Was ist Network Detection and Response (NDR)?

Network Detection and Response (NDR) kombiniert fortschrittliche Technologien und Methoden der Cybersicherheit. Ziel ist es, Anomalien zu identifizieren und auf Bedrohungen zu reagieren, die von anderen Sicherheitsmaßnahmen möglicherweise nicht erkannt werden.

Warum wird NDR benötigt?

SOC (Security Operations Centers)-Teams arbeiten unter enormem Druck, um ihre Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen entwickeln sich weiter und breiten sich aus, während Netzwerke zunehmend grenzenlos werden. Das vergrößert die Angriffsfläche und macht sie komplexer. Die Zunahme der Remote- und Hybridarbeit seit der Pandemie hat hierzu erheblich beigetragen.  McKinsey schätzt, dass bereits mindestens 58 % der US-Belegschaft remote arbeitet.

In den immer ausgedehnteren Netzwerken existiert eine Vielzahl nicht verwalteter Ressourcen: Geräte, auf denen keine Sicherheitsagenten installiert sind, deren Sicherheitseinstellungen schlecht konfiguriert oder veraltet sind. Laut Schätzungen beläuft sich das Verhältnis von nicht verwalteten zu verwalteten Ressourcen auf 2:1.

Nicht verwaltete Ressourcen lassen sich nur schwer patchen. Außerdem werden sie selten oder nie auf Schwachstellen gescannt. Einige können überhaupt nicht überprüft werden. Insbesondere für ältere Geräte stellen die Hersteller Sicherheitsupdates häufig nur sehr verzögert bereit. Und für Upgrades müssen IT-Teams diese Geräte gegebenenfalls zuerst neu bereitstellen oder Lizenzen hinzufügen. Dies erfordert Aufwand und verursacht Kosten, die sich nur schwer rechtfertigen lassen – auch wenn diese Geräte ein Sicherheitsrisiko darstellen.

Aus all diesen Gründen sind nicht verwaltete Geräte für Cyberkriminelle attraktiv. Sie bieten nämlich hervorragende Verstecke – in denen es sich gut leben lässt. Angreifer können völlig legitime, autorisierte Tools nutzen, um sich im Netzwerk zwischen den nicht verwalteten Geräten zu bewegen, ohne dass dies auffällt. So können sie wochen- oder monatelang unter dem Radar bleiben.

Sicherheitstechnologien und -ansätze wie EDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response) und ASM (Attack Surface Management) stoßen an ihre Grenzen. Sie sind nicht darauf ausgelegt, Bedrohungen zu erkennen, die in nicht verwalteten Ressourcen lauern, oder den Netzwerkdatenverkehr zu analysieren. NDR schließt diese Lücke, indem es selbst kleinste, durch Bedrohungen ausgelöste Anomalien aufdeckt und korreliert, die sonst womöglich übersehen würden.

Welche Herausforderungen für SOC-Teams beseitigt NDR?

Prognosen zufolge könnten weltweit bereits im Jahr 2025 über 18 Milliarden Geräte im Einsatz sein. Selbst wenn nur ein kleiner Prozentsatz dieser Geräte nicht verwaltet wird, wird sich dies massiv auf die Sicherheit auswirken. Nur wenige SOC-Teams können heute die gesamte Angriffsfläche oder jeden Endpunkt einsehen. Dies gilt insbesondere für nicht verwaltete Ressourcen. Was man nicht erreichen kann, kann man nur schwer verteidigen. Und man kann unmöglich etwas verwalten, was man nicht sehen kann.

Außerdem werden SOC-Teams bekanntermaßen mit Warnmeldungen überflutet, was zu zahlreichen Fehlalarmen und verpassten Angriffen führt. Trotz dieser Datenflut fehlen den Teams häufig die Daten, die sie brauchen, um Vorfälle vollständig nachzuvollziehen. Es gibt zu viele Alarme und zu wenig exakte, präzise und umsetzbare Informationen.

NDR behebt diese Probleme, indem es den Netzwerkdatenverkehr und das Verhalten der Geräte innerhalb des Netzwerks überwacht. Sämtliche Aktivitäten rund um ein nicht verwaltetes Gerät können erkannt, analysiert und als anomal eingestuft werden, auch wenn das Gerät als solches im Dunkelfeld liegt. Die Korrelationsfunktionen von NDR durchforsten Muster und verbinden Punkte, um präziser zwischen tatsächlichen potenziellen Bedrohungen und harmlosen Aktivitäten zu unterscheiden.

Mit einer effektiven NDR-Lösung entdecken SOC-Teams nicht verwaltete Assets im Netzwerk und können selbst „schwache Signale“ erkennen und korrelieren. So können sie Bedrohungen besser analysieren und Angreifer loswerden. Schwache Signale sind im Wesentlichen Warnmeldungen oder Ereignisse mit geringem Vertrauen. Es mangelt an Informationen, die Aufschluss darüber geben, ob ein Angriff vorliegt oder nicht.

Durchgängige Rückverfolgung des Angriffs

NDR verschafft SOC-Teams mehr Einblick in die Vorgänge im Netzwerk, indem es aus dem gesamten Datenverkehr Netzwerk-Metadaten extrahiert – unabhängig davon, ob der Datenverkehr verdächtig ist oder nicht. Diese Metadaten werden mit potenziellen Bedrohungen korreliert. Damit erhalten SOC-Teams die Möglichkeit, die Spuren eines Angriffs zu visualisieren. Sie können komplette Angriffsketten anzeigen, die Grundursachen identifizieren und den vollen Umfang eines Vorfalls im gesamten Sicherheits-Stack ermitteln.

NDR bietet außerdem die Möglichkeit, latente Schwachstellen aufzudecken. Hierzu wird eine Plattform bereitgestellt, auf der die Ergebnisse der Scan-Tools von Drittanbietern mit herausragender Sicherheitsexpertise kombiniert werden. Ziel ist es, potenzielle Schwachstellen präventiv zu patchen, bevor sie ausgenutzt werden.

Insbesondere in Verbindung mit anderen Sicherheitslösungen wie EDR, ITDM und ASM ermöglichen all diese Elemente Maßnahmen nahezu in Echtzeit – mit schnellerer Erkennung, geringeren Kosten und weniger Fehlalarmen.

Welche Komponenten umfasst eine NDR-Lösung?

NDR bietet eine kontinuierliche Überwachung und Analyse des Netzwerkdatenverkehrs durch Deep Packet Inspection, Verhaltensanalysen und Machine Learning. NDR erkennt Anomalien und identifiziert potenzielle Bedrohungen, indem es für maximale Effektivität Bedrohungsinformationsquellen integriert. Durch die Kombination von Echtzeitüberwachung und automatisierter Reaktion und Schadensbegrenzung stärkt NDR SOC-Teams. Sie können komplexe Cyberbedrohungen proaktiv abwehren und potenzielle Auswirkungen von Sicherheitsvorfällen minimieren.

Für diese Funktionen benötigt NDR einen umfassenden Satz miteinander verbundener Fähigkeiten. Zu diesen gehören:

  • Die Fähigkeit, Netzwerkdatenverkehr so ​​zu modellieren, dass Anomalien auffallen und ihre Erkennung auf Verhaltensbasis erfolgen kann, statt dass nach bestimmten Signaturen gesucht wird. Dafür sind Machine Learning und fortschrittliche Analysen erforderlich.
  • Eine zuverlässig geringe False-Positive-Rate, nachdem die Lösung genau abgestimmt wurde, damit SOC-Teams auf die erhaltenen Ergebnisse vertrauen können.
  • Die Fähigkeit, Warnmeldungen zu Ergebnissen zu aggregieren und zu korrelieren, die Sicherheitsexperten die Untersuchung der Bedrohungen erleichtert. Gartner bezeichnet diese Ergebnisse als „strukturierte Vorfälle“.
  • Die Fähigkeit, Bedrohungen durch automatisierte Reaktionen einzudämmen oder zu blockieren.

NDR-Lösungen müssen außerdem skalierbar sein. Wenn Netzwerke größer werden und mehr Geräte anbinden, müssen sie eine gleichbleibende, zuverlässige Leistung bieten. Idealerweise sollte auch Kapazität für die kontinuierliche Verbesserung integriert sein, damit die NDR-Lösung mit der Zeit präziser und effektiver wird.

Welche Zusatzfunktionen benötigt NDR gegebenenfalls?

Um den erforderlichen vollumfänglichen Schutz zu erzielen, legen Cybersicherheitsanalysten wie Gartner und Forrester nahe, die oben beschriebenen Kernfunktionen für NDR-Lösungen um weitere Funktionen zu ergänzen.

Diese zusätzlichen Funktionen umfassen:

  • Entschlüsselung des Netzwerkdatenverkehrs. Die Analyse der Datenverkehrsmuster ist wichtig. Wenn man aber sehen kann, was dieser Datenverkehr enthält, wird ein wesentlich umfassenderer Cyberschutz möglich. Allerdings ist ein erheblicher Teil des heutigen Netzwerkdatenverkehrs verschlüsselt. Das gilt auch für nahezu den gesamten Internetdatenverkehr (95 %). Dies führt dazu, dass SOC-Teams auch in Fällen, in denen eine verdächtige laterale Bewegung zwischen Ressourcen im Netzwerk erkannt wird, nicht ohne Entschlüsselung feststellen können, was der Datenverkehr enthält oder ob er wirklich schädlich ist.
  • Ebenenübergreifende Korrelation. Die Fähigkeit, anomale Verhaltensweisen innerhalb einer einzelnen Netzwerkschicht zu korrelieren, bietet zweifellos einen Vorteil, kann jedoch weiter zu übermäßig vielen Alarmen oder Fehlalarmen führen. Eine NDR-Lösung, die Daten mehrerer Ebenen korreliert, hat eine viel größere Chance, echte Bedrohungen zu isolieren. Sie kann aussagekräftige Warnungen auszulösen, bei denen SOC-Teams sicher sein können, dass eine Reaktion erforderlich ist.
  • Unterstützung für Zero-Trust-Ansätze. Zero Trust stellt das aktuell beste Framework dar, wenn es gilt, den Zugriff auf die Anlagen und Ressourcen eines Unternehmens einzuschränken und durch maximale Vorsicht Angriffe und Verstöße zu verhindern. Die Kombination aus Zero-Trust-Ansatz und NDR macht anomale Verhaltensweisen deutlicher sichtbar und ermöglicht das schnellere Identifizieren von Bedrohungen.
  • Priorisierung der Erfahrung der SOC-Analysten. Hierbei handelt es sich um ein eher qualitatives als quantitatives Merkmal, das aber genauso wichtig ist (wenn nicht sogar wichtiger). Angesichts der Belastung, unter der SOC-Teams arbeiten, des Umfangs der Warnmeldungen, die sie täglich bearbeiten müssen, und der potenziellen Konsequenzen von Fehlern stellt die Bereitstellung einer NDR-Lösung, die das Leben des SOC-Teams erleichtert, einen großen Wert dar und die Chance, dass sie genutzt wird, ist deutlich wahrscheinlicher.

Wie sieht der NDR-Ansatz von Trend Micro aus?

Trend nutzt die native Telemetrie verschiedener Sicherheitsvektoren, um hochpräzise Erkennungen mit starken Korrelationen und umfassendem Kontext bereitzustellen. Der NDR-Ansatz von Trend ermöglicht SOC-Teams die Integration einer automatisierten Fehlerbehebungen, während sie mit den Lösungen von Drittanbietern und SOAR-Plattformen arbeiten, um zukünftige Angriffe zu verhindern.

Die NDR-Technologie von Trend identifiziert sowohl mit nicht verwalteten als auch mit verwalteten Geräten verbundene Risiken. Sie erkennt Anomalien und modelliert Verhalten, um selbst schwache Muster zu erkennen, die auf eine mögliche Bedrohung hinweisen.

Viele NDR-Lösungen basieren nahezu ausschließlich auf KI, Machine Learning und Anomalieerkennung. Trend integriert außerdem Threat Intelligence aus über 35 Jahren sowie hochentwickelte Verhaltensanalysen, die ohne weitere Anpassung sofort mit äußerst geringer Falsch-Positiv-Rate Bedrohungen präzise erkennen.

NDR ist eine essenzielle Ergänzung der Cybersicherheitswerkzeuge eines Unternehmens. NDR ergänzt EDR, ITDR und ASM, um Schwachstellen des Netzwerks abzudecken und vollwertiges XDR bereitzustellen. Trend erfüllt die zentralen Anforderungen an NDR sowie die Anforderungen im Hinblick auf zusätzliche Funktionen, die führende Cybersicherheitsanalysten für eine umfassende und zuverlässige NDR-Lösung identifiziert haben.

Trend Micro NDR-Lösungen

Unbekannte Geräte aufspüren, nicht verwaltete Geräte schützen. Nichts bleibt unentdeckt mit Network Detection and Response (NDR)

NDR

Weiterführende Artikel