Netzwerkerkennung und -reaktion – mehr als IDPS und NTA
Durch die ungezügelte digitale Transformation ist der Umfang der Sicherheitsrisiken und Schwachstellen in Unternehmensnetzwerken deutlich gestiegen. Firewalls, Systeme für Sicherheitsinformationen und Vorfallsmanagement (SIEM), für die Einbruchserkennung und -verhinderung (IDPS), für die Endpunkterkennung und -reaktion (EDR), für die Netzwerkdatenverkehrsanalyse (NTA) und andere Signaturtools haben jeweils Schwachstellen und sind häufig ineffektiv, wenn es um eine fortschrittliche Bedrohungserkennung und -vermeidung geht. Sie bieten nicht immer die Sicherheit, die Netzwerkadministratoren brauchen, um das Netzwerk und die Endbenutzer zu schützen und gleichzeitig größere Leistungseinbußen zu vermeiden. Verhaltensanalysen, maschinelles Lernen (ML) und künstliche Intelligenz (KI) nutzen, sofern sie eingebunden werden, historische Daten, um Ereignisse über einen längeren Zeitraum zu korrelieren, und verringern so den Zeitaufwand für Diagnosen deutlich. Eine bessere Erkennung von Bedrohungen und Reaktion auf Vorfälle im Rahmen einer Strategie für das Datenverkehrsmanagement in einem Netzwerk hängt daher in hohem Maße vom Vorhandensein einer Lösung für die Netzwerkerkennung und -reaktion (NDR) ab.
Was ist unter Netzwerkerkennung und -reaktion zu verstehen?
Mit Netzwerkerkennung und -reaktion (Network Detection & Response, NDR) wird eine Lösung bezeichnet, die das Netzwerk eines Unternehmens überwacht, um Anomalien im Netzwerkdatenverkehr, Cybersicherheitsbedrohungen, Insider-Angriffe und andere Risiken, die nicht mit Malware zusammenhängen, zu erkennen und zu verhindern. Sie liefert Einblicke in den Netzwerkdatenverkehr und mindert die von potenziellen Bedrohungen oder böswilligem Verhalten ausgehende Gefahr.
Einblicke in Echtzeit in Protokolle und Netzwerkdaten sind unverzichtbar für eine effektive Netzwerkerkennung und -reaktion. NDR-Lösungen kombinieren ML, KI, SOC, EDR, SIEM und weitere Analysemethoden, um ein umfassenderes Management des Netzwerkverkehrs zu bieten als nur Analysen.
Ein Tool für die Netzwerkerkennung und -reaktion schafft ein skalierbares, integriertes Sicherheitsökosystem, das anhand eines Zero-Trust-Ansatzes interne und externe Bedrohungen, die die Firewall oder andere Signaturüberwachungssysteme überwinden, kontinuierlich überwacht und erkennt. Jeder Host und jede Kommunikation werden in Echtzeit überwacht. Mithilfe von Methoden wie maschinellem Lernen werden Leistungsreferenzwerte festgelegt, um Warnmeldungen ausgeben zu können, wenn diese Grenzwerte überschritten werden. NDR automatisiert die schnelle und effektive Reaktion auf diese Meldungen, um für Compliance, Sicherheit und optimale Leistung zu sorgen.
Entwicklung der Netzwerkerkennung und -reaktion
NDR gibt es bereits seit mehr als 20 Jahren. Zunächst wurde das Konzept als Network Behavior Anomaly Detection (NBAD) bezeichnet und Ende der 2010-er Jahre dann als Network Traffic Analysis (NTA). Dadurch wurde die Lücke zwischen der Überwachung von Mustern im Netzwerkverkehr zum Erkennen von Anomalien und dem Monitoring von Netzwerkflüssen zum Auffinden von Sicherheitsrisiken geschlossen. Im Jahr 2020 verwendete Gartner® erstmals den Begriff Netzwerkerkennung und -reaktion und betonte dadurch, wie wichtig die Reaktion bei der Bedrohungserkennung ist.
Der NDR-Markt hat ein Volumen von mehr als 1 Milliarde US-Dollar und ist mit einer durchschnittlichen jährlichen Wachstumsrate von geschätzten 17 % in den nächsten drei Jahren die am zweitschnellsten wachsende Cybersicherheitskategorie.
Funktionsweise der Netzwerkerkennung und -reaktion und Gründe für eine NDR-Lösung: moderne Lösungen für moderne Bedrohungen
Netzwerke bilden heute die Grundlage jedes Unternehmens. Sie werden immer größer und komplexer, insbesondere auch durch den Wechsel in die Cloud und die Einführung von Hybridumgebungen. Dadurch ist die Angriffsfläche deutlich gewachsen. Angesichts der riesigen Datenmengen in Netzwerken und der fehlenden Transparenz des Netzwerkverkehrs können Bedrohungen unerkannt bleiben. Daher wurden NTA-Lösungen in den meisten Unternehmen zur ersten Verteidigungslinie. Bei NDR kommen verschiedene erweiterte Algorithmen und Programme zum Einsatz, um Cyberbedrohungen zu verhindern – ähnlich wie bei EDR-Lösungen. ML, KI und andere nicht traditionelle Methoden werden genutzt, um einen tiefen Einblick in das Netzwerk zu gewähren. NDR identifiziert anhand von Netzwerkverkehrsdaten bekannte und unbekannte Angriffe und Muster. Auch Muster nach einem Angriff werden erkannt, um die Auswirkungen auf das Netzwerk und die Endbenutzer zu mindern.
EDR vs. NDR
Bei NDR werden die Netzwerkverkehrsdaten im gesamten Netzwerk analysiert, um Informationen zum Unterbinden von Angriffen zu gewinnen. EDR-Lösungen dagegen nutzen einen Agenten, um ungewöhnliche Aktivitäten zu verhindern. NDR verhindert keine Angriffe, sondern bietet durch einen netzwerkbasierten Ansatz zum Erkennen von Bedrohungen oder Angreifern, die Lösungen wie EDR umgehen konnten, ein höheres Maß an Sicherheit.
Vollständige Transparenz: Überwachung von Remote-Verbindungen, Cloud-Umgebungen und BYOD
Eine kontextabhängige vollständige Netzwerktransparenz ermöglicht es Sicherheitssystemen, den Netzwerkverkehr zu überwachen und zu analysieren und einen umfassenden Überblick über die Geräte und Benutzer in einem Netzwerk zu liefern. So lassen sich nicht nur Bedrohungen erkennen, sondern es wird auch deutlich, welche Daten über das Netzwerk transferiert werden, welche Benutzer darin aktiv sind und mit welchen Anwendungen diese interagieren. Organisationen, die Hybrid- oder Cloud-Strategien verfolgen, bietet ein NDR-Tool den nötigen Einblick in verschiedene Umgebungen.
Bedrohungserkennung
Tools mit einem regelbasierten Ansatz für die Bedrohungserkennung sind unter Umständen veraltet und ineffektiv. Lösungen für die Netzwerkerkennung und -reaktion verfolgen das Verhalten des Netzwerkverkehrs und definieren Leistungsreferenzen mit Deep Packet Inspection. So können KI-basierte ML-Modelle in der Bedrohungs- und Anomalieerkennung und -klassifizierung eingesetzt werden.
Lateral Movement
Durch Lateral Movement können Bedrohungen als normaler Netzwerkverkehr kaschiert werden oder sogar Verwaltungszugriff erlangen. So können Anmelde- und Gerätedaten gestohlen werden. Früher war IDPS (Intrusion Detection and Prevention System) die Lösung für die Lateral Movement-Erkennung, aber diese Methode ist mittlerweile obsolet. Durch die Überwachung des Netzwerkverkehrs lässt sich nur beobachten, was die Netzwerk-Firewall passiert, und das Hauptaugenmerk liegt hier auf Signaturen. Das Festlegen von Schwellenwerten, damit Hosts Lateral Movement erkennen, funktioniert in großen Organisationen nicht, da es nicht einen gemeinsamen Schwellenwert für alle Hosts gibt. Durch Verhaltensanalysen, kombiniert mit maschinellem Lernen, können sämtliche Hosts in einem Netzwerk mit NDR überwacht werden.
Aufspüren von (noch unbekannten) Bedrohungen
Beim Aufspüren von Bedrohungen werden Ausreißer isoliert, analysiert und klassifiziert, um notwendige Maßnahmen ergreifen zu können. Signaturtools, Regeln, vordefinierte Algorithmen und Threat Intelligence helfen jedoch nicht weiter, wenn es darum geht, unbekannte Angriffe durch unbekannte Bedrohungsakteure zu erkennen. Unerkannte Angreifer bleiben im Netzwerk verborgen. NDR-Lösungen, die zum Aufspüren von Bedrohungen KI und ML nutzen, tragen dazu bei, Bedrohungen zu finden, die von Sicherheitslösungen häufig übersehen werden. Dazu gehören Anomalien und Ausreißer, bekannte und laufende Bedrohungen, verborgene und unbekannte Bedrohungen.
Forensik
Die Netzwerkforensik wird hauptsächlich zur Erkennung von Malware eingesetzt, ist aber auch eine effektive Methode zur proaktiven Überwachung eines Netzwerks auf Traffic-Anomalien und zur Netzwerkverhaltensanalyse. NDR erkennt potenzielle Angriffe und analysiert die Angriffsmuster und Datenverkehrstrends, um eine Verhaltensreferenz festzulegen. Dadurch reduziert sich der Zeitaufwand für Diagnosen und Netzwerkadministratoren können Bedrohungen schneller erkennen.
Informationen über das Netzwerk
Signaturtools wie ML-Lösungen erkennen Bedrohungen und Anomalien anhand von Leistungsreferenzen und historischen Trends. Eine NDR-Plattform mit KI und ML sollte in der Lage sein, Daten zu analysieren und mit globaler Threat Intelligence zu korrelieren, um Anomalien und Angriffe aufzudecken, die Endpunktsicherheits- oder protokollbasierte Lösungen nicht erkennen.
Schnelle Reaktion
NDR-Lösungen stellen nahtlos Verbindungen zu Sicherheitstools her, um sofort Maßnahmen zur Fehlerbehebung und Blockierung von Bedrohungen zu ergreifen. Sie ermöglichen eine automatische Reaktion, um Probleme schnell zu lösen. Die NDR-Software nutzt künstliche Intelligenz und maschinelles Lernen, um Phishing-Angriffe und interne Bedrohungen zu erkennen und zu verhindern. Dazu werden Angriffskampagnen analysiert, betroffene Benutzer und Geräte ermittelt und das Netzwerk kontinuierlich überwacht, um in Echtzeit für Sicherheit zu sorgen.
Gute NDR-Lösungen bieten neben äußerst präzisen Warnmeldungen, die nach Typ und Schweregrad priorisiert sind, automatische Reaktionen, um Netzwerkadministratoren und Sicherheitsteams Zeit und Mühe zu sparen sowie das Aufspüren von Bedrohungen und die Reaktion darauf zu verbessern.
Mehr als IDPS und NTA – ManageEngine NetFlow Analyzer
Lösungen für die Netzwerkerkennung und -reaktion ermöglichen eine automatische Erkennung und Reaktion auf Anomalien im Netzwerkverkehr sowie auf Bedrohungen. Dazu verfolgen sie bei Überwachung und Analyse einen Zero-Trust-Ansatz. Durch die erweiterten Forensik- und Sicherheitsfunktionen, ML-basierten Prognosen und standardmäßigen Integrationen von NetFlow Analyzer profitieren Sie von einem kontextabhängigen Einblick in aggregierte Daten in Echtzeit.
ManageEngine NetFlow Analyzer ist eine Lösung für das Bandbreiten-Monitoring und die Netzwerkdatenverkehrsanalyse, die zahlreiche Funktionen bietet. Die flussbasierte Software läuft sowohl auf Windows- als auch auf Linux-Computern und unterstützt eine Vielzahl von Datenflussformaten und Geräten. Sie lässt sich nahtlos in diverse interne und externe Anwendungen einbinden und stellt Benutzern eine umfassende und individuelle Lösung für die Netzwerkerkennung und -reaktion bereit. Laden Sie jetzt eine kostenlose Testversion von NetFlow Analyzer herunter!
Mehr zur Netzwerkerkennung und -reaktion (NDR)
Welchen Zweck hat die Netzwerkerkennung und -reaktion?
+
Lösungen für die Netzwerkerkennung und -reaktion schützen Organisationen davor, dass ungewöhnliches Netzwerkverhalten unentdeckt bleibt: Sie identifizieren böswillige Akteure und verdächtigen Datenverkehr mithilfe von Technologien wie künstlicher Intelligenz (KI), maschinellem Lernen (ML) und Datenanalysen.
Was ist der Unterschied zwischen NDR und EDR?
+
NDR analysiert die Paketdaten des Netzwerkverkehrs und reagiert auf Bedrohungen, während die Endpunkterkennung und -reaktion (EDR) Angriffe auf Geräteebene erkennt.
Warum ist die Netzwerkerkennung und -reaktion wichtig?
+
Tools für die Netzwerkerkennung und -reaktion tragen dazu bei, dass jedes Netzwerkereignis erfasst wird, und identifizieren sowohl interne als auch externe Angriffe. Da Angriffe auf Netzwerkebene erkannt werden, bleiben die Bedrohungsakteure im Gegensatz zum Einsatz signaturbasierter Methoden nicht unerkannt.