O que é a detecção e resposta de rede (NDR)?
Sua organização pode usar uma solução de detecção e resposta de rede (NDR) para monitorar o tráfego da rede. A solução identifica as ameaças cibernéticas e comportamentos anormais em toda a sua rede, o notifica sobre ataques à rede e pode responder por você. Além disso, a solução NDR oferece insights de segurança de rede que você pode usar para incrementar a sua proteção de rede e postura geral de segurança.
Sobre o NDR
De acordo com a Gartner, a detecção e resposta de rede refere-se a produtos que aplicam análise de comportamento de rede a dados de tráfego de rede para identificar comportamentos anormais. Esses produtos analisam os pacotes de rede ou metadados do tráfego entre as redes internas (leste-oeste) e as redes públicas (norte-sul). Eles podem vir encapsulados em dispositivos de hardware e software, softwares locais ou SaaS.
As soluções NDR usam a inteligência Artificial (IA), o Machine Learning (ML) e a análise de dados para avaliar o comportamento da rede e construir modelos com base nesse comportamento. Elas detectam ameaças de rede, notificam os usuários assim que são descobertas e respondem conforme necessário.
Por que a detecção e resposta de rede é importante?
Os criminosos cibernéticos podem se esquivar das soluções de detecção e resposta de endpoints (EDR) e de muitas outras tecnologias e ferramentas de segurança. Eles podem, inclusive, desabilitar e remover logs de sistema. Contudo, os criminosos cibernéticos não podem se esconder na rede — e é por isso que a detecção e resposta de rede é essencial.
Com uma solução NDR, você pode monitorar toda a sua rede em busca de atividades maliciosas que outras tecnologias e ferramentas de segurança nem sempre conseguem ver. A sua solução NDR pode detectar fluxos anormais de tráfego na rede. Isso ajuda a proteger o perímetro da sua rede e manter o controle do que entra e do que sai dela.
Como funciona a detecção e resposta de rede?
Uma solução de detecção e resposta de rede usa Machine Learning e outras técnicas analíticas sem base em assinaturas para identificar atividades suspeitas na rede. Ela monitora e analisa o tráfego na rede e usa as informações para estabelecer uma linha de base que caracterize o comportamento de rede normal. Se houver desvios dessa linha de base, a solução notifica os usuários sobre possíveis ameaças à rede.
A solução NDR também oferece insights que vão além daqueles fornecidos por uma solução de firewall. Ela identifica atividades suspeitas que se movem pela rede e que uma solução de segurança de endpoint ou firewall não consegue determinar.
Ameaças que as soluções NDR identificam
- Dispositivos com Internet das Coisas (IoT) e tecnologia operacional (OT) não gerenciados
- Sistemas de rede desconhecidos ou não identificados
- Ameaças internas
- Movimento lateral
- Atividade de comando e controle (C2)
- Fluxos e padrões de tráfego de rede mal-intencionado
- Malware
- Ransomware
- Ataques de força bruta
- Engenharia social
- Roubo e manipulação de dados
- Comportamentos de risco (como liberar o acesso remoto a endpoints, compartilhar contas de usuário, etc.)
Principais recursos NDR
- Detecção de incidente: identifica anomalias e padrões no tráfego de rede para detectar incidentes de segurança antes que se agravem.
- Investigação de ameaça: rastreia o trafego de rede e padrões e compartilha as informações com analistas de segurança, que podem usá-las para investigar incidentes.
- Inteligência de ameaças: coleta e analisa dados de ameaças dentro e fora da sua organização e permite que você compartilhe essa inteligência de ameaça com outros produtos de segurança, de modo a obter grande valor dos produtos.
- Alertas de segurança: fornecem alertas de segurança que oferecem insights da postura de segurança da sua organização e das ameaças que está enfrentando.
- Prevenção contra ameaças: trabalha com o seu firewall e outras ferramentas de segurança e tecnologia para bloquear tráfego de rede suspeito que pode levar a violações de dados.
Benefícios do Network Detection and Response
Visibilidade de rede abrangente
A solução NDR permite que você observe a atividade de toda a sua rede. Se um criminoso cibernético atacar a sua rede, você será capaz de descobrir exatamente o que aconteceu. Isso ajuda a entender as táticas, técnicas e procedimentos (TTPs) utilizados pelo criminoso e como se proteger contra os TTPs.
Resposta e remediação rápidas às ameaças
Com uma solução NDR, você pode detectar ataques à rede nos estágios iniciais. A solução também oferece insights sobre o ataque assim que ele começa. Você pode parar o ataque antes que prejudique a sua organização, seus funcionários e seus clientes.
Análise a toda prova
Geralmente, uma solução NDR analisa os pacotes de rede para avaliar o comportamento do usuário e do dispositivo e identificar ataques. A solução traça um perfil do comportamento verificado na rede de todas as entidades, estabelece uma linha de base de acordo com as informações angariadas e detecta comportamentos anômalos de ataque. Como a solução usa dados da rede que não podem ser adulterados ou eliminados, ela fornece uma fonte única e confiável de todos os comportamentos na rede.
Economia em tempo e custos
Provavelmente, você não precisará de muito tempo nem dinheiro para configurar logs de soluções NDR ou normalizar os formatos de seus logs. A maioria das soluções NDR pode acessar pacotes de rede e analisar e armazenar dados de rede diretamente de fábrica. Elas também podem extrair e armazenar os metadados comportamentais necessários para traçar o perfil exato de comportamentos de rede e detectar ataques.
Implantação na nuvem sem entraves
Muitas soluções NDR chegam pela nuvem. Isso significa que você não precisará implantar servidores de log para coletar e analisar os dados da sua rede. Você pode, inclusive, coletar logs de rede de seus e outros produtos de segurança de rede e evitar ter que investir em sensores da rede e na sua instalação.
Desafios do Network Detection and Response
- Evolução no panorama de ameaças cibernéticas: os criminosos cibernéticos estão constantemente desenvolvendo novos TTPs para se infiltrarem nas redes.
- Expansão da superfície de ataque: a expansão acelerada do ambiente digital aumenta a superfície de ataque dos criminosos cibernéticos, criando ainda mais oportunidades de ataque às redes.
- Lacunas em habilidades de segurança cibernética: a falta de profissionais especializados em segurança cibernética dificulta a implementação e o gerenciamento de soluções NDR.
- Restrições no orçamento: muitas organizações carecem de tempo e recursos necessários para integrar as soluções NDR em suas operações diárias.
NDR x EDR
Enquanto a solução de detecção e resposta de rede monitora o tráfego da sua rede, a solução de detecção e resposta de endpoint sai no encalço de atividades suspeitas em seus computadores, dispositivos móveis, servidores e outros endpoints. Se uma solução EDR identifica uma atividade suspeita no endpoint, ela notifica os usuários. Além disso, a solução EDR pode lidar com ataques a endpoints e fornecer análises que ajudam a otimizar a proteção do seu endpoint.
NDR x MDR
A detecção e resposta a rede é um subconjunto de detecção e resposta gerenciadas (MDR) que permite terceirizar seus recursos de detecção e resposta a ameaças para um provedor de serviços de segurança gerenciada (MSSP). Com uma solução MDR, o MSSP faz a busca, monitora e responde a ameaças cibernéticas em toda a sua infraestrutura de TI. Seu provedor MSSP pode lidar com ameaças sozinho ou trabalhar em colaboração com você para resolver os problemas sempre que surgirem.
NDR x XDR
Uma solução de detecção e resposta estendidas (XDR) oferece visibilidade dos dados da sua rede, endpoint e nuvem. A solução também permite detectar e remediar automaticamente ataques a toda a sua estrutura de TI. Além disso, oferece análises para que você fique em dia sobre as ameaças correntes e emergentes.
O que procurar em uma solução de detecção e resposta de rede
Visibilidade contextual
Se a solução NDR oferecer visibilidade contextual, você não terá problemas para ver a atividade de toda a sua rede em um só lugar. Você pode ver informações como: quais usuários estão usando a sua rede, os dispositivos com os quais eles estão interagindo, de onde estão acessando a sua rede e quais dados estão compartilhando. Isso o ajuda a detectar ameaças, localizar a origem delas, descobrir quais usuários foram comprometidos e outros fatores.
Detecção de ameaças não baseada em assinaturas
Uma solução NDR deve ser capaz de usar Machine Learning, modelagem comportamental e outras técnicas analíticas sem base em assinaturas para criar uma linha de base de atividades normais da rede. Assim, você pode identificar ameaças e emitir alertas sempre que a sua rede desviar o tráfego de uma faixa normal. Isso pode ajudá-lo a detectar com rapidez sempre que credenciais roubadas de um usuário forem usadas para acessar sua rede, exfiltrar dados da sua rede e outros problemas de segurança.
Identificação e alerta de ameaças
Você pode escolher uma solução NDR que identifique o acesso remoto incomum à sua rede, o uso de portas ou protocolos restritos e outras possíveis ameaças. A solução também oferece alertas de alta fidelidade e os prioriza com base em sua severidade. Juntamente com isso, a solução pode responder às ameaças por você, automaticamente.
Mecanismos de detecção de ameaça
Uma solução de detecção e resposta de alto nível usa um mecanismo de consulta e um modelo de predição Deep Learning para analisar o tráfego criptografado e identificar padrões correlatos entre fluxos de rede não relacionados. A solução usa indicadores de comprometimento (IOCs) conhecidos para identificar agentes de ameaças e táticas, técnicas e procedimentos maliciosos no tráfego de rede criptografado e não criptografado. Ela também detecta servidores C2 de dia zero e novas variantes de famílias de malware e pode enviar alertas com base em fatores de risco na sessão.
Gerenciamento e relatórios fáceis
A solução NDR ideal oferece uma único painel de gerenciamento e relatórios. Esse painel de controle deixa você exibir vários produtos de segurança de uma só vez. Ele permite que você compartilhe informações entre seus produtos de segurança e responda automaticamente a incidentes de segurança.
Quer saber mais? Fale hoje mesmo com um especialista do Sophos NDR.
Tópico de segurança relacionado: O que é um provedor de serviços de segurança gerenciada (MSSP)?