Was ist NDR? Definition und Erklärung

Was ist Netzwerk-Erkennung und Response (NDR)?

Bei Netzwerk-Erkennung und Response (NDR) handelt es sich um eine Cyber-Sicherheitslösung, die das Netzwerk einesUnternehmens kontinuierlich überwacht, um mit signaturlosen Tools oderTechniken Cyber-Bedrohungen und ungewöhnliches Verhalten zu erkennen. DieReaktion auf erkannte Bedrohungen erfolgt mit nativen Funktionen oder überintegrierte Cyber-Sicherheitstools und -lösungen.

Wie funktioniert Netzwerk-Erkennung und Response?

Eine Cyber-Sicherheitslösung für Netzwerk-Erkennung und Response (NDR) überwacht kontinuierlich das Netzwerkeines Unternehmens, indem sie den gesamten Netzwerk-Traffic erfasst, umeinzigartige Transparenz zu erreichen. Außerdem werden Verhaltensanalysen, maschinelles Lernen (ML) und künstliche Intelligenz (KI) verwendet, um Cyber-Bedrohungen und ungewöhnliches Verhalten zu erkennen. Die Reaktion auf erkannte Bedrohungen erfolgt mit nativen Funktionen oder über integrierte Cyber-Sicherheitstools und -lösungen.

Hochleistungsfähige NDR-Lösungen nutzen ML- und KI-Tools zum Modellieren von Taktiken, Techniken und Prozeduren, die dem MITRE ATT&CK-Framework zugeordnet werden, um Verhaltensweisen von Angreifern präzise zu erkennen. Dabei werden sicherheitsrelevanter Kontext erfasst, hochzuverlässige Daten extrahiert und Ereignisse über einen längeren Zeitraum sowie mit Benutzern und Anwendungen korreliert, um den Aufwand und den Zeitbedarf für Untersuchungen erheblich zu reduzieren. Außerdem werden Sicherheitserkennungen sowie Bedrohungskorrelationen für umfassende Sicherheitsbewertungen an SIEM-Lösungen (Sicherheitsinformations- und Ereignis-Management) weitergeben.

NDR-Lösungen gehen über die reine Bedrohungserkennung hinaus: Sie ermöglichen die Echtzeit-Reaktion auf Bedrohungen mithilfe nativer Kontrollen oder durch die Unterstützung vielfältiger Integrationen mit anderen Cyber-Sicherheitstools oder SOAR-Lösungen (Security Orchestration, Automation and Response).

Warum benötigt mein Unternehmen Netzwerk-Erkennung und Response?

NDR spielt eine zentrale Rolle bei derAbsicherung Ihrer digitalen Infrastruktur.

Historische Daten zu Bedrohungen sind meist an drei Orten verfügbar: im Netzwerk, auf Endgeräten und in Protokollen.

  • Mit einer EDR-Lösung erhalten Sie einen detaillierten Echtzeit-Überblick über die Prozesse auf dem Host sowie über die Interaktionen zwischen diesen Prozessen.
  • NDR erfasst die Interaktionen zwischen allen Geräten im Netzwerk in einer Übersicht.
  • Security-Teams konfigurieren die SIEM-Systeme anschließend, damit Ereignisprotokollinformationen aus anderen Systemen erfasst und zwischen mehreren Datenquellen korreliert werden.

Mit diesen Tools können Security-Teams bei der Reaktion auf Zwischenfälle oder Suche nach Bedrohungen noch mehr Fragen beantworten.

Mögliche Fragen lauten: Was haben diese Assets oder Konten vor der Warnmeldung getan? Was haben sie anschließend getan? Lässt sich feststellen, an welchem Punkt die Ereignisse schädlich wurden?

NDR ist das wichtigste dieser Tools, da es Einblick liefert, die keines der anderen Tools bieten kann.

Exploits, die auf der BIOS-Ebene eines Geräts aktiv sind, können EDR zum Beispiel entgehen – oder aber die schädlichen Aktivitäten werden einfach nicht in den Protokollen erfasst. Diese Aktivitäten sind jedoch für Netzwerktools sichtbar, sobald sie mit anderen Systemen im Netzwerk interagieren.

In anderen Fällen verwenden raffinierte Angreifer verschlüsselte HTTPS-Tunnel, die sich im normalen Traffic verbergen, um eine C&C-Sitzung (Command & Control) zu starten und darüber sensible Geschäfts- und Kundendaten zu exfiltrieren. Dabei umgehen sieSicherheitskontrollen am Perimeter. NDR-Lösungen sind jedoch besonders gut in der Lage, dieses Verhalten zu erkennen.

Effektive KI-gestützte Plattformen für Netzwerk-Erkennung und Response erfassen und speichern die richtigen Metadaten und reichern diese mit KI-basierten Sicherheitsdaten an.

Durch die effektive Nutzung von KI können Angreifer noch besser in Echtzeit erkannt und Zwischenfälle schlüssig untersucht werden.

Welche Vorteile bietet Netzwerk-Erkennung und Response?

Cyber-Sicherheitslösungen für Netzwerk-Erkennung und Response bieten kontinuierliche Transparenz zu allen Benutzern, Geräten und Technologien, die mit dem Netzwerk verbunden sind, einschließlich Rechenzentren, Clouds, Campus-Benutzer, Mitarbeiter im Homeoffice, IaaS, SaaS, Drucker, IoT-Geräte uvm.

Führende NDR-Lösungen verwenden Verhaltensanalysen und ML/KI, um das Verhalten der Angreifer direkt zu modellieren und hochentwickelte sowie persistente Angriffe mit äußerster Präzision zu erkennen. Sie gewährleisten, dass IT-Teams nicht mit unzähligen ungenauen und uninteressanten Warnmeldungen überflutet werden, da sie nicht nach Anomalien, sondern nach aktiven Angriffen suchen. Dabei decken sie mehrere Phasen des Angriffsablaufs ab, einschließlich Persistenz, Rechteerweiterung, Schutzumgehung, Zugriff mit Anmeldedaten, Reconnaissance, Lateral Movement, Datenerfassung, C&C-Kommunikation und Exfiltration.

Führende KI-gestützte NDR-Lösungen funktionieren automatisch und verbessern die Effizienz von SOCs (Security Operations Center) erheblich. Dies ist trotz des chronischen Mangels an Cyber-Sicherheitskenntnissen und -fachkräften möglich, da die Rekonstruktion des gesamten Angriffs in natürlicher Sprache erfolgt, sodass Analysten alle erforderlichen Informationen für schnelle und gründliche Reaktionen auf Warnmeldungen erhalten.

NDR-Lösungen erkennen nicht nur raffinierte Angriffe, die heimlich agieren und auf Umgehungstaktiken setzen, sondern bieten auch die Möglichkeit, mit nativen Kontrollen automatisch auf schwerwiegende Angriffe zu reagieren und Angriffe in Echtzeit zu stoppen. Zudem integrieren sie sich mit Cyber-Sicherheitsprodukten wie EDR sowie Cyber-Sicherheitslösungen wie SOAR.

Die KI-gestützte Plattform für Netzwerk-Erkennung und Response von Vectra

Vectra Cognito ist eine Plattform für Bedrohungserkennung und Response, die mithilfe von künstlicher Intelligenz typisches Angreiferverhalten erkennt und Hosts und Benutzer vor Kompromittierung schützt. Vectra Cognito bietet zuverlässige Warnmeldungen und entschlüsselt keine Daten, sodass die Vertraulichkeit der Daten in Clouds, Rechenzentren, Unternehmensnetzwerken und IoT-Geräten gewahrt bleibt.

Die Cognito-Plattform für NDR ist ein umfassender Service, der Angriffe in Clouds, Rechenzentren, IoT-Geräten und Unternehmensnetzwerken erkennt und abwehrt. Unsere Aufgabe ist das Identifizieren und Stoppen dieser Angriffe– frühzeitig und zuverlässig. Die Cognito-Plattform entspricht den Compliance-Standards SOC 2 Typ 2, sodass die Sicherheit und Vertraulichkeit der Daten unserer Partner und Kunden gewährleistet bleibt

Related Content