NDR-Lösungen (Network Detection and Response) bieten Transparenz und Funktionen zur Erkennung von Bedrohungen für den Netzwerkverkehr. In diesem Leitfaden werden die Funktionen und Vorteile von NDR erläutert, darunter die Erkennung von Anomalien und die Reaktion auf Vorfälle.
Erfahren Sie mehr über die Bedeutung von NDR in einer umfassenden Sicherheitsstrategie und über bewährte Verfahren für die Implementierung. Das Verständnis von NDR ist für Unternehmen unerlässlich, um ihre Netzwerke vor Cyberbedrohungen zu schützen.
Die Entwicklung von Network Detection & Response (NDR)
Anfangs wurde der Netzwerkverkehr von Unternehmen erfasst, um die Leistungsfähigkeit ihrer Netzwerkumgebungen zu testen. Als das Datenvolumen in globalen Branchen und Netzwerken zu steigen begann, entwickelte sich diese Fähigkeit zu einer Ressource für Cyberabwehrzwecke weiter.
Bevor sie als Netzwerkdetektion und -reaktion bekannt wurde, wurde die Technologie zur Überwachung des Netzwerkverkehrs zunächst als Netzwerkverkehrsanalyse (NTA) bezeichnet. Obwohl NTA nach wie vor einen wesentlichen Teil der heutigen Netzwerksicherheit und der Praktiken von Security Operations Centern (SOC) ausmacht, hat sie sich stark erweitert und umfasst nun alle Aspekte der Netzwerkerkennung und -sicherheit.
Heutzutage sind NDR-Lösungen wie SentinelOne’s Singularity™ Endpoint eine Kombination aus ausgefeilter Verhaltensanalyse, künstlicher Intelligenz (KI) und maschinellem Lernen (ML) sowie Cloud-Technologien. All diese beweglichen Teile tragen zur modernen NDR-Lösung bei, die eine beliebte Wahl für Unternehmen ist, die ihre Erkennungsfähigkeiten verbessern, das Risikoniveau für eingehende Bedrohungen identifizieren und Aufgaben im Zusammenhang mit der Untersuchungsanalyse und Telemetrie automatisieren möchten, damit sich Sicherheitsexperten auf Triage-Prozesse und die Reaktion auf Bedrohungen konzentrieren können.
Wie funktioniert Network Detection & Response (NDR)?
Netzwerküberwachungs- und Reaktionslösungen erfassen und korrelieren kontinuierlich den rohen Netzwerkverkehr und die Aktivitäten in den Netzwerken eines Unternehmens. Die Daten werden vom Rand des Netzwerks erfasst, um den Nord-Süd-Verkehr zu erfassen, sowie von Sensoren innerhalb des Netzwerks, um den Ost-West-Verkehr zu erfassen.
Ein robustes NDR nutzt KI- und ML-Algorithmen, um ein grundlegendes Verständnis des normalen oder typischen Netzwerkverkehrs für das Unternehmen zu entwickeln, das dazu verwendet wird, ungewöhnliche böswillige Aktivitäten zu erkennen. KI und ML werden auch verwendet, um die Taktiken, Techniken und Verfahren (TTPs) von Angreifern zu modellieren, die in Bezug auf das MITRE ATT&CK abgebildet werden, um das Verhalten von Bedrohungsakteuren präzise zu erkennen.
Sicherheitsteams verwenden NDRs auch für die End-to-End-Forensik von Angriffszeitachsen, die erste Datenverletzungen anzeigen. seitliche Bewegungen und andere böswillige Aktivitäten auf, bevor automatische Präventions- und Abwehrmaßnahmen sowie Workflows ausgelöst werden. Da NDR-Lösungen so hochpräzise Daten liefern und Zusammenhänge herstellen können, reduzieren sie den Zeit- und Arbeitsaufwand für Untersuchungen drastisch. NDR-Lösungen basieren in der Regel auf den folgenden Schlüsseltechniken:
Deep & Machine Learning
NDR-Lösungen nutzen sowohl maschinelles Lernen (ML) als auch Verhaltensanalyse, um genaue Vorhersagen zu treffen, die zur Erkennung unbekannter Bedrohungen innerhalb eines Netzwerks führen können. Oft arbeitet ML mit Verhaltensanalysefunktionen zusammen, um Sicherheitsteams dabei zu unterstützen, Anzeichen für Kompromittierungen zu identifizieren, bevor sie zu vollwertigen Cybervorfällen werden können. Maschinelles Lernen in NDR-Lösungen ermöglicht auch eine schnellere Triage und Abhilfemaßnahmen, da es eingehende potenzielle Bedrohungen kontinuierlich auf der Grundlage realer Szenarien bewertet.
Deep Learning ist eine weitere Komponente typischer NDR-Lösungen. Es handelt sich um eine Form des ML, bei der künstliche neuronale Netze eingesetzt werden, um die Fähigkeiten des NDR zu erweitern. Deep-Learning-Modelle helfen Sicherheitsanalysten bei der Interpretation der Daten, damit sie unbekannte Bedrohungen aufdecken können, die in einem System lauern.
Statistische Analyse
Mithilfe statistischer und heuristischer Verfahren können NDR-Lösungen Netzwerkverkehrsmuster und Daten anhand vorab festgelegter Systemnormen verfolgen, um Anzeichen für Verstöße und Kompromittierungen zu erkennen. Bei der statistischen Analyse wird der typische/normale Datenverkehr als Basis gemessen und der eingehende Datenverkehr damit verglichen. Verdächtiger Datenverkehr, der außerhalb der normalen Bereiche und Schwellenwerte liegt, wird dann zur weiteren Untersuchung identifiziert.
Threat Intelligence Feeds
NDRs können so trainiert werden, dass sie mit Bedrohungsdatenströmen arbeiten, die Informationen zu bestehenden und identifizierten Cyberbedrohungen enthalten. Diese Datenfeeds erweitern die Fähigkeit der NDR-Lösung, schnell vor bekannten Bedrohungen zu warnen, zusätzliche Kontextinformationen zu liefern und bei der Priorisierung der Risikostufen gefundener Anomalien zu helfen. Bedrohungsdaten-Feeds müssen jedoch sorgfältig kuratiert und verwaltet werden, damit die Daten aktuell und relevant sind.
Gartner MQ: Endpoint
Erfahren Sie, warum SentinelOne vier Jahre in Folge im Gartner® Magic Quadrant™ für Endpoint Protection-Plattformen als Leader ausgezeichnet wurde.
Bericht lesen
Wie Unternehmen Network Detection & Response (NDR) einsetzen
Da verteilte Netzwerke weiter wachsen, reichen signaturbasierte Sicherheitstools wie herkömmliche SIEMs, Antivirenprogramme (AV), Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) nicht mehr aus, um modernen Cyberkriminellen einen Schritt voraus zu sein. Die meisten Bedrohungen haben heutzutage keine vorherige Signatur, was bedeutet, dass Sicherheitsteams mehr benötigen, um Cyberangriffe erkennen und abwehren zu können. Durch den Einsatz führender Technologien wie KI, ML und Verhaltensanalysen können fortschrittliche NDR-Lösungen Unternehmen einen besseren Schutz für ihre Cloud- und lokalen Umgebungen bieten.
Hier sind die wichtigsten geschäftlichen Gründe, warum moderne Unternehmen dazu übergehen, NDR-Lösungen in ihre langfristigen Sicherheitsstrategien zu integrieren:
Kontinuierliche Sichtbarkeit von Bedrohungen
Mit einer NDR-Lösung können Sicherheitsteams Bedrohungen im gesamten Netzwerk erkennen, bevor sie sich lateral ausbreiten und schweren Schaden anrichten können. Die Sichtbarkeit ist außerdem kontinuierlich für alle mit dem Netzwerk verbundenen Benutzer, Geräte und Technologien gegeben, sodass Sicherheitsteams einen umfassenden Überblick über die zu schützenden Netzwerke erhalten.
Visualisierung von Angriffen
NDRs stellen Sicherheitsteams Intrusion Blueprints zur Verfügung, d. h. sie können einen detaillierten Zeitplan der Bedrohungen im gesamten Netzwerk einsehen, um den Umfang des Angriffs schnell zu erfassen und Maßnahmen und Ressourcen zu priorisieren. Da NDRs wenig aussagekräftige und unwichtige Warnmeldungen herausfiltern, können sie verschiedene Phasen des Angriffszyklus genauer erkennen, darunter Persistenz, Privilegieneskalation, Zugriff auf Anmeldedaten, laterale Bewegung, Datenexfiltration und Kontroll- und Befehlsaktionen (C2).
Echtzeit-Intrusion-Detection
Dank KI und ML können NDR-Lösungen in Echtzeit arbeiten und Cyber-Bedrohungen mit Maschinengeschwindigkeit erkennen und stoppen. Diese Lösungen sind in der Lage, automatisch auf Kompromittierungsindikatoren zu reagieren, indem sie native Kontrollen einsetzen und den Angriff stoppen, bevor er sich ausbreiten kann.
Alarmmanagement
Ältere Sicherheitslösungen neigen dazu, eine Vielzahl von Alarmen und Benachrichtigungen zu generieren, was zu einer Überlastung der Sicherheitsanalysten und zu übersehenen Erkennungen führt. Eine NDR-Lösung kann dazu beitragen, die Anzahl von Fehlalarmen und "Störsignalen" zu reduzieren, sodass Analysten ihre Zeit darauf verwenden können, Eindringlinge zu stoppen und proaktive Strategien anzuwenden.
Schützen Sie Ihren Endpunkt
Erfahren Sie, wie die KI-gestützte Endpunktsicherheit von SentinelOne Ihnen helfen kann, Cyber-Bedrohungen in Echtzeit zu verhindern, zu erkennen und darauf zu reagieren.
Demo anfordernFazit
Herkömmliche Tools zur Erkennung von Bedrohungen, die auf signaturbasierten Methoden und bekannten Kompromittierungsindikatoren beruhen, reichen nicht mehr aus, um moderne Cyberangriffe abzuwehren. Tools wie herkömmliche Antivirenprogramme, Intrusion Detection and Prevention Systems (IDPS) und einige Firewalls sind nur noch begrenzt wirksam, da die meisten Bedrohungen neu sind, neu entstehen und keine vorab identifizierten Signaturen aufweisen. Bedrohungen wie Ransomware, fortgeschrittene persistente Bedrohungen (APTs), Business Email Compromise (BEC) und andere können diese herkömmlichen Lösungen umgehen.
Da Unternehmen zunehmend auf Netzwerkdetektions- und Reaktionslösungen setzen, die künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen nutzen, können sie raffinierten Angreifern einen Schritt voraus sein und mit einer umfassenden Lösung wie der Singularity™ Endpoint-Plattform langfristig eine proaktivere Haltung einnehmen. NDRs sind darauf ausgelegt, Bedrohungen zu erkennen, indem sie riesige Mengen an Rohdaten aus dem Netzwerkverkehr und anderen Daten durch kontinuierliche Analyse mit normalem Verhalten vergleichen. Da sie Sicherheitsteams dabei helfen, schneller und genauer zu reagieren und gleichzeitig eine effektive Bedrohungssuche unterstützen, sind NDRs zu einer weit verbreiteten und vertrauenswürdigen Lösung für moderne Unternehmen geworden.
"Häufig gestellte Fragen zu Netzwerkerkennung und -reaktion
Netzwerkerkennung und -reaktion ist eine Sicherheitslösung, die den Netzwerkverkehr auf ungewöhnliche Muster, Anomalien oder bekannte Angriffsverhalten überwacht. Sie überprüft Pakete, Flussaufzeichnungen und Metadaten in lokalen, Cloud- und Hybridumgebungen.
Wenn sie eine Bedrohung entdeckt – wie laterale Bewegungen oder Datenexfiltration – löst sie einen Alarm aus und liefert Kontextinformationen, damit Sie Vorfälle schnell untersuchen und eindämmen können.
Ein NDR-Tool greift auf Netzwerk-Taps, Span-Ports oder Packet Broker zu, um Rohdaten zum Datenverkehr und Datenfluss zu sammeln. Es wendet Verhaltensanalysen, Bedrohungsinformationen und manchmal maschinelles Lernen an, um Abweichungen zu finden – nicht genehmigte Protokolle, ungewöhnliche Scans oder Command-and-Control-Aufrufe.
Sobald ein verdächtiges Ereignis gemeldet wird, leiten Playbooks die Triage, die Suche nach Bedrohungen und automatisierte oder manuelle Eindämmungsmaßnahmen.
Moderne Netzwerke sind komplex: Mikrosegmentierte Clouds, Remote-Benutzer und verschlüsselte Datenströme können Bedrohungen vor Endpunkt-Tools verbergen. NDR schließt diese Lücken, indem es den Datenverkehr über Segmente und Protokolle hinweg verfolgt.
Das bedeutet, dass Sie heimliche Eindringlinge, die sich lateral bewegen, verschlüsselte Malware-Downloads oder betrügerische Geräte aufspüren können – Sie sind also nicht allein auf Protokolle oder Endpunktsensoren angewiesen, um jede Bedrohung aufzudecken.
Mit NDR profitieren Sie von einer besseren Übersicht über den internen Datenverkehr, einer schnellen Erkennung versteckter Angriffe und einem reichhaltigeren Kontext für Untersuchungen. Sie erkennen laterale Bewegungen und verschlüsselte Bedrohungen, die EDR umgehen. Automatisierte Warnmeldungen und Reaktionsleitfäden beschleunigen die Eindämmung.
Darüber hinaus hilft Ihnen die kontinuierliche Überwachung dabei, die Netzwerksegmentierung und Compliance zu überprüfen, die Verweildauer zu verkürzen und die Auswirkungen von Sicherheitsverletzungen zu begrenzen.
EDR konzentriert sich auf das Verhalten von Endpunkten – Prozesse, Dateien und Änderungen an der Registrierung auf Hosts. SIEM erfasst Protokolle und Ereignisse aus Ihrem gesamten Stack für Korrelations- und Berichtszwecke. XDR vereint Telemetriedaten von Endpunkten, Netzwerk, Cloud und Identitäten in einer einzigen Konsole.
NDR konzentriert sich auf den Netzwerkverkehr selbst und schließt damit Lücken in verschlüsselten oder nicht verwalteten Segmenten. Zusammen bieten sie mehrschichtige Erkennung und Reaktion.
NDR-Tools erkennen laterale Bewegungen, Brute-Force- oder unbefugte Zugriffsversuche, DNS-Tunneling, Command-and-Control-Callbacks, Datenexfiltration, ARP-Spoofing und anomale Protokollnutzung. Außerdem erkennen sie ungewöhnliche Datenverkehrsvolumina, versteckte Beacons und Richtlinienverstöße – wie ungesicherte Schatten-IT-Dienste –, sodass Sie sowohl automatisierte Angriffe als auch manuelle Eindringversuche aufdecken können, die an Firewalls vorbeikommen.
Wenn NDR verdächtigen Datenverkehr meldet, liefert es Paketaufzeichnungen, Sitzungsdetails und Informationen zum Bedrohungskontext – IP-Adressen, Prozessnamen oder betroffene Benutzerkonten. Automatisierte Playbooks können bösartige IPs blockieren, infizierte Segmente unter Quarantäne stellen oder verdächtige Datenflüsse drosseln. Analysten verwenden Live-Datenflussdiagramme und forensische Zeitachsen, um Angriffspfade nachzuverfolgen, wodurch der normale Datenverkehr schneller eingedämmt, behoben und wiederhergestellt werden kann.
Wählen Sie eine NDR-Lösung mit hochpräziser Paketerfassung, verschlüsselter Datenverkehrsanalyse und Unterstützung für Cloud- und Containernetzwerke. Achten Sie auf Verhaltensanalysen, die Ihre Basiswerte erlernen, integrierte Bedrohungsinformations-Feeds und eine nahtlose Integration in Ihr SOAR- oder SIEM-System.
Automatisierte Reaktionsabläufe, anpassbare Erkennungsfunktionen und detaillierte Forensik-Dashboards helfen Ihrem Team, Bedrohungen aufzuspüren und schnell zu reagieren.
Die NDR-Lösung von SentinelOne kann Netzwerkverkehrsbedrohungen automatisch isolieren und unter Quarantäne stellen, indem sie mithilfe von KI das Ost-West- und Nord-Süd-Verkehrsverhalten analysiert. Sie nutzt globale Telemetriedaten zu Bedrohungen, um Anomalien zu erkennen. Wenn ein Vorfall erkannt wird, kann Singularity XDR Maßnahmen ergreifen, Schwachstellen beheben und bei Bedarf Rollbacks initiieren.
Sie können die Untersuchung von Bedrohungen auch durch die Nutzung der SOAR-Dienste von SentinelOne mit NDR-Unterstützung ergänzen.
