NDR (Network Detection and Response) - Definition & Erklärung

NDR (Network Detection and Response) überwacht den gesamten Netzwerkverkehr - Ost-West-Traffic (intern) und Nord-Süd-Traffic (Internet) - und erkennt Angriffe anhand von Verhaltensmustern. NDR schließt die Erkennungslücke die EDR (Endpoint) und Firewall hinterlassen.

Warum NDR nötig ist

Erkennungslücken ohne NDR:

Firewall: Blockiert bekannte böse IPs/Ports - legitime C2 über HTTPS: kein Alert
EDR (Endpoint): Erkennt Malware auf Endpoint - IoT-Gerät, SCADA ohne EDR-Agent: blind
SIEM (Logs): Nur was geloggt wird - unverschlüsselte interne Seitwärtsbewegung: fehlt

NDR schließt diese Lücken:

Lateral Movement zwischen Workstations (SMB, WMI, RPC)
C2-Kommunikation über legitime Protokolle (HTTPS, DNS)
Datenexfiltration im Netzwerk
Kompromittierte IoT/OT-Geräte (kein EDR-Agent möglich)
Kein Agent nötig - Netzwerk-Tap oder SPAN-Port ausreichend

Wie NDR funktioniert

Datenerfassung

Methode 1: Netzwerk-Tap - physischer Eingriff zwischen Switch-Ports, vollständige Paketerfassung (full packet capture), ideal für kritische Segmente
Methode 2: SPAN-Port / Port-Mirroring - Switch spiegelt Traffic auf NDR-Sensor, kostengünstig, keine Hardware nötig
Methode 3: NetFlow/IPFIX - Metadaten ohne Paketinhalt (wer spricht mit wem, wann, wie lange), weniger Speicher, ausreichend für viele Anomalie-Erkennungen

Analyse-Methoden

Signatur-basiert: Bekannte Angriffsmuster (Cobalt Strike C2-Kommunikation), bekannte Malware-Netzwerkverhalten - ähnlich wie IDS/IPS, aber moderner
Verhaltensanalyse (ML/AI): Baseline des normalen Netzwerkverkehrs lernen, Anomalien erkennen (plötzlich 100 GB ausgehend), neue Peer-Verbindungen (Workstation A kontaktiert plötzlich 50 Server)
Threat Intelligence Integration: IP/Domain gegen aktuelle Bedrohungs-Feeds prüfen, bekannte C2-Domains und Malware-Distributionsserver, Automatic IoC-Matching

Was NDR erkennt

Lateral Movement: Workstation A → Port 445 (SMB) → 50 andere Workstations in 5 Minuten → Pass-the-Hash / Ransomware-Ausbreitung → NDR Alert: Lateral Movement Detected
C2-Kommunikation: Server kommuniziert mit unbekannter Domain, Traffic-Muster regelmäßig alle 30 Sekunden (Beacon-Interval) → NDR Alert: Possible Command & Control Beacon
DNS-Tunneling: Exfiltrierung über DNS-Anfragen wie data.base64encoded.evil.com mit 1.000 Anfragen/Minute → NDR Alert: DNS Tunneling Suspected
Domain Fronting (HTTPS C2): C2-Traffic über legitime CDN-Domains (Cloudflare, Azure CDN), Anomalie: ungewöhnliche Dateimengen zu CDN → NDR: Data Transfer Anomaly
OT/IoT-Angriffe: Industriesteuerung kommuniziert mit neuem Endpunkt, Modbus/SCADA-Protokoll zu unbekanntem Ziel → NDR Alert: OT Protocol Anomaly

NDR vs. IDS/IPS

	Traditionelles IDS/IPS	NDR
Erkennung	Signaturen	Signaturen + ML/Verhalten
Zero-Day	Nicht erkannt	Anomalie-Erkennung
Lateral Movement	Begrenzt	Stärke von NDR
False Positives	Hoch	Niedriger (Baseline-Lernen)
Response	Blocken (IPS)	Alert + Automatisierung

NDR-Produkte

Anbieter	Besonderheit
Darktrace	KI-basiert, Autonomous Response, DACH-Support
ExtraHop Reveal(x)	Cloud-native, gute M365/AWS-Integration
Vectra AI	Hybrid-Cloud-Fokus, Cognito Detect
Corelight	Zeek-basiert, Open Source Komponenten
Stamus Networks	Open Source (Suricata), DACH-Partner
Cisco Secure Network Analytics	Cisco-Infrastruktur-Integration

NDR als Teil einer XDR-Strategie

Moderne Extended Detection & Response (XDR) vereint:

EDR (Endpoint) + NDR (Netzwerk) + SIEM (Logs) + SOAR (Response) = XDR / Open XDR Platform

Vorteil: Korrelation über Domänen:

EDR: PowerShell-Anomalie auf Workstation
NDR: Gleichzeitig SMB-Lateral-Movement
SIEM: AD-Login-Anomalie
XDR: Korreliert alle drei → hochkonfidenter Alert: “Active Intrusion”

Für die meisten deutschen KMU mit eigenem SOC: NDR als nächster Schritt nach EDR + SIEM.