-Computerlisten veraltet sind oder schlecht gepflegt werden. Computer, die nicht auf diesen Listen stehen, bleiben oft ungeschützt. Darüber hinaus haben moderne EDR-Tools Schwierigkeiten, ältere Systeme oder verschiedene Linux-Distributionen zu unterstützen. Diese Lücken verdeutlichen den Bedarf an netzwerkbasierter Sichtbarkeit.
NDR-Lösungen gehen diese Probleme an, indem sie:
- Einblick in alle Geräte im Netzwerk bieten, auch in solche, die nicht von EDR unterstützt werden.
- kritische Daten an Edge- und EDR-Technologien weiterleiten und so deren Wirksamkeit erhöhen.
- Dienste oder Schatten-IT-Ereignisse identifizieren, die im Netzwerk nicht aktiv sein sollten.
Daher kann man sagen, dass NDR eine wesentliche Ergänzung des Cybersicherheits-Toolkits einer Organisation ist. Die Systeme vervollständigen EDR, ITDR und ASM, um Netzwerkschwachstellen abzudecken und eine vollwertige XDR bereitzustellen.
Ein häufiges Argument gegen NDR sind Wartezeiten und Verzögerungen beim Versand von Hardware, die eine rechtzeitige Reaktionen gefährden – eine berechtigte Sorge. Doch Tatsache ist auch, dass moderne NDR-Lösungen nicht auf physische Geräte beschränkt sind. Es gibt virtuelle Sensoren. Diese leichtgewichtigen, schnell einsetzbaren virtuellen Appliances sind vorkonfiguriert und in sehr kurzer Zeit betriebsbereit.
Während IT-Administratoren oder IR-Profis die virtuelle Maschine konfigurieren, kann das Netzwerkteam die Portspiegelung einrichten, um den Datenverkehr von den Core-Switches auf die neue Appliance zu leiten. Sobald das System in Betrieb ist, beginnt der Datenverkehr zu fließen, sodass sich sofort Analysen und Bedrohungsdatenkorrelationen durchführen lassen.
Diese schnelle Einrichtung ermöglicht es:
- mit der EDR-Bereitstellung zu beginnen und gleichzeitig Netzwerktransparenz zu gewinnen.
- Beacons abzuschalten und böswillige Kommunikation zu blockieren, bevor EDR-Agenten vollständig bereitgestellt sind.
- Aktivitäten von Bedrohungsakteuren proaktiv zu unterbinden, indem verwertbare Informationen an Edge-Geräte weitergeleitet werden.
NDR sollte Standard sein
Das Netzwerk ist nach wie vor der „wahrheitsgetreueste“ Teil jeder IT-Umgebung. Angreifer können zwar versuchen, ihre Aktivitäten zu verschleiern, aber die Muster des Netzwerkverkehrs geben entscheidende Einblicke in ihre Vorgänge. NDR ermöglicht es Teams,
- verdächtige Verbindungen zu erkennen, etwa unerwartete RDP oder SSH-Sessions.
- kompromittierte Services oder Devices zu identifizieren, die in lateralen Bewegungen involviert sind.
- rückblickende Einsichten in den Verkehr zu erlangen, der mit neu identifizierten Bedrohungen in Verbindung steht.
Durch die Vereinfachung des Prozesses kann NDR zu einem Standardbestandteil jedes Notfallreaktionsplans werden.
Für Anbieter von Managed Services (MSPs), Managed Detection and Response (MDR) und Managed Security Service Provider (MSSPs) ist NDR ein entscheidender Faktor. Es ist nicht nur ein Tool zur Verbesserung der Reaktion auf Vorfälle, sondern auch ein Unterscheidungsmerkmal in einem zunehmend wettbewerbsintensiven Markt. Wer in NDR-Technologie investiert, kann einen schnelleren und umfassenderen Schutz bieten und sich so von der Konkurrenz abheben.