{"id":36951,"date":"2023-02-13T12:16:48","date_gmt":"2023-02-13T11:16:48","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=36951"},"modified":"2023-03-30T11:41:43","modified_gmt":"2023-03-30T09:41:43","slug":"die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/","title":{"rendered":"Die Rolle von Network Detection &#038; Response bei der effektiven Bedrohungserkennung"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Was_ist_Network_Detection_and_Response_NDR\" >Was ist Network Detection and Response (NDR)?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Was_sind_die_5_wesentlichen_Eigenschaften_einer_NDR-Loesung\" >Was sind die 5 wesentlichen Eigenschaften einer NDR-L\u00f6sung?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Die_Vorteile_von_NDR_in_der_Cyberabwehr\" >Die Vorteile von NDR in der Cyberabwehr<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Wie_arbeitet_NDR_mit_einem_Security_Information_and_Event_Management_SIEM_zusammen\" >Wie arbeitet NDR mit einem Security Information and Event Management (SIEM) zusammen?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Wie_ergaenzt_Endpoint_Detection_Response_EDR_eine_NDR-Loesung\" >Wie erg\u00e4nzt Endpoint Detection &amp; Response (EDR) eine NDR-L\u00f6sung?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/die-rolle-von-network-detection-response-bei-der-effektiven-bedrohungserkennung\/#Warum_Sie_NDR_EDR_und_SIEM_kombinieren_sollten\" >Warum Sie NDR, EDR und SIEM kombinieren sollten<\/a><\/li><\/ul><\/nav><\/div>\n<p>In unserem heutigen Beitrag beleuchten unsere Autoren die Rolle von Network Detection &amp; Response (NDR) in der Cyber Defense Strategie von Unternehmen.<\/p>\n<p><strong>Erfahren Sie auch, wie Sie durch das Zusammenspiel von NDR, EDR und SIEM eine effektive, nachhaltige und zuverl\u00e4ssige Bedrohungserkennung realisieren k\u00f6nnen.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_Network_Detection_and_Response_NDR\"><\/span><strong>Was ist Network Detection and Response (NDR)?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Network Detection and Response (NDR) ist ein netzwerkbezogener Sicherheitsansatz, der basierend auf statischen Regeln, Machine Learning und Threat Intelligence den gesamten Datenverkehr eines Unternehmens kontinuierlich \u00fcberwacht und analysiert.<\/p>\n<p>Die L\u00f6sung bezieht dabei sowohl den gesamten internen Datenverkehr als auch die externe Kommunikation ein, ber\u00fccksichtigt also Quellen wie beispielsweise Client- und Serversysteme, Netzwerkkomponenten, aber auch IOT-Sensoren oder OT-Ger\u00e4te. Durch die systematische, automatisierte \u00dcberwachung des Datenverkehrs und des Netzwerkverhaltens lernen NDR-L\u00f6sungen das \u201enormale Verhalten\u201c. Treten von diesem gelernten Verhalten abweichende Muster auf, wie beispielsweise verd\u00e4chtige Zugriffe auf Systeme oder Daten Exfiltrationen, wird durch die NDR-L\u00f6sung automatisiert ein Alarm ausgel\u00f6st. Diese Alarme sollten zentral, beispielsweise in einem SIEM-System (Security Information and Event Management), gesammelt und mit weiteren Daten, beispielsweise von einer EDR-L\u00f6sung (Endpoint Detection and Response) korreliert werden.<\/p>\n<p><strong>Mithilfe des SIEM kann der Cyber Defense Analyst auftretende Unregelm\u00e4\u00dfigkeiten zentral und effizient analysieren und falls n\u00f6tig gezielt darauf reagieren &#8211; beides idealerweise unterst\u00fctzt von einem <a href=\"https:\/\/testing.secuinfra.com\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/\" target=\"_blank\" rel=\"noopener\">SOAR-System<\/a> (Security Orchestration Automation and Response).<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_sind_die_5_wesentlichen_Eigenschaften_einer_NDR-Loesung\"><\/span><strong>Was sind die 5 wesentlichen Eigenschaften einer NDR-L\u00f6sung? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Eine Network Detection and Response (NDR)-L\u00f6sung besitzt eine Reihe von wesentlichen Eigenschaften, die dazu beitragen, Netzwerkbedrohungen zu erkennen und darauf zu reagieren.<\/p>\n<p><strong>Die 5 wichtigsten Merkmale von NDR sind:<\/strong><\/p>\n<ul>\n<li><strong>\u00dcberwachung von Netzwerkverkehr<\/strong>: Eine NDR-L\u00f6sung \u00fcberwacht und analysiert den Netzwerkverkehr hinsichtlich potenzieller Bedrohungen. Dies kann durch die Verwendung von Technologien wie Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) erfolgen.<\/li>\n<li><strong>Verhaltensanalyse<\/strong>: Eine NDR-L\u00f6sung verwendet Machine Learning-Algorithmen, um das verhaltensm\u00e4\u00dfige Muster des Netzwerkverkehrs zu analysieren und Anomalien zu erkennen, die auf eine m\u00f6gliche Bedrohung hinweisen k\u00f6nnen.<\/li>\n<li><strong>Automatische Reaktion<\/strong>: Eine NDR-L\u00f6sung kann automatisch auf erkannte Bedrohungen reagieren, indem sie z.B. Netzwerkverbindungen trennt oder Regeln im Firewall-System implementiert.<\/li>\n<li><strong>Integrit\u00e4tsschutz<\/strong>: Eine NDR-L\u00f6sung kann auch daf\u00fcr sorgen, dass die Integrit\u00e4t des Netzwerks durch \u00dcberwachung von \u00c4nderungen an Konfigurationen und durch \u00dcberwachung von unbefugten Zugriffen auf Netzwerkressourcen gewahrt wird.<\/li>\n<li><strong>Berichterstattung und Forensik<\/strong>: Eine NDR-L\u00f6sung bietet die M\u00f6glichkeit, detaillierte Berichte und Forensik-Daten zu erstellen, die bei der Untersuchung von Sicherheitsvorf\u00e4llen und bei der Identifizierung von Angreifern hilfreich sind.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Die_Vorteile_von_NDR_in_der_Cyberabwehr\"><\/span><strong>Die Vorteile von NDR in der Cyberabwehr <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wie oben er\u00f6rtert, handelt es sich bei einer NDR-L\u00f6sung aufgrund der Features K\u00fcnstlicher Intelligenz und Machine Learning um ein kontinuierlich dazulernendes System. Das damit erreichte tiefgehende Verst\u00e4ndnis des normalen Netzwerkverhaltens f\u00fchrt zu einer zuverl\u00e4ssigen und schnellen Identifizierung von Anomalien. Zudem erm\u00f6glichen NDR-L\u00f6sungen die Erkennung von Angriffsmustern, die auf Endger\u00e4ten unentdeckt bleiben w\u00fcrden. Durch die kontinuierliche Analyse wird auch ein signaturunabh\u00e4ngiges Erkennen bisher unbekannter Sicherheitsbedrohungen erreicht. Die Folge ist ein verbessertes IT-Sicherheitsniveau &#8211; vor allem dann, wenn bereits vorhandenen SIEM-, EDR- oder SOAR-L\u00f6sungen durch NDR erg\u00e4nzt werden. Selbst hochentwickelte Cyberangriffe k\u00f6nnen so fr\u00fchzeitig identifiziert und abgewehrt werden.<\/p>\n<p><strong>Beispiel Ransomware-Angriff:<\/strong> Hier hinterlassen die Angreifer bereits Spuren im Netzwerkdatenverkehr, lange bevor sie ihr eigentliches Ziel, z.B. die Verschl\u00fcsselung von Daten, erreichen. Ein Hinweis auf eine Ransomware-Attacke k\u00f6nnten beispielsweise Anfragen und Kommunikation mit Zielen au\u00dferhalb des Netzes sein, m\u00f6glicherweise zu un\u00fcblichen Arbeitszeiten. Auch der interne Netzverkehr kann Hinweise liefern: Greifen vermeintlich Mitarbeiter pl\u00f6tzlich auf Systeme und Anwendungen zu, die sie \u00fcblicherweise nicht nutzen?<\/p>\n<p>Zudem kann auch eine Daten Exfiltration aus dem internen Netzwerk ein weiterer Indikator f\u00fcr einen bevorstehende Verschl\u00fcsselung sein, da Ransomware-Gruppen die gestohlenen Daten oft f\u00fcr eine weitere Erpressung des betroffenen Unternehmens nutzen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_arbeitet_NDR_mit_einem_Security_Information_and_Event_Management_SIEM_zusammen\"><\/span><strong>Wie arbeitet NDR mit einem Security Information and Event Management (SIEM) zusammen?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>NDR und SIEM arbeiten mit dem \u00fcbergreifenden Ziel zusammen, Bedrohungen zu erkennen, zu verifizieren und darauf zu reagieren, indem sie Informationen sammeln und teilen.<\/strong><\/p>\n<p><strong>NDR<\/strong> sammelt und analysiert Netzwerkinformationen, um Angriffe zu identifizieren. Nach der Identifizierung eines Angriffs kann eine NDR-L\u00f6sung automatisch reagieren, indem es die betroffenen Ger\u00e4te isoliert, um die Ausbreitung des Angriffs zu verhindern und die betroffenen Bereiche zu bereinigen. Weiter stellt eine NDR-L\u00f6sung alle gesammelten Informationen dem SIEM-System zur Verf\u00fcgung.<\/p>\n<p>Das<strong> <a href=\"https:\/\/testing.secuinfra.com\/solutions\/siem\/\" target=\"_blank\" rel=\"noopener\">SIEM<\/a><\/strong> nutzt diese Informationen zusammen mit weiteren Ereignissen von verschiedenen Sicherheitsger\u00e4ten und -anwendungen in Echtzeit. Es korreliert diese Daten, um potenzielle Bedrohungen zu erkennen und Alarme zu generieren.<\/p>\n<p>Auch k\u00f6nnen die Informationen, die durch NDR gesammelt werden, wiederum von Cyber Defense Analysten verwendet werden, um die Erkennungsregeln im SIEM anzupassen und zuk\u00fcnftige Angriffe besser zu erkennen und abzuwehren.<\/p>\n<p><strong>Zusammenfassend unterst\u00fctzt NDR das SIEM unter anderem durch:<\/strong><\/p>\n<ul>\n<li>Erfassung und Analyse von Verbindungsdaten aus dem Netzwerkverkehr<\/li>\n<li>Bereitstellung einer unver\u00e4nderlichen Datenquelle<\/li>\n<li>Optimierung von vollst\u00e4ndigen, umfassenden Berichten<\/li>\n<li>Abdeckung von Protokolll\u00fccken<\/li>\n<li>Protokollanalysen sowie Aggregation und Erkennen verhaltensbedingter Bedrohungen<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Wie_ergaenzt_Endpoint_Detection_Response_EDR_eine_NDR-Loesung\"><\/span><strong>Wie erg\u00e4nzt Endpoint Detection &amp; Response (EDR) eine NDR-L\u00f6sung?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Der Begriff EDR steht f\u00fcr eine auf Endger\u00e4te bezogene Detektion und Reaktion. Der Fokus von EDR-L\u00f6sungen liegt also auf der Erh\u00f6hung der Visibilit\u00e4t von Anomalien auf dem Endpunkt: Der Schutz findet direkt auf den Endger\u00e4ten und nicht an der Netzwerkgrenze statt. Endpunkte \u2013 also alle Ger\u00e4te, die mit einem Netzwerk verbunden sind \u2013 stellen potenzielle Einfallstore f\u00fcr Cyberbedrohungen dar. Mit <strong><a href=\"https:\/\/testing.secuinfra.com\/techtalk\/wie-wichtig-ist-ein-edr-fuer-meine-it-security\/\" target=\"_blank\" rel=\"noopener\">Endpoint Protection &amp; Response (EDR)<\/a><\/strong>\u00a0werden die Aktivit\u00e4ten der Endger\u00e4te in Echtzeit erfasst, protokolliert und analysiert.<\/p>\n<p>EDR-L\u00f6sungen stellen somit einen wertvollen Bestandteil des Cyber Defense-Toolsets dar, sind jedoch durch ihren Fokus auf Endger\u00e4te nicht in der Lage, Netzwerkverkehr und -aktivit\u00e4ten zu \u00fcberwachen, die au\u00dferhalb des Endger\u00e4ts stattfinden. Diese Art von \u00dcberwachung und Analyse erfordert eine Network Detection and Response (NDR)-L\u00f6sung. Beide Technologien erg\u00e4nzen sich somit hervorragend und f\u00fchren dazu, dass durch die Korrelation der gewonnenen Informationen ein detaillierteres Sicherheitsbild entsteht und Angriffe umfassend erkannt und abgewehrt werden k\u00f6nnen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Warum_Sie_NDR_EDR_und_SIEM_kombinieren_sollten\"><\/span><strong>Warum Sie NDR, EDR und SIEM kombinieren sollten<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nach wie vor vertrauen SOC-Teams bei ihrer Arbeit in hohem Ma\u00dfe auf Tools zur Erkennung und Reaktion von Endpunkten (EDR) sowie zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM). Diese Tools k\u00f6nnen jedoch keinen Einblick in den Datenverkehr bieten und geben somit nur einen kleinen, sehr begrenzten Ausschnitt \u00fcber sicherheitsrelevante Vorg\u00e4nge. Erst durch die Erg\u00e4nzung mit einem NDR k\u00f6nnen Cyberangriffe fr\u00fchzeitig erkannt, analysiert und gezielt abgewehrt werden. <strong>Nur e<\/strong><strong>ine Kombination von NDR, EDR und SIEM erm\u00f6glicht es somit, Bedrohungen und Angriffe auf Anwendungsebene, Netzwerkebene und Endpunktebene zu erkennen und umgehend zu reagieren.\u00a0<\/strong><\/p>\n<div class=\"fazit\"><\/p>\n<p><strong>Sie m\u00f6chten eine effektive Bedrohungserkennung f\u00fcr Ihr Unternehmen sicherstellen? <\/strong><strong>Gerne beraten wir Sie in einem pers\u00f6nlichen Gespr\u00e4ch \u2013 kontaktieren Sie uns gerne online oder telefonisch: +49 30 5557021 11! \u00a0\u00a0<\/strong><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Erfahren Sie in diesem Beitrag u.a., wie Sie durch das Zusammenspiel von NDR, EDR und SIEM eine effektive, nachhaltige und zuverl\u00e4ssige Bedrohungserkennung realisieren k\u00f6nnen.<\/p>\n","protected":false},"author":11,"featured_media":36952,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,250,286,66],"tags":[],"dpc_coauthors":[],"class_list":["post-36951","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-detection-response","category-ndr","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36951","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=36951"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36951\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/36952"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=36951"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=36951"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=36951"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=36951"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}