Warum Network Detection and Response (NDR) für die moderne Cybersicherheit in hybriden und Cloud-Umgebungen unverzichtbar ist

Vor einigen Jahren, als XDR-Lösungen auf den Markt kamen, herrschte große Begeisterung über ihr Potenzial, sämtliche Herausforderungen der Cybersicherheit zu lösen. Viele glaubten, dass XDR das Ende von SIEMs und NDR-Lösungen bedeuten würde, da die Korrelation verschiedener Protokollquellen (EDR, Anwendungen, Kommunikation usw.) die Daten aus dem Netzwerk oder anderen „veralteten Protokollquellen“ ersetzen könnte.

Bis zu einem gewissen Grad hatten sie recht. XDR-Systeme haben die Fähigkeit zur Datenkorrelation erheblich verbessert und erleichtern Analysten in Security Operations Centers (SOC) die Arbeit, indem sie Fehlalarme reduzieren und relevante Sicherheitsvorfälle liefern. Viele Fachleute berücksichtigten jedoch damals nicht alle Datenquellen, die XDR-Systeme erfassen. Während XDR-Systeme hervorragend geeignet sind, Cloud-Anwendungen, Kommunikationskanäle und Endgeräte in Unternehmen über APIs oder Agenten zu schützen, fehlt ihnen die Fähigkeit, Systeme effizient abzusichern, die sich nicht in ein XDR integrieren lassen oder keine Agenteninstallation unterstützen. Gerade diese Systeme enthalten oft die Kronjuwelen eines Unternehmens und werden bei der Planung einer Sicherheitsarchitektur häufig übersehen.

Früher richteten sich Angriffe hauptsächlich gegen Endgeräte wie Computer und Server, über die Angreifer leicht in das Netzwerk eindringen konnten. Mit der zunehmenden Verbreitung von XDR-Systemen hat sich der Fokus jedoch auf ungeschützte Geräte wie Netzwerkkomponenten, Firewalls, Verbindungsgateways, IoT-Geräte und Hypervisor-Server verlagert. Auf diesen Geräten kann kein Agent installiert werden, weshalb sie sich schlecht in XDR-Systeme integrieren lassen.

Ein Blick auf bedeutende Cyberangriffe der Vergangenheit zeigt, dass Zero-Day-Schwachstellen in Geräten von Palo Alto Networks, Fortinet und Citrix Angreifern direkten Zugang zum Netzwerk verschafften. Seitliche Bewegungen (Lateral Movement), die von diesen Geräten ausgehen, lassen sich mit Lösungen wie Network Detection and Response (NDR) oder einem richtig konfigurierten Security Information and Event Management (SIEM)-System deutlich effizienter erkennen.

Eine weitere Technik, mit der Angreifer XDR-Systeme umgehen, ist die Nutzung legitimer, im Betriebssystem integrierter Tools – sogenannter LOLBINs. Mit diesen Tools können Angreifer unbemerkt Privilegien ausweiten und sich lateral im Netzwerk bewegen. Solche fortgeschrittenen Techniken lassen sich häufig nur durch gezielte Threat-Hunting-Szenarien oder den Einsatz von NDR-Lösungen erkennen.

Was sind NDR-Lösungen und wie funktionieren sie?

NDR-Lösungen (Network Detection and Response) sind im Wesentlichen Sensoren im Netzwerk, die den Datenverkehr erfassen und analysieren. Sie können entweder auf Erkennungssignaturen oder auf Algorithmen für maschinelles Lernen und künstliche Intelligenz basieren – einige unterstützen auch eine Kombination beider Ansätze. Systeme, die beide Methoden nutzen, sind in der Lage, sowohl bekannte Bedrohungen als auch unbekannte Angriffe durch Verhaltensanalysen effektiv zu erkennen, benötigen dafür jedoch mehr Hardware-Ressourcen.

Bedeutung von NDR in Cloud-Umgebungen

Mit der zunehmenden Verfügbarkeit von Cloud-Lösungen prüfen viele Unternehmen, wie sie die Cloud nutzen können, um ihre lokalen Workloads zu erweitern oder zu ersetzen. Dies führt häufig zu hybriden Umgebungen, in denen Workloads sowohl in der Cloud als auch lokal betrieben werden – die Cloud wird somit zur Erweiterung des lokalen Rechenzentrums.

Cloud-Umgebungen bieten verschiedene Modelle wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), die jeweils eigene Sicherheitsansätze erfordern. Für Network Detection and Response (NDR)-Systeme ist es entscheidend, den Netzwerkverkehr dieser Ressourcen zu erfassen. Dies ist in der Regel bei Workloads wie virtuellen Maschinen (VMs) oder Containern möglich. Um den Netzwerkverkehr dieser Workloads zu erfassen, wird ein virtueller TAP (vTAP) an der Schnittstelle des Workloads installiert, der den Datenverkehr an die Monitoring-Lösung weiterleitet. Die Erfassung des Datenverkehrs anderer Workloads erfordert jedoch Routing-Anpassungen, damit der Verkehr über ein Gerät geleitet wird, das diesen weiterleiten kann. Dies kann zu Ineffizienzen und Latenzen führen. Daher unterstützen die meisten anderen Cloud-Workloads derzeit keine effiziente Überwachung durch NDR-Systeme.

Bereitstellung von NDR in der Cloud

Die Erfassung von Netzwerkverkehr in Cloud-Umgebungen stellt eine erhebliche Herausforderung dar – sowohl in Bezug auf die Komplexität als auch auf die Kosten –, da viele Cloud-Anbieter keine nativen und kostengünstigen Lösungen anbieten.

AWS stellt mit dem VPC Traffic Monitoring eine Möglichkeit zur Verfügung, Netzwerkverkehr von Elastic Network Interfaces (ENIs) zu spiegeln. Bei einem Preis von 11 US-Dollar pro ENI und Monat können Unternehmen mit 200 ENIs monatliche Kosten von rund 2.200 US-Dollar erwarten – bei eingeschränkter Unterstützung für alle EC2-Instanztypen.

Google Cloud bietet Packet Mirroring an, das auf der Menge des eingehenden Datenverkehrs basiert, der von Load Balancern verarbeitet oder zwischen Zonen übertragen wird. Für Unternehmen mit 200 Workloads können sich die monatlichen Kosten auf etwa 2.500 US-Dollar belaufen – abhängig vom tatsächlichen Datenvolumen. Diese variable Preisgestaltung erschwert eine langfristige Budgetplanung.

Azures Virtual TAP-Lösung befindet sich noch in der privaten Vorschauphase, ist nur in ausgewählten Regionen verfügbar und unterstützt nicht alle Cloud-Workloads, was ihre Skalierbarkeit und Nutzbarkeit einschränkt.

Die Erfassung von Netzwerkverkehr in der Cloud erfordert daher häufig den Einsatz von Drittanbieterlösungen wie Gigamon. Gigamon ermöglicht es Unternehmen, Agenten auf virtuellen Maschinen (VMs) zu installieren und Datenverkehr aus containerisierten Umgebungen zu erfassen, der anschließend an den NDR-Sensor zur Analyse weitergeleitet wird. Einige NDR-Anbieter wie Vectra.ai integrieren die Gigamon-Lizenzierung direkt in ihre Servicepakete, was die Bereitstellung vereinfacht und die Komplexität für Unternehmen reduziert.

Korrelation von NDR-Ereignissen mit XDR

Die Korrelation von Daten zwischen NDR-Erkennungen und XDR-Telemetrie kann die Fähigkeit eines Unternehmens zur Erkennung komplexer Bedrohungen – insbesondere in hybriden Umgebungen – erheblich verbessern. Durch die Kombination der Stärken beider Systeme erhalten Unternehmen tiefere Einblicke in Advanced Persistent Threats (APTs), laterale Bewegungen, Missbrauch von Berechtigungen und Datenexfiltration.

Diese Integration lässt sich am besten über eine Security Information and Event Management (SIEM)-Lösung oder eine XDR-Plattform mit Data-Lake-Funktionalität – wie etwa Microsoft Defender – realisieren. Solche Setups ermöglichen die Vereinheitlichung verschiedenster Datenquellen und schaffen ein robusteres und umfassenderes Sicherheitsframework.

Für Unternehmen, die ihre Cybersicherheitsstrategie optimieren möchten, sind die Implementierung von NDR-Systemen und das effektive Management von SIEM-Lösungen entscheidende Schritte. Unser Expertenteam unterstützt Sie gerne bei der Einführung von NDR-Systemen, der Datenkorrelation über Plattformen hinweg und der Entwicklung maßgeschneiderter Detection Use Cases – damit Ihr Unternehmen über verbesserte Bedrohungsinformationen und Reaktionsfähigkeiten verfügt. Lassen Sie uns gemeinsam Ihre Sicherheitsarchitektur stärken und Ihre Abwehr in einer zunehmend komplexen Bedrohungslandschaft verbessern.