Netzwerküberwachung und -reaktion (NDR) erklärt: Der umfassende Leitfaden

Wichtige Erkenntnisse

Der globale Markt für NDR-Lösungen wird voraussichtlich erheblich wachsen, angetrieben durch die zunehmende Komplexität von Cyber-Bedrohungen und die wachsende Angriffsfläche moderner IT-Umgebungen. (Quelle: MarketsandMarkets)
Unternehmen, die NDR einsetzen, berichten von einer bis zu 70-prozentigen Verkürzung der Zeit für die Erkennung von und Reaktion auf Cyber-Bedrohungen, was die Effektivität der Lösung bei der Verbesserung von Sicherheitsabläufen unterstreicht. (Quelle: ESG Research)

Wie funktioniert NDR Network Detection and Response?

Leistungsstarke NDR-Lösungen nutzen fortschrittliche Tools für maschinelles Lernen und künstliche Intelligenz, um Taktiken, Techniken und Verfahren von Angreifern zu modellieren, die im MITRE ATT&CK abgebildet werden, um Angreiferverhalten mit hoher Präzision zu erkennen. Sie decken sicherheitsrelevanten Kontext auf, extrahieren hochgenaue Daten und korrelieren Ereignisse über Zeit, Benutzer und Anwendungen hinweg, um den Zeit- und Arbeitsaufwand für Untersuchungen drastisch zu reduzieren. Sie leiten auch Sicherheitserkennungen und Bedrohungskorrelationen an SIEM-Lösungen (Security Information Event Management) weiter, um umfassende Sicherheitsbewertungen zu ermöglichen.

NDR-Lösungen gehen über die bloße Erkennung von Bedrohungen hinaus und reagieren in Echtzeit mit nativen Kontrollen oder durch die Unterstützung einer breiten Palette von Integrationen mit anderen Cybersecurity-Tools oder Lösungen wie Security Orchestration, Automation und Response (SOAR).

Warum braucht mein Unternehmen Network Detection and Response?

Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) ist eine Cybersicherheitslösung, die das Netzwerk eines Unternehmens kontinuierlich überwacht, um Cyberbedrohungen und anomales Verhalten mithilfe von nicht signaturbasierten Tools oder Techniken zu erkennen, und die auf diese Bedrohungen über eigene Funktionen oder durch die Integration mit anderen Cybersicherheits-Tools/Lösungen reagiert.

Gartner SOC-Transparenz-Dreiklang

Der NDR spielt eine entscheidende Rolle bei der Sicherung Ihrer digitalen Infrastruktur.

Der Bedrohungsverlauf ist im Allgemeinen an drei Stellen verfügbar: im Netzwerk, am endpoint und in den Protokollen.

‍NetworkDetection and Response (NDR ) bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk.
Sicherheitsteams konfigurieren dann ein SIEM-System (Security Information and Event Management) , um Ereignisprotokollinformationen von anderen Systemen zu sammeln und zwischen den Datenquellen zu korrelieren.
Endpoint Detection and Response (EDR) bietet einen detaillierten Überblick über die auf einem Host laufenden Prozesse und die Interaktionen zwischen ihnen.

Sicherheitsteams, die diese Tools einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder der Suche nach Bedrohungen eine Vielzahl von Fragen zu beantworten. Beispielsweise können sie folgende Fragen beantworten: Was hat diese Ressource oder dieses Konto vor der Warnmeldung getan? Was hat es nach der Warnmeldung getan? Können wir herausfinden, wann die Probleme begonnen haben?

Der NDR ist besonders wichtig, weil er eine Perspektive bietet, die die anderen nicht bieten können.

So können beispielsweise Exploits, die auf der BIOS-Ebene eines Geräts operieren, EDR unterlaufen, oder bösartige Aktivitäten werden in den Protokollen einfach nicht angezeigt.

Ihre Aktivitäten werden jedoch von den Netzwerktools sichtbar, sobald sie mit einem anderen System über das Netz interagieren.

Oder fortgeschrittene und ausgeklügelte Angreifer verwenden versteckte verschlüsselte HTTPS-Tunnel, die sich in den normalen Datenverkehr einfügen, um eine Command-and-Control-Sitzung (C2) zu starten und dieselbe Sitzung zu nutzen, um sensible Geschäfts- und Kundendaten zu exfiltrieren und die Sicherheitskontrollen am Rande des Netzwerks zu umgehen, aber NDR-Lösungen sind äußerst geschickt darin, dieses Verhalten zu erkennen.

Effektive KI-gesteuerte Netzwerkerkennungs- und -reaktionsplattformen sammeln und speichern die richtigen Metadaten und reichern sie mit KI-gestützten Sicherheitsinformationen an.

Ein effektiver Einsatz von KI kann dann die Erkennung von Angreifern in Echtzeit vorantreiben und schlüssige Untersuchungen von Vorfällen durchführen.

Was sind die Vorteile von NDR-Lösungen?

Kontinuierliche Sichtbarkeit im gesamten Netzwerk

Network Detection and Response Cybersecurity-Lösungen bieten kontinuierlichen Einblick in alle Benutzer, Geräte und Technologien, die mit dem Netzwerk verbunden sind - vom Rechenzentrum bis zur cloud, von Campus-Benutzern bis zu Heimarbeitern, von IaaS bis SaaS und von Druckern bis zu IoT-Geräten.

Verhaltensanalyse und KI zur Erkennung fortgeschrittener Bedrohungen

Führende NDR-Lösungen nutzen Verhaltensanalysen und ML/AI, um das Verhalten von Angreifern direkt zu modellieren und fortgeschrittene und anhaltende Angriffe mit chirurgischer Präzision zu erkennen. Sie vermeiden die Flut von wenig aussagekräftigen und uninteressanten Warnmeldungen, da sie keine Anomalien, sondern aktive Angriffe erkennen. Sie decken mehrere Phasen des Lebenszyklus eines Angriffs ab, darunter Persistenz, Privilegieneskalation, Umgehung der Verteidigung, Zugriff auf Anmeldeinformationen, Entdeckung, laterale Bewegungen, Datensammlung, C2 und Exfiltration.

Wenn Unternehmen zu hybriden und cloud übergehen, wird die Netzwerktransparenz fragmentiert. Cloud NDR-Plattformen stellen diese Sichtbarkeit wieder her, indem sie das Verhalten aller Workloads analysieren, unabhängig davon, ob sie sich im Rechenzentrum oder in der cloud befinden. Moderne NDR-Lösungen erkennen verborgene Bedrohungen wie laterale Bewegungen und verschlüsselte Command-and-Control-Angriffe, ohne auf Signaturen oder Agenten angewiesen zu sein.

Verbesserung der operativen Effizienz des Security Operations Center (SOC)

Führende KI-gesteuerte NDR-Lösungen arbeiten automatisch und verbessern die Sicherheitserkennung und die Betriebseffizienz von Security Operations Centern (SOC) drastisch, obwohl Unternehmen und Teams von einem chronischen Mangel an Cybersecurity-Fachwissen und -Personal geplagt werden. Sie bieten vollständige Angriffsrekonstruktionen in natürlicher Sprache, die den Analysten alle Informationen liefern, die sie benötigen, um schnell und vollständig auf Warnungen zu reagieren.

Fähigkeit, automatisch zu reagieren und Angriffe in Echtzeit abzuwehren

NDR-Lösungen erkennen nicht nur ausgeklügelte Angriffe, die unauffällig operieren und Ausweichtechniken verwenden, sondern bieten auch die Möglichkeit, automatisch auf schwerwiegende Angriffe zu reagieren und diese in Echtzeit zu unterbinden. Außerdem lassen sie sich in verschiedene Cybersicherheitsprodukte wie EDR oder Cybersicherheitslösungen wie SOAR integrieren.

Screenshot der Network Detection and Response-Plattform

Die Entwicklung von Netzwerk-Erkennung und -Reaktion

IDS waren die erste Generation von NDR-Lösungen. Sie verwendeten regelbasierte und signaturbasierte Erkennung, um bekannte Bedrohungen zu identifizieren. IDS waren bei der Erkennung gängiger Angriffe effektiv, aber sie waren auch anfällig für falsch positive Ergebnisse und konnten von Angreifern leicht umgangen werden.

Intrusion Detection Systeme der nächsten Generation (NGIDS) wurden entwickelt, um die Grenzen von IDS zu überwinden. NGIDS verwendeten eine Kombination aus signaturbasierter Erkennung, anomaliebasierter Erkennung und Verhaltensanalyse, um sowohl bekannte als auch unbekannte Bedrohungen zu erkennen. NGIDS waren bei der Erkennung ausgeklügelter Angriffe effektiver als IDS, aber sie waren immer noch komplex und schwierig zu verwalten.

NDR-Lösungen heben die Fähigkeiten von NGIDS auf die nächste Stufe. Sie nutzen KI und maschinelles Lernen, um den Netzwerkverkehr zu analysieren und Muster und Anomalien zu erkennen, die auf einen Angriff hindeuten könnten. NDR-Lösungen können ein breites Spektrum an Bedrohungen erkennen, darunter bekannte und unbekannte malware, Eindringlinge und Datenlecks. NDR-Lösungen sind außerdem einfacher zu verwalten als NIDS und NGIDS.

Die Entwicklung von NDR wird durch die zunehmende Raffinesse von Cyberangriffen vorangetrieben. Da die Angreifer neue Techniken entwickeln, müssen NDR-Lösungen sich weiterentwickeln, um Schritt zu halten. KI und Machine Learning spielen in modernen NDR-Lösungen eine entscheidende Rolle. Sie ermöglichen es, Bedrohungen zu erkennen und darauf zu reagieren, die mit herkömmlichen Methoden nur schwer oder gar nicht zu erkennen wären.

Visualisierung von Angriffen mit dem Vectra AI

Moderne NDR-Lösungen müssen über eine einfache Alarmierung hinausgehen, um schnelle, sichere Entscheidungen bei Untersuchungen zu unterstützen. Der Vectra AI bietet eine einheitliche Sicht auf das Verhalten von Angreifern in modernen Netzwerken und bildet jede Phase eines Eindringens ab, vom ersten Zugriff bis hin zu seitlichen Bewegungen und Missbrauch von Berechtigungen.

Anfang des Jahres haben wir bei einer Produktbesichtigung mit unserem Team gezeigt, wie die NDR-Plattform von Vectra AIAnalysten dabei hilft, das Alarmrauschen zu durchbrechen und den gesamten Verlauf eines netzwerkbasierten Angriffs zu verfolgen.

Die wichtigsten Highlights der Demo:

Sehen Sie, wie das Angriffsdiagramm Patient Null isoliert, die Ost-West-Bewegung des Angreifers visualisiert und betroffene Hosts und Entitäten hervorhebt.
Verstehen Sie die Auswirkungen verdächtiger Verhaltensweisen wie Remote-Ausführung, LDAP-Abfragen und C2-Kommunikation.
Erfahren Sie, wie die Benutzeroberfläche den wichtigen Dingen Priorität einräumt und die kognitive Überlastung minimiert, um eine schnellere Triage und Untersuchung zu ermöglichen.

Vectra AI überwacht jeden Klick, jede Anfrage und jeden Anmeldeversuch auf Anzeichen von Betrug. Sehen Sie Vectra AI in Aktion

Was sind Managed NDR-Lösungen?

Managed Network Detection and Response (NDR) ist ein Service, der das Fachwissen eines spezialisierten Cybersecurity-Teams oder -Dienstleisters nutzt, um den Netzwerkverkehr kontinuierlich zu überwachen, Muster zu analysieren und potenzielle Sicherheitsbedrohungen zu erkennen.

Die wichtigsten Komponenten des Managed NDR können sein:

Kontinuierliche Überwachung: Der Dienstanbieter überwacht den Netzverkehr in Echtzeit und sucht nach anormalen Mustern oder Verhaltensweisen, die auf eine Sicherheitsbedrohung hindeuten könnten.
Erkennung von Bedrohungen: Mithilfe von fortschrittlichen Analysen und Bedrohungsdaten identifiziert und kategorisiert Managed NDR potenzielle Sicherheitsbedrohungen, einschließlich malware, phishing und andere bösartige Aktivitäten.
Reaktion auf Vorfälle: Im Falle einer entdeckten Bedrohung leitet der Dienstanbieter ein Verfahren zur Reaktion auf einen Vorfall ein, um den Sicherheitsvorfall einzudämmen, zu entschärfen und zu beheben.
Forensische Analyse: Managed NDR umfasst oft eine detaillierte forensische Analyse, um den Umfang und die Auswirkungen eines Sicherheitsvorfalls zu verstehen und Unternehmen dabei zu helfen, ihre Sicherheitslage zu verbessern.
Berichterstattung und Empfehlungen: Regelmäßige Berichte über Sicherheitsvorfälle, Schwachstellen und Empfehlungen zur Verbesserung der Sicherheit werden der Organisation zur Verfügung gestellt, um ihre allgemeine Cybersicherheitsstrategie zu verbessern.

Durch die Auslagerung der Aufgaben der Netzwerkerkennung und -reaktion können Unternehmen vom Fachwissen der Cybersicherheitsexperten profitieren, über die neuesten Bedrohungen auf dem Laufenden bleiben und einen proaktiven Ansatz zur Abwehr sich entwickelnder Cyberrisiken gewährleisten. Dieser Ansatz ist besonders wertvoll für Unternehmen, die nicht über die internen Ressourcen oder Fachkenntnisse verfügen, um ihre Netzwerksicherheit effektiv zu verwalten.

> Erfahren Sie mehr über die Managed NDR Services von Vectra

Die Integration von Network Detection and Response (NDR) in Ihre Cybersicherheitsstrategie ist nicht nur eine Option, sondern eine Notwendigkeit. Vectra AI versetzt Unternehmen in die Lage, Bedrohungen proaktiv zu erkennen, zu untersuchen und mit modernsten NDR-Lösungen darauf zu reagieren. Setzen Sie sich mit uns in Verbindung , um zu erfahren, wie unsere NDR-Funktionen Ihre Netzwerkverteidigung stärken und die Widerstandsfähigkeit Ihrer digitalen Ressourcen gewährleisten können.

Häufig gestellte Fragen

Was ist NDR in der Cybersicherheit?

NDR steht für „Network Detection and Response“. Es handelt sich um eine Cybersicherheitstechnologie, die den Netzwerkverkehr mithilfe künstlicher Intelligenz und Verhaltensanalysen kontinuierlich überwacht, um Bedrohungen in Echtzeit zu erkennen. Im Gegensatz zu herkömmlichen Sicherheitstools, die auf bekannten Signaturen oder Protokolldaten basieren, analysiert NDR die tatsächliche Netzwerkkommunikation – sowohl den Nord-Süd-Verkehr, der die Netzwerkgrenze überquert, als auch den Ost-West-Verkehr, der sich lateral zwischen internen Systemen bewegt.

NDR erkennt Bedrohungen wie laterale Bewegungen, C&C-Kommunikation, Datenexfiltration, Missbrauch von Anmeldedaten und Anomalien im verschlüsselten Datenverkehr. Es bietet automatisierte Reaktionsfunktionen wie Host-Isolierung, Sitzungsbeendigung und die Integration mit SOAR-Plattformen für eine koordinierte Reaktion auf Vorfälle. Die Kategorie wurde 2020 von Gartner offiziell definiert und 2025 mit dem ersten Magic Quadrant für NDR validiert.

Unternehmen setzen NDR ein, um die Lücke in der Transparenz zwischen endpoint(EDR) und der protokollbasierten (SIEM) Erkennung zu schließen, insbesondere bei nicht verwalteten Geräten, IoT-/OT-Systemen und cloud , auf denen keine endpoint ausgeführt werden können.

Was ist der Unterschied zwischen NDR und EDR?

NDR und EDR überwachen grundlegend unterschiedliche Datenquellen und eignen sich besonders für unterschiedliche Erkennungsszenarien. NDR überwacht den Netzwerkverkehr in der gesamten Infrastruktur und bietet Einblick in die Kommunikation zwischen allen Geräten – ob verwaltet, nicht verwaltet oder IoT/OT. Die Lösung wird agentenlos über Netzwerk-TAPs, SPAN-Ports und cloud bereitgestellt, sodass auf den überwachten Geräten keine Software installiert werden muss.

EDR überwacht einzelne Endgeräte, indem auf jedem Gerät ein schlanker Agent installiert wird. Es bietet einen umfassenden Einblick in die Prozessausführung, Dateiänderungen, Speicheraktivitäten und Registrierungsänderungen auf jedem Host.

NDR zeichnet sich durch die Erkennung von lateralen Bewegungen, Bedrohungen durch verschlüsselten Datenverkehr und Angriffen auf nicht verwaltete Geräte aus. EDR zeichnet sich durch die Erkennung malware , dateilosen Angriffen und Bedrohungen auf Prozessebene auf verwalteten Systemen aus. NDR liefert den netzwerkweiten Kontext, der EDR fehlt, während EDR die Details endpoint liefert, die NDR nicht erfassen kann. Die meisten Sicherheitsarchitekturen erfordern beide Technologien als sich ergänzende Säulen der SOC-Transparenz-Triade.

Was ist der Unterschied zwischen NDR und SIEM?

NDR und SIEM erfüllen unterschiedliche Hauptfunktionen, obwohl beide zur Erkennung von Bedrohungen beitragen. NDR analysiert den Netzwerkverkehr in Echtzeit mithilfe von Verhaltensanalysen und maschinellem Lernen und erkennt dabei Anomalien in der tatsächlichen Netzwerkkommunikation. SIEM sammelt, korreliert und analysiert Protokolldaten aus dem gesamten Unternehmen mithilfe regelbasierter Erkennung.

Der wesentliche Unterschied liegt in der Datenabhängigkeit. SIEM ist darauf angewiesen, dass Geräte und Anwendungen Protokolle erstellen und weiterleiten. Wenn ein Gerät keine Protokolle erzeugt, wenn Protokolle unvollständig oder falsch konfiguriert sind oder wenn ein Angreifer die Protokollierungsmechanismen manipuliert, verliert SIEM den Überblick. NDR überwacht den Netzwerkverkehr selbst, den Angreifer nicht ohne Weiteres unterdrücken können – jede Netzwerkkommunikation erzeugt beobachtbare Verkehrsmuster.

NDR bietet eine einzigartige Transparenz über das gesamte Ost-West-Netzwerk, die den meisten SIEM-Implementierungen fehlt. SIEM ermöglicht durch die Aggregation von Protokollen eine umfassendere Abdeckung des Unternehmens und ist die primäre Plattform für Compliance-Berichte, Prüfpfade und die Aufbewahrung von Protokollen. Unternehmen profitieren am meisten von der Integration beider Systeme – NDR-Erkennungen bereichern die SIEM-Korrelationen durch Netzwerkdaten.

Was ist der Unterschied zwischen NDR und XDR?

NDR konzentriert sich speziell auf die Erkennung und Reaktion auf Netzwerkebene und bietet umfassende Einblicke in Netzwerkverkehrsmuster, Verhaltensabweichungen und Kommunikationsflüsse. XDR erweitert die Erkennungs- und Reaktionsfähigkeiten auf mehrere Sicherheitsbereiche – Endgeräte, Netzwerk, cloud, E-Mail und Identitäten – und verknüpft dabei Telemetriedaten aus verschiedenen Quellen zu einheitlichen Vorfällen.

NDR kann als eigenständige Sicherheitstechnologie oder als Netzwerkkomponente innerhalb einer umfassenderen XDR-Plattform eingesetzt werden. Viele XDR-Lösungen verfügen zwar über NDR-Funktionen, erreichen jedoch möglicherweise nicht die Leistungsfähigkeit dedizierter NDR-Lösungen bei der Analyse des Netzwerkverkehrs und der Verhaltenserkennung.

Die Grenze zwischen NDR und XDR verschwimmt zunehmend. Einige Anbieter erweitern ihre NDR-Plattformen um endpoint cloud und bewegen sich damit effektiv in Richtung XDR. Andere beginnen mit XDR und bauen ihre Netzwerkanalysefunktionen weiter aus. Unternehmen sollten prüfen, ob sie die umfassende Netzwerktransparenz einer eigenständigen NDR-Lösung, die domänenübergreifende Korrelation von XDR oder beides in einer einheitlichen Plattform benötigen.

Kann NDR verschlüsselten Datenverkehr erkennen?

Ja. Moderne NDR-Lösungen analysieren verschlüsselten Datenverkehr, ohne ihn zu entschlüsseln. Dies ist von entscheidender Bedeutung, da mittlerweile 87 % oder mehr aller Bedrohungen verschlüsselte Kanäle nutzen. NDR untersucht verschiedene Merkmale der verschlüsselten Kommunikation, um Anomalien zu erkennen.

Bei der Metadatenanalyse werden Verbindungsattribute wie Quell- und Zieladressen, Ports, Protokolle, Zertifikatsdetails, Sitzungsdauer und Datenvolumen untersucht. Mithilfe von JA3- und JA4-Fingerprinting werden Client- und Serveranwendungen anhand ihrer TLS-Handshake-Parameter identifiziert, wodurch malware aufgedeckt wird, malware charakteristische Fingerabdrücke sich von denen legitimer Software unterscheiden. Bei der Zertifikatsanalyse wird nach selbstsignierten Zertifikaten, abgelaufenen Zertifikaten und ungewöhnlichen Zertifikatsattributen gesucht, die mit bösartiger Infrastruktur in Verbindung stehen.

Die Zeit- und Entropieanalyse erkennt Beaconing-Muster – regelmäßige Rückrufe an Befehls- und Kontrollserver – sowie anomale Datenströme anhand von Zeitintervallen und der Entropie der Nutzdaten. Diese Verhaltensmuster decken Bedrohungen auf, selbst wenn der eigentliche Inhalt der Nutzdaten verschlüsselt ist. Daher ist NDR unverzichtbar für Umgebungen, in denen der Großteil des Datenverkehrs über TLS oder andere Verschlüsselungsprotokolle abgewickelt wird.

Was ist die SOC-Transparenz-Triade?

Die SOC-Transparenz-Triade ist ein Konzept, das Gartner 2019 in der Forschungsnotiz „Applying Network-Centric Approaches for Threat Detection and Response“ vorgestellt hat. Es beschreibt drei sich ergänzende Technologien, die zusammen eine umfassende Transparenz von Bedrohungen für Security Operations Center bieten.

Die drei Säulen sind SIEM für die logbasierte Analyse, EDR für endpoint und Reaktion endpoint sowie NDR für die Erkennung und Reaktion im Netzwerk. Jede Technologie überwacht eine andere Datenquelle und deckt einen anderen Teil der Angriffsfläche ab. SIEM analysiert Protokolle von Anwendungen, Systemen und der Infrastruktur. EDR überwacht endpoint , einschließlich Prozessen, Dateien und Speicher. NDR überwacht Netzwerkverkehrsmuster und die Kommunikation.

Das Triadenkonzept berücksichtigt, dass kein einzelnes Tool einen vollständigen Überblick über die gesamte Infrastruktur eines Unternehmens bietet. Angreifer nutzen die Lücken zwischen den Tools aus. NDR schließt die entscheidende Lücke in der Netzwerktransparenz – es erkennt Bedrohungen im Ost-West-Datenverkehr, in verschlüsselter Kommunikation und bei Aktivitäten, an denen nicht verwaltete Geräte beteiligt sind, die weder von SIEM noch von EDR erfasst werden können. Unternehmen, die alle drei Säulen einsetzen, erzielen eine deutlich bessere Erfassungsrate als solche, die sich auf nur eine oder zwei Technologien verlassen.

Wie unterstützt NDR das zero trust?

NDR unterstützt zero trust direkt, indem es das Netzwerkverhalten kontinuierlich überprüft, anstatt jeglichem Datenverkehr implizit zu vertrauen. In einem zero trust wird keinem Benutzer, keinem Gerät und keinem Netzwerksegment von vornherein vertraut, und jede Kommunikation muss kontinuierlich validiert werden.

NDR trägt zero trust verschiedene Weise zum zero trust bei. Es überwacht den gesamten internen Netzwerkverkehr – nicht nur den Datenverkehr an den Netzwerkgrenzen – und erkennt dabei auch bei authentifizierten Benutzern und in vertrauenswürdigen Netzwerksegmenten abweichendes Verhalten. Es identifiziert Abweichungen von festgelegten Verhaltensreferenzwerten, die auf kompromittierte Anmeldedaten oder Insider-Bedrohungen hindeuten können. Es bietet Einblick in die Ost-West-Kommunikation zwischen Mikrosegmenten, überprüft die Einhaltung von Segmentierungsrichtlinien und erkennt unbefugte Bewegungen zwischen den Segmenten.

NDR überwacht zudem nicht verwaltete sowie IoT-/OT-Geräte, die möglicherweise nicht in identitätsbasierte zero trust eingebunden sind, und stellt sicher, dass das Netzwerkverhalten dieser Geräte den erwarteten Mustern entspricht. Da mehr als 67 % der Unternehmen zero trust implementieren, wird die kontinuierliche Verhaltensüberprüfung durch NDR zu einem immer wichtigeren Bestandteil der Sicherheitsinfrastruktur.

Was ist der Unterschied zwischen Inline-NDR und Out-of-Band-NDR?

Inline-NDR und Out-of-Band-NDR stellen zwei unterschiedliche Bereitstellungsarchitekturen mit jeweils eigenen Vor- und Nachteilen dar. Inline-NDR wird direkt in den Netzwerkpfad eingebunden und überprüft den Datenverkehr, während dieser den Sensor durchläuft. Diese Position ermöglicht die Echtzeit-Blockierung von schädlichem Datenverkehr, führt jedoch zu Verzögerungen und schafft einen potenziellen Single Point of Failure, falls der Sensor ausfällt.

Out-of-Band-NDR überwacht Kopien des Netzwerkverkehrs, die von Netzwerk-TAPs oder SPAN-Ports bereitgestellt werden. Es analysiert diesen gespiegelten Datenverkehr, ohne sich im Datenpfad zu befinden. Dieser Ansatz eliminiert Latenzzeiten und Ausfallrisiken, kann jedoch bösartigen Datenverkehr nicht direkt blockieren – er muss in Firewalls, Switches oder EDR-Lösungen integriert werden, um Eindämmungsmaßnahmen zu ergreifen.

Die meisten NDR-Implementierungen in Unternehmen nutzen Out-of-Band-Architekturen, da diese eine umfassende Überwachung ermöglichen, ohne dass dabei das Risiko einer Netzwerkunterbrechung besteht. Inline-Implementierungen sind häufiger in Umgebungen anzutreffen, in denen spezifische Anforderungen an die Echtzeit-Blockierung bestehen, wie beispielsweise bei kritischer Infrastruktur oder in Umgebungen, in denen hochsensible Daten verarbeitet werden und die automatisierte sofortige Blockierung den damit verbundenen betrieblichen Kompromiss rechtfertigt. Viele Unternehmen setzen auf einen hybriden Ansatz – Out-of-Band für die umfassende Überwachung und Inline-Sensoren an kritischen Engpässen.

Ist NDR dasselbe wie Netzwerküberwachung?

Nein. Herkömmliche Netzwerküberwachung und NDR dienen unterschiedlichen Zwecken. Bei der Netzwerküberwachung stehen Verfügbarkeit und Leistung im Vordergrund – dabei werden Bandbreitennutzung, Betriebszeit, Latenz und Paketverlust überwacht, um einen zuverlässigen Netzwerkbetrieb sicherzustellen. Tools wie SNMP-Monitore und Systeme zum Netzwerkleistungsmanagement fallen in diese Kategorie.

NDR geht noch einen Schritt weiter, indem es KI-gestützte Verhaltensanalysen speziell zur Erkennung von Bedrohungen einsetzt. NDR erstellt Verhaltensreferenzwerte für normale Netzwerkaktivitäten, erkennt Anomalien, die auf Sicherheitsbedrohungen hindeuten, korreliert mehrere Signale zu priorisierten Sicherheitsvorfällen und bietet automatisierte oder angeleitete Reaktionsmöglichkeiten, um Bedrohungen einzudämmen.

Zwar beobachten beide Technologien den Netzwerkverkehr, doch unterscheiden sich ihre Ziele grundlegend. Bei der Netzwerküberwachung lautet die Frage: „Funktioniert das Netzwerk ordnungsgemäß?“ Bei NDR lautet die Frage: „Gibt es Angriffe auf das Netzwerk?“ Die Datenquellen mögen sich zwar überschneiden, doch die Analysemodelle, Erkennungsziele und Reaktionsmöglichkeiten sind völlig unterschiedlich. NDR ergänzt die Netzwerküberwachung, und viele Unternehmen setzen beides ein – Netzwerküberwachung für den operativen Überblick und NDR für den Sicherheitsüberblick.

Welche Rolle spielt KI bei der NDR?

KI ist die grundlegende Technologie, die moderne NDR-Lösungen erst möglich macht. Ohne KI und maschinelles Lernen würde NDR wieder auf die signaturbasierte Erkennung zurückgreifen – jenem Ansatz, der die Ära der IDS/IPS geprägt hat und sich gegenüber modernen Bedrohungen als unzureichend erwiesen hat.

Modelle des maschinellen Lernens bilden die Grundlage für die Verhaltens-Baselining-Funktion, die Kernfunktion von NDR. Diese Modelle beobachten im Laufe der Zeit die normalen Netzwerkmuster für jedes Gerät, jeden Benutzer und jedes Subnetz und lernen so, was typisches Verhalten ausmacht. Wenn der Echtzeit-Datenverkehr von diesen Basiswerten abweicht, melden die Modelle Anomalien zur weiteren Untersuchung. Dieser Ansatz erkennt neue Bedrohungen, für die es noch keine Signatur gibt.

Deep-Learning-Modelle bewältigen komplexe Mustererkennungsaufgaben wie die Identifizierung von Befehls- und Kontrollkommunikation innerhalb verschlüsselter Datenverbindungen, die Erkennung langsamer Datenexfiltration über viele kleine Sitzungen hinweg und die Erkennung mehrstufiger Angriffsmuster, die sich über Stunden oder Tage erstrecken. Statistische Analysen ergänzen ML-Modelle bei der Erkennung von Ausreißern in Datenverkehr mit hohem Datenaufkommen.

Die neueste Generation von NDR führt agentenbasierte KI ein – autonome KI-Agenten, die Warnmeldungen untersuchen, Verhaltenssignale zu vollständigen Angriffsszenarien zusammenfügen und Vorfälle anhand des Geschäftsrisikos priorisieren. Dies entlastet die SOC-Analysten bei der Untersuchung und ermöglicht eine schnellere Reaktion auf echte Bedrohungen, während Fehlalarme herausgefiltert werden.