NDR: Gründe, warum Visibility nicht vernachlässigt werden darf
Gartner geht davon aus, dass Network-Detection-and-Response-Lösungen (NDR) in maximal fünf Jahren in der IT-Abteilung zur Standardausstattung gehören werden, da sie einen essenziellen Beitrag zur Sicherheit leisten. Doch damit sie effizient arbeiten können, darf die Sichtbarkeit nicht zu kurz kommen. Nur mit ausreichend Visibility lässt sich die Performance von NDR-Lösungen nachhaltig steigern.
Unternehmen investieren mehr und mehr in verschiedene Wege, um sich gegen das steigende Cyber-Risiko zu wappnen. Dafür greifen sie unter anderem auch zu Network-Detection-and-Response-Lösungen (NDR). Allerdings reicht es nicht, diese einfach zu installieren und sich selbst zu überlassen. Stattdessen gehen mit der Implementierung drei wesentliche Herausforderungen einher, die Security- und IT-Teams nicht unterschätzen dürfen:
- Für eine effiziente NDR-Ausstattung müssen Unternehmen zunächst in Vorkasse gehen. Danach sind durchgängig weitere Ausgaben notwendig, um die stetig wachsende Menge an Daten zu speichern und zu analysieren. Nicht selten müssen Entscheider dafür tiefer in die Tasche greifen als erwartet – vor allem, wenn sie vorher nicht den gesamten Netzwerk-Traffic transparent einsehen können und somit die potenziellen Risiken und Schwachstellen nicht kennen.
- Der laufende Betrieb von NDR-Tools – einschließlich ihrer Sensoren – ist oftmals mit operativem Aufwand verbunden. Die sich verändernde und ausbreitende IT-Infrastruktur macht eine eingehende Instandhaltung notwendig, im Zuge dessen auch die Sensoren umverlegt werden müssen. Dies nimmt den Experten nicht nur wertvolle Zeit, in der sie sich eigentlich um die Beseitigung von Schwachstellen und anderen Bedrohungen kümmern sollten. In all der Komplexität könnte den Security- und IT-Teams möglicherweise auch der Gesamtüberblick verloren gehen.
- Wie bereits angedeutet, werden Netzwerkumgebungen immer komplexer, wodurch sie zum Nährboden für Blind Spots werden. So kommt Traffic mit großen Datenmengen aus verschiedenen Richtungen ins Netzwerk, da dieses mittlerweile zahlreiche Anwendungen, Geräte und Nutzer auch außerhalb der Unternehmensgrenzen umfasst. Der Ost-West-Datenverkehr ist in der Regel schwierig zu überwachen; nur 40 Prozent der deutschen Unternehmen sind laut einer aktuellen Hybrid-Cloud-Security-Studie von Gigamon in der Lage dazu. Auch die Tatsache, dass Cyber-Angreifer ihre Malware zunehmend in verschlüsseltem Datenverkehr verstecken, macht Security- und IT-Teams das Leben schwer. Umso wichtiger ist es, dass die Teams den IT-Stack in seiner Gesamtheit einsehen können.
Keine Transparenz = keine Benefits mit NDR-Tools
Aufgrund der Komplexität eignen sich traditionelle Sicherheitslösungen immer weniger, um moderne Infrastrukturen effizient zu schützen. NDR-Tools gewährleisten nur partielle Sichtbarkeit des Netzwerk-Traffics. Daher müssen Unternehmen noch einen Schritt weiter gehen, damit sie den oben beschriebenen Herausforderungen Herr werden können. Es geht vielmehr darum, Einsicht in den gesamten IT-Stack – also einschließlich aller Daten und Anwendungen, bis hinunter auf Netzwerkebene – zu gewinnen (Deep Observability). Schließlich können NDR-Lösungen nur auf Bedrohungen reagieren, die sie sehen können.
Eine Deep-Observability-Lösung wird direkt zwischen Infrastruktur und Performance-, Monitoring- und Sicherheits-Tools platziert. Dort fließt der gesamte Traffic zusammen, der sich durch die physischen, virtuellen und Cloud-Umgebungen bewegt. Nachdem sie die Daten analysiert, optimiert und eventuell entschlüsselt hat, sendet sie sie weiter zu den entsprechenden Performance-, Monitoring- und Security-Lösungen – einschließlich der NDR-Tools. Dank dieser netzwerkbasierten Insights profitieren Security- und IT-Teams von vollständiger Visibility über das gesamte Netzwerk hinweg und folglich von maximaler Monitoring-Leistung. Dadurch sind sie in der Lage, Bedrohungen, Schwachstellen und Blind Spots wie Ost-West-Traffic und verschlüsselten Datenverkehr schnell zu identifizieren und auszumerzen. Gleichzeitig lassen sich Security-relevante Ausgaben optimieren, sodass Sicherheit nicht zur Kostenfalle wird.