Viele Player auf dem Markt

Aus dem großen NDR-Angebot stellt com! professional beispielhaft die Produkte von ExtraHop und ForeNova näher vor. Vergleichbar mit ExtraHop sind die großen Lösungen von Darktrace und Vectra. ForeNova ist ein neuer Player, der sich mehr an dem KMU-Bereich wendet.

Als Hersteller klassischer Security-Software für Unternehmen haben wir Sophos und Trend Micro angesprochen. Beide Firmen haben eine NDR-Lösung mit im Paket beziehungsweise als Stand-alone-Lösung.

ExtraHop Reveal(x) 360: Agentenbasierte Lösungen wie Cloud Workload Protection Platforms (CWPP) und Endpoint Detection & Response (EDR) eignen sich hervorragend zur Abwehr von Bedrohungen. Es kann jedoch problematisch sein, sie überall in einer Cloud-Umgebung einzusetzen, da sie in den DevOps-Workflow integriert oder ad hoc bereitgestellt werden müssen und mehrere Betriebssystemplattformen und -versionen unterstützen müssen. Agenten können Endpunkte auf Malware scannen, sehen aber nur ihren eigenen Netzwerkverkehr und haben keinen Einblick in die Aktivitäten anderer Datenströme oder die Umgebung, in der sie ausgeführt werden. Entschlossene Angreifer deaktivieren immer wieder Sicherheitsagenten für Endgeräte oder sind einfach für längere Zeit untätig, um eine Entdeckung zu vermeiden.

Protokollierungslösungen (Logs) sind oft von Cloud-Anbietern verfügbar und können etwa SIEM-Tools von Dritt­anbietern füttern. Es kann jedoch wertvolle Zeit kosten, bis ein SIEM die Protokolle speichert und verarbeitet, bevor es Warnmeldungen generiert. Dazu kommt, dass der fehlende Kontext der Protokolle zu vielen Fehlalarmen führen kann. Angreifer deaktivieren daher häufig Protokollierungslösungen oder löschen Protokolldateien, um die Entdeckung und Untersuchung zu vereiteln und die Verweildauer in einem Netzwerk zu erhöhen.

NDR wie die SaaS-Lösung Reveal(x) 360 von ExtraHop benötigt keine Agenten auf Endgeräten, die Workflows beeinträchtigen könnten, sondern nutzt nur kontextreiche Netzwerkdaten. Sie sind die grundlegenden Informationsquellen sowohl in Cloud- als auch in lokalen Umgebungen von Rechenzentren, um umsetzbare Echtzeitwarnungen zu erzeugen. NDR bietet jederzeit Einblick in den gesamten Netzwerkverkehr zwischen allen Workloads, Geräten und Diensten in der Umgebung. Die ExtraHop-Sensoren entschlüsseln und verarbeiten den Netzwerkdatenverkehr und extrahieren Metadaten zur Verhaltensanalyse, Bedrohungserkennung in Echtzeit und weiteren Untersuchung in Reveal(x) 360. Da NDR anders arbeitet, kann es von Angreifern weder gesehen noch ausgeschaltet werden. Damit ist es eine stets aktive, unangreifbare Basis, von der aus SecOps- und SOC-Teams automatisch Angriffe und Versuche von Datenverletzungen in Echtzeit erkennen und bearbeiten können. Auf diese Weise füllt NDR die Lücken, die andere Workload-Sicherheitstechnologien hinterlassen.

ForeNova NovaCommand: NovaCommand von ForeNova soll KMUs helfen, die immer ausgefeilteren Attacken über die ständig wachsende Angriffsfläche ihrer IT-Ressourcen hinweg zu erkennen, Fehlalarme zu minimieren, Schutzmaßnahmen zu priorisieren und Gefahren automatisiert zu beseitigen. Unter Nutzung von KI identifiziert NovaCommand jedes Asset im Netzwerk und analysiert die kompletten Metadaten und den Netzwerkverkehr – sowohl den internen Traffic („East/West“) als auch die Kommunikation nach außen („North/South“). Die Lösung ist dabei so konzipiert, dass sie vollständig DSGVO-konform ist und mit Abwehrtechnologien wie Endpoint Security, EDR, Firewall, SIEM und SOAR integriert werden kann.

NovaCommand bietet einen visualisierten 360-Grad-Blick auf den Datenverkehr innerhalb des Unternehmensnetzes wie auch auf den Traffic in das Netzwerk und aus dem Netzwerk heraus. Die Lösung mindert mögliche Schäden – zum Beispiel durch Ransomware oder gehackte IoT-Geräte – mittels frühzeitigen, automatisierten Reaktionen auf Angriffe und minimiert so das Geschäftsrisiko.

Paul Smit, Solutions Architect bei ForeNova, resümiert: „Kleinere und mittelständische Unternehmen sind eine immer beliebtere Zielscheibe der Cyberkriminellen. Sie haben bisher weder die Zeit noch die Mittel, um zu untersuchen, was in ihrem Netzwerk vor sich geht, ganz zu schweigen von den Ressourcen zur Abwehr von Gefahren. ForeNova bietet ihnen erstmals einen Rundumblick auf die gesamte vorhandene Angriffsfläche, gepaart mit automatisierter, KI-gestützter Erkennung und Reaktion. Und das alles mit einer einfach zu implementierenden und erschwinglichen Lösung, die auch Unternehmen mit wenig Security-Personal nutzen können.“

Trend Micro Network One: Die Lösung verhindert nicht nur Zero-Day-Angriffe, sondern liefert auch wichtige Netzwerk-Telemetrie­daten an Trend Micro Vision One. Sicherheitsteams können sich so ein klareres Bild von ihrer Umgebung machen, schneller reagieren und zukünftige Angriffe verhindern. Aber das ist nur die klassische Aufgabe der Lösung. Richard Werner, Business Consultant bei Trend Micro, sieht noch mehr Potenzial: „IT-Sicherheit entwickelt sich stets weiter und verändert ihre Schwerpunkte. Die Idee, eine Netzwerkbetrachtung mit Endpoint Detection & Response zu kombinieren, ist eine Basisfunktion von XDR (Cross-Layer Detection & Response). Gerade gegen moderne Ransomware, die aktuell zweifellos eine der wichtigsten Cyberbedrohungen darstellt, ist diese Kombination sehr wirksam: So können auf einem Endpunkt ins System eingedrungene Angreifer spätestens bei der lateralen Ausbreitung innerhalb des Netzwerks entdeckt und schnell bekämpft werden. Auch Incident-Response-Teams setzen deshalb stark auf netzwerkbasierte Tools.“

Im Fall eines initial erfolgreichen Angriffs müssen alle Informationen – egal ob EDR oder NDR – sowie Informationen aus Infrastrukturen wie E-Mail, Servern, Cloud und mobilen Betriebssystemen gesammelt und zentral analysiert werden. Unternehmen und Managed Service Provider können dabei entweder auf ein umfassendes XDR-Angebot eines einzelnen Herstellers setzen oder eine individuelle Zusammenstellung verschiedener Anbieter wählen, die anschließend über zentrale Analyse-Tools wie SIEM und SOAR miteinander verbunden werden. Die Ansätze unterscheiden sich vor allem hinsichtlich Spezialfunktionen und Verwaltungsaufwand. Als einer der XDR-Pioniere sieht Trend Micro den Mehrwert dieses Ansatzes vor allem bei der Verschlankung der Administration bei gleichzeitig guter Schutzwirkung.

Sophos XDR: Sophos hat vor Kurzem die NDR-Lösung von Braintrace in seine Produkte integriert. Michael Veit, Security-Experte bei Sophos, betont, dass Unternehmen eine möglichst umfangreiche Sicht darauf brauchen, was in ihrem Unternehmen passiert, um Cyberangriffe zu erkennen. Als Vorzug von NDR sieht Veit vor allem, dass damit auch Ereignisse im Netzwerk, der Cloud, in E-Mails, auf Mobilgeräten und so weiter erfasst, analysiert und korreliert werden, anstatt wie mit EDR nur der Endpoint. „So können NDR-Systeme verdächtige Aktionen von Systemen aufdecken, auf denen keine EDR-Komponenten installiert sind, etwa IoT-Geräte oder private oder von Angreifern ins Netzwerk eingebrachte Computer“, erläutert Veit und betont: „Wichtig ist die zentrale Korrelation von Ereignissen aller Technologien, denn eine alleinstehende NDR-Lösung kann verdächtigen Netzwerkverkehr niemals so gut einschätzen wie eine XDR-Lösung, die den Netzwerkverkehr in einen Kontext mit Aktionen auf Endpoints oder Mobilgeräten bringen kann – und bei der auch an allen Stellen koordiniert reagiert werden kann.“

Sophos stellt mit seinem Adaptive Cybersecurity Ecosystem (ACE) eine XDR-Plattform bereit, bei der Ereignisse am Endpoint, im Netzwerk, in der Cloud, in E-Mails und anderen Technologien in einem zentralen Data Lake analysiert und korreliert werden – und mit KI und von menschlichen Analysten zur Erkennung und zum Stoppen von Cyberangriffen genutzt werden. Dazu verwendet Sophos aktuell die in der Sophos-Firewall integrierten Erkennungs- und Schutztechnologien. Um im Bereich NDR noch umfangreichere Erkennungen von Angriffsmustern zu ermöglichen und in Netzwerken mit Firewalls anderer Hersteller besser zusammenzuarbeiten, hat Sophos im Juli 2021 die Firma Braintrace gekauft. 2022 will Sophos einen auf Braintrace-Technologie basierenden Netzwerksensor herausbringen, der in das Sophos-XDR-Ökosystem ACE integriert ist und der auch von Managed Threat Response, dem Managed-Detection-&-Response-Service (MDR) von Sophos, genutzt wird. „Bei NDR gilt wie bei allen Aspekten der Security heute: Einzellösungen sind out. Sicherheit benötigt heute Teamplay in einem XDR Ökosystem von kommunizierenden Sicherheitskomponenten mit technologieübergreifender Erkennung und Korrelation von Ereignissen“, resümiert Michael Veit.