Erst NDR vervollständigt XDR-Lösungen

NDR als kritischer Baustein

LinkedInRedditWhatsAppPocket

In der sich wandelnden Cybersicherheitslandschaft hat sich Extended Detection and Response (XDR) als leistungsfähiger Ansatz erwiesen.

Das gezielte Zusammenführen einzelner Sicherheitstools bringt nicht nur mehr Transparenz, sondern liefert die Grundlage einer weitgehend automatisierten Bedrohungsabwehr. Doch trotz aller Vorteile fehlt vielen XDR-Lösungen ein entscheidendes Element: Network Detection and Response (NDR).

Anzeige

NDR spielt seine Stärken gezielt bei der Überwachung der Aktivitäten innerhalb eines Netzwerks aus – ganz unabhängig davon, ob dieses durch On-Premises-, Cloud- oder hybride Strukturen gekennzeichnet ist. Der zusätzliche Sicherheitsmechanismus greift in der Regel, wenn andere Maßnahmen zum Endgeräte- und Identitätsschutz bereits versagt haben. Sobald sich ein Angriff seitwärts im Netzwerk ausbreitet, Command-and-Control-Verbindungen aufgebaut werden, Datenexfiltration startet, Zugriffsberechtigungen in böswilliger Absicht erweitert und Netzwerkstrukturen ausgespäht werden, kann NDR zum Retter in der Not werden.

NDR erkennt Schwachstellen und Datenkompromittierung

Endpoint Detection and Response (EDR), Identity and Access Management (IAM), Cloud Security Management (CSM) und E-Mail-Sicherheit sind allesamt wichtige Komponenten einer XDR-Lösung und decken kritische Bedrohungsoberflächen im XDR-Prozess ab. Allerdings verwenden Angreifer zunehmend „Living-off-the-land“-Techniken (LotL), bei denen sie legitime Anmeldeinformationen oder Fehlkonfigurationen ausnutzen, anstatt herkömmliche Malware einzusetzen. NDR schließt genau diese Lücke: Sowohl der Nord-Süd- als auch der Ost-West-Netzwerkverkehr – und somit alle Datenströme innerhalb der Umgebung und über Firewalls hinweg – werden kontinuierlich überwacht, um verdächtiges Verhalten, Richtlinienverletzungen und Ausbreitungsversuche von Angreifern zu identifizieren.

NDR deckt Cloud-Strukturen und lokale Netzwerke ab

Die Notwendigkeit von NDR offenbart sich besonders in den sich verändernden Arbeitswelten. Moderne Organisationen agieren immer stärker im Rahmen hybrider IT-Strukturen, bei denen Anwendungen, Daten und Benutzer über lokale, Cloud- und Multi-Cloud-Umgebungen verteilt sind. Angreifer machen sich diese Komplexität zunutze, indem sie falsch konfigurierte Cloud-Berechtigungen, API-Schwachstellen und nicht überwachte Netzwerksegmente ausspielen, um Unternehmen zu infiltrieren.

Anzeige
WatchGuard NDR 2
Network Threat Landscape (Quelle: WatchGuard Technologies)

Viele Sicherheitslösungen konzentrieren sich entweder auf On-Premises- oder Cloud-Ressourcen. Im Gegensatz dazu schafft NDR Klarheit für beides. Durch die Analyse des Netzwerkverkehrs auf Basis aller Datenflüsse und Pakete inklusive Anreicherung dieser Informationen mit Protokolldaten von SaaS-Anwendungen und Cloud-Umgebungen sowie den Logs von Identitätsplattformen kann NDR Hinweise auf Kompromittierung zuverlässig erkennen – ganz unabhängig davon, aus welcher Richtung diese kommen.

Wie NDR die Sicherheit in der Cloud und On-Premises verbessert:

#1 NDR überwacht den Datenverkehr in Cloud-Umgebungen und identifiziert anomale API-Aufrufe, ungewöhnliches Benutzerverhalten, nicht autorisierte Datentransfers und falsch konfigurierte Speicherzugriffe.

#2 In Hybridumgebungen erkennt NDR ungewöhnliche Verbindungen zwischen lokalen Netzen und Cloud-Infrastruktur und weist auf Datenexfiltration oder kompromittierte VPN-Zugangsdaten hin.

#3 NDR unterstützt Zero-Trust-Implementierungen durch kontinuierliche Überwachung und Analyse des gesamten Netzwerkverkehrs auf Richtlinienverstöße und unberechtigte Zugriffsversuche.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Risiko: XDR-Lösungen verzichten auf NDR

Trotz des Aufstiegs von XDR zur bevorzugten Cybersicherheitslösung integrieren viele Anbieter keine NDR-Funktionen von Haus aus. Stattdessen verlassen sie sich in erster Linie auf EDR mit Agenten auf möglichst vielen Gerätetypen, was zwar nützlich ist, aber nicht ausreicht, um netzwerkbasierte Bedrohungen zu erkennen. Auf diese Weise entstehen leicht blinde Flecken.

Risiken von XDR ohne NDR:

#1 Übersehene Insider-Bedrohungen: Böswillige Insider und kompromittierte Konten bleiben ohne netzwerkbasierte Verhaltensanalyse unentdeckt.

#2 Ineffektive Erkennung von Querverkehr: Wenn es keine Transparenz auf Netzwerkebene gibt, können sich Angreifer unerkannt zwischen Systemen bewegen.

#3 Unvollständige Cloud-Sicherheit: API-Missbrauch und Cloud-Fehlkonfigurationen fallen oftmals nicht auf.

#4 Geringe Wirksamkeit zur Aufdeckung von Angriffen auf die Lieferkette: Schwachstellenbasierte Angriffe sind die verheerendste Angriffsmethode im Werkzeugkasten der Cyberkriminellen und werden es auch bleiben, solange NDR nicht flächendeckend eingesetzt wird.

#5 Langsame Reaktion auf Vorfälle: Ohne NDR-Erkenntnisse kommen XDR-Plattformen Bedrohungen oft erst dann auf die Spur, wenn der Schaden bereits eingetreten ist. Die durchschnittliche Reaktionszeit (MTTR) beträgt dann Wochen oder Monate. Viele Unternehmen mit EDR-basierten XDR-Lösungen wiegen sich in Sicherheit, dabei bleiben ohne NDR nicht zu unterschätzende Lücken, die es Angreifern ermöglichen, über längere Zeiträume unentdeckt im Netzwerk zu operieren.

Mit NDR lässt sich der gesamte Netzwerkverkehr aus jeder Richtung durchleuchten.

Bill Munroe, WatchGuard Technologies

Cloudbasierte NDR-Lösungen

In der Vergangenheit erforderten NDR-Lösungen teure Hardware-Appliances und einen erheblichen Aufwand für die Bereitstellung vor Ort. Diese Hürde erschwerte vielen Unternehmen die Einführung und führte dazu, dass sie sich ausschließlich auf endpunkt- und protokollbasierte Sicherheitslösungen verließen. Mit den heutigen cloudbasierten NDR-Lösungen gibt es diese Einschränkungen nicht mehr.

Vorteile von cloudbasierten NDR-Lösungen:

#1 Preis und Skalierbarkeit: Ein Einsatz teurer Hardware vor Ort ist nicht erforderlich, es ergeben sich attraktive Preismodelle, die mit der Nutzung skalieren.

#2 Bereitstellung: Die Funktionalität kann in hybriden und Multi- Cloud-Umgebungen schnell ausgerollt werden.

#3 KI-gesteuerte Erkennung: Maschinelles Lernen verbessert die Erkennung von Anomalien, reduziert Fehlalarme und erhöht die Genauigkeit.

#4 Nahtlose XDR-Integration: Cloudbasierte NDR-Lösungen sind einfach in bestehende XDR-Plattformen integrierbar und ergänzen die fehlende Visualisierungsebene.

Auf diese Weise wird NDR für Unternehmen jeder Größe zugänglich und die Erkennung von Bedrohungen auf Netzwerkebene bleibt nicht länger allein Organisationen mit großen Sicherheitsbudgets vorbehalten.

Fazit: NDR ist keine Kür, sondern Pflicht für XDR

Im Zuge der Weiterentwicklung von Cyberbedrohungen müssen XDR-Lösungen vollständige Transparenz bieten, sowohl im Hinblick auf Endgeräte als auch auf Netzwerkstrukturen. Nur mit NDR ist es effektiv möglich, kompromittierte Anmeldeinformationen, Seitwärtsbewegungen und Insider-Bedrohungen in hybriden IT-Umgebungen zu erkennen. Unternehmen, die sich auf XDR ohne NDR verlassen, setzen sich einem erheblichen Risiko aus. Dabei ist die Integration von Netzwerkerkennung in XDR dank cloudbasierter NDR-Lösungen kein Luxus mehr – vielmehr gilt es als Notwendigkeit, um umfassenden Schutz zu gewährleisten.

it-sa Expo&Congress
Besuchen Sie uns in Halle 7, Stand 7-230


Bill

Munroe

Senior Director Product Marketing

WatchGuard Technologies

Anzeige

Artikel zu diesem Thema

Das Rauschen im Netzwerk durchbrechen

Weitere Artikel

Cybersicherheit als Schlüsselkompetenz
Neue Hacker-Gruppe Yurei nutzt Open-Source-Code für Angriffe
Chinesische Hacker attackieren US-Institutionen mit neuer Technik
KI: Unglücksbringer oder Retter im Cyberraum?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.