Network Detection and Response
NDR-Technik für den Mittelstand
Fortsetzung des Artikels von Teil 1
Wie NDR KMU-tauglich wird
Die jüngsten Weiterentwicklungen machen NDR für kleinere Unternehmen besser handhabbar. Die folgenden sieben NDR-Innovationen verändern das Spiel:
Künstliche Intelligenz: Traditionelle NDR-Tools haben viele Abweichungen vom modellierten Netzwerkverhalten festgestellt. Aber nicht alle davon stellten echte Gefahren dar. Vielmehr handelte es sich zum größten Teil um Fehlalarme. Man brauchte viele Spezialisten, um sich um diese Fehlalarme zu kümmern. Durch den Einsatz von künstlicher Intelligenz können moderne NDR-Tools jetzt für KMUs arbeiten, indem sie die Warnungen auf die Ereignisse eingrenzen, auf die man wirklich automatisch reagieren muss oder die ein menschlicher Spezialist untersuchen muss.
Maschinelles Lernen: Das heutige maschinelle Lernen kann das normale Verhalten des Netzwerkverkehrs viel genauer modellieren als frühere Generationen. Verschiedene Lernalgorithmen identifizieren und korrelieren Hunderte von Faktoren in den Netzwerkdaten und führen zu viel granulareren Modellen.
Stark visualisierte Benutzeroberfläche: Nichts spart den Sicherheitsanalysten mehr Zeit als eine übersichtliche und visualisierte Benutzeroberfläche. Sie können sich viel leichter einen Überblick verschaffen, was wichtig ist und was zu tun ist. Außerdem ist es einfacher, dem Management zu erklären, was passiert ist, wenn die Beteiligten klare, visualisierte Berichte erhalten.
Automatische Erkennung aller Assets im Netzwerk: Blinde Flecken im Netzwerk sind die perfekte Eintrittspforte für Hacker und Malware. Man kann nicht schützen, was man nicht sieht. Mit Hilfe der automatischen Erkennung beseitigen moderne NDR-Tools blinde Flecken frühzeitig und geben Sicherheitsanalysten einen Echtzeit-Einblick in das Netzwerk.
Integration mit Endpunktschutz, Firewall, SIEM, EDR und anderen Tools: Die Integration funktioniert auf zwei Arten. Einerseits hilft die Aggregation von Logfiles bestehender Sicherheitstechnik bei der Modellierung des Normalzustands. Andererseits kann sie die Reaktion beschleunigen. So können beispielsweise Playbooks eine sofortige Quarantäne für einen infizierten Endpunkt oder die Unterbrechung des ausgehenden Datenverkehrs an der Firewall automatisieren. Im Falle eines Angriffs ist die Zeit entscheidend, um die Auswirkungen abzumildern – und die Integration mit anderen Sicherheitssystemen kann Zeit sparen.
Automatisierte Untersuchung von Vorfällen und Korrelation von Ereignissen: Ein raffinierter Angriff besteht immer aus einer komplexen Angriffskette. Bei Auffälligkeiten müssen Sicherheitsanalysten herausfinden, woher die Gefahr kommt, während die Uhr tickt. Mit modernen Korrelations-Engines können sie ein Ereignis leicht bis zur Ursache zurückverfolgen und Schwachstellen oder Lücken schließen.
Standard-Reaktionsmaßnahmen: Da die IT-Sicherheitsressourcen begrenzt sind, wie in fast jedem KMU, müssen die Unternehmen die Reaktion auf Bedrohungen so weit wie möglich automatisieren. Die Verwendung vordefinierter Standardreaktionen, beispielsweise Quarantäne infizierter Netzwerkressourcen, kann Angriffe nahezu in Echtzeit abwehren. Mit NDR-Tools kann man Playbooks definieren, die mehrere Maßnahmen auf einmal auslösen, angefangen von E-Mails und SMS an Teammitglieder bis hin zum Zurücksetzen von Passwörtern und Aktualisieren von Firewall-Regeln.
Dank der jüngsten NDR-Entwicklungen sind nun viel mehr kleinere Unternehmen in der Lage, die immer raffinierteren Bedrohungen ihrer wachsenden Angriffsfläche zu erkennen. NDR-Lösungen erfordern weniger Ressourcen, da sie zwischen echten Bedrohungen und Fehlalarmen unterscheiden, Maßnahmen priorisieren und die Beseitigung von Bedrohungen automatisieren. Mit NDR sind KMUs viel besser gerüstet, um sich gegen Angriffe zu behaupten.
Thomas Krause ist Regional Director DACH-NL bei ForeNova Technologies.
- NDR-Technik für den Mittelstand
- Wie NDR KMU-tauglich wird
Lesen Sie mehr zum Thema
