:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Network Detection and Response Auch KMUs benötigen eine Cyberabwehr auf Netzwerkebene
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Für kleine und mittelständische Unternehmen mit oft nur begrenzten Budgets und Ressourcen sind Cyberattacken eine existenzbedrohende Gefahr. Cyberattacken treffen sie besonders hart. Komplexe Angriffe, wie etwa Ransomware, sind für sie mit einer herkömmlichen Endpunkt-Sicherheit nicht mehr abzuwehren.
Dabei ist die Gefahrenlage vielfältig. Neben Advanced Persistent Threats, Insider-Bedrohungen und Angriffen auf die Lieferkette – wie etwa der Fall Kaseya – ist Ransomware ein reelles Risiko. Denn die Hacker wissen: Jedes Unternehmen hat Daten und Geld. Einer Umfrage von Datto aus dem Sommer 2020 zufolge wurde eines von fünf KMUs Opfer eines erpresserischen Angriffs. Viele Angriffe sind nicht ohne weiteres zu erkennen, weil sie sich als vermeintlich legitime Prozesse tarnen – so etwa Angriffe auf die Lieferkette wie von Solarwinds und Kaseya. Zudem entstehen durch IoT-Geräte, nicht verwaltete, private Hardware oder virtuelle Maschinen, die Administratoren nach dem Einrichten vergessen haben, sowie Container blinde Flecken in der Abwehr von Endpunkten.
:quality(80)/p7i.vogel.de/wcms/e8/47/e8477e037b1b88d20108fe52f6462e24/99551979.jpeg "Neues Jahr, neuer Podcast: Unser Themenspektrum reicht diesmal von automatischen Patches bis zum digitalen Nachlass. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 49
Knallerei mit Todesfällen
Der Mittelstand verfügt häufig nicht über ausreichende personelle Ressourcen, die diesen Risiken entsprechen. Und selbst wenn sie Sicherheitsanalysten beschäftigen, müssen sie mehrere Dashboards betrachten, um komplexe Angriff zu erkennen und zu analysieren. Häufig sehen diese nur einen Teil des Netzwerkes – ein Mangel, dessen sie sich nur allzu sehr bewusst sind. Angesichts zahlreicher Sicherheitstools wissen sie zudem oft nicht, wie sie die Prioritäten bei den Alarmen setzen sollen. Eine solche Abwehr ist ineffizient und benötigt in der Regel viel zu viel Zeit.
Angriffssymptome im Netzwerk erkennen - Network Detection and Response
Auch für die IT im Mittelstand gilt: Das Betrachten des Endpunkts allein greift bei komplexen Angriffen, die oft an mehreren Stellen ansetzen, zu kurz. Für eine effiziente Abwehr kommt es darauf an, Angriffe auf Netzwerkebene frühzeitig zu erkennen und schon bei ersten Hinweisen dafür, dass Eindringlinge einen Angriff planen, die Abwehr zu aktivieren. Ein Überwachen und eine Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht dies. Die Experten von Gartner definieren Network Detection and Response als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken [...] verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen." Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen [...], um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln", und das System gibt Alarme aus, „wenn es verdächtige Verkehrsmuster erkennt". Weitere Schlüsselfunktionen von NDR seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response“, veröffentlicht am 11. Juni 2020).
NDR identifiziert alle Assets im Netzwerk, einschließlich der IoT-Geräte und nicht verwalteter Systeme. Sie analysiert sämtliche Netzwerk-Metadaten und den Netzwerkverkehr – sowohl Ost/West als auch Nord/Süd, also den internen Verkehr und den Verkehr, der die Netzwerkperimeter in beiden Richtungen überquert. Im Unternehmensnetz implementierte Sensoren überwachen den Verkehr, verfolgen alle Netzwerk-Metadaten und integrieren sie mit Protokollen von anderen bestehenden Sicherheitsansätzen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder weitere Eingriffe in das Netzwerk erforderlich.
Unternehmen, die den gesamten Datenverkehr überwachen, erhalten dank NDR einen Rundumüberblick über externe oder interne Gefahren und Angriffe. Denn jeder Angriffsversuch findet seinen Niederschlag im Netzwerkverkehr, so etwa bereits die Präliminarien einer Ransomware-Attacke: Eine externe Anfrage auf Server oder Systeme im Unternehmen von außen lässt sich in den Log Files sehen, ebenso die hin und her springenden, oft erratischen Bewegungen eines bösartigen Tools zum Scan von Schwachstellen. Die Infektion von Systemen mit Malware oder die Exfiltration von Daten in der Absicht, mit ihrer Offenlegung zu drohen, erzeugt einen verdächtigen, weil ungewöhnlichen Datenverkehr. Die beginnende Befehls- und Steuerkommunikation mit dem bösartigen Command-and-Control-Server und seiner unbekannten IP-Adresse hinterlässt digitale Spuren im Netzverkehr. Zudem können eine unautorisierte Kommunikation zwischen Endpunkten in der Unternehmens-IT zeigen, wie sich die Erpressersoftware verbreitet. Wenn man früh hierfür sprechende Indizien blockiert oder eine Applikation zur Endpunktsicherheit antriggert, den Endpunkt zu beobachten, kommt es unter Umständen gar nicht zur Ransomware-Attacke, weil die Hacker den Angriff für zu schwierig erachten.
Abwehr auf Netzwerkebene für den Mittelstand
NDR, früher bisweilen NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt, kommt immer noch überwiegend nur in großen Unternehmen zum Einsatz. Diese sind sich der drohenden Cyber-Risiken bewusst und bereit, in die IT-Sicherheit große Beträge zu investieren. Nur sie haben die Ressourcen, um mit den Informationen, die eine NDR liefert, zu arbeiten.
Jüngste Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Sieben Faktoren spielen eine Rolle:
- Künstliche Intelligenz: Moderne NDR-Tools können jetzt für KMUs Alarme auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten zu untersuchen sind.
- Maschinelles Lernen (ML): ML modelliert das normale Verhalten im Netzwerk immer exakter. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren und zeichnen hochauflösende Modelle des Normalbetriebs, die ein atypisches Datenverkehrsaufkommen treffsicher erkennen. Das Ergebnis: Seltenere zeitintensive False Positives.
- Eine visualisierte Benutzeroberfläche: Eine zentrale und übersichtliche Benutzeroberfläche verschafft Administratoren den Überblick, was wichtig ist und was zu tun ist.
- Automatisches Erkennen aller Assets im Netzwerk: Moderne NDR-Tools beseitigen blinde Flecken frühzeitig und geben einen Echtzeit-Einblick in das Netzwerk.
- Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien, um den Normalzustand der IT und der IT-Prozesse exakt zu modellieren. Zum anderen kann sie die Reaktion beschleunigen und eine Firewall etwa dazu veranlassen, Gegenmaßnahmen zu treffen, wie etwa den Stopp eines ausgehenden Datenverkehrs.
- Automatisiertes Untersuchen von Vorfällen und Korrelation von Ereignissen: Mit modernen Korrelations-Engines lassen sich die Ursachen von Angriffen erkennen und jede Schwachstelle oder Lücke schließen.
- Standardreaktionsmaßnahmen: Mit vordefinierten Standardreaktionen, wie beispielsweise der Quarantäne infizierter Netzwerkressourcen, lassen sich Angriffe schnell abwehren. NDR kann Playbooks definieren, die mehrere Maßnahmen unmittelbar auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.
Dadurch sind kleine Unternehmen in der Lage, die immer raffinierteren Angriffe auf ihrer wachsenden Angriffsfläche zu erkennen. NDR nimmt weniger Ressourcen in Beschlag, da sie zwischen echten Gefahren und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Angriffe automatisiert abwehren sowie zugleich präventiv agieren kann. KMUs tun gut daran, schon die Hinweise auf Attacken zu blockieren. Denn wenn eine EDR die Installation einer Malware auf einem System entdeckt, kann es andernorts im Netz bereits zu spät sein.
Über den Autor: Paul Smit ist Director Professional Services bei ForeNova Technologies.
(ID:47948557)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")