:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Network Detection and Response Auch KMUs benötigen eine Cyberabwehr auf Netzwerkebene
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Für kleine und mittelständische Unternehmen mit oft nur begrenzten Budgets und Ressourcen sind Cyberattacken eine existenzbedrohende Gefahr. Cyberattacken treffen sie besonders hart. Komplexe Angriffe, wie etwa Ransomware, sind für sie mit einer herkömmlichen Endpunkt-Sicherheit nicht mehr abzuwehren.
Dabei ist die Gefahrenlage vielfältig. Neben Advanced Persistent Threats, Insider-Bedrohungen und Angriffen auf die Lieferkette – wie etwa der Fall Kaseya – ist Ransomware ein reelles Risiko. Denn die Hacker wissen: Jedes Unternehmen hat Daten und Geld. Einer Umfrage von Datto aus dem Sommer 2020 zufolge wurde eines von fünf KMUs Opfer eines erpresserischen Angriffs. Viele Angriffe sind nicht ohne weiteres zu erkennen, weil sie sich als vermeintlich legitime Prozesse tarnen – so etwa Angriffe auf die Lieferkette wie von Solarwinds und Kaseya. Zudem entstehen durch IoT-Geräte, nicht verwaltete, private Hardware oder virtuelle Maschinen, die Administratoren nach dem Einrichten vergessen haben, sowie Container blinde Flecken in der Abwehr von Endpunkten.
:quality(80)/p7i.vogel.de/wcms/e8/47/e8477e037b1b88d20108fe52f6462e24/99551979.jpeg "Neues Jahr, neuer Podcast: Unser Themenspektrum reicht diesmal von automatischen Patches bis zum digitalen Nachlass. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 49
Knallerei mit Todesfällen
Der Mittelstand verfügt häufig nicht über ausreichende personelle Ressourcen, die diesen Risiken entsprechen. Und selbst wenn sie Sicherheitsanalysten beschäftigen, müssen sie mehrere Dashboards betrachten, um komplexe Angriff zu erkennen und zu analysieren. Häufig sehen diese nur einen Teil des Netzwerkes – ein Mangel, dessen sie sich nur allzu sehr bewusst sind. Angesichts zahlreicher Sicherheitstools wissen sie zudem oft nicht, wie sie die Prioritäten bei den Alarmen setzen sollen. Eine solche Abwehr ist ineffizient und benötigt in der Regel viel zu viel Zeit.
Angriffssymptome im Netzwerk erkennen - Network Detection and Response
Auch für die IT im Mittelstand gilt: Das Betrachten des Endpunkts allein greift bei komplexen Angriffen, die oft an mehreren Stellen ansetzen, zu kurz. Für eine effiziente Abwehr kommt es darauf an, Angriffe auf Netzwerkebene frühzeitig zu erkennen und schon bei ersten Hinweisen dafür, dass Eindringlinge einen Angriff planen, die Abwehr zu aktivieren. Ein Überwachen und eine Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht dies. Die Experten von Gartner definieren Network Detection and Response als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken [...] verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen." Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen [...], um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln", und das System gibt Alarme aus, „wenn es verdächtige Verkehrsmuster erkennt". Weitere Schlüsselfunktionen von NDR seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response“, veröffentlicht am 11. Juni 2020).
NDR identifiziert alle Assets im Netzwerk, einschließlich der IoT-Geräte und nicht verwalteter Systeme. Sie analysiert sämtliche Netzwerk-Metadaten und den Netzwerkverkehr – sowohl Ost/West als auch Nord/Süd, also den internen Verkehr und den Verkehr, der die Netzwerkperimeter in beiden Richtungen überquert. Im Unternehmensnetz implementierte Sensoren überwachen den Verkehr, verfolgen alle Netzwerk-Metadaten und integrieren sie mit Protokollen von anderen bestehenden Sicherheitsansätzen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder weitere Eingriffe in das Netzwerk erforderlich.
Unternehmen, die den gesamten Datenverkehr überwachen, erhalten dank NDR einen Rundumüberblick über externe oder interne Gefahren und Angriffe. Denn jeder Angriffsversuch findet seinen Niederschlag im Netzwerkverkehr, so etwa bereits die Präliminarien einer Ransomware-Attacke: Eine externe Anfrage auf Server oder Systeme im Unternehmen von außen lässt sich in den Log Files sehen, ebenso die hin und her springenden, oft erratischen Bewegungen eines bösartigen Tools zum Scan von Schwachstellen. Die Infektion von Systemen mit Malware oder die Exfiltration von Daten in der Absicht, mit ihrer Offenlegung zu drohen, erzeugt einen verdächtigen, weil ungewöhnlichen Datenverkehr. Die beginnende Befehls- und Steuerkommunikation mit dem bösartigen Command-and-Control-Server und seiner unbekannten IP-Adresse hinterlässt digitale Spuren im Netzverkehr. Zudem können eine unautorisierte Kommunikation zwischen Endpunkten in der Unternehmens-IT zeigen, wie sich die Erpressersoftware verbreitet. Wenn man früh hierfür sprechende Indizien blockiert oder eine Applikation zur Endpunktsicherheit antriggert, den Endpunkt zu beobachten, kommt es unter Umständen gar nicht zur Ransomware-Attacke, weil die Hacker den Angriff für zu schwierig erachten.
Abwehr auf Netzwerkebene für den Mittelstand
NDR, früher bisweilen NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt, kommt immer noch überwiegend nur in großen Unternehmen zum Einsatz. Diese sind sich der drohenden Cyber-Risiken bewusst und bereit, in die IT-Sicherheit große Beträge zu investieren. Nur sie haben die Ressourcen, um mit den Informationen, die eine NDR liefert, zu arbeiten.
Jüngste Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Sieben Faktoren spielen eine Rolle:
- Künstliche Intelligenz: Moderne NDR-Tools können jetzt für KMUs Alarme auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten zu untersuchen sind.
- Maschinelles Lernen (ML): ML modelliert das normale Verhalten im Netzwerk immer exakter. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren und zeichnen hochauflösende Modelle des Normalbetriebs, die ein atypisches Datenverkehrsaufkommen treffsicher erkennen. Das Ergebnis: Seltenere zeitintensive False Positives.
- Eine visualisierte Benutzeroberfläche: Eine zentrale und übersichtliche Benutzeroberfläche verschafft Administratoren den Überblick, was wichtig ist und was zu tun ist.
- Automatisches Erkennen aller Assets im Netzwerk: Moderne NDR-Tools beseitigen blinde Flecken frühzeitig und geben einen Echtzeit-Einblick in das Netzwerk.
- Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien, um den Normalzustand der IT und der IT-Prozesse exakt zu modellieren. Zum anderen kann sie die Reaktion beschleunigen und eine Firewall etwa dazu veranlassen, Gegenmaßnahmen zu treffen, wie etwa den Stopp eines ausgehenden Datenverkehrs.
- Automatisiertes Untersuchen von Vorfällen und Korrelation von Ereignissen: Mit modernen Korrelations-Engines lassen sich die Ursachen von Angriffen erkennen und jede Schwachstelle oder Lücke schließen.
- Standardreaktionsmaßnahmen: Mit vordefinierten Standardreaktionen, wie beispielsweise der Quarantäne infizierter Netzwerkressourcen, lassen sich Angriffe schnell abwehren. NDR kann Playbooks definieren, die mehrere Maßnahmen unmittelbar auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.
Dadurch sind kleine Unternehmen in der Lage, die immer raffinierteren Angriffe auf ihrer wachsenden Angriffsfläche zu erkennen. NDR nimmt weniger Ressourcen in Beschlag, da sie zwischen echten Gefahren und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Angriffe automatisiert abwehren sowie zugleich präventiv agieren kann. KMUs tun gut daran, schon die Hinweise auf Attacken zu blockieren. Denn wenn eine EDR die Installation einer Malware auf einem System entdeckt, kann es andernorts im Netz bereits zu spät sein.
Über den Autor: Paul Smit ist Director Professional Services bei ForeNova Technologies.
(ID:47948557)
:quality(80)/p7i.vogel.de/wcms/db/d1/dbd1a4192a1f37f4eaf5629f399e74d5/0104986964.jpeg "Teil 1 des Artikels legt dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigt anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")