Das Problem mit dem Event Data Management Wie man das Beste aus Network Detection & Response herausholt

Autor / Redakteur: Sudhir Udipi / Peter Schmitz

Cybersicherheitsbedrohungen zuverlässig zu identifizieren, ist im Datenmanagement zu einem großen Problem geworden. Wer Bedrohungen trotz innovativer Strategien erkennen will, muss Daten aus der gesamten IT-Umgebung konsolidieren und analysieren. Viele Unternehmen tun das bereits und führen Daten aus unterschiedlichen Quellen zusammen. Aber meist bleiben blinde Flecken.

Firmen zum Thema

Ergänzt man eine SIEM-Lösung um NDR-Funktionalitäten, bekommt man eine zusätzliche Sicherheitsschicht.
Ergänzt man eine SIEM-Lösung um NDR-Funktionalitäten, bekommt man eine zusätzliche Sicherheitsschicht.
(© chinnarach - stock.adobe.com)

Network Detection & Response (kurz NDR) soll die Lücken schließen, die SIEM- (Security Information & Event Management) und EDR- (Endpoint Detection & Response) Lösungen vielfach aufweisen. Beim Nachverfolgen von Sicherheitsereignissen verwenden SIEM-Systeme häufig Protokollierungsmechanismen entweder über Syslog-Daemons oder API-Aufrufe. Was die Protokolle aber nicht unbedingt anzeigen, sind System-Exploits und Schwachstellen. Zudem ist das Sammeln der Protokolldaten gar nicht bei allen Systemen und Technologien (z.B. bei betriebstechnischen Systemen) möglich. An dieser Stelle kommt NDR ins Spiel. NDR ergänzt die Funktionsmerkmale einer SIEM-Lösung (Protokollanalyse, Aggregation und Erkennen verhaltensbedingter Bedrohungen) und korreliert die erkannten Bedrohungen mit der Netzwerkaktivität. Das deckt Protokolllücken ab. EDR-Lösungen hingegen sind bei der Überwachung auf Agenten angewiesen. Die werden längst nicht immer unterstützt oder lassen sich nicht auf allen Systemen installieren. Das führt zu einem höheren Verarbeitungsaufwand. Auch hier schließt NDR die Lücken und hilft zusätzlich, Malware-Exploits zu erkennen, die potenziell die EDR-Überwachung umgehen.

Warum Network Detection & Response?

Das Ziel eines erfolgreich arbeitenden SOCs ist vergleichsweise simpel: Man will die Mean Time to Detection (MTTD) und die Mean Time to Response (MTTR) senken. NDR stellt Netzwerk- und Kontextdaten zur Verfügung und bietet dadurch die Möglichkeit auf diese Schlüsselindikatoren einzuwirken. Robuste Korrelationsregeln und eine Engine für maschinelles Lernen (ML) und künstliche Intelligenz (KI) stellen mittels „supervised“ und „unsupervised Learning“ Ereignisse zusammen, die potenziell Bedrohungen sind. Netzwerk-Metadaten liefern Informationen über Netzwerkereignisse und Geräte. Im Idealfall lassen sich Bedrohungen so schneller isolieren, identifizieren und schlussendlich beseitigen. Eine API-Integration in Sicherheitsplattformen erlaubt zusätzlich eine Response-Orchestrierung, und man kann auf vom Anbieter vorgefertigte Playbooks zurückgreifen, was wiederum Zeit spart.

Probleme bei herkömmlichen Netzwerksicherheitslösungen

Übliche Netzwerksicherheitslösungen weisen eine Reihe von Bereichen auf, die man getrost als problematisch bezeichnen kann.

Machbarkeit und Skalierungskosten für Datenerfassung, Analyse und Speicherressourcen

Netzwerke mit hohem Datendurchsatz in Echtzeit zu überwachen, ist mit herkömmlichen Netzwerksicherheitslösungen fast nicht zu machen. Grund dafür sind die Einschränkungen bei den üblichen Ereignisspeichern (die auf relationalen Datenbanken beruhen) und Verarbeitungsengpässe beim Analysieren der Ereignisinformationen. Das führt nicht selten dazu, dass Bedrohungen zu spät erkannt oder Ereignisse gar nicht erst erfasst werden.

Zu wenig Transparenz aufgrund von verschlüsseltem Datenverkehr und passive Überwachung

Existierende Netzwerksicherheitslösungen sind nicht in der Lage verschlüsselte Verbindungen überwachen. Dabei laufen inzwischen über 90 Prozent des Webverkehrs verschlüsselt ab. Die Netzwerktransparenz ist also deutlich limitiert. Wenn man die Möglichkeit hat, den Traffic mittels NDR zu spiegeln, macht das gerade cloudbasierte Netzwerke wesentlich effektiver. Fehlt die Fähigkeit, ein Netzwerk passiv abzuhören oder zu analysieren, beeinträchtigt das die Netzwerksicherheit insgesamt.

Infrastrukturkosten

Selbst wenn eine Netzwerk-Forensik-Lösung riesige Datenmengen verarbeiten kann, sind die damit verbundenen Infrastrukturkosten oft unerschwinglich.

ML und Analytik lassen sich nicht einfach auf den Netzwerk-Traffic anwenden

Netzwerkverkehrsdaten bestehen normalerweise aus Millionen oder sogar Milliarden von Ereignissen. Diese enorme Menge an Ereignisdaten zu handhaben ist für ML nicht ganz einfach. Die isolierte Analyse einzelner Ereignisse führt aber potenziell dazu, dass ML-gesteuerte Analysen langsam und ungenau werden. Das ist wenig hilfreich.

Unterschiedliche Tools und Ticketing-Systeme erhöhen die Reaktionszeit

Wenn ein Sicherheitsteam auf ein verdächtiges Ereignis stößt, muss es schnell und effizient auf die mögliche Bedrohung reagieren. Viele der herkömmlichen Netzwerksicherheitslösungen bieten aber keinen durchgängigen Incident Response Workflow, und das bremst die Reaktionszeiten.

Wo blinde Flecke lauern

Wer die beschriebenen Probleme angehen will, sollte nach einer NDR-Plattform suchen, die Netzwerkdaten sammelt und sie mit anderen Daten in der IT-Umgebung aggregiert. Techniken zur Anomalien-Erkennung helfen dabei, ungewöhnliche Aktivitäten als solche zu identifizieren. Im Idealfall werden Benutzer, Konten und Systemverhalten im gesamten Netzwerk nachverfolgt, um Bedrohungen vorausschauend zu erkennen, zu kategorisieren und nach Priorität zu sortieren, sobald sie auftreten. Das senkt die Risikoexposition im Unternehmen.

Skalierbarkeit

Skalierbarkeit ist eine der drängendsten Herausforderungen. Umso mehr, als ganze Belegschaften remote arbeiten und die Menge an Protokolldaten weiter steigt. Eine NDR-Lösung sollte Netzwerkdaten remote erfassen, was die skalierbare Datenerfassung, -analyse und -speicherung gestattet. Danach werden sämtliche Daten mit forensischem Wert auf eine zentrale Plattform zurückgeführt, was die Erkennungsrate verbessert und Engpässe vermeiden hilft.

Mehr Transparenz und Kontext

Ein mehrgleisiger Ansatz verspricht bessere Netzwerktransparenz. NDR-Plattformen sollten Netzwerkprotokolle von Geräten wie Firewalls zusammen mit den Ereignisdaten aus der Cloud und dem Netzwerkfluss vor Ort nutzen, um die Daten anzureichern und Kontext bereitzustellen.

Geringere Infrastrukturkosten

Es ist wichtig, so viele Informationen wie möglich zu sammeln. Die sollten allerdings für Analysten wirklich nützlich sein, um potenzielle Netzwerkbedrohungen zu erkennen. Unternehmen begrenzen am besten die Erfassung vollständiger Pakete, da diese Methode schnell ressourcen- und netzwerkintensiv wird. Trotzdem braucht man für die forensische Analyse alle erforderlichen Informationen. Das gilt auch für wertvolle Artefakte wie Zertifikate und Dateien, die man weiterhin zusammen mit den ressourcenschonenden Metadaten sammeln sollte.

Einheitliche Analyseplattform für alle Daten

Der beste Sicherheitsansatz ist ein einheitlicher. Transparenz ist der Schlüssel, um Netzwerkbedrohungen zu vermeiden. Dazu muss man umfassende Netzwerkdaten mit anderen Datenquellen wie Anwendungsprotokollen und Cloud-Ereignissen aggregieren, um sie für erweiterte Analysen zur Verfügung zu haben. Das schafft Transparenz über Endpunkte, Netzwerk, Anwendungen und Cloud. Wenn man dann Bedrohungsmodelle verwendet, die unterschiedliche Anomalien und risikoreiche Aktivitäten im Laufe der Zeit miteinander verknüpfen, lassen sich bestimmte Bedrohungsszenarien besser aufdecken. Anomale Muster im Datenverkehr und risikoreiche Aktivitäten erkennt man am besten, wenn man Daten zum Netzwerkverkehr aus einer Vielzahl von internen und peripheren Netzwerkquellen sammelt. Algorithmen für maschinelles Lernen und Data-Science-Techniken verbessern die Genauigkeit der Erkennung dann kontinuierlich weiter.

Nahtloser Incident Response Workflow

Es versteht sich von selbst, dass der Schlüssel zu einer effektiven Incident Response ein nahtloser Workflow ist. Durch die Integration von NDR und Security Orchestration, Automation & Response (SOAR) können Sicherheitsteams auf Analyse- und Netzwerkdaten zurückgreifen. Das verkürzt die Zeit, die man üblicherweise für Analysen aufwendet und verhindert die typische laterale Fortbewegung während eines Angriffs.

Präziser Bedrohungskontext

Der nächste Schritt zu einem integrierten Sicherheitsansatz besteht darin, NDR (Kontextanreicherung und Verhaltensanalyse) mit der korrelierten Sichtweise einer modernen SIEM-Lösung zu kombinieren. Solche Lösungen betrachten Informationen aus der Perspektive der gesamten Sicherheitsinfrastruktur heraus. Dadurch sind sie sehr gut geeignet, Kontext anzureichern, aber auch Bedrohungen zu erkennen und einzudämmen. Die Daten aus der NDR sollte man mit schnellen Response-Optionen nutzen. Das blockiert die Aktivität netzwerkzentrierter Bedrohungen und verhindert, dass sich endpunktzentrierte Bedrohungen ausbreiten.

Hersteller- und plattformübergreifende Integrationen

Dies ist nicht selten eines der größten Probleme für Sicherheitsteams: Verschiedene Anbieter und Plattformen lassen sich in gewissem Umfang integrieren, hinterlassen jedoch häufig kleine, aber folgenreiche Lücken. CISOs sollten nach Lösungen Ausschau halten, die sich so integrieren lassen, dass sie eine möglichst umfassende Transparenz und Bedrohungserkennung erlauben.

Zentralisierte Aggregation und Verarbeitung von Netzwerk-Metadaten

Durch die Übertragung von Netzwerk-Metadaten an eine zentralisierte Engine optimiert NDR die Analyse des Netzwerkverkehrs und liefert die gewünschten Informationen. Es ist nicht mehr nötig, riesige Datenmengen aus den Protokollen der Netzwerkgeräte zu ziehen.

Selektive Speicherung von forensisch wertvollen Daten senkt Kosten

Mittels Kontextanreicherung, ML- und KI-basierten Algorithmen und Ereigniskorrelation erfasst NDR forensisch wertvolle Ereignisse. Sich wiederholende Ereignisse und False Positives werden hingegen aus der Pipeline entfernt. Das senkt Speicherkosten und beschleunigt das Threat Hunting.

Netzwerkverkehrsdaten aus anderen Quellen ergänzen

Netzwerkverkehrsdaten allein zeigen nie das ganze Bild. Wenn Unternehmen die Netzwerkverkehrsdaten mit diversen anderen Netzwerkdatenquellen zusammenführen, lassen sich Bedrohungen identifizieren, die ansonsten unbemerkt passieren könnten. Dank der Korrelation unterschiedlicher Datenquellen kann man bedrohungsrelevante Ereignisse mit größerer Sicherheit prognostizieren und priorisieren.

Fazit

Network Detection & Response bietet in der aktuellen Bedrohungslandschaft mehr Transparenz. Dadurch schließt man die Lücken, die einfaches Protokollmanagement hinterlassen kann. Ergänzt man eine SIEM-Lösung um NDR-Funktionalitäten, bekommt man eine zusätzliche Sicherheitsschicht. Sie trägt dazu bei, Bedrohungen besser zu priorisieren und die Kosten überschaubar zu halten.

Über den Autor: Sudhir Udipi ist Director Pre-Sales bei Securonix.

(ID:47307514)