Network Detection and Response-Systeme und konventionelle Intrusion-Detection-Lösungen Sicherheitslösungen auf dem Prüfstand
24. Juni 2023Einige Security-Hersteller vermarkten Intrusion-Detection-Produkte (IDS) als Alternative zu modernen NDR-Plattformen (Network Detection and Response) – worin liegen die entscheidenden Unterschiede?
Bei Intrusion-Detection-Systemen wie Cisco Firepower, Trend Micro Deep Discovery und McAfee Network Threat Behavior Analysis handelt es sich um konventionelle Technologien, die stark auf signaturbasierte Erkennungs- und Schutzfunktionen setzen. Signaturbasierte Erkennungen und einfache Heuristiken erkennen nur bestimmte, bereits bekannte Angriffsmuster. Die meisten heutigen Angriffe – selbst die opportunistisch motivierten – wurden zumindest minimal angepasst, um den Wünschen des Angreifers so genau wie möglich zu entsprechen.
Die Tage der „Spray-and-Pray“-Ansätze sind längst Geschichte. Stattdessen versuchen Angreifer mit gezielten Attacken, die Wahrscheinlichkeit des Erfolgs zu steigern. Wenn Sicherheitsverantwortliche sich zum Schutz ihres Netzwerks allein auf ein IDS verlassen, verzichten sie auf eine Verhaltenserkennung. Dies ist so, als ob sie noch eine kostenlose Testversion des Kaspersky-Virenschutzes aus den frühen 2000ern nutzen und sich wundern, wenn sie im Jahr 2023 infiziert werden.
Für ältere Sicherheitsmodelle konzipiert
Heute setzen immer mehr Unternehmen auf ein Zero-Trust-Modell, weil veraltete IDS-Systeme sich auf die Absicherung des lokalen Außenperimeters konzentrieren und nur den Traffic erfassen, der über die Firewall läuft. Wenn Angreifer das interne Netzwerk kompromittieren, können sie sich frei seitwärts bewegen, ohne dass das IDS dies feststellen kann. Genau genommen wird das IDS lediglich bemerken, dass die Firewall-Leistung nachlässt, da die übertragenen Pakete per Heuristik untersucht werden müssen.
Hinzu kommt, dass Unternehmen heute in der Cloud ebenso viel Traffic generieren wie im internen Netzwerk. Da sich das IDS auf den im Netzwerk eingehenden Traffic konzentriert, bleiben Angreifer, die auf kompromittierte Cloud-Service-Konten zugreifen können, vollständig unbemerkt. Die Cognito-Plattform hingegen lässt sich in allen Bereichen des Netzwerks bereitstellen, einschließlich Multi-Cloud-Umgebungen, sodass Sicherheitsanalysten einen vollständigen Überblick über alle Assets des Unternehmens erhalten – unabhängig von deren Standort.
Zudem unterstützt Cognito durch Privileged Access Analytics (PAA) auch Zero-Trust-Initiativen. Mit PAA können Sicherheitsteams die Kontonutzung in ihrem Netzwerk unterbinden und interne Bedrohungsakteure identifizieren, die für ihre Angriffe kompromittierte Zugangsdaten nutzen.
Vorbereitung auf unzählige Meldungen über Anomalien
Als anomaliebasiertes Erkennungssystem ist IDS nicht in der Lage, die schwerwiegendsten Bedrohungen zu identifizieren. Sicherheitsteams werden somit mit Warnmeldungen überflutet, die jeweils eine manuelle Triage erfordern. Das bedeutet zusätzliche Arbeit für die bereits überlasteten Teams. Beim Einsatz gegen menschliche Attacken statt per Simulation ausgelöster Angriffe schneiden die Algorithmusmodelle von Cognito besser ab als einfache signatur- oder heuristikbasierte Erkennungen. Fakt ist: NDR-Plattform Cognito von Vectra AI unterstützt mehr als 97 Prozent des MITRE ATT&CK-Frameworks.
Die Erkennungsfunktionen zeigen bei einem Proof-of-Concept schnell ihre Vorteile. Gleichzeitig reduziert Cognito die Belastung durch Sicherheitsprozesse um das 38-Fache: Dies geht zurück auf die automatische Triage von Warnmeldungen zu Zwischenfällen und die Priorisierung von Host-Geräten mit den größten Risiken. Zudem extrahiert Cognito Untersuchungen und Forensik aus dem gesamten Netzwerk-Traffic sowie mit Sicherheitsdaten angereicherte Metadaten.
Bindung an einen Anbieter verhindert Nutzung der besten Lösung
Ein IDS ist meist ein Bestandteil einer breiter aufgestellten Plattform und daher nicht eigenständig einsetzbar. Stattdessen sind zusätzliche Investitionen in Firewalls, URL-Filterung, Tools zur Anwendungsüberwachung, erweiterte Angriffserkennung etc. erforderlich. Damit alle Bestandteile integriert werden, müssen Unternehmen diese beim gleichen Anbieter erwerben.
Eine moderne NDR-Plattform integriert sich hingegen problemlos per APIs mit bestehenden Sicherheitstechnologien. Das Ökosystem aus Technologiepartnern umfasst Branchenführer für Endpoint Detection and Response, Next-Generation-Firewalls, SIEM (Security Information and Event Management), Sicherheitsorchestrierung und Netzwerkzugriffskontrolle. Die Cognito-Integrationen unterstützen erstklassige Sicherheitsstrategien und sorgen dafür, dass die im Unternehmen vorhandenen Investitionen dauerhaft Mehrwert bieten.
Die Zukunft von IDS
Die Cognito-Plattform bietet im Vergleich mit Next-Generation-IDS zahlreiche Vorteile. Sie erkennt aktuelle, reale Angriffe mithilfe überwachter und nicht überwachter Algorithmen für maschinelles Lernen. Die Plattform bietet vollständige Transparenz vom Unternehmensnetzwerk bis zur Cloud, nicht nur über die Daten, die über eine Firewall übertragen werden.
Cognito reduziert die Belastung des Sicherheitsteams um das 38-Fache. Die Plattform führt die Triage von Angriffserkennungen durch, um priorisierte Zwischenfälle herauszustellen und die sinnvollsten Response-Maßnahmen deutlich zu beschleunigen. Zudem steht mit Cognito eine Hochleistungsplattform bereit, die sich mit anderen Sicherheitstechnologien integrieren lässt.
Der Beitrag basiert auf Unterlagen von Vectra.