Was ist Network Detection and Response (NDR)? 

Ihr Unternehmen kann eine NDR-Lösung (Network Detection and Response) zur Überwachung des Netzwerkverkehrs nutzen. Die Lösung identifiziert Cyberbedrohungen und anomales Verhalten im gesamten Netzwerk, benachrichtigt Sie über Netzwerkangriffe und kann für Sie darauf reagieren. Darüber hinaus bietet Ihnen eine NDR-Lösung Einblicke in die Netzwerksicherheit. So können Sie Ihren Netzwerkschutz und Ihren Sicherheitsstatus optimieren.

Über NDR

Network Detection and Response umfasst Produkte, die Verhaltensanalysen auf den Datenverkehr anwenden, um ungewöhnliche Verhaltensweisen im Netzwerk zu identifizieren, so Gartner. Diese Produkte analysieren Netzwerkpakete oder -Metadaten zum Traffic zwischen internen Netzwerken (East-West) und öffentlichen Netzwerken (North-South). Sie können über Hardware- und Software-Appliances, lokale Software oder SaaS bereitgestellt werden.

NDR-Lösungen nutzen künstliche Intelligenz (KI), maschinelles Lernen (ML) und Datenanalysen, um das Netzwerkverhalten zu analysieren und darauf basierende Modelle zu erstellen. Sie erkennen Netzwerkbedrohungen, benachrichtigen Benutzer über diese Erkennungen und reagieren entsprechend darauf.

Warum ist Network Detection and Response wichtig?

Cyberkriminelle können EDR-Lösungen (Endpoint Detection and Response) und viele andere Sicherheitstools und -technologien umgehen. Sie sind auch in der Lage, Systemprotokolle zu deaktivieren und zu löschen. Cyberkriminelle können sich jedoch nicht in einem Netzwerk verstecken – daher ist die Network Detection and Response von zentraler Bedeutung.

Mit einer NDR-Lösung können Sie schädliche Aktivitäten im gesamten Netzwerk überwachen, die andere Sicherheitstools und -technologien nicht unbedingt erkennen. Dabei erkennt NDR Anomalien im Datenverkehr innerhalb Ihres Netzwerks. So sichern Sie Ihren Netzwerkperimeter und behalten die Kontrolle darüber, was ein- und ausgeht.

Wie funktioniert Network Detection and Response?

Eine Network Detection-Lösung verwendet maschinelles Lernen und andere nicht-signaturbasierte Analysetechniken, um verdächtige Aktivitäten im Netzwerk zu identifizieren. NDR überwacht und analysiert den Netzwerkverkehr und verwendet diese Informationen, um ein Verhaltensmuster für normale Netzwerkaktivitäten zu erstellen, die sogenannte Baseline. Wenn von dieser Baseline abgewichen wird, benachrichtigt die Lösung Benutzer über potenzielle Netzwerkbedrohungen.

Darüber hinaus bietet Ihnen eine NDR-Lösung Einblicke, die über die von einer Firewall bereitgestellten Erkenntnisse hinausgehen. Außerdem werden verdächtige Aktivitäten erkannt, die sich im Netzwerk ausbreiten. Firewalls oder Endpoint Security-Lösungen können dies nicht leisten.

Bedrohungen, die NDR-Lösungen erkennen

  • Nicht verwaltete IoT- (Internet of Things) und OT-Geräte (Operational Technology)
  • Unbekannte oder nicht identifizierte Netzwerksysteme
  • Interne Bedrohungen
  • Laterale Bewegungen
  • Command-and-Control (C2)-Aktivität
  • Schädliche Datenströme und auffällige Verhaltensmuster im Netzwerk und
  • Malware
  • Ransomware
  • Brute-Force-Angriffe
  • Social Engineering
  • Datendiebstahl und -manipulation
  • Riskante Verhaltensweisen (z. B. Bereitstellung des Remote-Zugriffs auf Endpoints, Freigabe von Benutzerkonten usw.)

Wichtige NDR-Funktionen

  • Erkennung von Vorfällen: Identifiziert Anomalien und Muster im Netzwerkverkehr, um Sicherheitsvorfälle zu erkennen, bevor sie eskalieren.
  • Bedrohungsanalyse: Erfasst Aktivitäten und Muster im Netzwerk und gibt diese Informationen an Sicherheitsanalysten zur Analyse von Vorfällen weiter.
  • Threat Intelligence: Erfasst und analysiert Bedrohungsdaten innerhalb und außerhalb Ihres Unternehmens und ermöglicht Ihnen, diese Bedrohungsinformationen auch für andere Sicherheitsprodukte zu verwenden, damit Sie den größtmöglichen Nutzen aus Ihren Lösungen ziehen können.
  • Warnmeldungen: Gibt Sicherheitswarnungen aus, die Ihnen Einblicke in den Sicherheitsstatus Ihres Unternehmens und die Bedrohungen geben, denen Sie ausgesetzt sind. 
  • Bedrohungsabwehr: Arbeitet mit Ihrer Firewall und anderen Sicherheitstools und -technologien zusammen, um verdächtigen Netzwerkverkehr zu blockieren, der zu Sicherheitsverletzungen führen könnte. 

Vorteile von Network Detection and Response (NDR)

Umfassende Netzwerktransparenz

Mit einer NDR-Lösung haben Sie alle Netzwerkaktivitäten im Blick. Sollte Ihr Netzwerk angegriffen werden, können Sie den Ablauf des Sicherheitsvorfalls genau nachvollziehen. So erfahren Sie, welche Taktiken, Techniken und Verfahren (TTPs) die Cyberkriminellen angewandt haben und wie Sie sich davor künftig schützen können.

Schnelle Reaktion auf Bedrohungen und Bereinigung

Mit einer NDR-Lösung sind Sie in der Lage, Netzwerkangriffe bereits früh zu erkennen. Die Lösung liefert Ihnen sofort Einblicke in einen Angriff. So können Sie den Angriff rechtzeitig stoppen, bevor er Ihrem Unternehmen, Ihren Mitarbeitern und Ihren Kunden Schaden zufügt.

Leicht verständliche Analysen

Im Allgemeinen analysiert eine NDR-Lösung Netzwerkpakete, um das Verhalten von Benutzern und Geräten zu ermitteln und Angriffe zu identifizieren. Dabei erstellt die Lösung Profile zum Netzwerkverhalten für die gesamte Umgebung, generiert anhand dieser Informationen eine Baseline und erkennt ungewöhnliches Angriffsverhalten. Da NDR Netzwerkdaten verwendet, die nicht manipuliert oder gelöscht werden können, bietet sie eine zentrale Informationsquelle zu allen Verhaltensweisen im gesamten Netzwerk. 

Kosten- und Zeiteinsparung

In der Regel müssen Sie nicht viel Zeit oder Geld aufwenden, um die Protokolle einer NDR-Lösung zu konfigurieren oder ihre Protokollformate zu normieren. Die meisten NDR-Lösungen können auf Netzwerkpakete zugreifen und Netzwerkdaten sofort analysieren und speichern. Darüber hinaus extrahieren und speichern sie Metadaten, die für eine genaue Profilerstellung der Verhaltensweisen im Netzwerk und die Erkennung von Angriffen erforderlich sind.

Nahtlose Cloud-Bereitstellung

Viele NDR-Lösungen werden in der Cloud bereitgestellt. Das bedeutet, dass Sie keine Protokollserver bereitstellen müssen, um Ihre Netzwerkdaten zu erfassen und zu analysieren. Sie können auch Netzwerkprotokolle von Ihren Firewalls und anderen Netzwerksicherheitsprodukten erfassen. So müssen Sie nicht in Netzwerksensoren investieren und diese einrichten.

Herausforderungen in Zusammenhang mit Network Detection and Response

  • Wandel der Cyberbedrohungs-Landschaft: Cyberkriminelle entwickeln ständig neue TTPs, um Netzwerke zu infiltrieren.
  • Erweiterte Angriffsfläche: Mit zunehmender Digitalisierung vergrößert sich auch die Angriffsfläche und bietet damit Cyberkriminellen mehr Einfallsmöglichkeiten.
  • Kompetenzlücken im Bereich Cybersicherheit: Ein Mangel an qualifizierten Cybersecurity-Experten kann die Bereitstellung und Verwaltung von NDR-Lösungen erschweren.
  • Budgetbeschränkungen: Vielen Unternehmen fehlen die Zeit und die Ressourcen, die für die Integration von NDR-Lösungen in ihren täglichen Betrieb erforderlich sind.    

NDR vs. EDR

NDR-Lösungen überwachen Ihren Netzwerkverkehr. Endpoint Detection and Response-Produkte (EDR) suchen dagegen nach verdächtigen Aktivitäten auf Ihren Computern, Mobilgeräten, Servern und anderen Endpoints. Wenn eine EDR-Lösung verdächtige Endpoint-Aktivitäten erkennt, werden Benutzer benachrichtigt. Darüber hinaus kann eine EDR-Lösung Endpoint-Angriffe bekämpfen und Analysen bereitstellen, mit denen Sie Ihren Endpoint-Schutz optimieren können. 

NDR vs. MDR

Network Detection and Response ist ein Teilbereich von Managed Detection and Response (MDR). Dabei können Sie Ihre Threat Detection und Response Bedrohungen an einen Managed Security Services Provider (MSSP) auslagern. Bei einer MDR-Lösung überwacht ein MSSP Ihre gesamte IT-Infrastruktur, sucht nach Cyberbedrohungen und reagiert darauf. Ihr MSSP kann Bedrohungen für Sie oder in Zusammenarbeit mit Ihnen beheben.

NDR vs. XDR

Eine XDR-Lösung (Extended Detection and Response) liefert Einblicke in Ihre Netzwerk-, Endpoint- und Cloud-Daten. Gleichzeitig können Sie mit der Lösung Angriffe in Ihrer gesamten IT-Infrastruktur automatisch erkennen und beheben. Außerdem bietet sie Analysen, mit denen Sie immer über aktuelle und neue Bedrohungen informiert sind.

Worauf muss ich bei einer NDR-Lösung achten?

Kontextbezogene Transparenz

Wenn Ihre NDR-Lösung kontextbezogene Einblicke bietet, können Sie alle Netzwerkaktivitäten an einem Ort anzeigen. So sehen Sie beispielsweise, welche Benutzer Ihr Netzwerk nutzen, mit welchen Geräten sie interagieren, von wo aus sie auf Ihr Netzwerk zugreifen und welche Daten sie teilen. Auf diese Weise können Sie Bedrohungen erkennen, ihren Ursprung ausfindig machen, ermitteln, welche Benutzer kompromittiert wurden, und vieles mehr.

Nicht-signaturbasierte Bedrohungserkennung

Ihre NDR-Lösung sollte Machine Learning, Verhaltensmodellierung und andere nicht-signaturbasierte Analysetechniken verwenden können, um eine Baseline der normalen Netzwerkaktivität zu erstellen. So kann sie Bedrohungen erkennen und Warnmeldungen ausgeben, wenn Ihr Netzwerkverkehr von der Norm abweicht. Dadurch erkennen Sie schnell Sicherheitsprobleme, wie etwa Angreifer, die sich über gestohlene Anmeldedaten von Mitarbeitern Zugriff auf Ihr Netzwerk verschaffen oder Ihre Netzwerkdaten exfiltrieren.

Erkennung von Bedrohungen und Warnhinweise

Sie können eine NDR-Lösung auswählen, die ungewöhnlichen Remote-Zugriff auf Ihr Netzwerk, die Verwendung von eingeschränkten Ports oder Protokollen und andere potenzielle Bedrohungen erkennt. Die Lösung gibt zudem relevante Warnhinweise und priorisiert sie entsprechend ihrem Schweregrad. Darüber hinaus reagiert die Lösung automatisch für Sie auf Bedrohungen.

Threat Detection Engines

Branchenführende NDR-Lösungen nutzen eine Abfrage-Engine sowie ein Deep-Learning-Prognosemodell, um verschlüsselten Datenverkehr zu analysieren und Muster in nicht zusammenhängenden Netzwerkflüssen zu identifizieren. Die Lösung nutzt bekannte Indicators of Compromise (IoCs), um Angreifer sowie schädliche Taktiken, Techniken und Verfahren in verschlüsseltem und unverschlüsseltem Netzwerkverkehr zu erkennen. Außerdem identifiziert sie Zero-Day-C2-Server und neue Varianten von Malware-Familien und sendet Warnmeldungen anhand sitzungsbasierter Risikofaktoren.

Einfache Verwaltung und Reporting

Die ideale NDR-Lösung bietet ein zentrales Dashboard für Verwaltung und Reporting. In diesem Dashboard können Sie mehrere Sicherheitsprodukte gleichzeitig anzeigen. Es ermöglicht Ihnen, alle sicherheitsrelevanten Informationen mühelos auszutauschen und automatisch auf Sicherheitsvorfälle zu reagieren.

 

Verwandtes Sicherheitsthema: Was ist ein Managed Security Service Provider (MSSP)?