O que é a detecção e resposta de rede (NDR)? 

Sophos Network Detection and Response O que é MDR?

Sua organização pode usar uma solução de detecção e resposta de rede (NDR) para monitorar o tráfego da rede. A solução identifica as ameaças cibernéticas e comportamentos anormais em toda a sua rede, o notifica sobre ataques à rede e pode responder por você. Além disso, a solução NDR oferece insights de segurança de rede que você pode usar para incrementar a sua proteção de rede e postura geral de segurança.

Sobre o NDR

De acordo com a Gartner, a detecção e resposta de rede refere-se a produtos que aplicam análise de comportamento de rede a dados de tráfego de rede para identificar comportamentos anormais. Esses produtos analisam os pacotes de rede ou metadados do tráfego entre as redes internas (leste-oeste) e as redes públicas (norte-sul). Eles podem vir encapsulados em dispositivos de hardware e software, softwares locais ou SaaS.

As soluções NDR usam a inteligência Artificial (IA), o Machine Learning (ML) e a análise de dados para avaliar o comportamento da rede e construir modelos com base nesse comportamento. Elas detectam ameaças de rede, notificam os usuários assim que são descobertas e respondem conforme necessário.

Por que a detecção e resposta de rede é importante?

Os criminosos cibernéticos podem se esquivar das soluções de detecção e resposta de endpoints (EDR) e de muitas outras tecnologias e ferramentas de segurança. Eles podem, inclusive, desabilitar e remover logs de sistema. Contudo, os criminosos cibernéticos não podem se esconder na rede — e é por isso que a detecção e resposta de rede é essencial.

Com uma solução NDR, você pode monitorar toda a sua rede em busca de atividades maliciosas que outras tecnologias e ferramentas de segurança nem sempre conseguem ver. A sua solução NDR pode detectar fluxos anormais de tráfego na rede. Isso ajuda a proteger o perímetro da sua rede e manter o controle do que entra e do que sai dela.

Como funciona a detecção e resposta de rede?

Uma solução de detecção e resposta de rede usa Machine Learning e outras técnicas analíticas sem base em assinaturas para identificar atividades suspeitas na rede. Ela monitora e analisa o tráfego na rede e usa as informações para estabelecer uma linha de base que caracterize o comportamento de rede normal. Se houver desvios dessa linha de base, a solução notifica os usuários sobre possíveis ameaças à rede.

A solução NDR também oferece insights que vão além daqueles fornecidos por uma solução de firewall. Ela identifica atividades suspeitas que se movem pela rede e que uma solução de segurança de endpoint ou firewall não consegue determinar.

Ameaças que as soluções NDR identificam

  • Dispositivos com Internet das Coisas (IoT) e tecnologia operacional (OT) não gerenciados
  • Sistemas de rede desconhecidos ou não identificados
  • Ameaças internas
  • Movimento lateral
  • Atividade de comando e controle (C2)
  • Fluxos e padrões de tráfego de rede mal-intencionado
  • Malware
  • Ransomware
  • Ataques de força bruta
  • Engenharia social
  • Roubo e manipulação de dados
  • Comportamentos de risco (como liberar o acesso remoto a endpoints, compartilhar contas de usuário, etc.)

Principais recursos NDR

  • Detecção de incidente: identifica anomalias e padrões no tráfego de rede para detectar incidentes de segurança antes que se agravem.
  • Investigação de ameaça: rastreia o trafego de rede e padrões e compartilha as informações com analistas de segurança, que podem usá-las para investigar incidentes.
  • Inteligência de ameaças: coleta e analisa dados de ameaças dentro e fora da sua organização e permite que você compartilhe essa inteligência de ameaça com outros produtos de segurança, de modo a obter grande valor dos produtos.
  • Alertas de segurança: fornecem alertas de segurança que oferecem insights da postura de segurança da sua organização e das ameaças que está enfrentando. 
  • Prevenção contra ameaças: trabalha com o seu firewall e outras ferramentas de segurança e tecnologia para bloquear tráfego de rede suspeito que pode levar a violações de dados.  

Benefícios do Network Detection and Response

Visibilidade de rede abrangente

A solução NDR permite que você observe a atividade de toda a sua rede. Se um criminoso cibernético atacar a sua rede, você será capaz de descobrir exatamente o que aconteceu. Isso ajuda a entender as táticas, técnicas e procedimentos (TTPs) utilizados pelo criminoso e como se proteger contra os TTPs.

Resposta e remediação rápidas às ameaças

Com uma solução NDR, você pode detectar ataques à rede nos estágios iniciais. A solução também oferece insights sobre o ataque assim que ele começa. Você pode parar o ataque antes que prejudique a sua organização, seus funcionários e seus clientes.

Análise a toda prova

Geralmente, uma solução NDR analisa os pacotes de rede para avaliar o comportamento do usuário e do dispositivo e identificar ataques. A solução traça um perfil do comportamento verificado na rede de todas as entidades, estabelece uma linha de base de acordo com as informações angariadas e detecta comportamentos anômalos de ataque. Como a solução usa dados da rede que não podem ser adulterados ou eliminados, ela fornece uma fonte única e confiável de todos os comportamentos na rede. 

Economia em tempo e custos

Provavelmente, você não precisará de muito tempo nem dinheiro para configurar logs de soluções NDR ou normalizar os formatos de seus logs. A maioria das soluções NDR pode acessar pacotes de rede e analisar e armazenar dados de rede diretamente de fábrica. Elas também podem extrair e armazenar os metadados comportamentais necessários para traçar o perfil exato de comportamentos de rede e detectar ataques.

Implantação na nuvem sem entraves

Muitas soluções NDR chegam pela nuvem. Isso significa que você não precisará implantar servidores de log para coletar e analisar os dados da sua rede. Você pode, inclusive, coletar logs de rede de seus e outros produtos de segurança de rede e evitar ter que investir em sensores da rede e na sua instalação.

Desafios do Network Detection and Response

  • Evolução no panorama de ameaças cibernéticas: os criminosos cibernéticos estão constantemente desenvolvendo novos TTPs para se infiltrarem nas redes.
  • Expansão da superfície de ataque: a expansão acelerada do ambiente digital aumenta a superfície de ataque dos criminosos cibernéticos, criando ainda mais oportunidades de ataque às redes.
  • Lacunas em habilidades de segurança cibernética: a falta de profissionais especializados em segurança cibernética dificulta a implementação e o gerenciamento de soluções NDR.
  • Restrições no orçamento: muitas organizações carecem de tempo e recursos necessários para integrar as soluções NDR em suas operações diárias.    

NDR x EDR

Enquanto a solução de detecção e resposta de rede monitora o tráfego da sua rede, a solução de detecção e resposta de endpoint sai no encalço de atividades suspeitas em seus computadores, dispositivos móveis, servidores e outros endpoints. Se uma solução EDR identifica uma atividade suspeita no endpoint, ela notifica os usuários. Além disso, a solução EDR pode lidar com ataques a endpoints e fornecer análises que ajudam a otimizar a proteção do seu endpoint. 

NDR x MDR

A detecção e resposta a rede é um subconjunto de detecção e resposta gerenciadas (MDR) que permite terceirizar seus recursos de detecção e resposta a ameaças para um provedor de serviços de segurança gerenciada (MSSP). Com uma solução MDR, o MSSP faz a busca, monitora e responde a ameaças cibernéticas em toda a sua infraestrutura de TI. Seu provedor MSSP pode lidar com ameaças sozinho ou trabalhar em colaboração com você para resolver os problemas sempre que surgirem.

NDR x XDR

Uma solução de detecção e resposta estendidas (XDR) oferece visibilidade dos dados da sua rede, endpoint e nuvem. A solução também permite detectar e remediar automaticamente ataques a toda a sua estrutura de TI. Além disso, oferece análises para que você fique em dia sobre as ameaças correntes e emergentes.

O que procurar em uma solução de detecção e resposta de rede

Visibilidade contextual

Se a solução NDR oferecer visibilidade contextual, você não terá problemas para ver a atividade de toda a sua rede em um só lugar. Você pode ver informações como: quais usuários estão usando a sua rede, os dispositivos com os quais eles estão interagindo, de onde estão acessando a sua rede e quais dados estão compartilhando. Isso o ajuda a detectar ameaças, localizar a origem delas, descobrir quais usuários foram comprometidos e outros fatores.

Detecção de ameaças não baseada em assinaturas

Uma solução NDR deve ser capaz de usar Machine Learning, modelagem comportamental e outras técnicas analíticas sem base em assinaturas para criar uma linha de base de atividades normais da rede. Assim, você pode identificar ameaças e emitir alertas sempre que a sua rede desviar o tráfego de uma faixa normal. Isso pode ajudá-lo a detectar com rapidez sempre que credenciais roubadas de um usuário forem usadas para acessar sua rede, exfiltrar dados da sua rede e outros problemas de segurança.

Identificação e alerta de ameaças

Você pode escolher uma solução NDR que identifique o acesso remoto incomum à sua rede, o uso de portas ou protocolos restritos e outras possíveis ameaças. A solução também oferece alertas de alta fidelidade e os prioriza com base em sua severidade. Juntamente com isso, a solução pode responder às ameaças por você, automaticamente.

Mecanismos de detecção de ameaça

Uma solução de detecção e resposta de alto nível usa um mecanismo de consulta e um modelo de predição Deep Learning para analisar o tráfego criptografado e identificar padrões correlatos entre fluxos de rede não relacionados. A solução usa indicadores de comprometimento (IOCs) conhecidos para identificar agentes de ameaças e táticas, técnicas e procedimentos maliciosos no tráfego de rede criptografado e não criptografado. Ela também detecta servidores C2 de dia zero e novas variantes de famílias de malware e pode enviar alertas com base em fatores de risco na sessão.

Gerenciamento e relatórios fáceis

A solução NDR ideal oferece uma único painel de gerenciamento e relatórios. Esse painel de controle deixa você exibir vários produtos de segurança de uma só vez. Ele permite que você compartilhe informações entre seus produtos de segurança e responda automaticamente a incidentes de segurança.

Quer saber mais? Fale hoje mesmo com um especialista do Sophos NDR.

Entre em contato

Tópico de segurança relacionado: O que é um provedor de serviços de segurança gerenciada (MSSP)?

Fique por dentro com mais notícias sobre segurança cibernética