Ohne Sichtbarkeit keine Sicherheit: So erhöhen Unternehmen die Wirksamkeit ihrer NDR-Tools

Das Versprechen von Network-Detection-and-Response-Lösungen (NDR) ist groß: Sie sind höchst effektiv und gehen auf die Jagd nach sämtlichen Bedrohungen, die ihren Weg ins Netzwerk finden. Auch wenn sie Anomalien tatsächlich effizienter ausfindig machen als so manch andere Sicherheitslösung, sind sie nicht unfehlbar – vor allem dann nicht, wenn es im Netzwerk an Sichtbarkeit mangelt. 

Erst kürzlich machten Warnungen vor Sicherheitslücken in DeepSeek, einem Pendant von ChatGPT, die Runde. Laut eigenen Angaben waren Cyber-Fachleute unter anderem in der Lage, etwaige Sicherheitsvorkehrungen auszuhebeln. Im Zuge dessen konnten sie die KI dazu bringen, bösartige Inhalte und Skripte für Datenspionage zu generieren. Derartige Entwicklungen unterstreichen einmal mehr, dass Cyber-Bedrohungen überall lauern und wie leicht sich praktische und hilfreiche Tools von Angreifern zweckentfremden lassen.

Die Ergebnisse einer aktuellen Studie von Bitkom lassen jedoch vermuten, dass Unternehmen bewusst ist, wie wenig sich herkömmliche Sicherheitslösungen dazu eignen, ihre moderne, immer weiter wachsende Infrastruktur effektiv zu schützen. Das ist auch einer der Gründe, warum sie gewillt sind, mehr in ihre Cyber-Sicherheit zu investieren. So planen 39 Prozent der befragten Unternehmen, mindestens 20 Prozent ihres IT-Budgets für sicherheitsrelevante Maßnahmen zu verwenden. Ein Teil davon ist für die Anschaffung neuer Sicherheits- und Compliance-Lösungen reserviert – einschließlich Network-Detection-and-Response.

Der smarte Weg, um das Netzwerk zu sichern

Bereits 2020 prägte Gartner den Begriff Network-Detection-and-Response (NDR), weil Entwickler immer mehr manuelle und automatisierte Response-Funktionen in ihre Network Traffic Analysis Tools integriert haben. Konkret handelt es sich bei NDR um Lösungen, die mit zahlreichen Sensoren kommunizieren. Diese befinden sich überall dort, wo Daten ins Netzwerk fließen. Sie sind demnach die Augen und Ohren und überwachen kontinuierlich den gesamten Datenverkehr. Währenddessen analysiert die NDR-Lösung diese Informationen mithilfe von KI und Machine Learning.

Auf Grundlage der Analysen entsteht ein Bild des normalen Netzwerkverhaltens. Registriert das Tool von der Norm abweichendes Verhalten, alarmiert es das IT-/Sicherheitsteam und ergreift zeitgleich erste automatisierte Abwehrmaßnahmen. Zum Beispiel kann es Daten bestimmter Sender blockieren. Aufgrund dieser fortschrittlichen Detection-and-Response-Funktionen hält Gartner NDR für eine äußerst effektive Ergänzung zur bestehenden Security-Landschaft. Solche Lösungen durchsuchen das Netzwerk effizienter und identifizieren verdächtige Aktivitäten und Bedrohungen schneller als es herkömmliche Tools könnten. Deshalb erwarten die Experten, dass sich das Konzept in fünf Jahren mehrheitlich etabliert haben wird. Und auch die Hälfte der im Rahmen einer Hybrid-Cloud-Studie (2024) befragten deutschen Unternehmen (50 Prozent) schätzt ihre IT-Infrastruktur als sicher ein, wenn mehrschichtige Sicherheitslösungen wie NDR im Einsatz sind.

Doch so effizient und vielversprechend die Fähigkeiten einer NDR-Lösung auch sind – sie kommen nicht vollständig ohne Hindernisse aus.

Die Herausforderungen mit NDR

Obgleich die verteilten Sensoren bereits einen großen Teil des Netzwerk-Monitorings abdecken, können kritische Lücken entstehen, die die Gesamtsicht beeinträchtigen. Denn die Netzwerkinfrastruktur bleibt nicht stehen, sondern entwickelt sich laufend weiter. Das bedeutet, dass auch Sensoren verlegt und neu eingerichtet werden müssen. Das Risiko von Lücken in der Traffic-Visibilität steigt.

Solche Sichtbarkeitslücken fallen unter die Kategorie „Blind Spots“. Diese entstehen nicht nur durch die fragmentarische Traffic-Abdeckung, sondern können verschiedene Formen annehmen, die unter anderem von der Komplexität des Tech Stacks sowie der Ausbreitung der IT-Landschaft abhängig sind. Denn heutzutage erstrecken sich Anwendungen, Geräte und Nutzer weit über die Unternehmensgrenzen hinaus. Folglich dringen unzählige Daten aus mehreren verschiedenen Richtungen gleichzeitig ins Netzwerk. Hinzu kommt, dass zum Beispiel lateraler East-West-Traffic sehr schwer zu überwachen und einzusehen ist. Kein Wunder, dass hier lediglich 34 Prozent der Unternehmen einen Einblick haben. Außerdem kann verschlüsselter Datenverkehr Unternehmen schnell zum Verhängnis werden. Laut einer Untersuchung durch WatchGuard verstecken sich mittlerweile gut 93 Prozent der Malware hinter einer SSL-/TSL-Verschlüsselung. Doch NDR-Lösungen können verschlüsselten Traffic nur teilweise einsehen. Ihre Stärke liegt vielmehr bei entschlüsseltem Datenverkehr.

Darüber hinaus spielt auch der finanzielle Aspekt keine geringe Rolle. Neben hohen Anschaffungskosten, entstehen anschließend laufende Betriebskosten. Diese sind vor allem dann enorm kostspielig, wenn die Lösung eine große, sich weit erstreckende, intransparente Umgebung im Auge behalten sowie den Traffic vollständig und ungefiltert analysieren muss. Umso wichtiger ist es, die Sichtbarkeit innerhalb der gesamten IT-Umgebung zu erhöhen, sodass Lücken keine Chance haben. Erst dann können Monitoring und Analyse ihre volle Wirkung entfalten, während das Bedrohungsrisiko sinkt und der ROI steigt.

Für vollständige Sichtbarkeit sorgen

Lediglich 55 Prozent der deutschen Unternehmen bestätigen, dass sie ihre IT-Infrastruktur von der Netzwerk- zur Anwendungsebene vollständig einsehen können. Ist die Umgebung jedoch nicht transparent genug, hat das verheerende Folgen. So sagen 64 Prozent der deutschen Unternehmen, dass ihre Sicherheitslösungen aufgrund dieses Mangels nicht so effektiv sind, wie sie sein könnten. Auch NDR-Lösungen sind davon betroffen – schließlich können sie nur auf Anomalien reagieren, wenn sie sie sehen.

Deep Observability stellt einen proaktiven Ansatz dar, mit dem sich ein Zustand der vollständigen Netzwerksichtbarkeit erreichen lässt. Dabei steht die Sichtbarkeit bis hinunter auf Netzwerkebene im Mittelpunkt. Eine entsprechende Lösung wird zwischen der Infrastruktur sowie den Performance- und Sicherheitsplattformen platziert. Bevor der Datenstrom diese Plattformen überhaupt erreicht, sammelt die Deep-Observability-Lösung sämtliche Daten – sowohl aus physischen und virtuellen als auch lokalen und Cloud-Umgebungen. Hier werden sie aufbereitet und optimiert sowie gegebenenfalls entschlüsselt und entsprechend ihres Risikos gefiltert. Anschließend fließen die Daten weiter zu den Performance- und Sicherheitsplattformen.

Auf diesem Weg erreichen Unternehmen über ihr gesamtes Netzwerk hinweg Sichtbarkeit. Blind Spots, unsichtbare Bedrohungen und Komplexität gehören damit der Vergangenheit an. Dies optimiert nicht nur die Effizienz von NDR-Tools, sondern auch das allgemeine Sicherheitsniveau. So gewährleistet Deep Observability, dass Ressourcen in erster Linie für hochriskanten Traffic aufgewendet werden und NDR sein vollständiges Potenzial entfalten kann – vorausgesetzt, die nötige Sichtbarkeitsgrundlage ist vorhanden.

Helmut Scheruebl, Senior Sales Engineer bei Gigamon

Bild/Quelle: https://depositphotos.com/de/home.html