{"id":51489,"date":"2024-03-14T10:24:02","date_gmt":"2024-03-14T09:24:02","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=51489"},"modified":"2024-03-14T10:36:03","modified_gmt":"2024-03-14T09:36:03","slug":"ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/","title":{"rendered":"NDR \u2013 Ein wichtiger Baustein zur Erkennung von IT-Sicherheitsvorf\u00e4llen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/#Bestandteile_von_Network_Detection_and_Response\" >Bestandteile von Network Detection and Response<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/#NDR_ueberwacht_die_gesamte_IT-Infrastruktur\" >NDR \u00fcberwacht die gesamte IT-Infrastruktur<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/#Beispiel_-_Detection_von_Emotet_Command_Control_Kommunikation\" >Beispiel - Detection von Emotet Command &amp; Control Kommunikation<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/#NDR_zur_proaktiven_Analyse\" >NDR zur proaktiven Analyse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/ndr-ein-wichtiger-baustein-zur-erkennung-von-it-sicherheitsvorfaellen\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Zur Erkennung von <strong>IT-Sicherheitsvorf\u00e4llen<\/strong> innerhalb einer Organisation werden unterschiedliche Tools eingesetzt. Das Fundament bildet dabei die Kombination aus Endpoint Detection and Response (EDR) und Netzwerk Detection and Response (NDR) Systemen. Zusammengefasst und mit weiteren Informationen angereichert werden die Daten im SIEM-System ausgewertet. Warum erst die Kombination der Systeme eine umfassende \u00dcberwachung erm\u00f6glicht und welche St\u00e4rken NDR mit sich bringt lesen sie nachfolgend.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bestandteile_von_Network_Detection_and_Response\"><\/span>Bestandteile von Network Detection and Response<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NDR-Tools werden innerhalb der eigenen Infrastruktur an \u00dcberg\u00e4ngen zum \u00f6ffentlichen Netzwerk oder an Verbindungen verschiedener interner <strong>Netzwerkbereiche<\/strong> platziert und verarbeiten den Netzwerkverkehr in Echtzeit. Die Daten werden dazu in der Regel durch einen Netzwerk-TAP, einen Packet Broker oder einen SPAN-Port bereitgestellt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Als einfachste Netzwerk Analyse Art kann der Datenverkehr als <strong>Full-Packet-Capture<\/strong>, aufgezeichnet und im Bedarfsfall analysiert werden. Dabei stehen den Analysten alle Informationen verlustfrei zur Verf\u00fcgung und k\u00f6nnen das Geschehen im Netzwerk genau wiedergeben. Allerdings erfordert diese Art des Monitorings eine h\u00e4ndische Analyse und kann durch die Masse an Informationen sehr zeitintensiv werden. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine weitere M\u00f6glichkeit besteht in der Verwendung von <strong>Network Intrusion Detection Systemen<\/strong> (NIDS). Diese arbeiten mit zuvor definierten Regels\u00e4tzen, um verd\u00e4chtige Netzwerkkommunikation automatisch zu erkennen. Daf\u00fcr gleichen die Tools den Datenstrom in Echtzeit mit den implementierten Regeln ab und geben bei Bedarf Alarm-Meldungen aus. Ein Nachteil von IDS-Tools ist, dass neben dem initialen Alarm nur begrenzt Informationen \u00fcber die Vorkommnisse im Netzwerk vorhanden sind, was eine qualifizierte Beurteilung des Alarms erschwert. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Als weitere Option ist der Einsatz eines <strong>Network Security Monitors<\/strong> (NSM) zu nennen, um das interne Netzwerk zu \u00fcberwachen. Der NSM extrahiert aus dem eingehenden Datenstrom zahlreiche Verbindungs- und Protokoll-spezifische Informationen und gibt diese strukturiert wieder. Dabei sorgt die Extraktion der Informationen aus dem Datenstrom f\u00fcr einen \u00fcberschaubaren Speicherbedarf, was es erm\u00f6glicht, die Daten \u00fcber einen langen Zeitraum zu erhalten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>NDR-Tools <\/strong>verbinden die Vorteile der einzelnen Analyse Arten wie Full-Packt-Capture, NIDS und NSM und erm\u00f6glichen somit einen tiefgreifenden Einblick in die <strong>Netzwerk Infrastruktur<\/strong>. Konkret erzeugen NDR-Tools Alarme auf Basis Signatur- und Anomalie-basierter Regeln, unterst\u00fctzt durch Maschinelles Lernen oder statistische Methoden. Zudem werden zahlreiche Netzwerkinformationen in Logdaten festgehalten, die zur Beurteilung der Alarmmeldungen, zur Analyse im Rahmen eines Incident Response Prozesses oder zum Threat Hunting genutzt werden k\u00f6nnen. Weiter ist es m\u00f6glich, basierend auf bestimmten Ereignissen, kurzeitig automatisiert Full-Packet-Capture Mitschnitte durchzuf\u00fchren, um Analysten eine optimale Datengrundlage f\u00fcr die Beurteilung zu bieten. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Neben der Angriffserkennung bieten NDR-Tools verschiedene Schnittstellen zu automatischen <strong>Response-Ma\u00dfnahmen<\/strong>, wie das Erstellen von Firewall Regeln oder dem Blockieren bestimmter Webseiten. Abschlie\u00dfend k\u00f6nnen NDR-Tools die Log- und Alarmdaten an bestehende SIEM- oder SOAR-Systeme weiterleiten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"NDR_ueberwacht_die_gesamte_IT-Infrastruktur\"><\/span>NDR \u00fcberwacht die gesamte IT-Infrastruktur<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Network Detection and Response Tool erm\u00f6glicht in erster Linie die Erkennung und entsprechende Reaktion auf Bedrohungen, die bei der Betrachtung von Endger\u00e4ten unentdeckt bleiben w\u00fcrden. Dazu z\u00e4hlt zum Beispiel die Detektion von Command &amp; Control Kommunikation innerhalb einer Organisation. F\u00fcr diese Art des <strong>Netzwerkverkehrs<\/strong> werden oft legitime Tools, welche bei der ausschlie\u00dflichen Betrachtung von Host-Informationen nicht oder nur schwer als b\u00f6sartig zu erkennen sind, verwendet. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wird das Netzwerk dagegen im gesamten \u00fcberwacht, fallen selten genutzte Tools oder langanhaltende Verbindungen deutlich einfacher auf. \u00c4hnlich verh\u00e4lt es sich auch bei der Erkennung von Lateral Movement oder Daten Exfiltrationen. Hier bieten die Korrelation von verschiedenen Host-Systemen und das Erstellen von Baselines \u00fcber das Normalverhalten <strong>wichtige Indikatoren<\/strong>, um Abweichungen und b\u00f6sartiges Verhalten festzustellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer Vorteil beim Einsatz von NDR-Tools steckt in deren <strong>passiver Analysem\u00f6glichkeit<\/strong>. F\u00fcr die Verwendung von NDR ist keine Installation von Agents auf den einzelnen Host-Systemen notwendig. Dies erm\u00f6glicht die \u00dcberwachung von Netzwerksegmenten oder Ger\u00e4ten, die keine Installation von Dritt-Software zulassen. Als Beispiele sind dabei vor allem der OT-Bereich zu nennen, wo Ger\u00e4te oft keine Schnittstellen zur weiteren Softwareinstallation bereitstellen oder diese durch den Hersteller vertraglich unterbunden werden. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Daneben finden sich im <strong>OT-Umfeld <\/strong>oft veraltete Softwareprodukte, die von aktuellen EDR-Tools nicht mehr unterst\u00fctzt werden. Weiter k\u00f6nnen auch Netzwerkger\u00e4te wie Drucker oder IoT-Ger\u00e4te passiv \u00fcberwacht werden, die durch ihre unscheinbaren Funktionen meist vergessen werden und bei Angreifern daher ein beliebtes Ziel darstellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Beachtlich ist auch der Mehrwert bei der Analyse. Hier stellen NDR-Tools direkt alle relevanten Netzwerkinformationen bereit. Somit ist es nicht erforderlich Informationen aus verschiedenen Datenquellen wie Firewall-Logs, DNS-Server oder Web-Proxy-Logs manuell zusammenzutragen, zu normalisieren und zu aggregieren. Weiter erm\u00f6glicht die Speicherung der Netzwerkdaten durch ein NDR-Tool eine effiziente und platzsparende M\u00f6glichkeit die Informationen lange vorzuhalten. Dadurch ist es auch r\u00fcckwirkend m\u00f6glich, das <strong>Organisationsnetzwerk<\/strong> nach IoCs wie aufgerufenen IP-Adressen, Domainnamen oder heruntergeladenen Dateien zu durchsuchen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Beispiel &#8211; Detection von Emotet Command &amp; Control Kommunikation<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">In einem Bespielszenario wird nachfolgend die Command &amp; Control Kommunikation der <strong>Emotet Malware<\/strong> analysiert. Als NDR-Tool kommt dabei Corelight zum Einsatz. <strong>Corelight<\/strong> vereint die Open-Source Tools Suricata (NIDS) und Zeek (NSM) zu einer leistungsstarken NDR-Plattform. Optional wird durch Smart-PCAP der event-basierte Mitschnitt von Full-Packet-Captures erm\u00f6glicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die nachfolgende Grafik zeigt zun\u00e4chst die initialen Alarme von <strong>Suricata<\/strong>. Dabei ist zu erkennen, dass neben der Alarmmeldung und allgemeinen Verbindungsinformationen wie die IP-Adressen und Ports keine weiteren Inhalte zur Analyse bereitgestellt werden. W\u00fcrden ein Analyst ausschlie\u00dflich diese Informationen sehen, kann nur schwer beurteilt werden, ob es sich um b\u00f6sartigen Netzwerkverkehr oder eine potenzielle Fehlalarmierung handelt.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"908\" height=\"206\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/grafik-1.png\" alt=\"\" class=\"wp-image-51492\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/grafik-1.png 908w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/grafik-1-800x181.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/grafik-1-768x174.png 768w\" sizes=\"(max-width: 908px) 100vw, 908px\" \/><figcaption class=\"wp-element-caption\">Schematische Darstellung der Netzwerkinformationen, unterteilt in die einzelnen Kategorien.<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Daher verkn\u00fcpft das NDR-Tool die initiale Alarmmeldung mit weiteren Netzwerkinformationen aus Zeek. Dabei wird ist der Alarm mit weiteren Informationen kontextualisiert und die Beurteilung erleichtert. Die zus\u00e4tzlichen Daten sind in allgemeine Flow-Informationen sowie in die verschiedenen <strong>Netzwerkprotokolle<\/strong> und aus dem Netzwerkverkehr extrahierte Dateien unterteilt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die <strong>Netzwerk Flow-Informationen<\/strong> stellen zus\u00e4tzlich zu den genutzten IP-Adressen und Ports Informationen zu der Anzahl der \u00fcbertragenen Bytes und Pakete, die Verbindungsdauer oder die Verbindungshistorie bereit. Vor allem letzteres hilft, schnell zu beurteilen, ob die Verbindung erfolgreich aufgebaut wurde oder bereits durch Response-Ma\u00dfnahmen unterbunden ist. Weiter zeigen die Protokollspezifischen Inhalte, im Beispiel HTTP, Angaben zur aufgerufenen URL, dessen Request-Type oder den verwendeten User-Agent. Durch die strukturierte Darstellung der Daten bestehen zus\u00e4tzlich direkte Verlinkungen zu im HTTP-Protokoll \u00fcbertragenen Dateien sowie dessen Analyse-Ergebnisse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Durch die Vielzahl an zus\u00e4tzlichen Informationen kann eine strukturierte und effiziente Beurteilung der <strong>initialen Netzwerkalarme<\/strong> erfolgen, auch k\u00f6nnen die Daten zur Beurteilung von Alarmen aus anderen Quellen (z.B. EDR, IDS, SIEM,\u2026) herangezogen werden. Weiter unterst\u00fctzt die zus\u00e4tzliche Kontextualisierung der Vorf\u00e4lle bei der Auswahl der passenden Reaktionsma\u00dfnahmen sowie die Beurteilung der Auswirkungen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"NDR_zur_proaktiven_Analyse\"><\/span>NDR zur proaktiven Analyse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Neben den reaktiven M\u00f6glichkeiten des NDR-Tools durch die Alarmierung auf Basis verschiedener Detektionsregeln zeigen Netzwerkdaten ihre St\u00e4rke im Bereich der proaktiven Anlayse \u2013 auch als <strong>Threat Hunting<\/strong> bekannt. Hier bieten die tiefgehenden Informationen des Analysetool zahlreiche Anhaltspunkte zur manuellen Suche nach IoCs oder der <strong>Anomalie-Erkennung<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Beispiel k\u00f6nnen, wie in der Einleitung beschrieben, selten genutzte Tools oder deren <strong>Netzwerksignaturen<\/strong> einfach erkannt werden. Darunter fallen ebenfalls Konfigurationen, die von Angreifern bewusst gesetzt werden, um legitime Programme zu \u00fcbernehmen. Die nachfolgende Grafik zeigt eine Auflistung selten verwendeter User-Agents innerhalb des Unternehmensnetzwerk, die f\u00fcr die Web-Kommunikation genutzt wurden. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deutlich zu erkennen ist der vermeintliche User-Agent in Zeile zwei, welcher bei Erfolg die <strong>Systeminformationen<\/strong> eines Webservers auslesen soll und diese an eine entfernte IP-Adresse schickt. Neben der initialen Erkennung solcher Aktivit\u00e4ten unterst\u00fctzen NDR-Tools auch bei dessen Aufkl\u00e4rung. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kann die betroffene IP-Adresse bei einer Suche innerhalb der historischen Daten nicht gefunden werden, kann mit einer gro\u00dfen Wahrscheinlichkeit davon ausgegangen werden, dass der Kommunikationsversuch und die Ausnutzung der <strong>potenziellen Schwachstelle<\/strong> fehlschlugen. Findet sich die IP-Adresse wiederum im Datensatz bieten die Netzwerkinformationen, wie zuvor beschrieben, eine gute Grundlage f\u00fcr weitere Untersuchungen und die Einleitung von Gegenma\u00dfnahmen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"698\" height=\"246\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/grafik.png\" alt=\"\" class=\"wp-image-51490\"\/><figcaption class=\"wp-element-caption\">Schematische Darstellung selten genutzer User-Agents innerhalb des Netzwerks.<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Kombination verschiedener <strong>Netzwerk Analyse Techniken<\/strong> wie Intrusion Detection, Full-Packet-Capture und Netzwerk Security Monitor erm\u00f6glichen einem NDR-Tool die umfassende Analyse von Netzwerkdaten eines Unternehmens. Durch den gro\u00dfen Informationsgehalt sind zielgerichtete, automatische Schutzma\u00dfnahmen oder manuelle Analyse-T\u00e4tigkeiten m\u00f6glich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Allerdings erm\u00f6glicht erst das Zusammenspiel verschiedener unterschiedlicher <strong>Detektionsmechanismen<\/strong> innerhalb der gesamten Unternehmensstruktur einen umfassenden Schutz vor Bedrohungen. Dazu z\u00e4hlt neben einem NDR-Tool auch das Sammeln von Logdaten, der Einsatz von <strong>EDR-Systemen<\/strong>, die Implementierung von Cyber Deception Ma\u00dfnahmen, das Einbeziehen von <strong>Threat Intelligence Informationen<\/strong> sowie die Aggregierung und Analyse aller gewonnenen Informationen in einem zentralen SIEM-System.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt <a href=\"https:\/\/testing.secuinfra.com\/managed-detection-and-response\/co-managed-ndr\/\" target=\"_blank\" rel=\"noreferrer noopener\">hier<\/a> mehr erfahren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zur Erkennung von IT-Sicherheitsvorf\u00e4llen innerhalb einer Organisation werden unterschiedliche Tools eingesetzt. Das Fundament bildet dabei die Kombination aus Endpoint Detection and Response (EDR) und Netzwerk Detection and Response (NDR) Systemen.<\/p>\n","protected":false},"author":15,"featured_media":51494,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[286,66],"tags":[358],"dpc_coauthors":[],"class_list":["post-51489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ndr","category-techtalk","tag-ndr"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/51489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=51489"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/51489\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/51494"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=51489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=51489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=51489"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=51489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}