Endpoint-, Network- & Advanced-Network Detection und Response: NDR – Was ist was? Die Einführung
Kaum ein anderer Sektor ist so stark von Cyberangriffen betroffen wie der Finanzsektor. Umso wichtiger ist es, Cyberbedrohungen so früh wie möglich zu erkennen und die Sicherheit entsprechend anzupassen. Network Detection and Response (NDR) ist ein wichtiger Aspekt des Security Stacks des Sektors, da NDR-Lösungen die nötige Transparenz bieten, um Cyberrisiken frühzeitig zu erkennen und zu blockieren.
von Karl Heuser, Account Manager Security DACH bei Netscout
NDR ist eine Technologie, die zum effizienten Schutz einzigartiger Anforderungen von On-Premises-, Public- und Private-Cloud- und Hybrid-Umgebungen entwickelt wurde. Durch die Kombination von NDR mit anderen Technologien wie Protokollanalyse-Tools, Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR) können Blindspots im Netzwerk entschärft werden.NDR-Lösungen verbessern die Sicherheitsfähigkeiten, indem sie Netzwerkkontext bereitstellen und Reaktionen auf Bedrohungen automatisieren, so dass Sicherheits- und Netzwerkbetriebsteams effektiver zusammenarbeiten können, was zu einer besseren Erkennung und Eindämmung führt.
NDR überwacht den gesamten Netzwerkverkehr in Echtzeit, um einen Einblick in potenzielle oder aktive Cyberbedrohungen zu erhalten.”
Darüber hinaus entlasten die NDR-Lösungen die Sicherheitsressourcen, so dass sich das Personal auf andere wichtige Aufgaben konzentrieren kann.
Einer der größten Vorteile von NDR gegenüber EDR besteht darin, dass Netzwerkdaten viel schwieriger zu manipulieren sind als Endpunktdaten. Da Angreifer und Malware die Erkennung am Endpunkt vermeiden können, liefert vor allem NDR zuverlässige, genaue und umfassende Informationen. Alle Endpunkte kommunizieren über das Netzwerk, daher sind die Netzwerkdaten des Unternehmens die ultimative Quelle. Das bedeutet aber nicht, dass das eine unbedingt besser ist als das andere: EDR und NDR liefern die erforderlichen Informationen in den unterschiedlichen Kontexten des Endpunkts bzw. des Netzwerks.
Was ist Advanced NDR?
Nicht alle NDR-Lösungen sind gleich. Der Unterschied zwischen der vorherigen Generation von NDR-Lösungen und Advanced NDR liegt in der Qualität der verwendeten Daten.
Zu den fünf Merkmalen des Advanced NDR gehören:
1. Paket-basiert, nicht NetFlow-basiert: NetFlow ist eine gängige Datenquelle für NDR. Dies mag für die Erlangung einer breiten Netzwerktransparenz gut sein, ist aber zu oberflächlich und bietet nicht den Einblick in Pakete, der für die Erkennung fortgeschrittener Angriffe wie Tunneling erforderlich ist.2. Vollständige Pakete mit Leitungsgeschwindigkeit erfassen: Mit seinen spezialisierten Netzwerkinstrumenten bietet Advanced NDR eine kontinuierliche Erfassung von Paketen mit Leitungsrate vor, während und nach einem Alarm oder Angriff. Die frühere Generation von NDR-Lösungen ermöglicht die Erfassung von Paketen mit Leitungsrate nur dann, wenn ein Alarm ausgelöst wird oder durch die Verwendung von Abkürzungen wie Packet Slicing.
3. Die Fähigkeit, aussagekräftige Metadaten aus Paketen in Echtzeit zu extrahieren: Spezialisierte Netzwerkinstrumente können in großem Umfang Deep Packet Inspection (DPI) durchführen, um vollständige Pakete zu erfassen und Metadaten der Schichten 2-7 bei Leitungsraten zu extrahieren. Diese Metadaten können analysiert werden, um Bedrohungen in Echtzeit und aus der Vergangenheit zu erkennen.
4. Lokale Speicherung und Analyse: Vollständige Pakete und Metadaten können lokal gespeichert werden (anstatt sie an eine Cloud zu senden). Dadurch wird der Einsatz großer Mengen an Speicherplatz (und die damit verbundenen Kosten) vermieden, ohne auf die Wiedergabetreue zu verzichten. Währenddessen ist ein schneller Zugriff auf gespeicherte Pakete und Metadaten für reaktionsschnelle Analysen und langfristige Untersuchungen möglich.
5. Vollständige Integration und Datenexport: Die vollständige Integration in bestehende Sicherheits-Ökosysteme (z. B. über SIEM, Security Orchestration, Automation and Response [SOAR] und blockierende Geräte wie Firewalls) bietet die Möglichkeit, Metadaten und Pakete zu exportieren, um sie mit anderen Datensätzen (z. B. EDR, SIEM-Protokollen oder Threat Intelligence) für individuelle Analysen zu kombinieren.
Fazit
Sicherheits-Netzwerkteams benötigen jede nur erdenkliche Hilfe, um den Faktoren heutiger Cyberbedrohungen professionell und effektiv zu begegnen. Einheitliche Prozesse und eine gemeinsame Nutzung von Netzwerk- und Sicherheitstechnologien können hier zu Kostensenkungen und gleichzeitiger Erhöhung der betrieblichen Effizienz hinsichtlich IT-Sicherheit führen. Advanced Network Detection and Response liefert hier ein hohes Maß an Netzwerkintelligenz und einen wichtigen Beitrag in der gesamten Cybersicherheitsstrategie.Karl Heuser, Netscout /aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/146441
Schreiben Sie einen Kommentar