07.04.2022 / Kategorie: Cybersecurity, Detect & Response
Ostern steht vor der Tür und alle freuen sich auf die Ostereiersuche. Woher der Brauch stammt, ist umstritten. Klar ist, Menschen lieben das Suchen und Entdecken der österlichen Überraschungen. Wenn es um das Suchen und Finden von Überraschungen geht, ist für IT-Security-Verantwortliche praktisch das ganze Jahr über Ostern. Nur, dass ihre Fundstücke wenig erfreulich sind. Network Detection and Response Systeme unterstützen das Suchen und Auffinden und tragen so wesentlich zur Cybersicherheit bei.
Früher wurde vor Ostern 40 Tage lang gefastet. Vor allem tierische Produkte waren verboten, also auch Eier. Nach dem Ende der Fastenzeit konnten also wieder Eier auf den Tisch gebracht werden. Diese wurden vorher gekocht, um sie haltbar zu machen. Gefärbt wurden sie, um die gekochten von den rohen zu unterscheiden. So lautet die eine Erklärung für den Brauch der Ostereiersuche. Die andere besagt, dass zu Ehren der Frühlingsgöttin Ostara Eier verschenkt wurden. Und weil der Kirche dieser Brauch missfiel, verbot sie ihn, woraufhin das Verschenken heimlich verlief, indem die Eier versteckt wurden. Heute ist die Ostereiersuche einfach eine liebgewonnene, harmlose Tradition, die vor allem die Kinder alljährlich geniessen. Ganz und gar nicht harmlos dagegen sind die Überraschungen, denen Security-Verantwortliche tagtäglich auf der Spur sind: Sorgfältig inszenierte, langsam ablaufende Angriffe auf das Unternehmensnetzwerk und die Unternehmensdaten, die schwer zu erkennen sind.
99 % aller Cyberangriffe durchqueren auf irgendeine Weise das Netzwerk. Daher enthalten Netzwerke wichtige Informationen über bevorstehende Bedrohungen. Die Netzwerkdaten, die als Teil der Verbindungen zwischen Geräten und Systemen erfasst werden, können von Angreifern nicht ausgeschaltet werden, wie es bei Protokollen möglich ist. Unternehmen, die verhindern wollen, dass unerwünschte Überraschungen in Ihren Systemen auftauchen und Schaden anrichten, müssen daher die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) zu einem Kernbestandteil ihrer Sicherheitsstrategie machen. Denn klassische Erkennungstools können mit dem zunehmenden Umfang und der Raffinesse der Angreifer nicht mehr standhalten. Fortschrittliche Angriffe sind so konzipiert, dass sie herkömmliche Präventions- und Erkennungstechniken umgehen. Das hohe Datenaufkommen im Netzwerk macht es Angreifern zudem leicht, ihre Spuren zu verwischen und einer Entdeckung zu entgehen. Indem sie sich in den normalen Datenverkehr einfügen, können sich Bedrohungen verstecken und Angreifer ihre Verweildauer im Netz erhöhen. Cyberkriminelle sind geduldig. Sie verschieben Daten möglicherweise in kleinen und unregelmässigen Stapeln, um nicht aufzufallen. Deshalb benötigen Sicherheitsteams Tools, die abnormales Verhalten erkennen können. Hier kommen die Network Detection and Response Systeme ins Spiel. Sie können die Netzwerke ständig überwachen und seltsames oder verdächtiges Verhalten schnell feststellen. Von dort aus können sie umsetzbare Warnungen ausgeben, die zur Eindämmung eines Cyberangriffs beitragen.
Unerlässlich für eine effektive Netzwerkerkennung ist Transparenz, und zwar Echtzeittransparenz. Denn es geht darum, einen tiefen Einblick in das Netzwerk zu erhalten und über genügend Kontext zu verfügen, um schnelle Entscheidungen über notwendige Reaktionen zu treffen. Ohne Echtzeittransparenz ist es nahezu unmöglich zu verstehen, was im Netzwerk vor sich geht. Bei der Netzwerksicherheit kann es einschränkend sein, sich nur auf Protokolle zu verlassen, um einen Überblick über das Netzwerk zu erhalten. Um ein vollständiges Bild zu erhalten, müssen Protokolle und Netzwerkdaten kombiniert werden.
NDR spielt eine wichtige Rolle als Teil einer umfassenderen Strategie zur Erkennung von und Reaktion auf Bedrohungen, indem es mit anderen SOC-Lösungen (Security Operation Center) wie SIEM, EDR (Endpoint Detection and Response) und SOAR zusammenarbeitet, um eine einheitliche Sicht auf potenzielle Bedrohungen zu bieten und dabei einen Zero-Trust-Ansatz zu verwenden. SIEM und NDR kombinieren zum Beispiel Protokolle und Netzwerkdaten. Auf diese Weise erzeugen sie aussagekräftige Warnmeldungen, die den Analysten bei ihren Untersuchungen mehr Kontext bieten.
Über die Erkennung hinaus verwenden Unternehmen NDR-Lösungen wie Exeon Trace zudem, um Vorfälle zu untersuchen und zu entschärfen. Zu diesem Zweck können Netzwerkerkennungs- und -reaktionstools, die in Endpunkterkennungs- und -reaktionslösungen integriert sind, die Untersuchung und Behebung von Warnmeldungen erheblich beschleunigen. Ein gutes Beispiel hierfür ist die automatische Überprüfung, ob eine über den Netzwerkverkehr erkannte Bedrohung tatsächlich einen oder mehrere Endpunkte in der Umgebung gefährdet hat, und die Möglichkeit, automatisch eine Massnahme zu ergreifen, wie z. B. die Isolierung der betroffenen Endpunkte vom Netzwerk.
NDR-Lösungen können aber auch umfangreiche Metadaten sammeln und speichern, die für eine tiefergehende Untersuchung und Suche einfach durchsucht werden können. Der Wert der Metadaten besteht darin, dass sie leicht abzufragen sind und schnellere Untersuchungen ermöglichen.
Die heutigen Bedrohungen erfordern einen tiefen Einblick in das Netzwerk und verwertbare Erkenntnisse, damit Sicherheitsteams schneller reagieren können. NDR-Lösungen wie Exeon Trace können beides bieten. An ihnen führt daher praktisch kein Weg mehr vorbei.
Wie ist die Erkennung von Bedrohungen in Ihrem Unternehmen organisiert? Sind Sie in der Lage, rasch genug auf Bedrohungen zu reagieren? Kontaktieren Sie uns, wenn Sie an die Einführung einer NDR-Lösung denken oder Ihre Sicherheitsmassnahmen überprüfen lassen möchten. Unsere erfahrenen Experten beraten Sie gerne.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications