Fortgeschrittene Technologie gegen Cyberkriminalität, die seit Jahren in großen Unternehmen eingesetzt wird, rückt für kleinere Unternehmen in Reichweite: Network Detection and Response.
Für kleine und mittelständische Unternehmen, die oft nur über begrenzte Budgets und Ressourcen verfügen, ist es eine Herausforderung, sich im derzeitigen Sturm der Cyberkriminalität zu schützen. Die Bedrohungen entwickeln sich schneller als die vorhandenen Cyber-Sicherheitslösungen, kleine IT-Abteilungen können nicht Schritt halten.
Ransomware kann jeden treffen
Ransomware-Angriffe sind allgegenwärtig, aber die Bedrohungslandschaft hört damit nicht auf: Advanced Persistent Threats, Insider-Bedrohungen und Angriffe auf die Lieferkette gehören zu den zahlreichen alltäglichen Gefahren. Die Angreifer nutzen die gleichen Spitzentechnologien wie Anbieter von Cybersicherheitslösungen, zum Beispiel künstliche Intelligenz (KI), Verschlüsselung und Schwachstellen-Scans. Sie profitieren von einem ausgereiften Schwarzmarkt für Malware und Ransomware als Dienstleistung. Sie profitieren von einer immer größer werdenden Angriffsfläche, die durch die rasche Einführung von Cloud-Lösungen, IoT und Identity Federation wächst. So erscheinen beispielsweise die jüngsten Angriffe auf die Lieferkette wie die auf Solarwinds und Kaseya für herkömmliche Sicherheitstools völlig legitim. IoT-Geräte, nicht verwaltete oder private Geräte und vergessene virtuelle Maschinen oder Container schaffen blinde Flecken in der Sicherheit.
Auf einem Dashboard gebündelte Ressourcen
Wenn kleine Unternehmen das Glück haben, über Sicherheitsanalysten zu verfügen, müssen diese Ressourcen mehrere Dashboards konsultieren, um eine komplexe Bedrohung oder einen Angriff zu erkennen und zu verstehen. Dies sind die typischen Sätze, die man von den Verantwortlichen für die IT-Sicherheit in kleineren Unternehmen hört: „Ich bin mir durchaus bewusst, dass wir blinde Flecken im Netzwerk und große Lücken in unserer Sicherheitsarchitektur haben. Wir sehen nur einen Teil des Netzwerks und der Geräte“. Bei der Vielzahl von Sicherheitstools wissen sie kaum, wie sie die Prioritäten bei den Warnmeldungen setzen sollen: „Was soll ich zuerst angehen und was ignorieren?“ Und wenn sie auf Bedrohungen reagieren, müssen sie sich manuell durch verschiedene Systeme und Protokolle wühlen, um zu einem sinnvollen Ergebnis zu kommen. „Es ist so ineffizient und dauert zu lange, die Ursache eines Sicherheitsvorfalls zu erforschen.“
Aufspüren von Bedrohungen im Netzwerk
Eine Sache ist über die Jahre gleichgeblieben: Jede größere Sicherheitsverletzung umfasst auch den Netzwerkverkehr. Wenn Hacker zum Beispiel Daten stehlen wollen, müssen sie ihre Beute an einen bestimmten Ort bringen. Jüngste Angriffe wie der „Sunburst“-Angriff auf die Lieferkette können nur erkannt werden, wenn man (a) erkennt, dass mit dem Netzwerkverkehr etwas nicht stimmt, und (b) sofort auf diese Aktivität reagieren und sie unterbinden kann.
Dies erfordert eine Erkennung und automatisierte Reaktion auf der Netzwerkebene, was heute nur sehr wenige Unternehmen, in der Regel Großunternehmen, implementiert haben. Gartner definiert Network Detection and Response (NDR) als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken … verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen.“ Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen …, um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln“, und das System gibt Warnungen aus, „wenn es verdächtige Verkehrsmuster erkennt“. Weitere Schlüsselfunktionen von NDR-Lösungen seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response“, veröffentlicht am 11. Juni 2020).
NDR-Lösung identifiziert Assets im Netzwerk
Mit anderen Worten: Eine NDR-Lösung identifiziert alle Assets im Netzwerk, darunter auch IoT-Geräte und nicht verwaltete Geräte. Sie analysiert die kompletten Netzwerk-Metadaten und den Netzwerkverkehr – sowohl den Ost/West- als auch den Nord/Süd-Verkehr (d. h. den internen Verkehr und den Verkehr, der die Netzwerkperimeter überschreitet). Mithilfe von Sensoren, die im Netzwerk platziert werden, überwacht es den Verkehr, verfolgt alle Netzwerk-Metadaten und integriert diese Daten mit Protokollen von anderen bestehenden Sicherheitslösungen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder andere Änderungen im Netzwerk erforderlich.
360-Grad-Sicht auf das Netzwerk
Als Ergebnis erhalten Unternehmen eine 360-Grad-Ansicht, um sich über externe oder interne Bedrohungen ein Bild zu machen. Sie sehen, wenn Daten ihr Netzwerk an einen verdächtigen Ort im Ausland verlassen. Sie bemerken, wenn ein PC auf bösartige Domänen oder URLs zugreift. Sie bemerken, wenn eine Malware verschlüsselte Kopien von Daten im Netz ablegt. Sie benachrichtigen Sicherheitsanalysten, wenn der Webserver der IP-Cam eine Schwachstelle aufweist. Und sie können viele dieser Bedrohungen mit automatischen Reaktionsmöglichkeiten sofort stoppen und entschärfen.
NDR ist nicht neu und hat bereits einige Wandlungen durchgemacht. Früher wurde es NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt. Inzwischen ist der Ansatz gereift und verfügt über ein ausgefeilteres Response-Element. Dennoch ist es nach wie vor ein eher seltenes Tool, das heute fast ausschließlich in sehr großen Unternehmen eingesetzt wird. Warum ist das so?
Große Datenmengen können False Positives erzeugen
Der entscheidende Punkt ist, dass diese großen Unternehmen genau wissen, was auf dem Spiel steht. Da sie sich des existenziellen Risikos, dem ihr Unternehmen ausgesetzt ist, und der endlosen Angriffsfläche bewusst sind, sind sie nicht nur bereit, jeden Preis für eine Lösung zu zahlen, die wirklich hilft. Sie stellen auch jegliche erforderliche Arbeitskraft zur Verfügung, um die Experten zu haben, die sie betreiben. Eine große Herausforderung besteht darin, dass NDR-Tools aufgrund der großen Datenmenge, die sie untersuchen, dazu neigen, viele False Positives zu liefern. Bisher brauchte man also ein beträchtliches Cybersicherheitsbudget, um ein Team zu finanzieren, das sich mit der Flut von Fehlalarmen befasst, wenn man von NDR profitieren wollte. Zudem waren nur große Unternehmen bereit und in der Lage, sich mit dieser Flut von Fehlalarmen zu befassen.
NDR für KMUs handhabbar und erschwinglich machen
Die jüngsten Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Auf den Punkt gebracht, verändern die folgenden sieben NDR-Innovationen das Spiel:
- Künstliche Intelligenz: Traditionelle NDR-Tools haben viele Abweichungen vom modellierten Netzwerkverhalten festgestellt. Aber nicht alle davon stellten echte Gefahren dar. Vielmehr handelte es sich zum größten Teil um Fehlalarme. Man brauchte eine Menge Spezialisten, um sich um diese Fehlalarme zu kümmern. Durch den Einsatz von künstlicher Intelligenz können moderne NDR-Tools jetzt für KMUs arbeiten, indem sie die Warnungen auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten untersucht werden müssen.
- Maschinelles Lernen: Das heutige maschinelle Lernen kann das normale Verhalten des Netzwerkverkehrs viel genauer modellieren als frühere Generationen. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren in den Netzwerkdaten und führen zu viel granulareren Modellen.
- Stark visualisierte Benutzeroberfläche: Nichts spart den Sicherheitsanalysten mehr Zeit als eine übersichtliche und visualisierte Benutzeroberfläche. Sie können sich viel leichter einen Überblick verschaffen, was wichtig ist und was zu tun ist. Außerdem ist es für sie viel einfacher, dem Management zu erklären, was passiert ist, wenn sie klare, visualisierte Berichte erhalten.
- Automatische Erkennung aller Assets im Netzwerk: Blinde Flecken im Netzwerk sind die perfekte Eintrittspforte für Hacker und Malware. Man kann nicht schützen, was man nicht sieht. Mit Hilfe der automatischen Erkennung beseitigen moderne NDR-Tools blinde Flecken frühzeitig und geben Sicherheitsanalysten einen Echtzeit-Einblick in das Netzwerk.
- Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien bei der Modellierung des Normalzustands. Zum anderen kann sie die Reaktion beschleunigen. So können beispielsweise vordefinierte Playbooks eine sofortige Quarantäne für einen infizierten Endpunkt oder die Unterbrechung des ausgehenden Datenverkehrs an der Firewall automatisieren. Wenn Sie gehackt werden, ist die Zeit entscheidend, um die Auswirkungen abzumildern. Und die Integration mit anderen Sicherheitssystemen kann Zeit sparen.
- Automatisierte Untersuchung von Vorfällen und Korrelation von Ereignissen: Ein raffinierter Angriff besteht immer aus einer komplexen Angriffskette. Wenn in ihr System eingedrungen wurde oder etwas verdächtig erscheint, müssen Sicherheitsanalysten herausfinden, woher die Gefahr kommt, während die Uhr tickt. Mit modernen Korrelations-Engines können sie jedes Ereignis leicht bis zur Ursache zurückverfolgen und jede Schwachstelle oder Lücke schließen.
- Standardreaktionsmaßnahmen: Da die IT-Sicherheitsressourcen begrenzt sind, was bei fast allen kleinen und mittleren Unternehmen der Fall ist, müssen die Unternehmen die Reaktion auf Bedrohungen so weit wie möglich automatisieren. Die Verwendung vordefinierter Standardreaktionen, wie beispielsweise die Quarantäne infizierter Netzwerkressourcen, kann Angriffe nahezu in Echtzeit abwehren. NDR-Tools können Playbooks definieren, die mehrere Maßnahmen auf einmal auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.
Dank der jüngsten NDR-Entwicklungen sind nun viel mehr kleine Unternehmen in der Lage, die immer raffinierteren Bedrohungen auf ihrer wachsenden Angriffsfläche zu erkennen. NDR-Lösungen erfordern weniger Ressourcen, da sie zwischen echten Bedrohungen und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Beseitigung von Bedrohungen automatisieren. Es herrscht immer noch der perfekte Sturm da draußen, aber mit Hilfe von NDR sind KMUs viel besser gerüstet, um sich zu behaupten.
Mehr bei ForeNova.com
Über ForeNova ForeNova ist ein US-amerikanischer Cybersicherheitsspezialist, der mittelständischen Unternehmen preiswerte und umfassende Network Detection and Response (NDR) anbietet, um Schäden durch Cyberbedrohungen effizient zu mindern und Geschäftsrisiken zu minimieren. ForeNova betreibt das Rechenzentrum für europäische Kunden in Frankfurt a. M. und konzipiert alle Lösungen DSGVO-konform. Die europäische Zentrale befindet sich in Amsterdam.