:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Network Detection and Response Auch KMUs benötigen eine Cyberabwehr auf Netzwerkebene
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Für kleine und mittelständische Unternehmen mit oft nur begrenzten Budgets und Ressourcen sind Cyberattacken eine existenzbedrohende Gefahr. Cyberattacken treffen sie besonders hart. Komplexe Angriffe, wie etwa Ransomware, sind für sie mit einer herkömmlichen Endpunkt-Sicherheit nicht mehr abzuwehren.
Dabei ist die Gefahrenlage vielfältig. Neben Advanced Persistent Threats, Insider-Bedrohungen und Angriffen auf die Lieferkette – wie etwa der Fall Kaseya – ist Ransomware ein reelles Risiko. Denn die Hacker wissen: Jedes Unternehmen hat Daten und Geld. Einer Umfrage von Datto aus dem Sommer 2020 zufolge wurde eines von fünf KMUs Opfer eines erpresserischen Angriffs. Viele Angriffe sind nicht ohne weiteres zu erkennen, weil sie sich als vermeintlich legitime Prozesse tarnen – so etwa Angriffe auf die Lieferkette wie von Solarwinds und Kaseya. Zudem entstehen durch IoT-Geräte, nicht verwaltete, private Hardware oder virtuelle Maschinen, die Administratoren nach dem Einrichten vergessen haben, sowie Container blinde Flecken in der Abwehr von Endpunkten.
:quality(80)/p7i.vogel.de/wcms/e8/47/e8477e037b1b88d20108fe52f6462e24/99551979.jpeg "Neues Jahr, neuer Podcast: Unser Themenspektrum reicht diesmal von automatischen Patches bis zum digitalen Nachlass. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 49
Knallerei mit Todesfällen
Der Mittelstand verfügt häufig nicht über ausreichende personelle Ressourcen, die diesen Risiken entsprechen. Und selbst wenn sie Sicherheitsanalysten beschäftigen, müssen sie mehrere Dashboards betrachten, um komplexe Angriff zu erkennen und zu analysieren. Häufig sehen diese nur einen Teil des Netzwerkes – ein Mangel, dessen sie sich nur allzu sehr bewusst sind. Angesichts zahlreicher Sicherheitstools wissen sie zudem oft nicht, wie sie die Prioritäten bei den Alarmen setzen sollen. Eine solche Abwehr ist ineffizient und benötigt in der Regel viel zu viel Zeit.
Angriffssymptome im Netzwerk erkennen - Network Detection and Response
Auch für die IT im Mittelstand gilt: Das Betrachten des Endpunkts allein greift bei komplexen Angriffen, die oft an mehreren Stellen ansetzen, zu kurz. Für eine effiziente Abwehr kommt es darauf an, Angriffe auf Netzwerkebene frühzeitig zu erkennen und schon bei ersten Hinweisen dafür, dass Eindringlinge einen Angriff planen, die Abwehr zu aktivieren. Ein Überwachen und eine Abwehr auf Netzwerkebene (Network Detection and Response, NDR) ermöglicht dies. Die Experten von Gartner definieren Network Detection and Response als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken [...] verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen." Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen [...], um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln", und das System gibt Alarme aus, „wenn es verdächtige Verkehrsmuster erkennt". Weitere Schlüsselfunktionen von NDR seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response“, veröffentlicht am 11. Juni 2020).
NDR identifiziert alle Assets im Netzwerk, einschließlich der IoT-Geräte und nicht verwalteter Systeme. Sie analysiert sämtliche Netzwerk-Metadaten und den Netzwerkverkehr – sowohl Ost/West als auch Nord/Süd, also den internen Verkehr und den Verkehr, der die Netzwerkperimeter in beiden Richtungen überquert. Im Unternehmensnetz implementierte Sensoren überwachen den Verkehr, verfolgen alle Netzwerk-Metadaten und integrieren sie mit Protokollen von anderen bestehenden Sicherheitsansätzen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder weitere Eingriffe in das Netzwerk erforderlich.
Unternehmen, die den gesamten Datenverkehr überwachen, erhalten dank NDR einen Rundumüberblick über externe oder interne Gefahren und Angriffe. Denn jeder Angriffsversuch findet seinen Niederschlag im Netzwerkverkehr, so etwa bereits die Präliminarien einer Ransomware-Attacke: Eine externe Anfrage auf Server oder Systeme im Unternehmen von außen lässt sich in den Log Files sehen, ebenso die hin und her springenden, oft erratischen Bewegungen eines bösartigen Tools zum Scan von Schwachstellen. Die Infektion von Systemen mit Malware oder die Exfiltration von Daten in der Absicht, mit ihrer Offenlegung zu drohen, erzeugt einen verdächtigen, weil ungewöhnlichen Datenverkehr. Die beginnende Befehls- und Steuerkommunikation mit dem bösartigen Command-and-Control-Server und seiner unbekannten IP-Adresse hinterlässt digitale Spuren im Netzverkehr. Zudem können eine unautorisierte Kommunikation zwischen Endpunkten in der Unternehmens-IT zeigen, wie sich die Erpressersoftware verbreitet. Wenn man früh hierfür sprechende Indizien blockiert oder eine Applikation zur Endpunktsicherheit antriggert, den Endpunkt zu beobachten, kommt es unter Umständen gar nicht zur Ransomware-Attacke, weil die Hacker den Angriff für zu schwierig erachten.
Abwehr auf Netzwerkebene für den Mittelstand
NDR, früher bisweilen NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt, kommt immer noch überwiegend nur in großen Unternehmen zum Einsatz. Diese sind sich der drohenden Cyber-Risiken bewusst und bereit, in die IT-Sicherheit große Beträge zu investieren. Nur sie haben die Ressourcen, um mit den Informationen, die eine NDR liefert, zu arbeiten.
Jüngste Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Sieben Faktoren spielen eine Rolle:
- Künstliche Intelligenz: Moderne NDR-Tools können jetzt für KMUs Alarme auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten zu untersuchen sind.
- Maschinelles Lernen (ML): ML modelliert das normale Verhalten im Netzwerk immer exakter. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren und zeichnen hochauflösende Modelle des Normalbetriebs, die ein atypisches Datenverkehrsaufkommen treffsicher erkennen. Das Ergebnis: Seltenere zeitintensive False Positives.
- Eine visualisierte Benutzeroberfläche: Eine zentrale und übersichtliche Benutzeroberfläche verschafft Administratoren den Überblick, was wichtig ist und was zu tun ist.
- Automatisches Erkennen aller Assets im Netzwerk: Moderne NDR-Tools beseitigen blinde Flecken frühzeitig und geben einen Echtzeit-Einblick in das Netzwerk.
- Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien, um den Normalzustand der IT und der IT-Prozesse exakt zu modellieren. Zum anderen kann sie die Reaktion beschleunigen und eine Firewall etwa dazu veranlassen, Gegenmaßnahmen zu treffen, wie etwa den Stopp eines ausgehenden Datenverkehrs.
- Automatisiertes Untersuchen von Vorfällen und Korrelation von Ereignissen: Mit modernen Korrelations-Engines lassen sich die Ursachen von Angriffen erkennen und jede Schwachstelle oder Lücke schließen.
- Standardreaktionsmaßnahmen: Mit vordefinierten Standardreaktionen, wie beispielsweise der Quarantäne infizierter Netzwerkressourcen, lassen sich Angriffe schnell abwehren. NDR kann Playbooks definieren, die mehrere Maßnahmen unmittelbar auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.
Dadurch sind kleine Unternehmen in der Lage, die immer raffinierteren Angriffe auf ihrer wachsenden Angriffsfläche zu erkennen. NDR nimmt weniger Ressourcen in Beschlag, da sie zwischen echten Gefahren und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Angriffe automatisiert abwehren sowie zugleich präventiv agieren kann. KMUs tun gut daran, schon die Hinweise auf Attacken zu blockieren. Denn wenn eine EDR die Installation einer Malware auf einem System entdeckt, kann es andernorts im Netz bereits zu spät sein.
Über den Autor: Paul Smit ist Director Professional Services bei ForeNova Technologies.
(ID:47948557)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")