Network Detection and Response (NDR) kombiniert fortschrittliche Technologien und Methoden der Cybersicherheit. Ziel ist es, Anomalien zu identifizieren und auf Bedrohungen zu reagieren, die von anderen Sicherheitsmaßnahmen möglicherweise nicht erkannt werden.
SOC (Security Operations Centers)-Teams arbeiten unter enormem Druck, um ihre Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen entwickeln sich weiter und breiten sich aus, während Netzwerke zunehmend grenzenlos werden. Das vergrößert die Angriffsfläche und macht sie komplexer. Die Zunahme der Remote- und Hybridarbeit seit der Pandemie hat hierzu erheblich beigetragen. McKinsey schätzt, dass bereits mindestens 58 % der US-Belegschaft remote arbeitet.
In den immer ausgedehnteren Netzwerken existiert eine Vielzahl nicht verwalteter Ressourcen: Geräte, auf denen keine Sicherheitsagenten installiert sind, deren Sicherheitseinstellungen schlecht konfiguriert oder veraltet sind. Laut Schätzungen beläuft sich das Verhältnis von nicht verwalteten zu verwalteten Ressourcen auf 2:1.
Nicht verwaltete Ressourcen lassen sich nur schwer patchen. Außerdem werden sie selten oder nie auf Schwachstellen gescannt. Einige können überhaupt nicht überprüft werden. Insbesondere für ältere Geräte stellen die Hersteller Sicherheitsupdates häufig nur sehr verzögert bereit. Und für Upgrades müssen IT-Teams diese Geräte gegebenenfalls zuerst neu bereitstellen oder Lizenzen hinzufügen. Dies erfordert Aufwand und verursacht Kosten, die sich nur schwer rechtfertigen lassen – auch wenn diese Geräte ein Sicherheitsrisiko darstellen.
Aus all diesen Gründen sind nicht verwaltete Geräte für Cyberkriminelle attraktiv. Sie bieten nämlich hervorragende Verstecke – in denen es sich gut leben lässt. Angreifer können völlig legitime, autorisierte Tools nutzen, um sich im Netzwerk zwischen den nicht verwalteten Geräten zu bewegen, ohne dass dies auffällt. So können sie wochen- oder monatelang unter dem Radar bleiben.
Sicherheitstechnologien und -ansätze wie EDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response) und ASM (Attack Surface Management) stoßen an ihre Grenzen. Sie sind nicht darauf ausgelegt, Bedrohungen zu erkennen, die in nicht verwalteten Ressourcen lauern, oder den Netzwerkdatenverkehr zu analysieren. NDR schließt diese Lücke, indem es selbst kleinste, durch Bedrohungen ausgelöste Anomalien aufdeckt und korreliert, die sonst womöglich übersehen würden.
Prognosen zufolge könnten weltweit bereits im Jahr 2025 über 18 Milliarden Geräte im Einsatz sein. Selbst wenn nur ein kleiner Prozentsatz dieser Geräte nicht verwaltet wird, wird sich dies massiv auf die Sicherheit auswirken. Nur wenige SOC-Teams können heute die gesamte Angriffsfläche oder jeden Endpunkt einsehen. Dies gilt insbesondere für nicht verwaltete Ressourcen. Was man nicht erreichen kann, kann man nur schwer verteidigen. Und man kann unmöglich etwas verwalten, was man nicht sehen kann.
Außerdem werden SOC-Teams bekanntermaßen mit Warnmeldungen überflutet, was zu zahlreichen Fehlalarmen und verpassten Angriffen führt. Trotz dieser Datenflut fehlen den Teams häufig die Daten, die sie brauchen, um Vorfälle vollständig nachzuvollziehen. Es gibt zu viele Alarme und zu wenig exakte, präzise und umsetzbare Informationen.
NDR behebt diese Probleme, indem es den Netzwerkdatenverkehr und das Verhalten der Geräte innerhalb des Netzwerks überwacht. Sämtliche Aktivitäten rund um ein nicht verwaltetes Gerät können erkannt, analysiert und als anomal eingestuft werden, auch wenn das Gerät als solches im Dunkelfeld liegt. Die Korrelationsfunktionen von NDR durchforsten Muster und verbinden Punkte, um präziser zwischen tatsächlichen potenziellen Bedrohungen und harmlosen Aktivitäten zu unterscheiden.
Mit einer effektiven NDR-Lösung entdecken SOC-Teams nicht verwaltete Assets im Netzwerk und können selbst „schwache Signale“ erkennen und korrelieren. So können sie Bedrohungen besser analysieren und Angreifer loswerden. Schwache Signale sind im Wesentlichen Warnmeldungen oder Ereignisse mit geringem Vertrauen. Es mangelt an Informationen, die Aufschluss darüber geben, ob ein Angriff vorliegt oder nicht.
Durchgängige Rückverfolgung des Angriffs
NDR verschafft SOC-Teams mehr Einblick in die Vorgänge im Netzwerk, indem es aus dem gesamten Datenverkehr Netzwerk-Metadaten extrahiert – unabhängig davon, ob der Datenverkehr verdächtig ist oder nicht. Diese Metadaten werden mit potenziellen Bedrohungen korreliert. Damit erhalten SOC-Teams die Möglichkeit, die Spuren eines Angriffs zu visualisieren. Sie können komplette Angriffsketten anzeigen, die Grundursachen identifizieren und den vollen Umfang eines Vorfalls im gesamten Sicherheits-Stack ermitteln.
NDR bietet außerdem die Möglichkeit, latente Schwachstellen aufzudecken. Hierzu wird eine Plattform bereitgestellt, auf der die Ergebnisse der Scan-Tools von Drittanbietern mit herausragender Sicherheitsexpertise kombiniert werden. Ziel ist es, potenzielle Schwachstellen präventiv zu patchen, bevor sie ausgenutzt werden.
Insbesondere in Verbindung mit anderen Sicherheitslösungen wie EDR, ITDM und ASM ermöglichen all diese Elemente Maßnahmen nahezu in Echtzeit – mit schnellerer Erkennung, geringeren Kosten und weniger Fehlalarmen.
NDR bietet eine kontinuierliche Überwachung und Analyse des Netzwerkdatenverkehrs durch Deep Packet Inspection, Verhaltensanalysen und Machine Learning. NDR erkennt Anomalien und identifiziert potenzielle Bedrohungen, indem es für maximale Effektivität Bedrohungsinformationsquellen integriert. Durch die Kombination von Echtzeitüberwachung und automatisierter Reaktion und Schadensbegrenzung stärkt NDR SOC-Teams. Sie können komplexe Cyberbedrohungen proaktiv abwehren und potenzielle Auswirkungen von Sicherheitsvorfällen minimieren.
Für diese Funktionen benötigt NDR einen umfassenden Satz miteinander verbundener Fähigkeiten. Zu diesen gehören:
NDR-Lösungen müssen außerdem skalierbar sein. Wenn Netzwerke größer werden und mehr Geräte anbinden, müssen sie eine gleichbleibende, zuverlässige Leistung bieten. Idealerweise sollte auch Kapazität für die kontinuierliche Verbesserung integriert sein, damit die NDR-Lösung mit der Zeit präziser und effektiver wird.
Welche Zusatzfunktionen benötigt NDR gegebenenfalls?
Um den erforderlichen vollumfänglichen Schutz zu erzielen, legen Cybersicherheitsanalysten wie Gartner und Forrester nahe, die oben beschriebenen Kernfunktionen für NDR-Lösungen um weitere Funktionen zu ergänzen.
Diese zusätzlichen Funktionen umfassen:
Wie sieht der NDR-Ansatz von Trend Micro aus?
Trend nutzt die native Telemetrie verschiedener Sicherheitsvektoren, um hochpräzise Erkennungen mit starken Korrelationen und umfassendem Kontext bereitzustellen. Der NDR-Ansatz von Trend ermöglicht SOC-Teams die Integration einer automatisierten Fehlerbehebungen, während sie mit den Lösungen von Drittanbietern und SOAR-Plattformen arbeiten, um zukünftige Angriffe zu verhindern.
Die NDR-Technologie von Trend identifiziert sowohl mit nicht verwalteten als auch mit verwalteten Geräten verbundene Risiken. Sie erkennt Anomalien und modelliert Verhalten, um selbst schwache Muster zu erkennen, die auf eine mögliche Bedrohung hinweisen.
Viele NDR-Lösungen basieren nahezu ausschließlich auf KI, Machine Learning und Anomalieerkennung. Trend integriert außerdem Threat Intelligence aus über 35 Jahren sowie hochentwickelte Verhaltensanalysen, die ohne weitere Anpassung sofort mit äußerst geringer Falsch-Positiv-Rate Bedrohungen präzise erkennen.
NDR ist eine essenzielle Ergänzung der Cybersicherheitswerkzeuge eines Unternehmens. NDR ergänzt EDR, ITDR und ASM, um Schwachstellen des Netzwerks abzudecken und vollwertiges XDR bereitzustellen. Trend erfüllt die zentralen Anforderungen an NDR sowie die Anforderungen im Hinblick auf zusätzliche Funktionen, die führende Cybersicherheitsanalysten für eine umfassende und zuverlässige NDR-Lösung identifiziert haben.
Unbekannte Geräte aufspüren, nicht verwaltete Geräte schützen. Nichts bleibt unentdeckt mit Network Detection and Response (NDR)