Bedrohungserkennung und -reaktion sind zwei wichtige Pfeiler einer modernen Sicherheitsstrategie von Unternehmen. Ohne dedizierte Lösung ist es heute jedoch kaum mehr machbar, alle möglichen Einfallstore für Cyber-Angriffe zu überwachen. Sophos NDR analysiert kontinuierlich den Netzwerkverkehr und deckt Sicherheitsrisiken auf, die Firewall oder Endpoint-Security-Lösungen nicht entdecken. Wie NDR funktioniert, welche Voraussetzungen es für die Installation gibt und wie sich die Lösung in Ihre Infrastruktur einfügt, lesen Sie hier.
Inhalt
Abseits von Endgerät und Firewall: Sicherheitslücken im Netzwerk
Mit Sophos NDR Spuren von Angreifern entdecken
Schädlich oder gutartig – fünf Engines zur Bedrohungsbeurteilung
Voraussetzungen für den Einsatz
Fazit: Zusätzliche Sicherheitsebene für Unternehmen
Abseits von Endgerät und Firewall: Sicherheitslücken im Netzwerk
Ihre Endpoints und Server werden über eine passende Security-Lösung verwaltet und geschützt, die Firewall kontrolliert den Datenverkehr. Bravo, sollte man meinen, durch diese Kombination ist das Unternehmensnetzwerk bestens vor Cyber-Angriffen geschützt. Leider gibt es daneben unzählige Einfallstore für Cyber-Kriminelle, die gängige Security-Lösungen nicht aufspüren können.
Zum einen bestehen Netzwerke schon lange nicht mehr nur aus den klassischen Endgeräten und Servern. IoT- und OT-Geräte wie Wearables, Drucker, Thin Clients oder POS-Terminals gehören je nach Branche zum modernen Arbeitsalltag und sind mit dem Netzwerk verbunden. Richtig geschützt sind sie aus verschiedenen Gründen nicht immer – etwa, weil sich der Agent nicht auf allen Geräten installieren lässt.
Die Firewall meldet Auffälligkeiten beim Datenaustausch an den Grenzen des Netzwerks. Aber wer überwacht den Netzwerkverkehr hinter der Firewall? Wie lassen sich Abnormalitäten auch in verschlüsseltem Datenverkehr feststellen?
Und welche IT-Abteilung hat die Ressourcen, alle Datenbewegungen im Netzwerk im Auge zu behalten oder regelmäßig die Assets im eigenen Netzwerk zu inventarisieren? Gefährdendes Verhalten von Mitarbeiterinnen und Mitarbeitern bleibt in der Praxis genauso oft unentdeckt wie nicht autorisierte Geräte.
Mit Sophos NDR Spuren von Angreifern entdecken
All diese potenziellen Angriffspunkte für Cyber-Angriffe adressiert Sophos mit Network Detection and Response (NDR). Sophos NDR arbeitet zusammen mit Ihren verwalteten Endgeräten und Ihrer Firewall, um Ihnen eine umfassende Sicht auf Ihre Netzwerkaktivität zu geben. Die Lösung analysiert den gesamten Datenverkehr über einen Span-Port. Dessen Aufzeichnungen werden mit Hilfe von verschiedenen Algorithmen in Echtzeit auf Bedrohungen gescannt. So findet NDR die Spuren, die Kriminelle zwangsläufig in Ihrem Netzwerk hinterlassen. Denn egal, ob sie Systemprotokolle deaktivieren oder sich vor EDR-Lösungen verstecken können: Die Angreifer müssen sich im Netzwerk bewegen.
Werden kritische Bedrohungen entdeckt, kann Sophos NDR zudem eine automatische Reaktion auslösen. Indem es den Bedrohungs-Feed an Ihre Firewall sendet, kann diese eine aktive Bedrohungs-Reaktion koordinieren, um die bösartige Aktivität in Echtzeit zu isolieren und zu blockieren.
Schädlich oder gutartig – fünf Engines zur Bedrohungsbeurteilung
Sophos NDR erkennt ungeschützte Geräte, unautorisierte und potenziell schädliche Assets, interne Bedrohungen und bisher unbekannte Zero-Day-Angriffe. Das gelingt, indem die Lösung verdächtige und bösartige Muster im Netzwerkverkehr aufspürt, die andere Produkte nicht sehen können. Zur Bedrohungsbeurteilung verwendet NDR fünf voneinander unabhängige Erkennungs-Engines, die in Echtzeit arbeiten.
Sophos NDR Erkennungs-Engines, Quelle: Sophos
In verschlüsselten Datenpaketen bleibt Malware, vor allem neue Varianten, oftmals unbemerkt. Die Engine Analyse verschlüsselter Payloads ermöglicht es Sophos NDR, deren Inhalt zu untersuchen und versteckte Bedrohungen zu entdecken.
Der Algorithmus zur Domänengenerierung als zweite Engine hilft dabei, dynamische oder anderweitig verdächtige Domänen zu erkennen, die typischerweise von Malware für die Kommunikation genutzt werden. Das gelingt auch, wenn keine bekannten Bedrohungsdaten vorliegen.
Mithilfe der Deep Packet Inspection kann der Netzwerkverkehr auf bekannte Bedrohungssignaturen hin durchsucht werden. Dazu gehören zum Beispiel Verbindungen zu Command-and-Control-Servern, die im Unternehmensnetzwerk nicht erwünscht sind.
Die Engine Analyse des Sitzungsrisikos bewertet das Risikopotenzial von Netzwerksitzungen, um komplexe Angriffsmuster zu identifizieren. Auffällig wäre beispielsweise die Verwendung eines nicht standardisierten Ports in Verbindung mit anderen unerwarteten Aktivitäten.
Die Datenerkennungs-Engine ist darauf ausgerichtet, ungewöhnliche Muster und Netzwerkverhalten in verschlüsseltem Datenverkehr zu erkennen – auch in Systemen, die nicht über eine Sophos-Lösung verwaltet werden. Sie verwendet ein Deep-Learning-Prognosemodell, um Anomalien zu erkennen. Personenbezogene Daten bleiben durchgehend geschützt.
Voraussetzungen für den Einsatz
NDR ist bei Sophos als Add-on für MDR (Managed Detection and Repsonse) sowie seit Kurzem auch für XDR (Extended Detection and Response) erhältlich. Es profitieren also sowohl Unternehmen von der zusätzliche Sicherheitsebene, die Bedrohungserkennung und -reaktion von Sophos managen lassen, als auch solche, die die Überwachung selbst managen.
Für die Integration ist ein Protokollsammler nötig, der auf einer virtuellen Maschine (VM) gehostetet wird. Dieser sogenannte Datensammler empfängt Daten und leitet sie an den Sophos Data Lake weiter. Sophos NDR unterstützt momentan alle Modelle ab VMware ESXi 6.7 sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.
Das Gute am Sophos Portfolio ist, dass die Lösungen mit den gängigen Sicherheitslösungen auf dem Markt kompatibel sind. Sowohl Meldungen aus Sophos-Produkten als auch die aus Sicherheitslösungen anderer Hersteller laufen in Sophos Central zusammen: Einer zentralen Plattform, die Ihnen ein Dashboard für Echtzeit-Warnungen, Berichte und Verwaltung Ihrer gesamten IT-Security bietet. Die produktübergreifende Automatisierung zwischen NDR, XDR, MDR und der Sophos Firewall ermöglicht sofortige Reaktionsmaßnahmen zum Stoppen aktiver Bedrohungen.
Fazit: Zusätzliche Sicherheitsebene für Unternehmen
Wie eingangs erwähnt, haben Sie schon viel für die IT-Sicherheit Ihres Unternehmens getan, wenn Sie eine Firewall im Einsatz haben sowie Endgeräte und Server schützen. Sophos bietet Unternehmen aller Größen mit NDR als Teil von MDR oder XDR eine zusätzliche, leistungsstarke Sicherheitsebene: Eine barrierearme Lösung für die Überwachung des kompletten Netzwerks.
Wenn Sie mehr über Sophos NDR erfahren möchten, kontaktieren Sie uns gerne. Wir freuen uns auf Ihre Anfrage!
Jetzt teilen
Sicherheitsebene on top: Sophos MDR for Microsoft Defender
IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2
