Leigh Prather - stock.adobe.com
Defense-in-Depth-Strategie: NDR als entscheidender Faktor
Der Defense-in-Depth-Ansatz soll die Wahrscheinlichkeit verringern, dass Angreifer erfolgreich sind. Eine ganzheitliche Strategie schließt Network Detection and Response ein.
Der Markt für Enterprise Security explodiert förmlich vor technischen Innovationen, die Unternehmen bei der Gestaltung ihrer Sicherheitsstrategie vor schwierige Entscheidungen stellen. Bei der Flut an Optionen sind Security-Abteilungen stets auf der Suche nach dem besten und effektivsten Weg zur Integration von Sicherheitstools, die einen hohen ROI (Return on Investment) erzielen. Als besonders relevant erweist sich bei der Suche Extended Detection and Response (XDR) – eine Strategie, die Transparenz über mehrere Daten hinweg in einer Quelle bietet.
Diese Strategie kann jedoch nicht ohne die Einbeziehung von Network Detection and Response (NDR) bestehen, die sich auf die Analyse von Paketdaten im Netzwerkverkehr und nicht auf Protokolle, Endpunkte oder andere Datenströme konzentriert. Welche Grenzen hat also eine XDR-Strategie, warum müssen paketbasierte NDR-Lösungen ein wesentlicher Bestandteil dieser Strategie sein und warum ist die Kombination beider Sicherheitslösungen die ideale Voraussetzung für einen robusten Echtzeitüberblick über die sich schnell entwickelnde Bedrohungslandschaft und die dynamische Angriffsfläche von heute?
Wo fängt XDR an und wo hört es auf?
Forrester definiert XDR als die Weiterentwicklung von Endpoint Detection and Response (EDR) – die Optimierung der Erkennung, Untersuchung, Reaktion auf und Abwehr von Bedrohungen in Echtzeit. Als Weiterentwicklung von EDR bietet XDR einen proaktiveren Ansatz für die Erkennung und Reaktion auf Bedrohungen, indem die Transparenz über mehrere Datenströme hinweg (Endpunkt, Netzwerk und Cloud) an einer Quelle ermöglicht wird. Was wie eine einfache Definition aussieht, ist in der Ausführung recht komplex. Um eine vollständige und funktionale XDR-Strategie zu erreichen, müssen mehrere Komponenten vorhanden sein – allen voran vielleicht die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR).
Obwohl die Transparenz, die XDR ermöglicht, attraktiv ist und daher von vielen Unternehmen übernommen wird, hat es wie alles andere auch seine Grenzen. XDR fehlt der Einblick in die breitere Netzwerkumgebung eines Unternehmens, was für IT-Verantwortliche bei der Erkennung von Änderungen in den dynamischen Netzwerkaktivitäten und dem Vergleich von Endpunkt- und Cloud-Daten von Nachteil sein kann. Hier kommt NDR ins Spiel und entpuppt sich als „Joker“, da es genau diesen Kontext liefern kann, um den Fokus auf potenzielle Cyberbedrohungen zu richten und diese letztendlich zu vereiteln.
NDR liefert entscheidenden Netzwerkkontext
NDR ist so konzipiert, dass es die komplexen Anforderungen von lokalen, öffentlichen und privaten Clouds sowie hybriden Umgebungen effizient schützt. Zum Aufdecken von blinden Flecken sollte NDR beispielsweise mit EDR und Protokollanalysen, wie Security Information and Event Management (SIEM) kombiniert werden, um eine robustere Cybersicherheitsstrategie zu implementieren.
„Wenn es um Netzwerktelemetrie geht, erweisen sich ganzheitliche Sicherheitsstrategien, die mehrere Techniken zur Sicherheitsabdeckung umfassen, als effektiver.“
Karl Heuser, Netscout
Vor allem aber liefert NDR den Netzwerkkontext, der für die Automatisierung von Reaktionen auf Bedrohungen entscheidend ist und so die Zusammenarbeit von Netzwerkbetrieb und der IT-Security-Abteilung ermöglicht. Auf diese Weise werden die allgemeinen Fähigkeiten im Bereich Security erweitert und die Erkennung und Eindämmung von Bedrohungen auf natürliche Weise verbessert. Auf der Grundlage von Netzwerkpaketdaten kann NDR die Angriffsfläche in Echtzeit überwachen und Frühwarnfunktionen, Kontaktverfolgung und Back-in-Time-Analysen liefern, um Cyberkriminelle und bösartigen Datenverkehr im Netzwerk zu lokalisieren. Die Bedeutung der Echtzeit-Analyse ist unter Berücksichtigung der schnellen Entwicklung und Ausbreitung von Bedrohungen entscheidend, um sie in den frühen Stadien des Angriffszyklus zu erkennen. Darüber hinaus reduziert dieser automatisierte Prozess die manuelle Arbeit der Sicherheitsteams, so dass sich das Personal auf andere Aufgaben konzentrieren kann, was die Sicherheit eines Unternehmens stärkt.
Fazit
In der heutigen komplexen Bedrohungslandschaft ist es für jedes Unternehmen von entscheidender Bedeutung, eine individuelle Sicherheitsstrategie zu entwickeln, die mehrere Security-Elemente beinhaltet, um alle Angriffsvektoren abzudecken. Darunter können XDR, NDR, SIEM, SOAR und mehr fallen. Wenn die Implementierung einer XDR-Strategie in Betracht gezogen wird, muss NDR ein Teil der Gleichung sein. Es ist im Wesentlichen die Verbindung zwischen den Sicherheitssystemen, um sie bei der Erkennung von und Reaktion auf Bedrohungen effektiver zu machen.
Wenn es um Netzwerktelemetrie geht, erweisen sich ganzheitliche Sicherheitsstrategien, die mehrere Techniken zur Sicherheitsabdeckung umfassen, als effektiver. Führungskräfte der Cybersicherheit benötigen eine optimale Transparenz, um Anomalien und Veränderungen in der Netzwerkaktivität zu erkennen und diese dann mit Endpunkt- und Cloud-Daten zu vergleichen. NDR-Lösungen erweisen sich in diesem Zusammenhang als unschätzbar wertvoll und müssen ein Schwerpunkt sein, wenn Optionen für Sicherheitsprogramme und Defense-in-Depth-Strategien in Betracht gezogen werden.
Über den Autor:
Karl Heuser ist Business Manager Security – Enterprise (DACH & EEUR) bei Netscout.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.