Shopping Cart

keine Produkte im Warenkorb

Sophos NDR – Blinde Flecken im Netzwerk beseitigen

In meinen letzten Artikeln habe ich über Sophos Managed Detection and Response (MDR) geschrieben.  Angefangen mit der Umbenennung von MTR in MDR, hin zu den neuen und mächtigen Add-ons, um zusätzlich auch Telemetriedaten von Drittanbietern integrieren zu können.

Wer diese beiden Artikel gelesen hat, wird sicherlich verstanden haben, dass Sophos MDR ein unverzichtbarer Service ist, um sein Unternehmen vor Netzwerkangriffen und Cyberkriminalität zu schützen. In Wahrheit ist dies aber nur der Anfang.

Versteht mich nicht falsch – Mit Sophos MDR habt ihr tatsächlich schon sehr viel für die Sicherheit eures Netzwerks getan! Der Sophos Agent läuft (hoffentlich) auf jedem Computer und Server und eure Sophos Firewall ist über Synchronized Security verbunden und sendet Logs in den Data Lake. Des Weiteren habt ihr die Überwachung und Reaktion dem Sophos MDR-Team (Sophos X-Ops) anvertraut, welches 24/7 auf der Hut ist. Bravo! 👏

Ihr verwendet eine Firewall eines Drittherstellers? Kein Problem. Dank der neuen Integrationen, könnt ihr mit dem MDR Firewall-Add-on auch Geräte von Palo Alto Networks, Fortinet, Check Point, Cisco oder SonicWall anbinden.

Blinde Flecken im Visier

Doch obwohl die Kombination aus der Firewall und Sophos Managed Detection and Response ein absolutes Traumduo zur Absicherung des Firmennetzwerks darstellt, bleiben trotzdem noch Fragen offen, die einem gewissenhaften IT-Administrator den Schlaf rauben:

  • Wie kann ich unsere IoT-Geräte, POS-Terminals, Drucker, Thin Client, Smart-TVs etc. schützen, auf denen kein Sophos Agenten installiert werden kann?
  • Wie kann ich den Netzwerkverkehr hinter unserer Firewall überwachen?
  • Wie kann ich das Verhalten interner Benutzer überwachen und analysieren?
  • Wie kann ich die Datenbewegungen im Netzwerk im Auge behalten?
  • Wie schaffe ich es, regelmässig eine Bestandsaufnahme der Assets in unserem Netzwerk durchzuführen?
  • Wie kann ich neue oder nicht autorisierte Systeme in unserem Netzwerk erkennen?
  • Wie verschaffe ich mir Einblick in den verschlüsselten Datenverkehr in unserem Netzwerk?

Das sind alles wichtige Fragen, welche mit Sophos Network Detection and Response (NDR) tatsächlich alle beantwortet werden können. NDR ergänzt die Verteidigungslinie um einen entscheidenden Faktor. Mit der Firewall kontrolliert ihr den Verkehr, der ins Firmennetzwerk hereinkommt und diesen wieder verlässt und mit Intercept X Advanced und dem MDR-Service können verdächtige Verhaltensweisen auf Endpoints und Server erkannt werden (auf denen der Sophos Agent installiert ist).  Aber was ist mit dem Traffic innerhalb der gesamten Umgebung?

Angreifer tun alles, um nicht entdeckt zu werden und das Vermeiden der Entdeckung ist eine bekannte Taktik im MITRE ATT&CK® Framework auf Systemebene. Exploits können sich zum Beispiel vor EDR-Lösungen verstecken, und Angreifer können Systemprotokolle deaktivieren und löschen. Wo allerdings kein Weg dran vorbeiführt, ist die Tatsache, dass sich ein Angreifer im Netzwerk bewegen muss. Und genau das wird der NDR-Sensor von Sophos protokollieren, egal wie leise oder vorsichtig der Angreifer vorgeht. Er hinterlässt bei jeder Aktion seine Spuren.

Was ist Sophos NDR?

Sophos Network Detection and Response (NDR) wird als virtuelle Appliance angeboten, welche den gesamten Netzwerkverkehr auf passive Weise über einen Span-Port überwacht. Alles, was über diesen Port aufgezeichnet wird, durchläuft eine Bedrohungserkennung in Echtzeit basierend auf fünf Kernalgorithmen, die mit NDR bereitgestellt werden.

Die Technologie hinter NDR hat Sophos bereits im Juli 2021 durch die Übernahme der Firma „Braintrace“ erworben. Braintrace hatte eine virtuelle Maschine entwickelt, die in der Lage war, den Netzwerkverkehr mit fünf Kernalgorithmen zu überwachen und dadurch zwischen schädlichen oder gutartigen Aktivitäten zu unterscheiden.

Wenn die Erkennung einer Bedrohung anhand dieser fünf Kernalgorithmen anschlägt, wird diese an den Sophos Data Lake weitergeleitet, klassifiziert und bewertet. Dabei werden Fälle generiert, die das Sophos Threat Response Team analysiert und validiert. Die Informationen des NDR-Sensors können auch mit Informationen anderer Sensoren, wie Identitäts-, E-Mail- und Netzwerk- und Firewall-Funktionen, korreliert werden. 

Die fünf NDR Kernalgorithmen

Schauen wir uns mal genauer an, welche mächtigen fünf Algorithmen uns Sophos NDR zur Verfügung stellt:

Encrypted Payload Analytics (EPA)

Diese Engine kann Malware sogar im verschlüsselten Datenverkehr aufspüren, wo sie ansonsten oft verborgen bleiben kann.

Domain Generation Algorithm (DGA) 

Diese Engine hilft dabei, die Kommunikation mit Command-and-Control-Servern (C2) und anderen bösartigen Domänen zu erkennen, und zwar ohne bekannte Bedrohungsdaten. 

Session Risk Analytics (SRA) 

Identifizieren Sie anormale Merkmale im Netzwerkverkehr, wie selbst signierte Zertifikate oder die Verwendung nicht standardisierter Ports. Zusammen mit anderen unerwarteten/verdächtigen Aktivitäten deuten diese Merkmale auf ein hohes Risiko hin, das untersucht werden sollte. 

Data Detection Engine (DDE)

Diese Engine soll dabei helfen, Systeme im Netzwerk zu erkennen, die nicht mit Sophos verwaltet werden. Das hilft einerseits dabei, Lücken in der Abdeckung von zugelassenen Geräten zu identifizieren, als auch unautorisierte, möglicherweise bösartige Systeme oder Geräte zu erkennen.

Deep Packet Inspection (DPI) 

Mit der Deep Packet Inspection kann im Netzwerk nach spezifischen Indikatoren für eine Kompromittierung gesucht werden. Das kann etwa eine Kommunikation zu einem command-and-control server (C2) sein oder eine verdächtige IP-Adresse, welche in eurem Netzwerk nichts zu suchen hat.

Was man für Sophos NDR benötigt 

Sophos NDR kommt zurzeit nur als MDR-Integration daher. Das bedeutet, dass ihr eine aktive MDR-Lizenz benötigt, um NDR überhaupt einrichten zu können. Seit Mitte Juli gibt es zusätzlich auch für XDR-Kunden die Möglichkeit, NDR über das Early Access Programm kostenlos auszuprobieren.

Wie bereits weiter oben erklärt, läuft der Sophos NDR-Sensor (log collector) auf einer virtuellen Maschine (VM). Dort werden Daten gesammelt und an den Sophos Data Lake weitergeleitet. Derzeit unterstützt Sophos NDR „VMware ESXi 6.7“ oder neuer und „Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)“ oder neuer.

Sophos NDR ausprobieren

Habe ich euch mit diesem Blogbeitrag von den Qualitäten und Vorteilen der Sophos NDR-Lösung überzeugt oder zumindest neugierig gemacht? Kunden mit einer MDR- oder XDR-Lizenz können sich seit Mitte Juli für das Early Access Programm von Sophos registrieren, um NDR kostenlos zu testen. Das EAP soll laut Sophos von Juli bis November 2023 freigeschaltet sein.

Wenn ihr noch keine XDR- oder MDR-Lizenzen nutzt und Sophos NDR gerne ausprobieren möchtet, bestellt diese doch einfach unkompliziert über unseren Onlineshop:

Die genauen Schritte, um NDR als Integration in Central hinzuzufügen, das Image zu konfigurieren, herunterzuladen und auf der VM einzuspielen, könnt ihr in folgender Anleitung von Sophos nachlesen: Sophos NDR einrichten

David
David

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.