NDR – Network Detection & Response gilt in der IT-Security inzwischen als eine Sicherheitstechnologie, die in keinem Unternehmens-Netzwerk fehlen sollte. Aber wer wertet die ganzen Daten aus und leitet die Response? Das Zauberwort ist hier MDR – Managed Detection and Response Services. Ein Interview mit Michael Veit, Security-Experte bei Sophos.
Wirksame Security-Lösungen umfassen technologische Komponenten wie den vernetzten Endpoint-Schutz, eine Next Generation Firewall, beides gepaart mit Künstlicher Intelligenz und menschlicher Expertise in Form von Security-Services.
Während klassische Security-Lösungen zwar sehr viele Angriffe und bösartige Anomalien erkennen und abwehren wurde lange Zeit der direkte Schutz des Netzwerks etwas vernachlässigt. Haben Angreifer jedoch einen Zugang in das Netzwerk gefunden, sind sie nur schwer aufzuspüren. Denn weder der Endpoint-Schutz noch die Firewall erkennen zuverlässig Angreifer die sich bereits im Netzwerk befinden. Auf diese Weise können sich Angreifer lange ungehindert und heimlich seitwärts durch das Netzwerk bewegen (Lateral Movement), um ihren eigentlichen Angriff bzw. Datendiebsstahl vorzubereiten.
NDR ist gut – MDR ist besser
Michael Veit, Security-Experte bei Sophos (Bild: Sophos).
Für eine starke Security im Netzwerk ist NDR (Network Detection and Response) inzwischen unverzichtbar. NDR-Erkennungstechnologien liefern zwar eine sehr gute Übersicht über den Zustand und den Schutz des Netzwerks, aber die ungefährlichen, sowie die gefährlichen Meldungen müssen auch verstanden werden. Schließlich gilt es auch den Punkt „Response“ bei NDR zu erfüllen, sprich die richtigen Aktionen nach Hinweisen zu einem Angriff oder Vorfall zu ergreifen.
Genau diesen Punkt greift Sophos in seinen Lösungen auf und bietet Unternehmen Managed Detection and Response als Cybersecurity as a Service rund um die Uhr, 24/7/365. Wie genau MDR bei Sophos funktioniert, was es leisten kann und was die wichtigen Punkte dabei sind, beantwortet uns Michael Veit, Security-Experte bei Sophos, im Interview.
Die Stärken von NDR in Kombination mit MDR – Cybersecurity as a Service
B2B Cyber Security: Welche Stärken hat NDR für Unternehmen?
Michael Veit, Sophos: „Eine moderne NDR-Lösung erkennt Angriffe selbst tief im Netzwerk. Sie überwacht den Datenverkehr und erkennt auch Aktivitäten von nicht verwalteten Systemen, IoT-Geräten, nicht autorisierten Benutzern oder Assets und allen anderen Quellen des Netzwerkverkehrs. Sie kann sogar verschlüsselte Paketdaten prüfen, ohne personenbezogene Daten zu gefährden.“
Die neue NDR-Generation, wie etwa von Sophos, ist eine fortschrittliche Netzwerk-Überwachungslösung, die auf die komplexe und sich ständig weiterentwickelnde Bedrohungslandschaft ausgerichtet ist. Sie kombiniert fünf proprietäre Detection Engines mit Deep Learning-Analysen und liefert so in Echtzeit verwertbare Informationen zu einer Vielzahl von Netzwerkbedrohungen. Die Detection Engines klassifizieren den Netzwerkverkehr auf der Grundlage von über 330 Protokollen, 50 Flow-Risiken und Tausenden von IOCs. Diese Engines enthalten zudem mehrere Deep-Learning-Modelle, die eine neue Qualität an Genauigkeit bei der Erkennung von Bedrohungen bieten und gleichzeitig Fehlalarme minimieren.“
B2B Cyber Security: Warum sollten Unternehmen auf MDR in Kombination mit NDR setzen?
Michael Veit, Sophos: „Mit der Erkennung einer Anomalie oder eines Angriffsmusters im Netzwerk ist nur der erste Schritt getan. Ein NDR-System warnt das Unternehmen und gibt auch entsprechende Informationen zum Problem bzw. dem Angriff aus. Diese müssen richtig interpretiert und dann muss der Teil der „Response“ perfekt erfüllt werden. Und genau hier liegt das Problem für viele Unternehmen, da sie keine Experten zur Verfügung haben. Mit MDR läuft das anders ab: Nach dem Aufspüren müssen die Angreifer aus dem Netzwerk entfernt und die Schlupflöcher geschlossen werden. Dies geschieht automatisiert über eine weitere entscheidende Komponente im Security-Ökosystem: MDR (Managed Detection and Response Services). Die MDR-Services werden von der NDR-Lösung automatisch darüber informiert, dass sich möglicherweise ein bisher unentdeckter Angreifer im Unternehmensnetzwerk befindet.
Mit dieser Information tritt das MDR Security Operations Center Team von Sophos umgehend in Aktion, untersucht die Meldung des NDR und eliminiert die Angreifer. Gleichzeitig forschen die Forensiker nach den Wegen des Angriffs, um Reste von Malware zu entdecken oder Manipulationen und Rechteveränderungen im Netzwerk aufzudecken und zu korrigieren. Nur die genaue Abarbeitung einer solchen Vorfallkette ist eine perfekte Response auf einen Angriff.“
B2B Cyber Security: Was sind denn noch Besonderheiten eines NDR?
Michael Veit, Sophos: „Die NDR-Technologien bringen einem Unternehmen sozusagen viel Licht in ein sonst dunkles Netzwerk. So lassen sich Unbekannte oder ungeschützte Netzwerkgeräte einschließlich legitimer IoT- oder OT-Geräte identifizieren, die nicht vollständig mit einem Endpoint-Sensor verwaltet werden können. Dazu gehören beispielsweise IoT-Geräte, Drucker oder veraltete Systeme, die sich im Netzwerk befinden. Bei den Hackern beliebt sind zudem Netzwerkgeräte, die in Vergessenheit geraten sind und deshalb von der IT-Security nicht beachtet und geschützt werden. NDR identifiziert und überwacht solche Geräte auf verdächtige oder böswillige Verhaltensweisen, die auf einen Angriff hindeuten könnten.
Dazu kommen nicht autorisierte Assets die ins Netzwerk eingebracht werden und möglicherweise bereits kompromittiert sind oder zum Starten eines Angriffs verwendet werden, können von Sophos NDR leicht erkannt und überwacht werden.“
B2B Cyber Security: Erkennt Sophos NDR auch modernste Angriffe?
Michael Veit, Sophos: „Das ist ein sehr interessanter Punkt. Die Lösung erkennt auch noch nie beobachtete Command-and-Control(C2)-Aktivitäten. Denn viele Angriffe und Sicherheitsverletzungen werden remote gesteuert. Auf den ersten Blick erscheinen manche Kommunikationen zwischen dem Angreifer und seinen Remote-Prozessen innerhalb des Netzwerks teils legitim. NDR kann neue Zero-Day-C2-Aktivitäten erkennen und gezielte, hoch spezialisierte Angriffe somit bereits im Anfangsstadium aufdecken.
Eine weitere Besonderheit der Lösung ist die Früherkennung von verdächtigen Netzwerkverkehrsflüssen. Dabei ist Sophos in der Lage selbst sogar ungewöhnliche Datenverkehrsmuster zu identifizieren und so schädlichem Datenverkehr, der von bekannter Malware generiert wird, zu erkennen. Ein Beispiel: Sophos hat das Datenverkehrsmuster von QBot bzw. Qakbot analysiert und mit verdächtigen Netzwerkverkehrsflüssen verglichen. Auf diese Weise wurde auch ein Angriff durch QBot identifiziert. Die Technik dahinter: Das Sophos NDR EPA-Modell (Encrypted Payload Analytics) wandelt Paketströme in Bilder um und ermittelt mithilfe eines neuronalen Netzwerks, ob das Bild dem entspricht, was wir von einem Qakbot-Datenstrom oder einer anderen Malware-Familie (z. B. Bumblebee, Cobalt Strike, Emotet, Dridex) erwarten.“
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.