Network Detection & Response

NDR ergänzt EDR und SIEM zu einer stärkeren Cybersicherheit

, München, Extrahop | Autor: Herbert Wieler

NDR ergänzt EDR und SIEM zu einer stärkeren Cybersicherheit

Network Detection & Response und die SOC Visibility Triad

Wenn Sie sich irgendwann vor einen Monitor gestellt haben, um zu schreiben oder zu lesen, haben Sie die Regel der Drei verwendet oder gesehen. Es ist die grundlegende Struktur für die Darstellung von Informationen in einem Format, das einfach zu verarbeiten und einprägsam ist.

Die Drei ist in mehrfacher Hinsicht eine magische Zahl. Piloten verwenden drei verschiedene Instrumentenkategorien, um sicherzustellen, dass sie "sehen" können, was mit dem sicheren Fliegen passiert. Ihr Mittelohr enthält drei Knochen, mit denen Sie hören können, wenn sich eine Gefahr nähert. Der Stuhl besteht aus drei Beinen, die eine starke Stützstruktur bilden.

Ähnlich wie in den obigen Beispielen unterstützt die Visibility Triad des Gartner Security Operations Center (SOC) eine stärkere Unternehmenssicherheit auf drei Arten: Bereitstellung von Transparenz über komplexe Angriffsflächen hinweg, Erkennung von Bedrohungen in Echtzeit und eine schnelle Reaktion auf Vorfälle.

Was ist die SOC-Sichtbarkeits-Triade?

Die SOC-Nuklear-Triade wurde 2015 von dem damaligen Gartner Security-Experten Anton Chuvakin ins Leben gerufen , Sie versucht, die Wahrscheinlichkeit, dass ein Angreifer lange genug in einem Netzwerk agiert, um seine Ziele zu erreichen, erheblich zu verringern.

Traditionell vertrauen Security Operations Center beim Verwalten und Reagieren von Vorfällen in hohem Maße auf Tools zur Erkennung und Reaktion von Endpunkten (EDR) sowie zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM). Diese Tools können jedoch nicht in Echtzeit einen Einblick in den seitlichen Verkehr oder den internen Datenverkehr bieten, der für den Schutz des Unternehmens von wesentlicher Bedeutung ist. Network Detection & Response-Tools (NDR) waren bisher das fehlende Teil der Triade. Als ein echter NDR technologisch möglich wurde, entwickelte sich die Triade zur Anlaufstelle für die Bereitstellung von Transparenz in komplexen IT-Umgebungen.

Wie ergänzt NDR die EDR?

Endpoint Detection & Response-Produkte sind wie Kameras, die auf die Eingangstür gerichtet sind. Sie sammeln, zeichnen und speichern Daten von Geräteaktivitäten auf, die mit einem Netzwerk verbunden sind. Diese Sichtbarkeit der Endpunkte ist für die Schaffung einer mehrschichtigen Cyberabwehr in drei Schlüsselbereichen von entscheidender Bedeutung:

  • Einblick in Benutzer- und Softwareaktivitäten auf Geräten
  • Erkennen von Bedrohungen, die von der Antivirensoftware nicht erkannt werden
  • Hilft bei der Überwachung vor fortgeschrittenen persistenten Bedrohungen (APT)

EDR-Produkte sind ein wertvoller Bestandteil des SOC-Toolsets. Sie basieren allerdings auf Agenten, die eine vollständige Sichtbarkeit einschränkt und den Aufwand für Verwaltung und Wartung erhöht. Angreifer können zudem ihre Tools vor EDR-Produkten verstecken und somit die Funktionsweise aushebeln. NDR-Lösungen dagegen erkennen diese Angreifer, sobald sie mit einem Gerät im Netzwerk kommunizieren.

NDR-Lösungen unterstützen EDR-Tools auch durch die Bereitstellung von Verhaltenserkennungen in Echtzeit, um die signaturbasierten Bedrohungserkenner eines EDR-Produkts zu ergänzen. NDR-Lösungen verwenden maschinelle Lernfunktionen im Cloud-Maßstab, um die ressourcenintensive Modellierung zu verlagern und gleichzeitig kontinuierliche, automatisierte Aktualisierungen für Erkennungsmodelle bereitzustellen, sodass Sicherheitsanalysten ihre Zeit nicht mit manuellen Aktualisierungen verbringen müssen. Einige NDR-Produkte können auch Endpunktinformationen für Analysten bereitstellen oder die Erkennung für EDR-Produkte freigeben, um infizierte Geräte in Echtzeit automatisch in Quarantäne zu stellen.

Wie ergänzt NDR das SIEM?

SIEM-Produkte stehen aus gutem Grund im Mittelpunkt vieler SOC-Sicherheitsansätze. Sie sind großartig darin, Protokolle von anderen Systemen zu sammeln und Berichte zu generieren. SIEM-Produkte können auch bei der Früherkennung wirksam sein, wenn Bedrohungen gegen ihre vorkonfigurierten Regelsätze verstoßen. SIEM-Tools haben jedoch blinde Flecken, die von NDR-Lösungen ausgefüllt werden können.

SIEMs analysieren Protokolldaten, die die Sichtbarkeit von Angriffen auf den seitlichen Korridor einschränken, und dazu neigen, false positiv Ergebnisse abzufeuern, was zu Ermüdungserscheinungen führen und die Sicherheit beeinträchtigen kann. Zudem werden Protokollierungen teilweise deaktiviert, oder Angreifern manipuliert oder zerstört, um die Erkennung / Ermittlung zu behindern.

NDR-Lösungen erfassen und analysieren Verbindungsdaten aus dem Netzwerkverkehr, stellen eine unveränderliche Datenquelle für SIEM-Produkte dar und verbessern deren Fähigkeit, vollständige, umfassende und umsetzbare Berichte zu erstellen.

Welche Probleme löst diese Triade für SecOps?

Eine NDR-EDR-SIEM Triade kann die Sichtbarkeit für die Cloud Security erheblich vereinfachen. Anbei einige Faktoren:

Sichtbarkeit

Durch die Kombination der Sichtbarkeit von Netzwerkkommunikation, Endpunkten und Ereignissen können Analysten sehen und verstehen, was im Ost-West-Netzwerkkorridor und an den Rändern eines Netzwerks geschieht.

Erkennung

Die Triade kombiniert regel- und signaturbasierte Erkennungen von SIEM- und EDR-Produkten mit Echtzeit-Verhaltenserkennungen, die auf maschinellem Lernen von NDR-Lösungen basieren. Das Ergebnis ist die Fähigkeit, anomale Verhaltensweisen und Bedrohungen an Endpunkten und im internen Datenverkehr schnell zu erkennen.

Untersuchung

Mit NDR-Produkten, die Pakete kontinuierlich erfassen und zu strukturierten Daten zusammenfügen und auf Protokolle von SIEM-Tools, sowie Daten von EDR-Agenten zugreifen, können Analysten umfassende Informationen für Untersuchungen verwenden. Sie können Interaktionen an Endpunkten und im internen Datenverkehr anzeigen und untersuchen, welche Protokolle bei einem Angriff verwendet wurden.

Automatisierung

Durch die Fähigkeit, automatisierte oder erweiterte Untersuchungen und Reaktionen durchzuführen oder zu unterstützen, können die kombinierten Teile der Triade dazu beitragen, den Stress zu verringern, den überarbeitete und unterbesetzte Sicherheitsteams empfinden.

Mit NDR-Produkten, die das Fundament der Triade bilden, können SOCs drahtgebundene Daten aus dem Netzwerkverkehr in SIEM- und EDR-Produkte, sowie in IT- und Sicherheitsteams integriert werden. Dabei wird die Komplexität eines Netzwerkes merklich reduziert.

Extrahop