:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Problem mit dem Event Data Management Wie man das Beste aus Network Detection & Response herausholt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Cybersicherheitsbedrohungen zuverlässig zu identifizieren, ist im Datenmanagement zu einem großen Problem geworden. Wer Bedrohungen trotz innovativer Strategien erkennen will, muss Daten aus der gesamten IT-Umgebung konsolidieren und analysieren. Viele Unternehmen tun das bereits und führen Daten aus unterschiedlichen Quellen zusammen. Aber meist bleiben blinde Flecken.
Network Detection & Response (kurz NDR) soll die Lücken schließen, die SIEM- (Security Information & Event Management) und EDR- (Endpoint Detection & Response) Lösungen vielfach aufweisen. Beim Nachverfolgen von Sicherheitsereignissen verwenden SIEM-Systeme häufig Protokollierungsmechanismen entweder über Syslog-Daemons oder API-Aufrufe. Was die Protokolle aber nicht unbedingt anzeigen, sind System-Exploits und Schwachstellen. Zudem ist das Sammeln der Protokolldaten gar nicht bei allen Systemen und Technologien (z.B. bei betriebstechnischen Systemen) möglich. An dieser Stelle kommt NDR ins Spiel. NDR ergänzt die Funktionsmerkmale einer SIEM-Lösung (Protokollanalyse, Aggregation und Erkennen verhaltensbedingter Bedrohungen) und korreliert die erkannten Bedrohungen mit der Netzwerkaktivität. Das deckt Protokolllücken ab. EDR-Lösungen hingegen sind bei der Überwachung auf Agenten angewiesen. Die werden längst nicht immer unterstützt oder lassen sich nicht auf allen Systemen installieren. Das führt zu einem höheren Verarbeitungsaufwand. Auch hier schließt NDR die Lücken und hilft zusätzlich, Malware-Exploits zu erkennen, die potenziell die EDR-Überwachung umgehen.
Warum Network Detection & Response?
Das Ziel eines erfolgreich arbeitenden SOCs ist vergleichsweise simpel: Man will die Mean Time to Detection (MTTD) und die Mean Time to Response (MTTR) senken. NDR stellt Netzwerk- und Kontextdaten zur Verfügung und bietet dadurch die Möglichkeit auf diese Schlüsselindikatoren einzuwirken. Robuste Korrelationsregeln und eine Engine für maschinelles Lernen (ML) und künstliche Intelligenz (KI) stellen mittels „supervised“ und „unsupervised Learning“ Ereignisse zusammen, die potenziell Bedrohungen sind. Netzwerk-Metadaten liefern Informationen über Netzwerkereignisse und Geräte. Im Idealfall lassen sich Bedrohungen so schneller isolieren, identifizieren und schlussendlich beseitigen. Eine API-Integration in Sicherheitsplattformen erlaubt zusätzlich eine Response-Orchestrierung, und man kann auf vom Anbieter vorgefertigte Playbooks zurückgreifen, was wiederum Zeit spart.
Probleme bei herkömmlichen Netzwerksicherheitslösungen
Übliche Netzwerksicherheitslösungen weisen eine Reihe von Bereichen auf, die man getrost als problematisch bezeichnen kann.
Machbarkeit und Skalierungskosten für Datenerfassung, Analyse und Speicherressourcen
Netzwerke mit hohem Datendurchsatz in Echtzeit zu überwachen, ist mit herkömmlichen Netzwerksicherheitslösungen fast nicht zu machen. Grund dafür sind die Einschränkungen bei den üblichen Ereignisspeichern (die auf relationalen Datenbanken beruhen) und Verarbeitungsengpässe beim Analysieren der Ereignisinformationen. Das führt nicht selten dazu, dass Bedrohungen zu spät erkannt oder Ereignisse gar nicht erst erfasst werden.
Zu wenig Transparenz aufgrund von verschlüsseltem Datenverkehr und passive Überwachung
Existierende Netzwerksicherheitslösungen sind nicht in der Lage verschlüsselte Verbindungen überwachen. Dabei laufen inzwischen über 90 Prozent des Webverkehrs verschlüsselt ab. Die Netzwerktransparenz ist also deutlich limitiert. Wenn man die Möglichkeit hat, den Traffic mittels NDR zu spiegeln, macht das gerade cloudbasierte Netzwerke wesentlich effektiver. Fehlt die Fähigkeit, ein Netzwerk passiv abzuhören oder zu analysieren, beeinträchtigt das die Netzwerksicherheit insgesamt.
Infrastrukturkosten
Selbst wenn eine Netzwerk-Forensik-Lösung riesige Datenmengen verarbeiten kann, sind die damit verbundenen Infrastrukturkosten oft unerschwinglich.
ML und Analytik lassen sich nicht einfach auf den Netzwerk-Traffic anwenden
Netzwerkverkehrsdaten bestehen normalerweise aus Millionen oder sogar Milliarden von Ereignissen. Diese enorme Menge an Ereignisdaten zu handhaben ist für ML nicht ganz einfach. Die isolierte Analyse einzelner Ereignisse führt aber potenziell dazu, dass ML-gesteuerte Analysen langsam und ungenau werden. Das ist wenig hilfreich.
Unterschiedliche Tools und Ticketing-Systeme erhöhen die Reaktionszeit
Wenn ein Sicherheitsteam auf ein verdächtiges Ereignis stößt, muss es schnell und effizient auf die mögliche Bedrohung reagieren. Viele der herkömmlichen Netzwerksicherheitslösungen bieten aber keinen durchgängigen Incident Response Workflow, und das bremst die Reaktionszeiten.
Wo blinde Flecke lauern
Wer die beschriebenen Probleme angehen will, sollte nach einer NDR-Plattform suchen, die Netzwerkdaten sammelt und sie mit anderen Daten in der IT-Umgebung aggregiert. Techniken zur Anomalien-Erkennung helfen dabei, ungewöhnliche Aktivitäten als solche zu identifizieren. Im Idealfall werden Benutzer, Konten und Systemverhalten im gesamten Netzwerk nachverfolgt, um Bedrohungen vorausschauend zu erkennen, zu kategorisieren und nach Priorität zu sortieren, sobald sie auftreten. Das senkt die Risikoexposition im Unternehmen.
Skalierbarkeit
Skalierbarkeit ist eine der drängendsten Herausforderungen. Umso mehr, als ganze Belegschaften remote arbeiten und die Menge an Protokolldaten weiter steigt. Eine NDR-Lösung sollte Netzwerkdaten remote erfassen, was die skalierbare Datenerfassung, -analyse und -speicherung gestattet. Danach werden sämtliche Daten mit forensischem Wert auf eine zentrale Plattform zurückgeführt, was die Erkennungsrate verbessert und Engpässe vermeiden hilft.
Mehr Transparenz und Kontext
Ein mehrgleisiger Ansatz verspricht bessere Netzwerktransparenz. NDR-Plattformen sollten Netzwerkprotokolle von Geräten wie Firewalls zusammen mit den Ereignisdaten aus der Cloud und dem Netzwerkfluss vor Ort nutzen, um die Daten anzureichern und Kontext bereitzustellen.
Geringere Infrastrukturkosten
Es ist wichtig, so viele Informationen wie möglich zu sammeln. Die sollten allerdings für Analysten wirklich nützlich sein, um potenzielle Netzwerkbedrohungen zu erkennen. Unternehmen begrenzen am besten die Erfassung vollständiger Pakete, da diese Methode schnell ressourcen- und netzwerkintensiv wird. Trotzdem braucht man für die forensische Analyse alle erforderlichen Informationen. Das gilt auch für wertvolle Artefakte wie Zertifikate und Dateien, die man weiterhin zusammen mit den ressourcenschonenden Metadaten sammeln sollte.
Einheitliche Analyseplattform für alle Daten
Der beste Sicherheitsansatz ist ein einheitlicher. Transparenz ist der Schlüssel, um Netzwerkbedrohungen zu vermeiden. Dazu muss man umfassende Netzwerkdaten mit anderen Datenquellen wie Anwendungsprotokollen und Cloud-Ereignissen aggregieren, um sie für erweiterte Analysen zur Verfügung zu haben. Das schafft Transparenz über Endpunkte, Netzwerk, Anwendungen und Cloud. Wenn man dann Bedrohungsmodelle verwendet, die unterschiedliche Anomalien und risikoreiche Aktivitäten im Laufe der Zeit miteinander verknüpfen, lassen sich bestimmte Bedrohungsszenarien besser aufdecken. Anomale Muster im Datenverkehr und risikoreiche Aktivitäten erkennt man am besten, wenn man Daten zum Netzwerkverkehr aus einer Vielzahl von internen und peripheren Netzwerkquellen sammelt. Algorithmen für maschinelles Lernen und Data-Science-Techniken verbessern die Genauigkeit der Erkennung dann kontinuierlich weiter.
Nahtloser Incident Response Workflow
Es versteht sich von selbst, dass der Schlüssel zu einer effektiven Incident Response ein nahtloser Workflow ist. Durch die Integration von NDR und Security Orchestration, Automation & Response (SOAR) können Sicherheitsteams auf Analyse- und Netzwerkdaten zurückgreifen. Das verkürzt die Zeit, die man üblicherweise für Analysen aufwendet und verhindert die typische laterale Fortbewegung während eines Angriffs.
Präziser Bedrohungskontext
Der nächste Schritt zu einem integrierten Sicherheitsansatz besteht darin, NDR (Kontextanreicherung und Verhaltensanalyse) mit der korrelierten Sichtweise einer modernen SIEM-Lösung zu kombinieren. Solche Lösungen betrachten Informationen aus der Perspektive der gesamten Sicherheitsinfrastruktur heraus. Dadurch sind sie sehr gut geeignet, Kontext anzureichern, aber auch Bedrohungen zu erkennen und einzudämmen. Die Daten aus der NDR sollte man mit schnellen Response-Optionen nutzen. Das blockiert die Aktivität netzwerkzentrierter Bedrohungen und verhindert, dass sich endpunktzentrierte Bedrohungen ausbreiten.
Hersteller- und plattformübergreifende Integrationen
Dies ist nicht selten eines der größten Probleme für Sicherheitsteams: Verschiedene Anbieter und Plattformen lassen sich in gewissem Umfang integrieren, hinterlassen jedoch häufig kleine, aber folgenreiche Lücken. CISOs sollten nach Lösungen Ausschau halten, die sich so integrieren lassen, dass sie eine möglichst umfassende Transparenz und Bedrohungserkennung erlauben.
Zentralisierte Aggregation und Verarbeitung von Netzwerk-Metadaten
Durch die Übertragung von Netzwerk-Metadaten an eine zentralisierte Engine optimiert NDR die Analyse des Netzwerkverkehrs und liefert die gewünschten Informationen. Es ist nicht mehr nötig, riesige Datenmengen aus den Protokollen der Netzwerkgeräte zu ziehen.
Selektive Speicherung von forensisch wertvollen Daten senkt Kosten
Mittels Kontextanreicherung, ML- und KI-basierten Algorithmen und Ereigniskorrelation erfasst NDR forensisch wertvolle Ereignisse. Sich wiederholende Ereignisse und False Positives werden hingegen aus der Pipeline entfernt. Das senkt Speicherkosten und beschleunigt das Threat Hunting.
Netzwerkverkehrsdaten aus anderen Quellen ergänzen
Netzwerkverkehrsdaten allein zeigen nie das ganze Bild. Wenn Unternehmen die Netzwerkverkehrsdaten mit diversen anderen Netzwerkdatenquellen zusammenführen, lassen sich Bedrohungen identifizieren, die ansonsten unbemerkt passieren könnten. Dank der Korrelation unterschiedlicher Datenquellen kann man bedrohungsrelevante Ereignisse mit größerer Sicherheit prognostizieren und priorisieren.
Fazit
Network Detection & Response bietet in der aktuellen Bedrohungslandschaft mehr Transparenz. Dadurch schließt man die Lücken, die einfaches Protokollmanagement hinterlassen kann. Ergänzt man eine SIEM-Lösung um NDR-Funktionalitäten, bekommt man eine zusätzliche Sicherheitsschicht. Sie trägt dazu bei, Bedrohungen besser zu priorisieren und die Kosten überschaubar zu halten.
Über den Autor: Sudhir Udipi ist Director Pre-Sales bei Securonix.
(ID:47307514)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939352/original.jpg "Lösungen zur Network Detection & Response (NDR) helfen bei der frühzeitigen Gefahrenerkennung im Unternehmensnetzwerk. (ZinetroN - stock.adobe.com)")