Aller guten Dinge sind 3: NDR + EDR + SIEM
Vorweg sei gesagt: SIEM und EDR haben zweifelsohne ihre Daseinsberechtigung (gehabt). Bis zu dem Zeitpunkt, an dem Network Detection & Response verfügbar war. Zeitgemäße Sicherheitskonzepte sehen die Verwendung im Dreiklang vor. Denn nur NDR kann Nachteile und Schwächen der anderen Tools kompensieren.
Rückständige Cybersecurity-Tools
Lange haben Security Operations Center auf Endpoint Detection & Response (EDR) und Security Incident & Event Management (SIEM) vertraut, wenn es um das Management von Sicherheitsinformationen, Ereignissen und Vorfällen ging bzw. die Erkennung und Reaktion darauf.
Kein NDR – keine Bedrohungserkennung in Realtime
Doch es gibt ein großes Problem: EDR und SIEM können den seitlichen Verkehr bzw. den internen Datenverkehr nicht in Echtzeit analysieren. Das ist aber für die IT-Sicherheit von Unternehmen bzw. Organisationen immens wichtig!
Transparenz für komplexen IT-Umgebungen
NDR-Tools schließen die Lücke und komplettieren – als Realtime-Lösung – den Schutz. Unternehmen können mit den pro-aktiv arbeitenden NDR-Funktionalitäten also für Transparenz im Netzwerk bzw. in der gesamten IT-Infrastruktur sorgen.
So kompensiert NDR die Schwächen SIEM
SIEM stand berechtigt im Zentrum vieler Cybersecurity-Strategien. Denn die Lösungen erkennen Protokolle von anderen Systemen und generieren zuverlässig Berichte. Zudem können sie wertvolle Dienste bei der Früherkennung von Bedrohungen verrichten. – Allerdings nur, wenn diese Bedrohungen gegen vorkonfigurierte Regelsätze verstoßen.
Daher ist es unerlässlich, die Schwächen – u.a. „blinde Flecke“ – der SIEM-Tools mit geeigneten NDR-Lösungen zu kompensieren.
Denn, Network Detection & Response-Lösungen erfassen und analysieren Verbindungsdaten aus dem Netzwerkverkehr, stellen eine valide Datenquelle für SIEM-Lösungen dar und verbessern ihre Fähigkeit, vollständige, umfassende und praktikable Berichte zu erstellen.
So arbeitet SIEM:
SIEMs analysieren Protokolldaten. Allerdings schränken sie die Sichtbarkeit von Angriffen auf den seitlichen Korridor ein und lösen auch False Positives aus. Das kann zu Ermüdungserscheinungen führen und die IT-Sicherheit des Unternehmens beeinträchtigen. Außerdem werden Protokollierungen teilweise deaktiviert, von Hackern manipuliert oder zerstört um die Erkennung / Ermittlung zu behindern.So kompensiert NDR die Nachteile von EDR
EDR ist ein zentraler Bestandteil des SOC-Toolset. Allerdings basiert EDR auf Agenten, die die Sichtbarkeit einschränken und den Aufwand für Management und Wartung erhöhen. Außerdem können Hacker bestimmte Angriffsvektoren vor EDR-Lösungen verstecken und ihre Effektivität unterwandern. NDR hingegen erkennt böswillige Akteure, sobald sie mit einem Gerät im Netzwerk kommunizieren.
Anomalie-Erkennungen in Echtzeit
NDR unterstützt EDR auch durch die Verhaltenserkennungen in Echtzeit und ergänzt dadurch die signaturbasierten EDR-Methoden zur Bedrohungserkennung. NDR-Lösungen arbeiten mit Machine-Learning-Methoden und Ansätzen aus der KI-Forschung und können so kontinuierliche, automatisierte Aktualisierungen für Erkennungsmodelle bereitstellen.
Vorteile:
- Die Analysten im SOC werden entlastet, weil sie u.a. keine manuellen Aktualisierungen mehr tätigen müssen.
- NDR kann Endpunkt-Informationen für Analysten bereitstellen oder die Erkennung für EDR-Tools freigeben, die infizierte Geräte in Realtime automatisch in Quarantäne stellen.
So arbeitet EDR:
Endpoint Detection & Response sammelt, zeichnet und speichert Daten von Geräte-Aktivitäten auf, die mit einem Netzwerk verbunden sind. Die Sichtbarkeit der Endpunkte ist für die Errichtung einer mehrschichtigen Cyberabwehr in drei Bereichen von entscheidender Bedeutung:
- Einblick in User- & Software-Aktivitäten auf Geräten
- Bedrohungserkennung, die nicht durch Antivirus-Software abgedeckt ist
- Unterstützt die Überwachung fortgeschrittener Advanced Persistant Threats
Zusammen stark für IT-Sicherheit
NDR + EDR + SIEM
Ein Dreiklang aus Network Detection & Response, Security Incident & Event Management und Endpoint Detection & Response sorgt für umfassende, lückenlose und aktiv ressourcen-schonende IT-Sicherheit in Unternehmen. Im Zusammenspiel sorgen Sie für:
- Verbesserte Sichtbarkeit
Die kombinierte Sichtbarkeit von Netzwerk-Verkehr, Endpoints und Ereignissen ermöglicht es, Analysten ideal zu erkennen und zu verstehen, was im Ost-West-Netzwerk-Korridor und an den Rändern des Netzwerks passiert. - Erkennung
Die Kombination der drei Tools ermöglicht regel- und signaturbasierte Erkennungen von SIEM- und EDR-Produkten in Verbindung mit Bedrohungserkennungen in Realtime, die von Machine Learning und KI-Methoden basieren, die bei NDR-Lösungen dafür sorgen, dass auch bis dato unbekannte Bedrohungen erkannt werden. Das Ergebnis ist die Fähigkeit, Anomalien und Bedrohungen im Netzwerk und an den Endpoints frühzeitig zu erkennen. - Analyse
NDR, EDR und SIEM können Interaktionen an Endpunkten und im internen Datenverkehr anzeigen und effizient analysieren, welche Protokolle bei einem Angriff verwendet wurden.
Denn die NDR-Tools, erfassen Daten-Pakete kontinuierlich und fassen sie zu strukturierten Daten zusammen; die Protokolle von SIEM-Tools sowie die Daten von EDR-Agenten liefern Sicherheitsanalysten in Kombination umfassende Informationen für Analysen. - Automatisierung
Ein weiterer Vorteil liegt in der Automatisierung der Lösungen. Damit kann die Kombination aus NDR, EDR und SIEM erheblich dazu beitragen, das SOC zu entlasten, weil bestimmte Prozesse in der Erkennung, Analyse und Abwehr nicht mehr manuell angestoßen werden müssen.
Cybersecurity Tools & Software
Effiziente Lösungen für Unternehmen
Möchten Sie mehr über NDR, SIEM & Co. erfahren? Setzen Sie sich mit den GATEWATCHER Cybersecurity-Spezialisten in Verbindung.
Wir freuen uns auf Sie!
Ihre Ansprechpartner
Gerald Hahn, Country Manager DACH & CEE
Stefanie Wittig, Territory Manager
Achim Kraus, Technical Solution Artist