Jetzt verfügbar – Sophos Network Detection and Response (NDR)

ProdukteManaged Detection and Response (MDR)Sophos NDR

Sophos NDR erkennt Rogue Assets, ungeschützte Geräte, interne Bedrohungen und komplett neuartige Angriffe und beschleunigt so die Bedrohungserkennung und -reaktion.

26.01.2023 Von

Vor Kurzem haben wir Sophos Network Detection and Response (NDR) auf den Markt gebracht. Schon jetzt bietet die neue Lösung einen echten Mehrwert für Unternehmen und Einrichtungen, die ihre Abwehr vor komplexen und Zero-Day-Bedrohungen ausbauen möchten.

Sophos NDR nutzt Machine Learning (ML), erweiterte Analysen und regelbasierte Abgleichtechniken, um den Netzwerkverkehr kontinuierlich zu überwachen und verdächtige Aktivitäten zu erkennen, die auf Angriffsverhalten hinweisen können.

Die Lösung erkennt eine breite Palette an Sicherheitsrisiken, wie Rogue Assets (nicht autorisierte, potenziell schädliche Geräte, die über das Netzwerk kommunizieren), ungeschützte Geräte (legitime Geräte, die nicht geschützt sind und als Eintrittspunkte missbraucht werden könnten), interne Bedrohungen, Zero-Day-Angriffe sowie von IoT- und OT-Geräten ausgehende Bedrohungen.

In Kombination mit anderen Sicherheitstelemetrien liefert NDR ein genaueres Bild des gesamten Angriffspfads und ermöglicht so eine schnellere, umfassende Reaktion auf Cyberbedrohungen.

Sophos NDR wird als Add-on-Integration zu Sophos MDR angeboten, unserem branchenführenden Managed Detection and Response-Service, der bereits 14.000 Unternehmen und Einrichtungen weltweit schützt. Im Laufe des Jahres bieten wir Sophos NDR auch mit Sophos Extended Detection and Response (XDR) an. Diese Option ist ideal für Kunden, die ihr Threat Hunting selbst übernehmen möchten. Mehr Infos zu diesem Thema folgen in einem künftigen Artikel.

Warum Network Detection and Response so wichtig ist

NDR ist ein essenzieller Bestandteil einer effektiven, fundierten Sicherheitsstrategie. Warum? Das Netzwerk ist der einzige Ort, an dem sich hartnäckige Angreifer nicht verstecken können.

Angreifer tun alles, um nicht entdeckt zu werden: „Defense Evasion“ ist eine bekannte MITRE ATT&CK-Taktik auf Systemebene. Exploits verbergen sich vor EDR-Lösungen und Angreifer können Systemprotokolle deaktivieren oder löschen. Und dennoch müssen sie das Netzwerk passieren.

Da Cyberkriminelle mit immer neuen Taktiken, Techniken und Prozessen (TTPs) versuchen, Sicherheitskontrollen zu umgehen, ist NDR mittlerweile unerlässlich.

Sophos NDR: Einzigartige Erkennung von Netzwerkbedrohungen

Mit der Power von fünf Engines zur Bedrohungserkennung in Echtzeit und patentierten, mehrschichtigen Technologien erkennt Sophos NDR selbst besonders raffiniert verschleierte Angriffe.

Sophos NDR Detection Engines. Zum Vergrößern anklicken.

Die Datenerkennungs-Engine ist eine erweiterbare Abfrage-Engine, die ein Deep-Learning-Prognosemodell verwendet, um verschlüsselten Datenverkehr zu analysieren und Muster über nicht zusammenhängende Netzwerkflüsse hinweg zu erkennen.

Deep Packet Inspection kann anhand sogenannter „Indicators of Compromise“ Angreifer und schädliche Taktiken, Techniken und Verfahren in verschlüsseltem und unverschlüsseltem Netzwerkverkehr erkennen.

Encrypted Payload Analytics erkennt Zero-Day-C2-Server und neue Varianten von Malware-Familien auf Basis von Mustern in der Sitzungsgröße, -richtung und in Interarrival-Zeiten.

Domain Generation Algorithm erkennt Technologien zur dynamischen Domänengenerierung, mit der Malware einer Erkennung entgeht.

Session Risk Analytics ist eine leistungsstarke Logik-Engine, die Regeln verwendet, die auf Basis sitzungsbasierter Risikofaktoren Warnmeldungen senden.

Die fünf Engines überwachen den internen (North-South) sowie den ausgehenden/eingehenden (East-West) Datenverkehr. Sophos NDR generiert unter anderem die folgenden Warnmeldungen:

  • Netzwerkscan-Aktivität
  • Unerwartete SSH-Sitzungen auf Systemen, auf die noch nie zuvor zugegriffen wurde
  • Verdächtige Beaconing-Aktivität
  • Verdächtige C2-Verbindungen
  • Kommunikation auf Nicht-Standardports
  • Malware in verschlüsseltem Datenverkehr
  • Kodierte PowerShell-Ausführungen
  • Ungewöhnlich große Datenmengen

Komplexe Bedrohungen stoppen – mit Telemetrien von Sophos NDR

Netzwerk-Sicherheitstelemetrie ist auch für sich genommen eine leistungsstarke Threat-Hunting-Ressource. Noch bessere Ergebnisse lassen sich in Kombinationen mit Signalen aus dem gesamten Sicherheits-Ökosystem erzielen.

Sophos MDR Detection Pipeline. Zum Vergrößern anklicken.

Sophos MDR nutzt Warnmeldungen von Netzwerk-, Endpoint-, Firewall-, E-Mail-, Identity- und Cloud-Sicherheitslösungen von Sophos und anderen Anbietern und beschleunigt so die Bedrohungserkennung und -reaktion.

Warnmeldungen werden durch die Sophos MDR Detection Pipeline verarbeitet. Dort werden sie in ein normalisiertes Schema umgewandelt, dem MITRE ATT&CK®-Framework zugeordnet und mit Daten von anderen Anbietern angereichert. Zusammenhängende Warnmeldungen werden in Clustern gruppiert, priorisiert und an Erkennungs-Spezialisten zur Analyse und Reaktion eskaliert.

Im Folgenden zeigen wir Ihnen anhand von Beispiel-Szenarien, wie Sophos MDR Telemetriedaten von Sophos NDR in Kombination mit Einblicken anderer Technologien nutzt.

Szenario 1

  1. E-Mail-Lösung erkennt eine Nachricht mit einem schädlichen Anhang
  2. Endpoint-Schutz erkennt einen verdächtigen Dateien-Download
  3. Endpoint-Schutz erkennt, dass ein unbekannter Prozess eine interaktive Shell startet
  4. Sophos NDR erkennt eine potenzielle Command-and-Control(C2)-Verbindung
  5. Endpoint-Schutz erkennt potenziellen Diebstahl von Zugangsdaten
  6. Sophos NDR erkennt potenzielle laterale Bewegung über SSH

Durch die Korrelation von E-Mail-, Endpoint- und NDR-Warnmeldungen stellt Sophos MDR schnell fest, dass wahrscheinlich ein erfolgreicher Phishing-Angriff stattgefunden hat, der zum Diebstahl von Zugangsdaten und zu lateralen Bewegungen geführt hat. Dank dieser Einblicke können wir schnell eingreifen, den Angriff eindämmen und beseitigen und so die Folgen minimieren.

Szenario 2

  1. Sophos NDR erkennt ein Gerät, das im internen Netzwerk kommuniziert
  2. Endpoint-Schutz verwaltet kein bekanntes Gerät

Dank der Kombination der Datenpunkte dieser beiden separaten Technologien können wir erkennen, dass ein nicht verwaltetes Gerät im Netzwerk kommuniziert. Daraufhin stellen wir weitere Analysen an, um zu bestimmen, ob interne Mitarbeiter eine Richtlinie missachtet haben oder ob Angreifer ein System verwalten. Je nach Ergebnis ergreifen wir entsprechende Maßnahmen.

Sie bzw. Ihre Kunden haben bereits eine andere NDR-Lösung im Einsatz? Kein Problem.

Viele Unternehmen und Einrichtungen nutzen bereits Sicherheitslösungen. Oft wissen sie jedoch nicht, wie sie die Daten der Lösungen verwalten, auswerten oder darauf reagieren können. Wir sprechen oft mit IT-Abteilungen, die von Warnmeldungen überflutet werden oder komplexe Telemetriedaten nicht verarbeiten können.

Mit den Sophos MDR Add-on-Integrationspaketen können unsere Sicherheitsexperten Telemetriedaten von Security-Tools anderer Hersteller nutzen, die Ihre Kunden bereits einsetzen (inklusive NDR-Lösungen von Darktrace und Thinkst Canary), und so hochkomplexe, manuell gesteuerte Angriffe stoppen. Wenn unsere Experten die Security Operations Ihrer Kunden verwalten, verstärken Ihre Kunden ihre Cyber-Abwehr und steigern gleichzeitig den Return on Investment vorhandener Lösungen.

Weitere Informationen

In unserem Partner-Portal finden Sie den Service Brief und ein Sales Deskaid zu Sales Sophos NDR sowie alle Service-, Vertriebs- und Marketing-Materialien zu Sophos MDR.

Nutzen Sie unsere E-Mail-Vorlage, um Ihren Kunden und Interessenten unsere neue Lösung vorzustellen.

Sie möchten wissen, was Kunden über Sophos MDR sagen? Lesen Sie die unabhängigen Bewertungen auf Gartner Peer Insights und erfahren Sie, warum wir auf G2 Peer Reviews die Nummer 1 unter den MDR-Services sind.

Informationen zum Autor

As Vice President, Product Management, Rob drives the vision, strategy, and delivery of Sophos’ Security Operations solutions. Passionate about innovation in the technology industry, Rob also supports tech start-ups and regional development plans.