Frühzeitige Erkennung von Angriffen auf Unternehmensnetzwerke Ist Traffic Mirroring für NDR die beste Lösung?

Von Gregor Erismann

Network Detection & Response (NDR) ist ein relativ neuer Ansatz in der Cybersecurity, um die Sicherheitslücken herkömmlicher Sicherheitslösungen zu erkennen, über welche Hacker erfolgreich in die Unternehmensnetzwerke gelangen konnten. NDR hat also die frühzeitige Detektion erfolgreicher Angriffe zum Ziel – ganz im Gegensatz zu den traditionellen Präventionslösungen, die Hacker daran hindern sollen, in die Unternehmensnetzwerke einzudringen.

Anbieter zum Thema

Lösungen zur Network Detection & Response (NDR) helfen bei der frühzeitigen Gefahrenerkennung im Unternehmensnetzwerk.
Lösungen zur Network Detection & Response (NDR) helfen bei der frühzeitigen Gefahrenerkennung im Unternehmensnetzwerk.
(Bild: ZinetroN - stock.adobe.com)

NDR-Lösungen vergleichen und analysieren kontinuierlich den tatsächlichen mit dem erwarteten Netzwerk-Datenverkehr. Diese Analyse – die oft riesige Datenmengen umfasst und der Suche nach einer Nadel im Heuhaufen gleicht – wird verwendet, um verdächtige Verhaltensweisen zu identifizieren und nach deren Gefährlichkeit zu klassifizieren.

NDR-Lösungen nutzen fortschrittliche Technologien, wie maschinelles Lernen, künstliche Intelligenz (KI) und Big Data Algorithmen. Mithilfe dieser Technologien können NDR-Systeme die aus dem Netzwerkverkehr gewonnenen Informationen in verwertbare Erkenntnisse umwandeln, um so Cyberbedrohungen in einem frühen Stadium zu erkennen und neutralisieren.

Herkömmliche NDRs haben Defizite im Umgang mit Datenverschlüsselung und zunehmenden Datenmengen

Bislang stützten sich NDR-Lösungen auf die Spiegelung des Datenverkehrs (Traffic Mirroring), in der Regel in Kombination mit Hardwaresensoren, um die benötigten Informationen aus dem Netzwerk zu extrahieren. Es gibt jedoch drei Faktoren, die diesen Ansatz zunehmend erschweren:

  • Ein großer Teil des Internetverkehrs ist verschlüsselt, gemäß dem Google Transparency Report bereits 90 Prozent des Webverkehrs. Daher kann herkömmliches Traffic Mirroring keine Informationen mehr aus der Nutzerdatenmenge extrahieren und verliert damit seine Wirksamkeit.
  • Steigende Datenbandbreiten und neue Netzwerktechnologien machen Traffic Mirroring teuer oder sogar unmöglich.
  • Die Verlagerung hin zu verteilten und hybriden Netzwerken führt dazu, dass die Analyse von Core-Switches nicht mehr ausreicht. Zusätzliche Collection Points machen den Betrieb von Traffic Mirroring noch kostspieliger.
  • Aufgrund dieser Entwicklungen ist Traffic Mirroring keine zukunftsweisende Lösung zur Sicherung von Netzwerken.

Vertrauenswürdige, zukunftssichere NDR-Lösung

Moderne NDR-Lösungen benötigen keine Spiegelung des Netzwerkverkehrs, um Bedrohungen zu erkennen und verschlüsselten Datenverkehr zu entschlüsseln. Algorithmen, die nicht mit den eigentlichen Dateninhalten, sondern mit leichtgewichtigen Netzwerkprotokolldaten arbeiten, sind mittlerweile eine überlegene Alternative zum traditionellen Traffic Mirroring.

Dabei setzen moderne NDR-Lösungen auf NetFlow-Daten. Netflow ist ein offener Standard, der es Netzwerkgeräten (z. B. Routern, Switches oder Firewalls) ermöglicht, Metadaten aller Netzwerkverbindungen zu exportieren (physisches Netzwerk, virtualisierte Umgebung und private Cloud-Umgebung). Folglich ist dieser Ansatz optimal für verteilte, hybride Netzwerke.

Eine moderne NDR-Lösung bietet einen umfassenden Einblick in die gesamte IT-Umgebung, einschließlich verbundener Cloud-Dienste und Schatten-IT-Devices, und ermöglicht so die Früherkennung von Ransomware oder APT Angriffen, aber auch von Non-Malware-Bedrohungen wie der Missbrauch von Anmeldeinformationen und Datenexfiltration. Die vollständige Visibilität ins Netzwerk macht es möglich, den gesamten Datenverkehr zu untersuchen, der in das Unternehmensnetzwerk eintritt oder es verlässt.

Fazit

NDR-Systeme sind zu einer Notwendigkeit geworden, um die stetig zunehmende Anzahl an Cyberangriffen zu bewältigen. Herkömmliche NDR-Lösungen müssen den gesamten Netzwerkverkehr spiegeln, um die Nutzdatenpakete zu analysieren. Dies ist nicht mehr zeitgemäß, um moderne Cyber-Bedrohungen abzuwehren, die Verschlüsselung nutzen, um ihre Aktivitäten zu verschleiern. Darüber hinaus wird die Spiegelung des gesamten Netzwerkverkehrs immer umständlicher, vor allem angesichts der massiv ansteigenden Datenmengen, die durch Unternehmensnetzwerke fliessen. Eine moderne NDR-Lösung, die sich auf die Analyse von Metadaten stützt, sollte daher erste Wahl sein, um Unternehmensnetzwerke effizient und effektiv zu schützen.

Über den Autor: Gregor Erismann ist CCO der Exeon Analytics.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48068498)