Che cos’è la Network Detection and Response (NDR)? 

Sophos Network Detection and Response Che cos’è MDR?

La tua organizzazione può utilizzare una soluzione di Network Detection and Response (NDR) per monitorare il proprio traffico di rete. La soluzione identifica minacce informatiche e comportamenti anomali nell’intera rete, segnala la presenza di eventuali attacchi ed è in grado di rispondere agli incidenti per conto tuo. Oltre a tutti questi vantaggi, una soluzione NDR offre approfondimenti utili, che ti consentono di ottimizzare la protezione della rete e il tuo profilo di sicurezza complessivo, portandoli a un livello superiore.

Informazioni su NDR

Secondo Gartner, il termine “Network Detection and Response” (ovvero rilevamento e risposta della rete) si riferisce ai prodotti che applicano analisi del comportamento ai dati del traffico di rete per identificare comportamenti anomali. Questi prodotti analizzano i pacchetti di rete o i metadati del traffico inviato tra reti interne (traffico orizzontale destra-sinistra) e pubbliche (traffico verticale alto-basso). Possono essere distribuiti attraverso appliance software e hardware, oppure come software on-premise o SaaS.

Le soluzioni NDR sfruttano l’intelligenza artificiale (IA), il machine learning (ML) e le analisi dei dati per valutare il comportamento della rete e usarlo per creare modelli. Rilevano le minacce della rete, inviano notifiche agli utenti non appena vengono individuate e applicano un’azione di risposta adeguata.

Perché la Network Detection and Response è importante?

I cybercriminali sono in grado di eludere sia le soluzioni di Endpoint Detection and Response (EDR) che molti altri strumenti e tecnologie di sicurezza. Hanno anche la capacità di disattivare ed eliminare i log di sistema. Tuttavia, quello che non possono fare è rimanere invisibili all’interno di una rete, ed è per questo motivo che la Network Detection and Response è fondamentale.

Con una soluzione NDR, puoi monitorare il tuo intero ambiente per individuare le attività pericolose che potrebbero sfuggire ad altri strumenti e tecnologie di sicurezza. Una soluzione NDR può rilevare i flussi di traffico di rete anomali all’interno della tua rete. Questo ti aiuta a proteggere il perimetro di rete e a mantenere pieno controllo sugli elementi in entrata e in uscita.

Come funzionano le soluzioni di Network Detection and Response?

Una soluzione di Network Detection and Response utilizza il machine learning e altre tecniche di analisi indipendenti dalle firme per identificare attività di rete sospette. Monitora e analizza il traffico di rete e sfrutta queste informazioni per stabilire una “linea di riferimento” per quello che può essere considerato un comportamento della rete normale. Se si dovessero verificare deviazioni da tale linea di riferimento, la soluzione segnala agli utenti la potenziale presenza di minacce della rete.

Inoltre, una soluzione NDR offre informazioni più approfondite rispetto a quelle di un firewall. Identifica anche attività sospette all’interno della rete che un firewall o un prodotto di protezione endpoint non sono in grado di rilevare.

Minacce identificate dalle soluzioni NDR

  • Dispositivi IoT (Internet of Things) e OT (di tecnologia operativa) non gestiti
  • Sistemi di rete sconosciuti o non identificati
  • Minacce interne
  • Movimenti laterali
  • Attività di Comando e Controllo (C2)
  • Flussi di traffico e percorsi di rete pericolosi
  • Malware
  • Ransomware
  • Attacchi brute force
  • Social engineering (ingegneria sociale)
  • Furto e manipolazione dei dati
  • Comportamenti rischiosi (ad es. fornire accesso remoto agli endpoint, condividere account utente ecc.)

Funzionalità principali di una soluzione NDR

  • Rilevamento degli incidenti: una soluzione NDR identifica anomalie e pattern insoliti nel traffico di rete, per individuare gli incidenti di sicurezza prima che diventino problematici.
  • Indagine sulle minacce: monitora traffico e pattern di rete, e condivide queste informazioni con gli analisti di sicurezza, che possono utilizzare i dati per indagare sugli incidenti.
  • Intelligence sulle minacce: raccoglie e analizza i dati sulle minacce rilevate all’interno e all’esterno della tua organizzazione, permettendoti di condividere questa intelligence sulle minacce con altri prodotti di sicurezza e di sfruttare il pieno potenziale di queste soluzioni.
  • Avvisi di sicurezza: offre avvisi di sicurezza con approfondimenti utili sul profilo di sicurezza della tua organizzazione e sulle minacce che affronti. 
  • Prevenzione delle minacce: agisce in sinergia con il firewall e altri strumenti e tecnologie di sicurezza per bloccare il traffico di rete sospetto, che può portare alla violazione dei dati.  

Vantaggi delle soluzioni di Network Detection and Response

Visibilità completa sulla rete

Una soluzione NDR permette di monitorare l’intera attività della rete. Se un criminale informatico si dovesse infiltrare nei tuoi sistemi, sarai in grado di scoprire tutte le dinamiche dell’attacco. Questo ti aiuterà a comprendere le tattiche, tecniche e procedure (TTP) degli hacker e a strutturare una strategia per proteggerti in maniera adeguata.

Risposta e risoluzione rapida delle minacce

Con una soluzione NDR puoi rilevare le violazioni della rete durante le prime fasi di un attacco. NDR offre informazioni approfondite sull’attacco non appena ha inizio. Questo ti permette di bloccarlo prima che possa causare danni alla tua organizzazione, nonché a dipendenti e clienti.

Analisi infallibili

Generalmente, una soluzione NDR analizza i pacchetti di rete per valutare i comportamenti di utenti e dispositivi, e per identificare eventuali attacchi. La soluzione traccia il profilo dei comportamenti della rete in tutte le entità, stabilisce una linea di riferimento in base alle informazioni raccolte e rileva i comportamenti anomali tipici di un attacco. Poiché utilizza dati di rete che non possono essere eliminati o manomessi, offre uno standard di attendibilità unico per tutti i comportamenti della rete. 

Risparmio di tempo e di denaro

Con molta probabilità, la configurazione dei log di una soluzione NDR e la normalizzazione dei rispettivi formati dei log non richiederanno un grande investimento di tempo o di denaro. La maggior parte delle soluzioni NDR è in grado di accedere ai pacchetti di rete per analizzare e memorizzare dati sulla rete fin dal primo utilizzo. Inoltre, queste soluzioni possono estrarre e memorizzare i metadati sui comportamenti, che serviranno poi per tracciare un profilo accurato dei comportamenti della rete e per rilevare gli attacchi.

Distribuzione fluida tramite cloud

Molte soluzioni NDR vengono distribuite dal cloud. Questo significa che non dovrai implementare server di log per raccogliere e analizzare i dati sulla tua rete. Puoi persino raccogliere log di rete dai firewall e da altri prodotti di sicurezza, senza dover investire in sensori di rete o configurarli.

Le sfide della Network Detection and Response

  • Continua evoluzione del panorama delle minacce: i cybercriminali sviluppano continuamente nuove TTP per infiltrarsi nelle reti.
  • Superficie di attacco in espansione: la rapida espansione dell’ambiente digitale aumenta la superficie di attacco che può essere sfruttata dai cybercriminali, creando così più opportunità di attacco per questi hacker.
  • Mancanza di personale esperto in cybersecurity: una mancanza di professionisti esperti in cybersecurity può complicare l’implementazione e la gestione delle soluzioni NDR.
  • Budget limitati: a molte organizzazioni mancano il tempo e le risorse necessarie per integrare soluzioni NDR nelle proprie attività quotidiane.    

NDR vs EDR

Mentre una soluzione di Network Detection and Response monitora il traffico di rete, un prodotto di Endpoint Detection and Response (rilevamento e risposta degli endpoint) individua le attività sospette su computer, dispositivi mobili, server e altri endpoint. Se una soluzione EDR identifica attività sospetta negli endpoint, lo segnala agli utenti. Inoltre, una soluzione EDR può rispondere agli attacchi che colpiscono gli endpoint e fornire analisi utili per aiutarti a ottimizzare la tua protezione endpoint. 

NDR vs MDR

La Network Detection and Response è un sottoinsieme della Managed Detection and Response (MDR), che permette di affidare la gestione del rilevamento e della risposta alle minacce a un Managed Security Service Provider (MSSP). Con una soluzione MDR, un MSSP individua proattivamente, monitora e risponde alle minacce informatiche nella tua intera infrastruttura IT. Il tuo MSSP può così risolvere le minacce senza il tuo intervento, oppure può collaborare con te per affrontare questi problemi non appena vengono identificati.

NDR vs XDR

Una soluzione di Extended Detection and Response (XDR) offre visibilità sui dati della tua rete, degli endpoint e del cloud. Allo stesso tempo, consente di rilevare gli attacchi e correggere automaticamente i problemi nell’intera infrastruttura IT. Inoltre, fornisce analisi utili, per aiutarti a tenerti al passo con le minacce attuali e con quelle emergenti.

Cosa cercare in una soluzione di Network Detection and Response

Visibilità sul contesto

Se la tua soluzione NDR offre visibilità sul contesto, non avrai problemi a monitorare l’intera attività della rete da un’unica schermata. Potrai facilmente visualizzare informazioni come: quali utenti stanno usando la rete, i dispositivi con i quali interagiscono, da dove hanno effettuato l’accesso alla tua rete e i dati che condividono. Questi dati ti aiuteranno a individuare le minacce, risalire alla loro origine, capire quali utenti sono stati compromessi e molto di più.

Rilevamento delle minacce indipendente dalle firme

La tua soluzione NDR deve essere in grado di utilizzare machine learning, modelli di comportamento e altre tecniche analitiche indipendenti dalle firme per creare una linea di riferimento che definisce la normale attività della rete. Successivamente, deve poter identificare le minacce e inviare avvisi ogni volta che il traffico di rete devia dalla norma. Questo ti aiuterà a scoprire rapidamente quando un set di credenziali rubate a un tuo dipendente viene utilizzato per accedere alla rete, esfiltrare dati di rete o causare altri problemi di sicurezza.

Identificazione e segnalazione delle minacce

Puoi scegliere una soluzione NDR che identifica gli accessi remoti insoliti alla tua rete, l’uso di porte o protocolli con limitazioni, e altre potenziali minacce. Questo tipo di soluzione offre anche avvisi estremamente affidabili, ai quali assegna priorità in base al livello di gravità. Oltre a tutto questo, è anche in grado di rispondere alle minacce automaticamente.

Motori di rilevamento delle minacce

Una soluzione di Network Detection and Response di primissima categoria utilizza un motore di query e un modello predittivo basato sul deep learning per analizzare il traffico crittografato e identificare pattern in flussi di rete apparentemente non correlati. Si serve di indicatori di compromissione (IoC) già noti per identificare i cybercriminali e le loro tattiche, tecniche e procedure malevole, individuandole sia nel traffico di rete normale che in quello crittografato. Inoltre, rileva server C2 zero-day e famiglie di nuove varianti di malware, ed è in grado di inviare avvisi in base ai fattori di rischio correlati a una sessione.

Gestione e reportistica semplificate

La soluzione NDR ideale offre un’unica dashboard per la gestione e la reportistica. Da questa dashboard puoi visualizzare più prodotti di sicurezza in un’unica schermata. Abilita la condivisione delle informazioni tra le varie soluzioni di protezione e la risposta automatica agli incidenti di sicurezza.

Vuoi saperne di più? Mettiti subito in contatto con un esperto di Sophos NDR.

Contattaci

Argomento di sicurezza correlato: Che Cosa Sono i Managed Security Service Provider (MSSP)?

Altre Notizie dal Mondo della Cybersecurity