- Warum das Netzwerk für die Erkennung von Bedrohungen einbezogen werden muss
Die wachsende Kreativität mit der sich Hacker durch Cyberattacken Zutritt in fremde Netze verschaffen, ist für die Security Verantwortlichen zu einer großen Herausforderung geworden.
Um Bedrohungen dennoch zeitnah zu erkennen, müssen Daten aus der gesamten IT-Umgebung konsolidiert und analysiert werden. Trotz des Einsatzes von IDS/IPS (Intension Detection System / Intension Prevention System) und EDR (Endpoint Detention & Response)-Lösungen bleiben dennoch „blinde Flecken“. So kann zum Beispiel eine Lateral Movement Attacke, bei der sich ein Angreifer schrittweise durch ein Netzwerk bewegt, während er nach den wichtigsten Daten und Assets sucht, nur durch den Einsatz eines NDR (Network Detection & Response)-Systems aufgedeckt werden.
Eine NDR-Sicherheitslösung überwacht und analysiert den Netzwerkverkehr kontinuierlich und lernt auf diese Weise das normale Verhalten. Treten verdächtige Abweichungen vom Normalverhalten auf, alarmiert die NDR-Lösung die für die Sicherheit zuständigen Stellen. Zum Erkennen von Anomalien werden Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) eingesetzt.
Die Datenerfassung zur Erkennung von Cyberattacken erfolgt über im Netz verteilte Sensoren, die den Datenverkehr auf Paketebene analysieren und über Log-Daten wie z.B. Netflow, IPFIX und Firewalls. Beim Einsatz von Sensoren erfolgt die Angriffserkennung auf Basis der bekannten Open-Source Analyse-Software Zeek.
Die Bewertung der gesammelten Daten erfolgt über integrierten Analytics-Engines. Zusätzlich ist es möglich, die gesammelten Daten an unterschiedliche Reporting-Plattformen, wie Elastic, Splunk oder Humio weiterzuleiten.
Um Bedrohungen dennoch zeitnah zu erkennen, müssen Daten aus der gesamten IT-Umgebung konsolidiert und analysiert werden. Trotz des Einsatzes von IDS/IPS (Intension Detection System / Intension Prevention System) und EDR (Endpoint Detention & Response)-Lösungen bleiben dennoch „blinde Flecken“. So kann zum Beispiel eine Lateral Movement Attacke, bei der sich ein Angreifer schrittweise durch ein Netzwerk bewegt, während er nach den wichtigsten Daten und Assets sucht, nur durch den Einsatz eines NDR (Network Detection & Response)-Systems aufgedeckt werden.
Eine NDR-Sicherheitslösung überwacht und analysiert den Netzwerkverkehr kontinuierlich und lernt auf diese Weise das normale Verhalten. Treten verdächtige Abweichungen vom Normalverhalten auf, alarmiert die NDR-Lösung die für die Sicherheit zuständigen Stellen. Zum Erkennen von Anomalien werden Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) eingesetzt.
Bei einem Lateral Movement Angriff können zwischen dem Beginn einer Attacke und der Zielerreichung einige Monate vergehen. Die einzelnen Schritte des feindlichen Eindringens in die IT sind kleinteilig und werden dadurch in der Regel von IDS/IPS und EDR nicht erkannt. Eine Open NDR-Lösung verknüpft Informationen zu Datentransfers und kann aus der Kombination von Anomalien Angriffe erkennen.
Die Bewertung der gesammelten Daten erfolgt über integrierten Analytics-Engines. Zusätzlich ist es möglich, die gesammelten Daten an unterschiedliche Reporting-Plattformen, wie Elastic, Splunk oder Humio weiterzuleiten.