Schutzmechanismus NDR
Ransomware-Angriffe auf die Industrie
Fortsetzung des Artikels von Teil 1
Erfassung des Bedrohungsverlaufs
Der Bedrohungsverlauf lässt sich im Allgemeinen an drei Stellen erfassen: im Netzwerk, an den Endpunkten und in den Protokollen. EDR-Tools (Endpoint Detection and Response) sorgen für den detaillierten Überblick über die auf einem Host laufenden Prozesse und die Interaktionen zwischen ihnen. NDR bietet eine „Vogelperspektive“ der Interaktionen zwischen allen Geräten im Netzwerk.
Sicherheitsteams konfigurieren dann SIEM-Systeme, um Ereignisprotokolldaten von anderen Systemen zu sammeln und zwischen den Datenquellen zu korrelieren. Unternehmen, die diese Tools einsetzen, können bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen eine breite Palette von Fragen beantworten, darunter: Was hat dieses Gerät oder dieses Konto vor dem Alarm getan? Was hat es nach der Warnung getan? Wann haben sich die Dinge zum Schlechten gewendet?
NDR hat dabei die zentrale Aufgabe, weil es eine Perspektive bietet, die andere Sicherheitslösungen nicht bieten. So können beispielsweise Exploits, die auf der BIOS-Ebene eines Geräts operieren, EDR-Funktionen unterlaufen, oder bösartige Aktivitäten erscheinen einfach nicht in den Protokollen. Versierte Angreifer verwenden zudem versteckte HTTPS-Tunnel, die sich in den regulären Datenverkehr einfügen, um eine C2-Sitzung zu starten. Ziel der Akteure ist es, dieselbe Sitzung zu nutzen, um sensible Geschäfts- und Kundendaten zu exfiltrieren und die Sicherheitskontrollen am Netzwerkrand zu umgehen. Diese Aktivitäten sind jedoch zu erkennen, sobald die Angreifer über das Netz mit einem anderen System interagieren. NDR-Lösungen sind überaus effektiv beim Aufspüren dieser Verhaltensweisen.
NDR spielt mittlerweile eine entscheidende Rolle bei der Sicherung digitaler Infrastrukturen. Führende NDR-Lösungen nutzen Verhaltensanalysen und ML/KI, um das Verhalten von Angreifern zu modellieren und professionelle Angreifergruppen (Advanced Persistent Threats, APTs) mit chirurgischer Präzision zu erkennen. Sie vermeiden eine Flut wenig aussagekräftiger und uninteressanter Warnmeldungen, da sie nicht Anomalien, sondern aktive Angriffe erkennen. Weil alle wesentlichen Prozesse automatisiert erfolgen, verbessert NDR zudem die Sicherheitserkennung und Betriebseffizienz erheblich. Unternehmen können so auf den generellen IT-Fachkräftemangel und speziell auf den in der Cybersicherheit reagieren.
Matthias Schmauch ist Sales Manager Germany bei Vectra.
- Ransomware-Angriffe auf die Industrie
- Erfassung des Bedrohungsverlaufs
Lesen Sie mehr zum Thema
