Network Detection and Response (NDR)

Die meisten Sicherheitssysteme verlassen sich auf das, was einzelne Geräte über sich selbst melden — ihre Logs. Das Problem: Was nicht geloggt wird, bleibt unsichtbar. NDR geht einen anderen Weg. Es beobachtet den Datenverkehr im Netzwerk direkt, so wie eine Kamera einen Flur beobachtet — unabhängig davon, ob die einzelnen Türen ein Protokoll führen. So wird sichtbar, welche Systeme miteinander sprechen, mit welchen Zielen, und ob etwas aus dem Rahmen fällt.

NDR wird passiv ans Netzwerk angebunden — über einen SPAN-Port oder Netzwerk-TAP. „Passiv" heißt: Es greift nicht ein und verändert nichts, sondern liest eine Kopie des Verkehrs mit. Auf dieser Basis erkennt NDR Auffälligkeiten über mehrere Wege: durch Verhaltensanalyse (was weicht vom normalen Betriebsbild ab?) und durch Abgleich mit Threat Intelligence (welche Ziele sind bekannt schädlich?). Branchenanalysten führen NDR inzwischen als eigene Marktkategorie: Laut Gartner erkennen NDR-Produkte abnormales Netzwerkverhalten durch Verhaltensanalyse des Datenverkehrs und ergänzen damit regel- und signaturbasierte Systeme.

NDR beantwortet die Frage „Was passiert tatsächlich in meinem Netzwerk?" — besonders wertvoll nach einem Vorfall, bei einem Verdacht oder als unabhängige zweite Sicht neben einem SIEM. Typische Funde sind laterale Bewegungen und Command-and-Control-Verbindungen. Die Grenze: NDR ist keine Schutzmauer. Es blockiert keine Angriffe (das leisten Firewall und IDS/IPS) und sieht nicht, was auf einzelnen Endgeräten passiert (dafür ist EDR zuständig).