Startseite > Security > NDR-Technik für den Mittelstand

Network Detection and Response

NDR-Technik für den Mittelstand

1. September 2021, 12:00 Uhr | Thomas Krause/wg

Für kleine und mittelständische Unternehmen (KMU), die oft nur über begrenzte Budgets und Ressourcen verfügen, ist es eine Herausforderung, sich im derzeitigen Sturm der Cyberkriminalität zu schützen. Die Bedrohungen entwickeln sich schneller als die vorhandenen Cyber-Sicherheitslösungen, kleine IT-Abteilungen können nicht Schritt halten. Abhilfe schaffen könnte hier mittelstandstaugliche Technik für Network Detection and Response (NDR).

Ransomware-Angriffe sind allgegenwärtig, aber die Bedrohungslandschaft hört damit nicht auf: Advanced Persistent Threats, Insider-Bedrohungen und Angriffe auf die Lieferkette gehören zu den zahlreichen alltäglichen Gefahren. Die Angreifer nutzen die gleichen Spitzentechnologien wie Anbieter von Cybersicherheitslösungen, zum Beispiel künstliche Intelligenz (KI), Verschlüsselung und Schwachstellenscans. Sie profitieren von einem ausgereiften Schwarzmarkt für Malware und Ransomware als Dienstleistung – und zugleich von einer Angriffsfläche, die durch die rasche Einführung von Cloud-Lösungen, IoT und Identity Federation stetig wächst.

So erscheinen beispielsweise die jüngsten Angriffe auf die Lieferkette wie die auf Solarwinds und Kaseya für herkömmliche Sicherheitstools völlig legitim. IoT-Geräte, nicht verwaltete oder private Geräte und vergessene virtuelle Maschinen oder Container schaffen blinde Flecken in der Sicherheit. Wenn kleine Unternehmen das Glück haben, über Sicherheitsanalysten zu verfügen, müssen diese mehrere Dashboards konsultieren, um eine komplexe Bedrohung oder einen Angriff zu erkennen und zu verstehen.

Eine Sache ist über die Jahre gleichgeblieben: Jede größere Sicherheitsverletzung umfasst auch den Netzwerkverkehr. Wenn Hacker zum Beispiel Daten stehlen wollen, müssen sie ihre Beute an einen bestimmten Ort bringen. Jüngste Angriffe wie der „Sunburst"-Angriff auf die Lieferkette fallen nur auf, wenn man erkennt, dass mit dem Netzwerkverkehr etwas nicht stimmt, und sofort auf diese Aktivität reagieren und sie unterbinden kann.

Dies erfordert eine Erkennung und automatisierte Reaktion auf der Netzwerkebene, was heute nur sehr wenige Unternehmen, in der Regel Großunternehmen, implementiert haben. Gartner definiert Network Detection and Response (NDR) als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken [...] verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen.“ Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen [...], um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln“, und das System gibt Warnungen aus, „wenn es verdächtige Verkehrsmuster erkennt“. Weitere Schlüsselfunktionen von NDR-Lösungen seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response", Juni 2020).

Mit anderen Worten: Eine NDR-Lösung identifiziert alle Assets im Netzwerk, darunter auch IoT-Geräte und nicht verwaltete Geräte. Sie analysiert die kompletten Netzwerk-Metadaten und den Netzwerkverkehr – Ost/West- wie auch Nord/Süd-Verkehr (also den internen Verkehr und den Verkehr, der die Netzwerkperimeter überschreitet). Mit Sensoren, die im Netzwerk platziert sind, überwacht es den Verkehr, verfolgt alle Netzwerk-Metadaten und integriert diese Daten mit Protokollen von anderen bestehenden Sicherheitslösungen wie Endpoint Security, EDR (Endpoint Detection and Response), Firewall, SIEM (Security-Information- und Event-Management) sowie SOAR-Lösungen (Security Orchestration, Automation, and Response). Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder andere Änderungen im Netzwerk erforderlich.

360-Grad-Sicht auf das Netzwerk

Als Ergebnis erhalten Unternehmen eine 360-Grad-Ansicht, um sich über externe oder interne Bedrohungen ein Bild zu machen. Sie sehen, wenn Daten ihr Netzwerk an einen verdächtigen Ort im Ausland verlassen. Sie bemerken, wenn ein PC auf bösartige Domänen oder URLs zugreift. Sie erkennen, wenn eine Malware verschlüsselte Kopien von Daten im Netz ablegt oder der Web-Server der IP-Kamera eine Schwachstelle aufweist. Und sie können viele dieser Bedrohungen mit automatischen Reaktionsmöglichkeiten sofort stoppen und entschärfen.

NDR ist nicht neu und hat bereits einige Wandlungen durchgemacht. Früher nannte sich derlei Technik NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis). Inzwischen ist der Ansatz gereift und verfügt über ein ausgefeilteres Response-Element. Dennoch ist es nach wie vor ein eher seltenes Tool, das heute fast ausschließlich in sehr großen Unternehmen zum Einsatz kommt. Warum ist das so?

Der entscheidende Punkt ist, dass diese großen Unternehmen genau wissen, was auf dem Spiel steht. Da sie sich des existenziellen Risikos, dem ihr Unternehmen ausgesetzt ist, und der Angriffsfläche bewusst sind, sind sie nicht nur bereit, einen hohen Preis für eine Lösung zu zahlen, die wirklich hilft. Sie stellen auch die erforderliche Arbeitskraft zur Verfügung, um die Experten zu haben, die sie betreiben. Eine große Herausforderung besteht darin, dass NDR-Tools aufgrund der großen Datenmenge, die sie untersuchen, dazu neigen, viele Fehlalarme (False Positives) zu liefern. Bisher brauchte man also ein beträchtliches Cybersicherheitsbudget, um ein Team zu finanzieren, das sich mit der Flut von Fehlalarmen befasst, wenn man von NDR profitieren wollte. Zudem waren nur große Unternehmen bereit und in der Lage, sich mit dieser Flut von Fehlalarmen zu befassen.