NDR Bewertungskriterien

Traditionelle Sicherheitslösungen wie Firewalls, IDS/IPS und SIEM reichen nicht mehr aus, um die IT-Umgebungen moderner Unternehmen vollständig zu schützen.

Die heutige IT-Infrastruktur wird immer komplexer und besteht aus hybriden Umgebungen (sowohl in der Cloud als auch vor Ort), IoT-Geräten und der Integration mit vielen Drittanbietern. Dazu gehören manchmal auch Altsysteme, die keine Sicherheits-Patches und Updates mehr erhalten. Die Bereitstellung eines vollständigen Schutzes in solch komplexen Umgebungen ist eine unglaublich schwierige Aufgabe.

Diese Komplexität macht es praktisch unmöglich, alle Angriffsvektoren zu schließen. Im Grunde ist es nur eine Frage der Zeit, dass Angreifer irgendwann einen Weg in die Unternehmensnetze finden werden. Damit steigt der Bedarf an Technologien, die es Unternehmen ermöglichen, im Falle eines erfolgreichen Netzwerkangriffs effizient zu reagieren.

Was ist Network Detection and Response?

Network Detection and Response (NDR) ist eine moderne Sicherheitslösung zur Abwehr von fortgeschrittenen Cyberangriffen wie APT, Ransomware und Lateral Movements, die mit herkömmlichen Sicherheitslösungen nicht zu stoppen sind. NDR analysiert den gesamten Netzwerkverkehr in Echtzeit und nutzt eine Reihe fortschrittlicher Technologien wie maschinelles Lernen, um unbekannte Malware und anormale Aktivitäten zu erkennen, die auf einen Cyberangriff hindeuten. NDR erstellt eine Baseline des regulären Netzwerkverkehrs und vergleicht sie mit dem aktuellen Datenverkehr. Bei Verdacht auf bösartige Aktivitäten informiert NDR sofort das Sicherheitsteam und stellt zusätzliche Informationen zur Verfügung, um den Angriff zu entschärfen.

Es gibt verschiedene NDR-Lösungen auf dem Markt, die jedoch nicht alle gleich sind. Im folgenden Abschnitt werden die wichtigsten Merkmale erörtert, die wir bei der Evaluierung einer NDR-Lösung zu berücksichtigen empfehlen.

Checkliste zur Auswahl einer NDR-Lösung

Nach zahlreichen Kundengesprächen sind dies die Hauptmerkmale, die eine hervorragende NDR-Lösung ausmachen:

1. Sichtbarkeit: Vollständige Sichtbarkeit aller Netzwerkdatenquellen und -ströme; dazu gehört die Überwachung aller Verbindungspunkte, sowohl vor Ort als auch in der Cloud.

2. Benutzeroberfläche: Anzeige von Warnmeldungen in einer intuitiven Benutzeroberfläche, um die Untersuchung und Verfolgung aller Sicherheitsereignisse zu vereinfachen

3. Datenverschlüsselung: Das Abfangen von verschlüsseltem Datenverkehr für Deep Packet Inspection stellt ein Sicherheitsrisiko dar. Daher muss der NDR verschlüsselten Datenverkehr analysieren, ohne ihn abfangen zu müssen. Die Analyse von Metadaten, die von Netzwerkgeräten und -systemen aufgezeichnet werden, ist der richtige Weg.

4. Zunehmende Bandbreite: In Anbetracht des ständig zunehmenden Netzwerkverkehrs wird es immer schwieriger, alle Netzwerkdaten zu sammeln und zu analysieren, um einen ganzheitlichen Überblick über alle Aktivitäten zu erhalten. Die Spiegelung des Datenverkehrs wird oft technisch undurchführbar oder sehr teuer. Daher sollte die Analyse auf leicht zu erhebenden Netzwerk-Metadaten beruhen.

5. Datenverarbeitung: Wählen Sie eine NDR-Lösung, die keine sensiblen Daten zur Analyse außerhalb Ihres Netzwerks sendet. Regulierungsbehörden, wie z. B. die GDPR, legen Beschränkungen für die Weitergabe vertraulicher Daten an externe Parteien fest - in diesem Fall an Ihren NDR-Anbieter.

6. Datenspeicherung: Unterstützt die einfache Speicherung historischer Netzwerkdaten zur späteren Überprüfung. Dies hilft dem SOC-Team effektiv bei der Durchführung digitaler forensischer Untersuchungen, um die Quelle eines Cyberangriffs oder einer Richtlinienverletzung zu identifizieren.

7. Integrationsfähigkeiten: Integration mit anderen Sicherheitslösungen, wie SOAR und SIEM. Darüber hinaus muss die NDR-Lösung auch in der Lage sein, Cyber-Bedrohungsdaten aus verschiedenen (öffentlichen und privaten) Quellen zu integrieren, um neu auftretende Cyberangriffe und Zero-Day-Schwachstellen besser zu erkennen.

8. Bereitstellung: Wählen Sie eine NDR-Lösung, die einfach zu implementieren ist, keine zusätzliche Hardware benötigt und eine kurze Lernkurve aufweist. Berücksichtigen Sie auch, ob die von Ihnen gewählte Lösung Cloud-Umgebungen überwachen kann, da die meisten Unternehmen hybride IT-Umgebungen nutzen.

Fazit

Mit einer NDR-Lösung kann ein Unternehmen seine Sicherheitsabwehr gegen fortgeschrittene Cyberbedrohungen und andere Angriffe ohne Malware verstärken. Da sich immer mehr Unternehmen für den Einsatz von Cloud-Technologien und IoT-Geräten in ihrer IT-Umgebung entscheiden, ist eine NDR-Lösung ein Muss für jedes Unternehmen, das im heutigen Informationszeitalter cyber-resilient werden möchte.