Lückenloser Schutz für Unternehmen

Detection & Response beherrschen im Grunde alle bekannten Endpoint-Suiten. Aber: Eine lückenlose Erkennung eines Angreifers erfordert etwas mehr technisches Geschick, als es eine Standard-Endpoint-Protection-Plattform (EPP) liefert. So entwickelte sich vor wenigen Jahren die Endpoint-Detection-&-Response-Technik (EDR), die von vielen Herstellern schnell adaptiert wurde. Experten sahen nun zwar den Endpunkt als gut geschützt an, meinten aber im Netzwerk und bei Servern noch blinde Flecken auszumachen. Das war die Geburtsstunde von Network Detection & Response, kurz NDR. Solche Lösungen verwenden eine Kombination nicht signaturbasierter fortschrittlicher Analysetechniken wie maschinelles Lernen, um verdächtige Netzwerkaktivitäten zu erkennen. Dazu analysieren sie kontinuierlich den Datenverkehr sowie alle Datenströme und die Netzwerklast. Auf Basis dieser Informationen können Security-Teams auf anomalen oder bösartigen Datenverkehr und Bedrohungen reagieren, die andere Sicherheits-Tools vielleicht übersehen.

Kaum war die NDR-Technologie da, wurden Stimmen laut, dass die Security-Lösungen keine Netzwerklücken hätten und alle Angreifer auf allen Ebenen finden und abwehren könnten. Dennoch ist der Markt für NDR-Lösungen stark gewachsen. Große Player, die solche Produkte anbieten, sind etwa Darktrace, Vectra, Cisco oder ExtraHop. Diese vier hatten laut „IDC-Market-Share“ Ende 2019 einen Marktanteil von 40 Prozent bei einem Marktvolumen von 1,3 Milliarden Dollar Umsatz. Für eine Lösung, die manche für überflüssig halten, ist das ganz schön viel. Allerdings rechnet IDC auch die etablierten SIEM-Anbieter (Security Information and Event Management) mit dazu. Denn SIEM arbeitet ähnlich wie NDR: Es wertet durch die Analyse von Logdaten aus, ob es im Netzwerk Auffälligkeiten gibt. Der Nachteil von SIEM ist eine relativ lange Anlernzeit, da es zu Beginn erst einmal verstehen muss, was eine falsche und was eine erlaubte Bewegung eines Users im Netzwerk ist.

Dass der NDR-Markt stetig wächst, hat auch Gartners „Market Guide for Network Detection and Response“ vom Juni 2020 festgehalten. Dort sind – ohne SIEM-Anbieter – bereits fast 20 marktrelevante Anbieter genannt. Mit dabei ist etwa FireEye, eigentlich ein Anbieter von Endpoint-Security-Lösungen.

Hinzu kommt, dass immer mehr klassische Anbieter die NDR-Technologie adaptieren. So hat Sophos Mitte 2021 Braintrace und seine NDR-Technologie gekauft und in vorhandene Sophos-Lösungen integriert. Auch Trend Micro hat vor einiger Zeit in seinem Dachprodukt Network One die Technologie XDR verankert, die alle Detection-&-Response-Techniken vereint – also auch NDR.

Die Entwicklung von NDR und die Reaktionen der eta­blierten Anbieter zeigen, dass Network Detection & Response eine sinnvolle Technologie ist. Sie dürfte wie EDR nach und nach zu einem festen Bestandteil jeder großen Security-Lösung für Unternehmen werden. Spätestens wenn größere Tests belegen, dass durch NDR wenige fehlende Prozent an Angreifern mehr und besser gefunden werden, wird auch der letzte Hersteller nachziehen.

NDR-Technologie soll nichts anderes machen, als alle ungewöhnlichen Aktionen in einem Netzwerk auf Plausibilität überprüfen. Sie kann das selbst erledigen oder entsprechende Informationen an eine Sicherheitslösung oder ein Security-Team weiterleiten. Doch Netzwerk ist nicht gleich Netzwerk: Während einige Anbieter damit nur das firmeneigene Netzwerk meinen und darin alle Services oder IoT-Dienste überwachen, bedeutet es bei anderen Lösungen, dass sie auch die Cloud, Software as a Service (SaaS) oder externe Mail-Services wie Microsoft 365 mitüberwachen.

Unterschiede gibt es auch darin, wie NDR-Lösungen auf erkannte Anomalien reagieren. Einige Produkte haben nur einen Datensensor im Netz, der alle Informationen sammelt und diese dann nach Möglichkeit in Echtzeit auswertet oder sie für eine weitergehende Analyse an anderer Stelle als Paket auswertet. Das Ergebnis der Analyse und die wichtigsten Daten geben einige NDR-Lösungen – wie ForeNova – an eine vorhandene Security-Lösung weiter, die dann automatisiert weitere Maßnahmen ergreift. Andere NDR-Lösungen gehen so weit, dass sie selbst Schutzmaßnahmen auslösen. Dazu müssen sie natürlich in eine Lösung integriert oder ein fester Bestandteil sein, wie es etwa bei Sophos oder Trend Micro der Fall ist.

Die NDR-Anbieter erklären, dass sie keine vorhandenen Lösungen verdrängen, sondern vielmehr die Abwehr erweitern wollen. So schlagen auch viele, etwa ExtraHop, in Whitepapers den Einsatz von parallel arbeitenden Endpoint-Protection-Plattformen, EDR und SIEM vor. Sie bieten dazu sogar Schnittstellen an, um Daten der diversen Security-Tools auswerten und nutzen zu können.