{"id":24676,"date":"2023-07-26T11:19:00","date_gmt":"2023-07-26T09:19:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=24676"},"modified":"2023-07-17T10:34:58","modified_gmt":"2023-07-17T08:34:58","slug":"wie-edr-ndr-und-mdr-im-zusammenspiel-fuer-umfassende-cybersicherheit-sorgen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=24676","title":{"rendered":"Wie EDR, NDR und MDR im Zusammenspiel f\u00fcr umfassende Cybersicherheit sorgen"},"content":{"rendered":"\n

Autor\/Redakteur: Paul Smit, Director Professional Services bei ForeNova Technologies B.V.<\/a>\/gg<\/p>\n\n\n\n

Cyberattacken sind erfolgreich und folgenschwer, wenn die Angreifer genaue Kenntnisse \u00fcber die Gegebenheiten und die Daten der Opfer-IT haben. Um diese zu erlangen, ist die Verweildauer der Hacker im angegriffenen Netz oft sehr lange. Um dies zu verhindern, muss die Abwehr b\u00f6sartige Aktivit\u00e4ten vorbeugend und fr\u00fchzeitig unterbinden sowie die Exekution eines Angriffes noch w\u00e4hrenddessen verhindern. Das kann nur eine gut informierte und tief gestaffelte IT-Sicherheit leisten. Sie hat den Datenverkehr und das Geschehen am Endpunkt im Blick. Die Kombination aus einer Network Detection and Response (NDR) und einer Endpoint Dectection and Response (EDR) bietet einen umfassenden Schutz. Zus\u00e4tzlich unterst\u00fctzt die menschliche Expertise externer Sicherheitsanalysten im Rahmen einer Managed Detection and Response die internen IT-Verantwortlichen und wird immer unentbehrlicher.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: ForeNova Technologies B.V.<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Spuren, die Angreifer im Netzverkehr und auf unterschiedlichen Endpunkten hinterlassen, geben entscheidende Hinweise f\u00fcr eine erfolgreiche Pr\u00e4vention und Abwehr. Diese beruhen vor allem auf dem Wissen und der kontinuierlichen \u00dcberwachung der gesamten IT. Eine Kombination aus NDR und EDR verbessert den notwendigen Wissensaustausch sowie die Koordination und Kooperation der Abwehr.<\/p>\n\n\n\n

Umfassender \u00dcberblick \u00fcber die Assets der IT<\/strong><\/p>\n\n\n\n

Die Aufgaben einer NDR sind vielf\u00e4ltig: Zum einen erkennt sie das Entstehen von neuen Verbindungen mit bislang unbekannten IP-Adressen, also etwa mit unbekannten externen Servern. Zum anderen sieht sie Unterschiede in der Datenmenge und der Zeit, in der diese zwischen bekannten Systemen flie\u00dfen. Zudem weist sie auf unbekannte Assets im Netz hin \u2013 dies k\u00f6nnen beispielsweise eine Schatten-IT oder virtuelle Maschinen sein, die einmal angelegt und eventuell wieder vergessen wurden. EDR betrachtet dagegen alle zentral verwalteten Endpunkte mit einer IP-Adresse \u2013 dies k\u00f6nnen Windows-PCs oder Mac-Systeme von Mitarbeitern im Homeoffice, im B\u00fcro oder von unterwegs sein. Der EDR-Agent sieht, wenn sich ein Anwender in das System einw\u00e4hlt und gibt Alarm bei verd\u00e4chtigen Prozessen. Er erkennt beispielsweise, ob ein Risiko von einem Notebook in einem Hotel-WLAN erzeugt wurde oder im privaten Netz des Mitarbeiters begr\u00fcndet liegt. Auch angemietete Cloud-Instanzen lassen sich mit EDR \u00fcberwachen. Administratoren m\u00fcssen lediglich einen Agenten in dieser installieren.<\/p>\n\n\n\n

\"\"<\/a>
Die K\u00fcnstliche Intelligenz der Network Detection and Response erkennt den verd\u00e4chtigen Aufbau von Verbindungen nach au\u00dfen. (Quelle: ForeNova Technologies B.V.)<\/figcaption><\/figure>\n\n\n\n

Abweichungen vom Normalbetrieb mit KI erkennen<\/strong><\/p>\n\n\n\n

Wenn menschliche Beobachter mit der Analyse von Aktivit\u00e4ten im Netz \u00fcberfordert sind, kommt K\u00fcnstliche Intelligenz (KI) ins Spiel. KI setzt fest, welche Modelle des Datenaustausches oder Abl\u00e4ufe auf einem Endpunkt normal und damit erlaubt sind. Illegitime Abl\u00e4ufe lassen sich durch den Abgleich leicht erkennen. Ein m\u00f6glicher Angriff l\u00e4sst sich dadurch schnell und effizient verhindern.<\/p>\n\n\n\n

Die KI von EDR und NDR beobachten komplement\u00e4r die verschiedenen Bereiche. Eine KI-basierte und durch Machine Learning (ML) st\u00e4ndig optimierte NDR erkennt anomale Muster im Datenverkehr, die auf den Aktivit\u00e4ten der Hacker im Opfersystem beruhen. Diese Verhaltensanalyse spielt eine wichtige Rolle, um auff\u00e4llige Man\u00f6ver der Hacker bei Seitw\u00e4rtsbewegungen nachzuzeichnen \u2013 auch dann, wenn Hacker ihre Aktivit\u00e4ten mit legitimen Administrator-Tools tarnen. Wenn ein Tool einzelne Systeme der Reihe nach abgeht, spricht dies f\u00fcr das Vorgehen eines automatisierten b\u00f6sartigen Scans auf Schwachstellen. Ein IT-Administrator, der eine konkrete Aufgabe im Kopf hat und sein System kennt, steuert dagegen gezielt die Orte an, die er untersuchen will.<\/p>\n\n\n\n

Ein intelligenter Endpunktschutz unterbindet die b\u00f6sartige Datenexfiltration oder den Verschl\u00fcsselungsprozess unmittelbar beim Ausf\u00fchren eines Angriffes. Er unterscheidet legitime von illegitimen Kompressionen oder Verschl\u00fcsselungen von Informationen.<\/p>\n\n\n\n

\"\"<\/a>
NDR erkennt die Exekution einer Datenexfiltration durch erh\u00f6hten Datenverkehr. (Quelle: ForeNova Technologies B.V.)<\/figcaption><\/figure>\n\n\n\n

Abwehr entlang der gesamten Killchain<\/strong><\/p>\n\n\n\n

Wenn man Endpunkt und Netzwerk beobachtet, kann man mehrstufige und langwieriger Angriffe im Keim ersticken oder im entscheidenden Moment abwehren. Die Threat Intelligence einer EDR wehrt einerseits mit Schadcode infizierte Phishing-Webseiten in einer Mail ebenso wie eine Malware ab, deren Signatur bekannt ist. Die Dunkelziffer, wie viele Attacken durch pr\u00e4ventive Angriffe bereits im Ansatz verhindert wurden, ist wahrscheinlich – gl\u00fccklicherweise – \u00e4u\u00dferst hoch.<\/p>\n\n\n\n

Um den Angreifern auf die Spur zu kommen, legt eine EDR sogenannte Honeypot-Lockv\u00f6gel aus. Durch das Angebot dieser Daten verraten sich Hacker durch ein L\u00f6schen oder Verschl\u00fcsseln dieser K\u00f6der-Datei. Die EDR blockiert dann umgehend die infizierten Systeme. IT-Teams blockieren zudem auch noch die Ger\u00e4te, die mit den angegriffenen Zielen am h\u00e4ufigsten kommunizieren. Basis f\u00fcr diese Blockade ist ein Notfallplan, der auf der von einer NDR erstellten Netzverkehrsanalyse beruht.<\/p>\n\n\n\n

\"\"<\/a>
Ein Endpunkt-Schutz kann eine zus\u00e4tzliche Authentifizierung einf\u00fchren. (Quelle: ForeNova Technologies B.V.)<\/figcaption><\/figure>\n\n\n\n

Bereits zu einem sehr fr\u00fchen Zeitpunkt erkennt eine NDR die Art und Weise, wie ein infiziertes System und ein b\u00f6sartiger Command-and-Control-Server miteinander kommunizieren. Zu Analysezwecken untersucht sie l\u00e4ngerfristige Man\u00f6ver von Hackern, die beispielsweise auf die Suche nach weiteren Schwachstellen oder eine Eskalation von Privilegien digitaler Identit\u00e4ten hindeuten.<\/p>\n\n\n\n

NDR und EDR mit sich erg\u00e4nzenden Kompetenzen<\/strong><\/p>\n\n\n\n

NDR und EDR arbeiten im engen Austausch. Die Analyse des Netzverkehrs veranlasst eine effiziente Mikrosegmentierung durch ihre Kenntnis, welche Systeme miteinander im Normalbetrieb interagieren. Die NDR erkennt eine Datenexfiltration anhand des Datenverkehrs, die EDR stoppt sie. In einem anderen Fall alarmiert NDR eine Firewall, um verd\u00e4chtige Kommunikation zu unterbinden. Sie zeigt zudem Schwachstellen auf, welche EDR dann blockiert, damit diese nicht ausgenutzt werden k\u00f6nnen \u2013  schon bevor ein Patch des Softwareanbieters bereitsteht.<\/p>\n\n\n\n

Eine m\u00f6glichst hohe IT-Sicherheit ergibt sich allein durch das Zusammenspiel von NDR und EDR \u2013 bei gleichzeitig ebenfalls wichtiger Interaktion mit anderen Technologien zur Schadensabwehr, beispielsweise SIEM, Firewall oder Identit\u00e4tsmanagement. Eine derart gestaffelte, interagierende und auf Informationsaustausch aufbauende Abwehr agiert gezielt und effizient. Zudem schlie\u00dft sie bereits bekannte Schwachstellen gegen m\u00f6gliche weitere Angriffe. So verk\u00fcrzt sie die Reaktionszeit der Cyberabwehr.<\/p>\n\n\n\n

\"\"<\/a>
Durch Hot Patching kann eine EDR verd\u00e4chtige Prozesse blocken und damit noch nicht gepatchte Schwachstellen schlie\u00dfen. (Quelle: ForeNova Technologies B.V.)<\/figcaption><\/figure>\n\n\n\n

IT-Sicherheitsexperten als Dritte im Bunde<\/strong><\/p>\n\n\n\n

KI-gest\u00fctzte EDR und NDR liefern unverzichtbare Informationen und Tools f\u00fcr eine effiziente Abwehr komplexer Angriffe. Auf sich allein gestellt, k\u00f6nnen sich Unternehmen aber nicht mehr vor den Advanced Persistent Threats der Gegenwart sch\u00fctzen. Ein entscheidender Faktor der Abwehr bleibt weiterhin der Mensch. IT-Sicherheitsverantwortlichen kommt eine wichtige Kontroll- und Koordinationsrolle zu. Nur sie k\u00f6nnen oft Alarme zutreffend priorisieren. Nur sie erkennen bisweilen die Man\u00f6ver eines menschlichen Angreifers, der ab einem gewissen Punkt in der Killchain in das Angriffsgeschehen eingreift. Sie sehen, welche Aktivit\u00e4ten in Wirklichkeit doch einen legitimen Hintergrund haben. Viele Organisationen sind aber personell nur unzureichend aufgestellt und ben\u00f6tigen externe Unterst\u00fctzung. Cybersicherheitsexperten eines Managed Detection and Response-Dienstes (MDR) leisten hier gerade f\u00fcr kleine und mittelst\u00e4ndische Unternehmen eine unverzichtbare Hilfe.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cyberattacken sind erfolgreich und folgenschwer, wenn die Angreifer genaue Kenntnisse \u00fcber die Gegebenheiten und die Daten der Opfer-IT haben. Um diese zu erlangen, ist die Verweildauer der Hacker im angegriffenen Netz oft sehr lange. Um dies zu verhindern, muss die Abwehr b\u00f6sartige Aktivit\u00e4ten vorbeugend und fr\u00fchzeitig unterbinden sowie die Exekution eines Angriffes noch w\u00e4hrenddessen verhindern. Das kann nur eine gut informierte und tief gestaffelte IT-Sicherheit leisten. Sie hat den Datenverkehr und das Geschehen am Endpunkt im Blick. Die Kombination aus einer Network Detection and Response (NDR) und einer Endpoint Dectection and Response (EDR) bietet einen umfassenden Schutz. Zus\u00e4tzlich unterst\u00fctzt die menschliche Expertise externer Sicherheitsanalysten im Rahmen einer Managed Detection and Response die internen IT-Verantwortlichen und wird immer unentbehrlicher.<\/p>\n","protected":false},"author":1,"featured_media":24678,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6785,16590,8220,11502,11400],"class_list":["post-24676","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-edr","tag-forenova","tag-ki","tag-mdr","tag-ndr"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=24676"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24676\/revisions"}],"predecessor-version":[{"id":24683,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24676\/revisions\/24683"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/24678"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=24676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=24676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=24676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}