Wie KMUs von Network Detection and Response profitieren

10. September 2021
| Keine Kommentare
Anzeige

Beitrag teilen

Fortgeschrittene Technologie gegen Cyberkriminalität, die seit Jahren in großen Unternehmen eingesetzt wird, rückt für kleinere Unternehmen in Reichweite: Network Detection and Response.

Für kleine und mittelständische Unternehmen, die oft nur über begrenzte Budgets und Ressourcen verfügen, ist es eine Herausforderung, sich im derzeitigen Sturm der Cyberkriminalität zu schützen. Die Bedrohungen entwickeln sich schneller als die vorhandenen Cyber-Sicherheitslösungen, kleine IT-Abteilungen können nicht Schritt halten.

Anzeige

Ransomware kann jeden treffen

Ransomware-Angriffe sind allgegenwärtig, aber die Bedrohungslandschaft hört damit nicht auf: Advanced Persistent Threats, Insider-Bedrohungen und Angriffe auf die Lieferkette gehören zu den zahlreichen alltäglichen Gefahren. Die Angreifer nutzen die gleichen Spitzentechnologien wie Anbieter von Cybersicherheitslösungen, zum Beispiel künstliche Intelligenz (KI), Verschlüsselung und Schwachstellen-Scans. Sie profitieren von einem ausgereiften Schwarzmarkt für Malware und Ransomware als Dienstleistung. Sie profitieren von einer immer größer werdenden Angriffsfläche, die durch die rasche Einführung von Cloud-Lösungen, IoT und Identity Federation wächst. So erscheinen beispielsweise die jüngsten Angriffe auf die Lieferkette wie die auf Solarwinds und Kaseya für herkömmliche Sicherheitstools völlig legitim. IoT-Geräte, nicht verwaltete oder private Geräte und vergessene virtuelle Maschinen oder Container schaffen blinde Flecken in der Sicherheit.

Auf einem Dashboard gebündelte Ressourcen

Wenn kleine Unternehmen das Glück haben, über Sicherheitsanalysten zu verfügen, müssen diese Ressourcen mehrere Dashboards konsultieren, um eine komplexe Bedrohung oder einen Angriff zu erkennen und zu verstehen. Dies sind die typischen Sätze, die man von den Verantwortlichen für die IT-Sicherheit in kleineren Unternehmen hört: „Ich bin mir durchaus bewusst, dass wir blinde Flecken im Netzwerk und große Lücken in unserer Sicherheitsarchitektur haben. Wir sehen nur einen Teil des Netzwerks und der Geräte”. Bei der Vielzahl von Sicherheitstools wissen sie kaum, wie sie die Prioritäten bei den Warnmeldungen setzen sollen: “Was soll ich zuerst angehen und was ignorieren?” Und wenn sie auf Bedrohungen reagieren, müssen sie sich manuell durch verschiedene Systeme und Protokolle wühlen, um zu einem sinnvollen Ergebnis zu kommen. „Es ist so ineffizient und dauert zu lange, die Ursache eines Sicherheitsvorfalls zu erforschen.”

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Aufspüren von Bedrohungen im Netzwerk

Eine Sache ist über die Jahre gleichgeblieben: Jede größere Sicherheitsverletzung umfasst auch den Netzwerkverkehr. Wenn Hacker zum Beispiel Daten stehlen wollen, müssen sie ihre Beute an einen bestimmten Ort bringen. Jüngste Angriffe wie der „Sunburst”-Angriff auf die Lieferkette können nur erkannt werden, wenn man (a) erkennt, dass mit dem Netzwerkverkehr etwas nicht stimmt, und (b) sofort auf diese Aktivität reagieren und sie unterbinden kann.

Dies erfordert eine Erkennung und automatisierte Reaktion auf der Netzwerkebene, was heute nur sehr wenige Unternehmen, in der Regel Großunternehmen, implementiert haben. Gartner definiert Network Detection and Response (NDR) als Lösungen, die „in erster Linie nicht-signaturbasierte Techniken … verwenden, um verdächtigen Datenverkehr in Unternehmensnetzwerken zu erkennen.” Den Analysten zufolge „analysieren NDR-Tools kontinuierlich Rohdatenverkehr und/oder Aufzeichnungen von Datenströmen …, um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln”, und das System gibt Warnungen aus, „wenn es verdächtige Verkehrsmuster erkennt”. Weitere Schlüsselfunktionen von NDR-Lösungen seien automatische oder manuelle Reaktionen (vgl. Gartner, „Market Guide for Network Detection and Response”, veröffentlicht am 11. Juni 2020).

NDR-Lösung identifiziert Assets im Netzwerk

Mit anderen Worten: Eine NDR-Lösung identifiziert alle Assets im Netzwerk, darunter auch IoT-Geräte und nicht verwaltete Geräte. Sie analysiert die kompletten Netzwerk-Metadaten und den Netzwerkverkehr – sowohl den Ost/West- als auch den Nord/Süd-Verkehr (d. h. den internen Verkehr und den Verkehr, der die Netzwerkperimeter überschreitet). Mithilfe von Sensoren, die im Netzwerk platziert werden, überwacht es den Verkehr, verfolgt alle Netzwerk-Metadaten und integriert diese Daten mit Protokollen von anderen bestehenden Sicherheitslösungen wie Endpoint Security, EDR, Firewall, SIEM und SOAR-Lösungen. Da NDR mit Kopien dieser Daten arbeitet, sind keine Agenten oder andere Änderungen im Netzwerk erforderlich.

360-Grad-Sicht auf das Netzwerk

Als Ergebnis erhalten Unternehmen eine 360-Grad-Ansicht, um sich über externe oder interne Bedrohungen ein Bild zu machen. Sie sehen, wenn Daten ihr Netzwerk an einen verdächtigen Ort im Ausland verlassen. Sie bemerken, wenn ein PC auf bösartige Domänen oder URLs zugreift. Sie bemerken, wenn eine Malware verschlüsselte Kopien von Daten im Netz ablegt. Sie benachrichtigen Sicherheitsanalysten, wenn der Webserver der IP-Cam eine Schwachstelle aufweist. Und sie können viele dieser Bedrohungen mit automatischen Reaktionsmöglichkeiten sofort stoppen und entschärfen.

Thomas Krause, Regional Director DACH-NL bei ForeNova Technologies (Bild: ForeNova).

NDR ist nicht neu und hat bereits einige Wandlungen durchgemacht. Früher wurde es NTA (Network Traffic Analysis) oder NTSA (Network Traffic Security Analysis) genannt. Inzwischen ist der Ansatz gereift und verfügt über ein ausgefeilteres Response-Element. Dennoch ist es nach wie vor ein eher seltenes Tool, das heute fast ausschließlich in sehr großen Unternehmen eingesetzt wird. Warum ist das so?

Große Datenmengen können False Positives erzeugen

Der entscheidende Punkt ist, dass diese großen Unternehmen genau wissen, was auf dem Spiel steht. Da sie sich des existenziellen Risikos, dem ihr Unternehmen ausgesetzt ist, und der endlosen Angriffsfläche bewusst sind, sind sie nicht nur bereit, jeden Preis für eine Lösung zu zahlen, die wirklich hilft. Sie stellen auch jegliche erforderliche Arbeitskraft zur Verfügung, um die Experten zu haben, die sie betreiben. Eine große Herausforderung besteht darin, dass NDR-Tools aufgrund der großen Datenmenge, die sie untersuchen, dazu neigen, viele False Positives zu liefern. Bisher brauchte man also ein beträchtliches Cybersicherheitsbudget, um ein Team zu finanzieren, das sich mit der Flut von Fehlalarmen befasst, wenn man von NDR profitieren wollte. Zudem waren nur große Unternehmen bereit und in der Lage, sich mit dieser Flut von Fehlalarmen zu befassen.

NDR für KMUs handhabbar und erschwinglich machen

Die jüngsten Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Auf den Punkt gebracht, verändern die folgenden sieben NDR-Innovationen das Spiel:

  • Künstliche Intelligenz: Traditionelle NDR-Tools haben viele Abweichungen vom modellierten Netzwerkverhalten festgestellt. Aber nicht alle davon stellten echte Gefahren dar. Vielmehr handelte es sich zum größten Teil um Fehlalarme. Man brauchte eine Menge Spezialisten, um sich um diese Fehlalarme zu kümmern. Durch den Einsatz von künstlicher Intelligenz können moderne NDR-Tools jetzt für KMUs arbeiten, indem sie die Warnungen auf die Ereignisse eingrenzen, auf die wirklich automatisch reagiert werden muss oder die von einem menschlichen Spezialisten untersucht werden müssen.
  • Maschinelles Lernen: Das heutige maschinelle Lernen kann das normale Verhalten des Netzwerkverkehrs viel genauer modellieren als frühere Generationen. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren in den Netzwerkdaten und führen zu viel granulareren Modellen.
  • Stark visualisierte Benutzeroberfläche: Nichts spart den Sicherheitsanalysten mehr Zeit als eine übersichtliche und visualisierte Benutzeroberfläche. Sie können sich viel leichter einen Überblick verschaffen, was wichtig ist und was zu tun ist. Außerdem ist es für sie viel einfacher, dem Management zu erklären, was passiert ist, wenn sie klare, visualisierte Berichte erhalten.
  • Automatische Erkennung aller Assets im Netzwerk: Blinde Flecken im Netzwerk sind die perfekte Eintrittspforte für Hacker und Malware. Man kann nicht schützen, was man nicht sieht. Mit Hilfe der automatischen Erkennung beseitigen moderne NDR-Tools blinde Flecken frühzeitig und geben Sicherheitsanalysten einen Echtzeit-Einblick in das Netzwerk.
  • Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnologien bei der Modellierung des Normalzustands. Zum anderen kann sie die Reaktion beschleunigen. So können beispielsweise vordefinierte Playbooks eine sofortige Quarantäne für einen infizierten Endpunkt oder die Unterbrechung des ausgehenden Datenverkehrs an der Firewall automatisieren. Wenn Sie gehackt werden, ist die Zeit entscheidend, um die Auswirkungen abzumildern. Und die Integration mit anderen Sicherheitssystemen kann Zeit sparen.
  • Automatisierte Untersuchung von Vorfällen und Korrelation von Ereignissen: Ein raffinierter Angriff besteht immer aus einer komplexen Angriffskette. Wenn in ihr System eingedrungen wurde oder etwas verdächtig erscheint, müssen Sicherheitsanalysten herausfinden, woher die Gefahr kommt, während die Uhr tickt. Mit modernen Korrelations-Engines können sie jedes Ereignis leicht bis zur Ursache zurückverfolgen und jede Schwachstelle oder Lücke schließen.
  • Standardreaktionsmaßnahmen: Da die IT-Sicherheitsressourcen begrenzt sind, was bei fast allen kleinen und mittleren Unternehmen der Fall ist, müssen die Unternehmen die Reaktion auf Bedrohungen so weit wie möglich automatisieren. Die Verwendung vordefinierter Standardreaktionen, wie beispielsweise die Quarantäne infizierter Netzwerkressourcen, kann Angriffe nahezu in Echtzeit abwehren. NDR-Tools können Playbooks definieren, die mehrere Maßnahmen auf einmal auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.

Dank der jüngsten NDR-Entwicklungen sind nun viel mehr kleine Unternehmen in der Lage, die immer raffinierteren Bedrohungen auf ihrer wachsenden Angriffsfläche zu erkennen. NDR-Lösungen erfordern weniger Ressourcen, da sie zwischen echten Bedrohungen und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Beseitigung von Bedrohungen automatisieren. Es herrscht immer noch der perfekte Sturm da draußen, aber mit Hilfe von NDR sind KMUs viel besser gerüstet, um sich zu behaupten.

Mehr bei ForeNova.com

 

Über ForeNova

ForeNova ist ein US-amerikanischer Cybersicherheitsspezialist, der mittelständischen Unternehmen preiswerte und umfassende Network Detection and Response (NDR) anbietet, um Schäden durch Cyberbedrohungen effizient zu mindern und Geschäftsrisiken zu minimieren. ForeNova betreibt das Rechenzentrum für europäische Kunden in Frankfurt a. M. und konzipiert alle Lösungen DSGVO-konform. Die europäische Zentrale befindet sich in Amsterdam.

 

Passende Artikel zum Thema

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Betrugsmasche: GPT-4 als Köder für Phishing

In der Hoffnung, von dem massiven Interesse an GPT-4 – dem neuen multimodalen Modell von ChatGPT – zu profitieren, haben ➡ Weiterlesen

Report: IT-Führungskräfte halten XDR für notwendig

Eine neue Studie unterstreicht die Unsicherheit bei XDR-Definition, Implementierung und benötigte Ressourcen. Der Report von ExtraHop zeigt, dass 78 Prozent ➡ Weiterlesen

Studie: Firmendaten im Darknet – 60 Prozent betroffen

Wie eine aktuelle Studie von 26.000 Unternehmen und 80 Branchen zeigt, stehen im Darknet durch Datenlecks viele deutsche Firmendaten zum ➡ Weiterlesen

Angriffe auf die Lieferkette

Schon immer suchten Angreifer das schwächste Glied in der Kette, um eine Abwehr zu durchbrechen. Das hat sich auch in ➡ Weiterlesen

Entwicklung 2022: Cyberkriminalität, Kriege, Ransomware

In seinem Bericht "2023 State of Malware" stellt Security-Experte Malwarebytes die Entwicklungen des Jahres 2022 zusammen: Geopolitische Cyberkriminalität, Ransomware und ➡ Weiterlesen

Top Malware im Q1-2023: Qbot, Formbook, Emotet

Der Global Threat Index für das Frühjahr 2023 von Check Point zeigt, dass die Malwares Qbot, Formbook und Emotet am ➡ Weiterlesen

Plus 8 Prozent: Mehr Geld für IT-Sicherheit in Unternehmen

Kleine und mittelständische sowie Großunternehmen in Deutschland haben beschlossen, in den kommenden drei Jahren einen größeren Teil ihres IT-Budgets in ➡ Weiterlesen

Storys
, , , , ,