Network Detection and Response Auch KMUs benötigen eine Cyberabwehr auf Netzwerkebene

Von Paul Smit

Für kleine und mittelständische Unternehmen mit oft nur begrenzten Budgets und Ressourcen sind Cyberattacken eine existenzbedrohende Gefahr. Cyberattacken treffen sie besonders hart. Komplexe Angriffe, wie etwa Ransomware, sind für sie mit einer herkömmlichen Endpunkt-Sicherheit nicht mehr abzuwehren.

Anbieter zum Thema

Überwachung und Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht es, Angriffe auf Netzwerkebene frühzeitig zu erkennen und darauf zu reagieren.
Überwachung und Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht es, Angriffe auf Netzwerkebene frühzeitig zu erkennen und darauf zu reagieren.
(© Skórzewiak - stock.adobe.com)

Dabei ist die Gefahrenlage vielfältig. Neben Advanced Persistent Threats, Insider-Bedrohungen und Angriffen auf die Lieferkette – wie etwa der Fall Kaseya – ist Ransomware ein reelles Risiko. Denn die Hacker wissen: Jedes Unternehmen hat Daten und Geld. Einer Umfrage von Datto aus dem Sommer 2020 zufolge wurde eines von fünf KMUs Opfer eines erpresserischen Angriffs. Viele Angriffe sind nicht ohne weiteres zu erkennen, weil sie sich als vermeintlich legitime Prozesse tarnen – so etwa Angriffe auf die Lieferkette wie von Solarwinds und Kaseya. Zudem entstehen durch IoT-Geräte, nicht verwaltete, private Hardware oder virtuelle Maschinen, die Administratoren nach dem Einrichten vergessen haben, sowie Container blinde Flecken in der Abwehr von Endpunkten.

Der Mittelstand verfügt häufig nicht über ausreichende personelle Ressourcen, die diesen Risiken entsprechen. Und selbst wenn sie Sicherheitsanalysten beschäftigen, müssen sie mehrere Dashboards betrachten, um komplexe Angriff zu erkennen und zu analysieren. Häufig sehen diese nur einen Teil des Netzwerkes – ein Mangel, dessen sie sich nur allzu sehr bewusst sind. Angesichts zahlreicher Sicherheitstools wissen sie zudem oft nicht, wie sie die Prioritäten bei den Alarmen setzen sollen. Eine solche Abwehr ist ineffizient und benötigt in der Regel viel zu viel Zeit.

Angriffssymptome im Netzwerk erkennen - Network Detection and Response

Auch für die IT im Mittelstand gilt: Das Betrachten des Endpunkts allein greift bei komplexen Angriffen, die oft an mehreren Stellen ansetzen, zu kurz. Für eine effiziente Abwehr kommt es darauf an, Angriffe auf Netzwerkebene frühzeitig zu erkennen und schon bei ersten Hinweisen dafür, dass Eindringlinge einen Angriff planen, die Abwehr zu aktivieren. Ein Überwachen und eine Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht dies. Die Experten von Gartner definieren Network Detection and Response als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken [...] verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen." Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen [...], um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln", und das System gibt Alarme aus, „wenn es verdächtige Verkehrsmuster erkennt". Weitere Schlüsselfunktionen von NDR seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response“, veröffentlicht am 11. Juni 2020).

NDR identifiziert alle Assets im Netzwerk, einschließlich der IoT-Geräte und nicht verwalteter Systeme. Sie analysiert sämtliche Netzwerk-Metadaten und den Netzwerkverkehr – sowohl Ost/West als auch Nord/Süd, also den internen Verkehr und den Verkehr, der die Netzwerkperimeter in beiden Richtungen überquert. Im Unternehmensnetz implementierte Sensoren überwachen den Verkehr, verfolgen alle Netzwerk-Metadaten und integrieren sie mit Protokollen von anderen bestehenden Sicherheitsansätzen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder weitere Eingriffe in das Netzwerk erforderlich.

Unternehmen, die den gesamten Datenverkehr überwachen, erhalten dank NDR einen Rundumüberblick über externe oder interne Gefahren und Angriffe. Denn jeder Angriffsversuch findet seinen Niederschlag im Netzwerkverkehr, so etwa bereits die Präliminarien einer Ransomware-Attacke: Eine externe Anfrage auf Server oder Systeme im Unternehmen von außen lässt sich in den Log Files sehen, ebenso die hin und her springenden, oft erratischen Bewegungen eines bösartigen Tools zum Scan von Schwachstellen. Die Infektion von Systemen mit Malware oder die Exfiltration von Daten in der Absicht, mit ihrer Offenlegung zu drohen, erzeugt einen verdächtigen, weil ungewöhnlichen Datenverkehr. Die beginnende Befehls- und Steuerkommunikation mit dem bösartigen Command-and-Control-Server und seiner unbekannten IP-Adresse hinterlässt digitale Spuren im Netzverkehr. Zudem können eine unautorisierte Kommunikation zwischen Endpunkten in der Unternehmens-IT zeigen, wie sich die Erpressersoftware verbreitet. Wenn man früh hierfür sprechende Indizien blockiert oder eine Applikation zur Endpunktsicherheit antriggert, den Endpunkt zu beobachten, kommt es unter Umständen gar nicht zur Ransomware-Attacke, weil die Hacker den Angriff für zu schwierig erachten.

Abwehr auf Netzwerkebene für den Mittelstand

NDR, früher bisweilen NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt, kommt immer noch überwiegend nur in großen Unternehmen zum Einsatz. Diese sind sich der drohenden Cyber-Risiken bewusst und bereit, in die IT-Sicherheit große Beträge zu investieren. Nur sie haben die Ressourcen, um mit den Informationen, die eine NDR liefert, zu arbeiten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Jüngste Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Sieben Faktoren spielen eine Rolle:

  • Künstliche Intelligenz: Moderne NDR-Tools können jetzt für KMUs Alarme auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten zu untersuchen sind.
  • Maschinelles Lernen (ML): ML modelliert das normale Verhalten im Netzwerk immer exakter. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren und zeichnen hochauflösende Modelle des Normalbetriebs, die ein atypisches Datenverkehrsaufkommen treffsicher erkennen. Das Ergebnis: Seltenere zeitintensive False Positives.
  • Eine visualisierte Benutzeroberfläche: Eine zentrale und übersichtliche Benutzeroberfläche verschafft Administratoren den Überblick, was wichtig ist und was zu tun ist.
  • Automatisches Erkennen aller Assets im Netzwerk: Moderne NDR-Tools beseitigen blinde Flecken frühzeitig und geben einen Echtzeit-Einblick in das Netzwerk.
  • Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien, um den Normalzustand der IT und der IT-Prozesse exakt zu modellieren. Zum anderen kann sie die Reaktion beschleunigen und eine Firewall etwa dazu veranlassen, Gegenmaßnahmen zu treffen, wie etwa den Stopp eines ausgehenden Datenverkehrs.
  • Automatisiertes Untersuchen von Vorfällen und Korrelation von Ereignissen: Mit modernen Korrelations-Engines lassen sich die Ursachen von Angriffen erkennen und jede Schwachstelle oder Lücke schließen.
  • Standardreaktionsmaßnahmen: Mit vordefinierten Standardreaktionen, wie beispielsweise der Quarantäne infizierter Netzwerkressourcen, lassen sich Angriffe schnell abwehren. NDR kann Playbooks definieren, die mehrere Maßnahmen unmittelbar auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.

Dadurch sind kleine Unternehmen in der Lage, die immer raffinierteren Angriffe auf ihrer wachsenden Angriffsfläche zu erkennen. NDR nimmt weniger Ressourcen in Beschlag, da sie zwischen echten Gefahren und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Angriffe automatisiert abwehren sowie zugleich präventiv agieren kann. KMUs tun gut daran, schon die Hinweise auf Attacken zu blockieren. Denn wenn eine EDR die Installation einer Malware auf einem System entdeckt, kann es andernorts im Netz bereits zu spät sein.

Über den Autor: Paul Smit ist Director Professional Services bei ForeNova Technologies.

(ID:47948557)