Network Detection and Response
Vor- und Nachteile von NDR im Mittelstand
Fortsetzung des Artikels von Teil 1
EDR mit NDR kombinieren
Diese Nachteile lassen sich durch eine Kombination von EDR mit NDR (Network Detection and Response) elegant ausgleichen. Die neueste Generation netzwerkbasierter Erkennung nutzt Sensoren innerhalb und außerhalb des Unternehmensnetzes, um unabhängig vom Endgerät dessen Kommunikation zu überwachen, zu prüfen und im Angriffsfall darauf zu reagieren.
Der Rollout der Sensorik ist dabei mit geringem Aufwand verbunden. Je nach Lösung genügt es, die Sensoren an einigen zentralen Knotenpunkten des eigenen Netzwerks zu installieren und ihnen über Funktionen der Core-Switches Datenverkehr zuzuleiten. Für Cloud-Netzwerke sind meistens Templates verfügbar, um dort ebenfalls den Datenverkehr zu überwachen. Mittelständischen Unternehmen kommt dabei entgegen, dass ihre Netze oft zentralistisch aufgebaut sind. So ist nur eine geringe Anzahl von Sensoren notwendig, um große Teile des Datenverkehrs zu überwachen.
Vergleich von EDR und NDR
Ähnlich wie EDR-Tools nutzen NDR-Sensoren sowohl Signaturen als auch verhaltensbasierte Regelwerke, um Angriffe im Netzwerk zu erkennen. Im Gegensatz zu EDR erfasst NDR dabei jedes angeschlossene Endgerät – vom PC über den Drucker und die Videokonferenzanlage bis hin zum internetfähigen Kühlschrank. Während EDR nur einen Teil des Netzes in der Tiefe überwacht, bietet NDR also eine viel breitere Basis für die Erkennung von Angriffen.
Im Extremfall können die NDR-Sensoren im Netzwerk komplett passiv Angriffe erkennen, indem man über Span- oder Tap-Ports den Datenverkehr auf den Core-Switches spiegelt. Damit ist die Überwachung durch NDR für einen Angreifer praktisch nicht zu erkennen: Während der EDR-Agent auf dem Endpunkt selbst sichtbar und manipulierbar) ist, bemerken Angreifer das Monitoring durch NDR nicht. Angreifer verlassen sich deshalb nach der Abschaltung oder Umgehung des EDR oft darauf, sich ungestört im Kundennetz bewegen zu können. In diesem Fall schlägt mit NDR die zweite Schutzebene zu und alarmiert die Security-Verantwortlichen unabhängig vom Endgerät.
Ein Nachteil passiver Erkennung ist allerdings das Fehlen einer Möglichkeit, Datenströme direkt zu blockieren. Diese Funktion lässt sich nur über eine Integration mit Firewalls oder ähnlichen Systemen erreicen. Alternativ ist es möglich, Sensoren direkt im Pfad des Datenverkehrs zu platzieren. Dort können sie aktiv reagieren, stellen jedoch einen weiteren potenziellen Ausfallpunkt (Single Point of Failure) dar. Die meisten NDR-Tools auf dem Markt bieten beide Möglichkeiten an.
Netzwerkbasierte Lösungen sind im Allgemeinen weniger komplex und damit resilienter gegen direkte Angriffe. Die Kernel-Treiber und Systemdienste endpunktbasierter Software gelten dagegen als deutlich anfälliger. Aktive Umgehungen von NDR-Lösungen durch Angreifer sind kaum bekannt. Dies liegt sicherlich auch an der fehlenden Verfügbarkeit dieser Systeme für kriminelle Akteure.
XDR als Kombination
Inzwischen bieten immer mehr Hersteller die Kombination von EDR und NDR als sogenannte XDR-Software (Extended Detection and Response) an. XDR-Lösungen führen die Alarme aus beiden Systemen in einer zentralen Oberfläche zusammen und korrelieren sie. Den Vorteilen des zentralen Managements und der Korrelation von Angriffen stehen allerdings Nachteile gegenüber, wenn der Angreifer die genutzte Software übernimmt. Ein unabhängiges NDR-Tool kann in diesem Fall den Angriff melden und verfolgen – hingegen sind bei einer Vollintegration der Lösungen beide Schutzebenen auf einmal ausgeschaltet.
Da sich meist nur Lösungen eines Anbieters integrieren lassen, steigt außerdem die Abhängigkeit von diesem Zulieferer. Es gilt also, den höheren Betreuungsaufwand von zwei Lösungen gegenüber der höheren Anfälligkeit abzuwägen. Im Mittelstand geht aufgrund limitierter Ressourcen der Trend aktuell zu voll integrierten Angeboten. Der Rollout ist nicht sehr komplex, und im Gegensatz zu Software auf dem Endgerät gefährdet nicht jedes Update des Betriebssystems die Funktion. Bei einem passiven Monitoring über Traffic-Spiegelung kann die NDR-Lösung sogar komplett ausfallen, ohne den Betrieb zu gefährden. Dadurch ist der laufenden Administrationsaufwand im Vergleich zu anderen Sicherheitswerkzeugen sehr gering.
Dem entgegen steht die im Vergleich zu anderen Security-Tools höhere Zahl von Fehlalarmen. Eine generelle Aussage über alle Systeme am Markt ist schwierig, aber eine Tendenz zu höheren False-Positive-Raten im Vergleich zu EDR und anderen Lösungen ist auf jeden Fall gegeben. Wenn sich diese zusätzlichen Aufwände nicht realisieren lassen, offerieren einige Anbieter auch Managed-NDR-Services: Sie übernehmen die Qualifikation der Alarme, korrelieren diese mit anderen Quellen und erzielen dadurch eine sehr hohe Trefferquote bei wenigen Fehlalarmen.
Stefan Steinberg ist Director Cyber Defense der Deutschen Cyber-Sicherheitsorganisation (DCSO).
- Vor- und Nachteile von NDR im Mittelstand
- EDR mit NDR kombinieren
Lesen Sie mehr zum Thema
