Was ist Network Detection and Response (NDR)?

Autoren

Annie Badman

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Was ist NDR?

NDR steht für „Network Detection and Response“ (Netzwerkerkennung und -reaktion) und ist eine Kategorie von Cybersicherheitstechnologien, die nicht-signaturbasierte Methoden – wie künstliche Intelligenz, maschinellesLernen und Verhaltensanalyse – einsetzen, um verdächtige oder bösartige Aktivitäten in einem Netzwerk zu erkennen und auf Cyberbedrohungen zu reagieren.

NDR ist im Grunde eine Weiterentwicklung der „Network Traffic Analysis“ (NTA). Diese Technologie wurde ursprünglich konzipiert, um Netzwerktraffic-Modelle aus Rohdaten des Netzwerkverkehrs zu extrahieren. Nachdem die NTA-Lösungen um Funktionen zur Verhaltensanalyse und zur Reaktion auf Bedrohungen erweitert wurden, änderte der Branchenanalyst Gartner den Namen dieser Kategorie im Jahr 2020 in „Network Detection and Response“.

Warum NDR wichtig ist

Netzwerke sind die Grundlage der heutigen vernetzten Welt und das Hauptziel von Bedrohungsakteuren.

Traditionell verließen sich Unternehmen auf Tools zur Bedrohungserkennung wie Antivirensoftware, Intrusion Detection Systems (IDS) und Firewalls, um die Netzwerksicherheit zu gewährleisten.

Viele dieser Tools verwenden einen signaturbasierten Erkennungsansatz, bei dem Bedrohungen identifiziert werden, indem Indicators of Compromise (IOCs) mit einer Datenbank mit Signaturen für Cyberbedrohungen abgeglichen werden.

Eine Signatur kann ein beliebiges Merkmal sein, das mit einem bekannten Cyberangriff in Verbindung gebracht wird, z. B. eine Codezeile eines bestimmten Stammes von Malware oder eine bestimmte Phishing-E-Mail-Betreffzeile. Signaturbasierte Tools überwachen Netzwerke auf diese zuvor entdeckten Signaturen und schlagen Alarm, wenn sie sie finden.

Während bekannte Cyberbedrohungen wirksam abgewehrt werden können, haben signaturbasierte Tools Schwierigkeiten, neue, unbekannte oder aufkommende Bedrohungen zu erkennen. Sie haben auch Schwierigkeiten, Bedrohungen zu erkennen, die keine eindeutigen Signaturen haben oder einem legitimen Verhalten ähneln, wie z. B.:

  • Cyberangreifer, die gestohlene Zugangsdaten nutzen, um auf das Netzwerk zuzugreifen

  • Kompromittierung von Geschäfts-E-Mails („Business Email Compromise“, BEC), bei denen sich Hacker als das E-Mail-Konto einer Führungskraft ausgeben oder es unter ihre Kontrolle bringen

  • Mitarbeiter, die unbeabsichtigt ein riskantes Verhalten an den Tag legen, z. B. Unternehmensdaten auf einem persönlichen USB-Laufwerk speichern oder auf bösartige E-Mail-Links klicken

Ransomware-Banden und andere fortschrittliche, hartnäckige Bedrohungen können diese Schwachstellen ausnutzen, um Netzwerke zu infiltrieren, zu überwachen, Privilegien zu erweitern und in günstigen Momenten Angriffe zu starten.

NDR kann Unternehmen dabei helfen, die von signaturbasierten Lösungen hinterlassenen Lücken zu schließen und moderne und zunehmend komplexe Netzwerke zu sichern.

Mithilfe fortschrittlicher Analysen, maschinellem Lernen und Verhaltensanalysen kann NDR sogar potenzielle Bedrohungen ohne bekannte Signaturen erkennen. Auf diese Weise bietet NDR eine zusätzliche Sicherheitsebene in Echtzeit, die Unternehmen dabei hilft, Schwachstellen und Angriffe zu erkennen, die von anderen Sicherheitstools möglicherweise übersehen werden.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Wie funktionieren NDR-Tools?

Lösungen zur Netzwerkerkennung und -reaktion verfolgen einen proaktiven, dynamisch reagierenden Ansatz bei der Verwaltung von Netzwerkbedrohungen. NDR-Tools überwachen und analysieren kontinuierlich Netzwerkaktivitäten und Verkehrsmuster in Echtzeit, um verdächtige Aktivitäten zu identifizieren, die auf eine Cyberbedrohung hindeuten könnten.

Bedrohungserkennung mit einer NDR-Lösung umfasst in der Regel diese fünf Schritte:

  1. Datenerfassung
  2. Erstellung einer Baseline für das Netzwerkverhalten
  3. Überwachung auf bösartige Aktivitäten
  4. Reaktion auf Vorfälle
  5. Verfeinern im Laufe der Zeit
1. Datenerfassung

NDR-Lösungen nehmen rohe Netzwerkverkehrsdaten und Metadaten durch Telemetrie auf, d. h. durch die Verwendung von Automatisierung zur Sammlung und Übertragung von Daten aus entfernten Quellen.

NDR-Tools sammeln oft Daten von Endgeräten, Netzwerkinfrastruktur, Firewalls und anderen Quellen, um einen umfassenden Überblick über das Netzwerk zu erhalten. Zu den gesammelten Daten können Netzwerk-Paketdaten, Flussdaten und Protokolldaten gehören.
2. Erstellung einer Baseline für das Netzwerkverhalten

NDR-Tools nutzen Verhaltensanalysen, KI und maschinelles Lernen, um die Daten auszuwerten und ein Basismodell des normalen Netzwerkverhaltens und der Aktivität zu erstellen.
3. Überwachung auf bösartige Aktivitäten

Nachdem eine Basislinie festgelegt wurde, überwacht das System den Netzwerkverkehr kontinuierlich in Echtzeit. Der NDR vergleicht die aktuelle Netzwerkaktivität mit dieser Baseline, um Abweichungen zu erkennen, die auf eine Datenexfiltration und andere potenzielle Bedrohungen hinweisen könnten.

Solche Abweichungen können unautorisierte Zugriffsversuche, ungewöhnliche Datenübertragungen, anomale Anmeldemuster (z. B. Zugriff auf Daten außerhalb der regulären Geschäftszeiten) oder die Kommunikation mit unbekannten Webservern umfassen.
4. Reaktion auf Vorfälle

Bei der Erkennung verdächtiger Aktivitäten weisen NDR-Lösungen die Sicherheitsteams darauf hin, Maßnahmen zu ergreifen. Einige NDR-Tools können auch automatisierte Maßnahmen zur Eindämmung der Bedrohung ergreifen. Diese automatischen Reaktionen umfassen das Blockieren bösartiger IP-Adressen, das Isolieren kompromittierter Geräte oder das Drosseln verdächtigen Datenverkehrs, um weiteren Schaden zu verhindern.
5. Verfeinern im Laufe der Zeit

NDR-Systeme passen ihre Modelle der Netzwerkaktivität ständig an, indem sie Rückmeldungen von erkannten Bedrohungen und Reaktionen einbeziehen. Sie integrieren auch Beiträge von Sicherheitsanalysten und Bedrohungsdaten. Diese ständige Weiterentwicklung verbessert die Genauigkeit und Effektivität der NDR-Tools bei der Erkennung und Reaktion auf neue und sich entwickelnde Bedrohungen.

Vorteile von NDR

NDR-Lösungen bieten eine Reihe von Funktionen, die Vorteile gegenüber herkömmlichen signaturbasierten Tools zur Bedrohungserkennung bieten können. Zu diesen Funktionen gehören: 

Funktionen zur Bedrohungserkennung in Echtzeit

NDR-Lösungen bieten Echtzeit-Überwachung und -Analyse und ermöglichen eine schnellere Identifizierung und Reaktion auf potenzielle Bedrohungen. Einige NDR-Tools können auch Prioritäten setzen und Sicherheitsteams oder Security Operations Center (SOCs) entsprechend dem Schweregrad der potenziellen Bedrohung warnen.

Umfassende Transparenz am Perimeter und innerhalb des Netzwerks

NDR kann Einblicke in alle Netzwerkaktivitäten vor Ort und in Hybrid-Cloud-Umgebungen bieten. Diese umfassende Transparenz kann Unternehmen helfen, mehr Sicherheitsvorfälle abzufangen.

Da NDR-Lösungen sowohl den Nord-Süd-Traffic (Ausgang und Eingang) als auch den Ost-West-Traffic (intern) eines Netzwerks überwachen, können sie sowohl Eindringlinge an der Netzwerkgrenze als auch laterale Bewegungen innerhalb des Netzwerks erkennen. Die Fähigkeit, Anomalien innerhalb des Netzwerks zu erkennen, kann dem NDR helfen, fortgeschrittene Bedrohungen aufzuspüren, die auf der Lauer liegen. Einige NDR-Tools können auch Bedrohungen erkennen, die sich im verschlüsselten Traffic verstecken.

KI-gestützte Bedrohungsanalyse

NDR nutzt KI und fortschrittliche Algorithmen für maschinelles Lernen, um Netzwerkdaten zu analysieren, Muster zu erkennen und potenzielle Bedrohungen aufzuspüren, einschließlich bisher unbekannter Bedrohungen, die herkömmliche Tools oft übersehen.

Automatisierte Reaktion auf Vorfälle

Einige NDR-Lösungen verfügen über automatische Reaktionsfunktionen – wie z. B. die Beendigung einer verdächtigen Netzwerkverbindung –, die einen Angriff noch während seiner Ausführung stoppen können. NDR-Tools können auch mit anderen Sicherheitstools integriert werden, um komplexere Notfallpläne auszuführen. Beispielsweise könnte ein NDR nach der Erkennung einer Bedrohung eine Security Orchestration, Automation and Response (SOAR)-Plattform auffordern, ein vordefiniertes Reaktions-Playbook auszuführen.

Integration mit Threat-Intelligence

Viele NDR-Tools lassen sich in Threat-Intelligence-Feeds und -Datenbanken wie das FrameworkMITRE ATT&CK integrieren. Diese Integrationen können Verhaltensmodelle verbessern und die Genauigkeit der Bedrohungserkennung erhöhen. Infolgedessen sind NDR-Tools weniger anfällig für Fehlalarme.

Threat Hunting

NDR-Lösungen bieten kontextbezogene Daten und Funktionen, die Sicherheitsteams zur Bedrohungsjagd nutzen können, um proaktiv nach bisher unentdeckten Bedrohungen zu suchen.

Mögliche Nachteile von NDR

Trotz ihrer Vorteile haben NDR-Lösungen auch ihre Grenzen. Einige gängige Schwachstellen aktueller NDR-Tools können sein:

Komplexität und Kosten

NDR-Tools können erhebliche Investitionen in Hardware, Software und Cybersicherheitspersonal erfordern. Die anfängliche Einrichtung kann zum Beispiel die Installation von Sensoren in verschiedenen Netzwerksegmenten und die Investition in einen hochleistungsfähigen Datenspeicher für große Mengen an Netzwerkverkehrsdaten beinhalten.

Probleme mit der Skalierbarkeit

Die Skalierung von NDR-Lösungen für wachsende Netzwerke kann eine Herausforderung sein. Ein erhöhter Datenfluss kann die Ressourcen belasten und zu Engpässen führen, wodurch Lösungen zur Erkennung von und Reaktion auf Bedrohungen in großen Unternehmen weniger effektiv sind.

Fehlalarme

NDR-Tools können viele Fehlalarme generieren und Sicherheitsteams mit Alarmmüdigkeit überfordern. Selbst die geringsten Abweichungen von normalen Mustern können als verdächtig eingestuft werden, was zu Zeitverschwendung führt und möglicherweise echte Bedrohungen übersehen lässt.

Datenschutzbedenken und regulatorische Bedenken

Die kontinuierliche Überwachung des Netzwerkverkehrs, einschließlich der verschlüsselten Kommunikation, kann Fragen zum Datenschutz aufwerfen. Die Nichteinhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und dem Payment Card Industry Data Security Standard (PCI DSS) kann hohe Geldstrafen und Bußgelder nach sich ziehen.

NDR und andere Sicherheitslösungen

Die heutigen Unternehmensnetzwerke sind dezentralisiert und ausgedehnt und verbinden Rechenzentren, Hardware, Software, IoT-Geräte und Arbeitslasten sowohl vor Ort als auch in Cloud-Umgebungen.

Unternehmen und ihre Security Operations Centers (SOCs) benötigen eine robuste Reihe von Tools, um einen vollständigen Einblick in diese komplexen Netzwerke zu erhalten. Sie verlassen sich zunehmend auf eine Kombination von NDR mit anderen Sicherheitslösungen.

NDR ist zum Beispiel neben EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) eine der drei Säulen der SOC-Transparenz-Triade von Gartner.

  • EDR ist eine Software, die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens automatisch vor Cyberbedrohungen schützen soll. Während NDR eine „Luftaufnahme“ des Netzwerkverkehrs bietet, kann EDR eine ergänzende „Bodenansicht“ der Aktivität an einzelnen Endpunkten liefern.

  • SIEM kombiniert und korreliert sicherheitsrelevante Protokoll- und Ereignisdaten aus unterschiedlichen Sicherheitstools und Netzwerkquellen wie Servern, Anwendungen und Geräten. NDR-Tools können diese Bemühungen ergänzen, indem sie deren Netzwerkverkehrsdaten und -analysen an SIEM-Systeme streamen und so die Sicherheit und Wirksamkeit der Einhaltung gesetzlicher Vorschriften des SIEM verbessern.

Seit einiger Zeit führen SOCs vermehrt XDR-Lösungen (Extended Detection and Response) ein. XDR integriert Cybersicherheits-Tools in die gesamte hybride IT-Infrastruktur eines Unternehmens, einschließlich Endpunkten, Netzwerken und Cloud-Workloads. Viele XDR-Anbieter bieten NDR-Funktionen an, während offene XDR-Lösungen die vorhandenen NDR-Funktionen eines Unternehmens nutzen können und sich in bestehende Sicherheitsabläufe einfügen.
Weiterführende Lösungen
Sicherheitslösungen für Unternehmen

Transformieren Sie Ihr Sicherheitsprogramm mit Lösungen vom größten Anbieter von Unternehmenssicherheit.

 Cybersicherheitslösungen entdecken
Cybersicherheit-Services

Transformieren Sie Ihr Unternehmen und verwalten Sie Risiken mit Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.

         Mehr über Cybersicherheitsservices
    Cybersicherheit mit künstlicher Intelligenz (KI)

    Verbessern Sie die Geschwindigkeit, Genauigkeit und Produktivität von Sicherheitsteams mit KI-gestützten Cybersicherheits-Lösungen.

         KI für Cybersicherheit erkunden
    Machen Sie den nächsten Schritt

    Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

     

         Lösungen zur Bedrohungserkennung erkunden IBM Verify erkunden