¿Qué es NDR? La guía definitiva
Guía de mercado de Gartner XDR
XDR es una tecnología en evolución que puede ofrecer capacidades unificadas de prevención, detección y respuesta ante amenazas...
¡Experimente la seguridad impulsada por IA en acción!
Descubra la inteligencia artificial de vanguardia de Stellar Cyber para la detección instantánea de amenazas...
¿Cómo funciona NDR?
Su red es el sistema nervioso central de toda su organización. Ya sea que esté implementado únicamente "en metal", sin presencia en la nube, o que haya optado "todo incluido" en un proveedor de nube, la red permite una comunicación vital de un centro de negocios a otro. Históricamente, se pensaba que implementar un firewall proporcionaba seguridad suficiente para una red. Sin embargo, los proveedores introdujeron nuevos controles de seguridad para proteger la red y combatir los avances en los métodos de ataque. Los sistemas de detección de intrusiones o prevención de intrusiones aumentaron la capacidad del firewall para prevenir ciberataques exitosos, dada la dependencia de firmas de red conocidas de los ataques, cuando los atacantes modificaron sus tácticas incluso ligeramente, la mayoría de los productos IDS/IPS se convirtieron en poco más que una molestia para los atacantes. tratar con."
La evolución de la NDR
¿Cuál es el papel de NDR en la ciberseguridad?
Como estarían de acuerdo la mayoría de los profesionales de la ciberseguridad, la mayoría de los ataques afectan a la red de una forma u otra. Estudios recientes sugieren que el 99% de los ataques exitosos pueden detectarse en el tráfico de la red, muchos de los cuales podrían identificarse y mitigarse antes de que el atacante despliegue sus cargas útiles. Las soluciones modernas de protección de redes hacen que la protección de redes sea mucho más accesible para cualquier profesional de la seguridad al hacer que sus capacidades sean fáciles de usar. Junto con el aumento de las capacidades automatizadas incluidas en la mayoría de las soluciones, la identificación de amenazas en una red ahora es más sencilla que nunca. Para la mayoría de los equipos de seguridad, incluso aquellos que carecen de experiencia en redes pueden implementar una solución NDR en su pila de seguridad y comienzan a identificar amenazas a medida que se mueven entre los activos de la red y dentro y fuera de la red con poca intervención humana. Al incluir un NDR en una pila de seguridad, los equipos de seguridad también pueden ver enormes beneficios estratégicos y tácticos que van más allá de la simple identificación de amenazas en la red.
Defensa en profundidad
Intercambio de información
¿Cómo se compara NDR con EDR y XDR?
Requisitos NDR
- Productos NDR debe recopilar información sobre el tráfico de la red en tiempo real y almacenar los datos recopilados para hacer posible el análisis automatizado.
- Productos NDR debe poder normalizar y enriquecer los datos recopilados con información contextualmente relevante para facilitar un análisis integral
- Productos NDR También debe establecer una línea de base de tráfico de red regular, normalmente utilizando algoritmos de aprendizaje automático. Una vez que se establece la línea de base, el producto NDR debería detectar rápidamente los casos en los que el tráfico de red observado está fuera de los patrones de tráfico típicos, alertando a los analistas de seguridad en tiempo real sobre la anomalía.
- Productos NDR debe cubrir tanto los activos locales como los de la nube.
- Productos NDR debería funcionar para agregar alertas relacionadas en grupos de investigación procesables, lo que facilitará a los analistas de seguridad 1) comprender el alcance de un ataque y 2) tomar acciones de respuesta
- Productos NDR debe proporcionar un medio automatizado para tomar acciones de respuesta apropiadas cuando se consideren necesarias debido a la naturaleza y alcance de un ataque
Requisitos de EDR
- Productos EDR debe proporcionar a los equipos de seguridad un medio para recopilar y analizar datos de terminales en tiempo real. Normalmente, esto se entrega a través de un agente de punto final desplegable que se puede distribuir fácilmente a través de la herramienta elegida por la organización. Estos agentes de punto final deben administrarse de forma centralizada y actualizarse fácilmente sin necesidad de reiniciar el dispositivo.
- Productos EDR debería poder analizar aplicaciones y servicios en tiempo real para eliminar archivos y servicios potencialmente maliciosos. Cuando se descubra, debería ser posible poner en cuarentena los archivos y servicios sospechosos automáticamente.
- Productos EDR debe incluir un motor de reglas de correlación personalizable donde los equipos de seguridad puedan cargar un conjunto de reglas de correlación disponibles públicamente o crear sus propias reglas desde cero. Estas reglas deben incluir la capacidad de detectar una amenaza y un medio para tomar una respuesta automatizada si es necesario.
- Productos EDR debe integrarse fácilmente desde una perspectiva de datos en otro producto de seguridad, como una plataforma SIEM o XDR, para que los datos enriquecidos recopilados puedan analizarse en el contexto de otra información relevante para la seguridad.
- Productos EDR debería admitir implementaciones en dispositivos Microsoft Windows y diferentes versiones de dispositivos Linux.
- EDR moderno Los productos también se pueden implementar en ciertas plataformas basadas en la nube y otras aplicaciones entregadas en la nube, como Microsoft Office 365.
Requisitos XDR
Detección y respuesta extendidas (XDR) Los productos son una de las tecnologías más nuevas del mercado, nacida de la necesidad de facilitar que los equipos de seguridad eficientes brinden resultados de seguridad continuos en toda su empresa. Los productos XDR deben incluir las siguientes capacidades para ofrecer los beneficios que esperan la mayoría de los equipos de seguridad.
- productos XDR debe ingerir datos de cualquier fuente de datos disponible. Estos datos pueden incluir 1) alertas de cualquier control de seguridad implementado, 2) datos de registro de cualquier servicio utilizado por una organización, como los registros creados por el sistema de gestión de identidades de la organización, y 3) información de registro y relacionada con la actividad de cualquier nube. entorno y aplicación, como información de actividad recopilada de una solución Cloud Access Security Broker (CASB).
- productos XDR Idealmente, debería normalizar todos los datos recopilados para permitir un análisis integral a escala.
- productos XDR deberían utilizar el aprendizaje automático y la inteligencia artificial (IA) para correlacionar datos de alertas y actividades aparentemente dispares y no relacionados en incidentes/casos de seguridad fácilmente investigables.
- productos XDR debería contextualizar automáticamente todos los datos recopilados con información importante, lo que facilitará a los analistas de seguridad completar las investigaciones rápidamente.
- productos XDR debe dirigir los esfuerzos de los analistas de seguridad priorizando los incidentes de seguridad sospechosos según su impacto potencial en la organización.
- productos XDR debe proporcionar una capacidad de respuesta automatizada que pueda iniciarse sin intervención humana en función de la gravedad/impacto de una amenaza potencial.
En resumen, tanto los productos NDR como EDR son, en última instancia, insumos para una plataforma XDR que permite a los analistas de seguridad completar investigaciones de ciberseguridad de manera más rápida y efectiva que nunca.
Casos de uso comunes de NDR
Movimiento lateral
Al moverse a través de la red, también podrían identificar una aplicación o servicio vulnerable que les permita abrir una "puerta trasera" más tarde para volver a ingresar al entorno a voluntad. Además, para mantener la persistencia en un entorno, muchos atacantes intentarán escalar los privilegios de una cuenta de usuario comprometida a derechos de administrador, dándoles carta blanca en términos de realizar cambios en el entorno, potencialmente desactivando ciertas características de seguridad, eliminando registros que podría dejar migas de pan para que los equipos de seguridad las utilicen para completar sus investigaciones. Con un NDR que monitorea la actividad de la red en tiempo real, los equipos de seguridad pueden identificar rápidamente actividades sospechosas entre los activos de la red y patrones de tráfico anormales desde su red hacia el mundo exterior. Los productos NDR correlacionan esta actividad anormal con las acciones del usuario, lo que puede resaltar cuando un atacante se mueve libremente a través de sus activos de red.