Sommario

Risorse correlate

NDR vs EDR: le principali differenze

Network Detection and Response (NDR) è una parte sempre più integrante del kit di strumenti per la sicurezza informatica: offre una visibilità approfondita sulle attività interne di una rete e rivela il contenuto dei pacchetti che fluiscono tra i dispositivi. Endpoint Detection and Response (EDR), invece, si concentra interamente sull'individuazione dei singoli processi che si verificano all'interno di ciascun dispositivo endpoint di un'organizzazione.

Sebbene si basino su meccanismi simili di analisi delle minacce e profilazione, le loro implementazioni e i loro casi d'uso sono molto diversi. Questo articolo illustrerà le differenze e spiegherà come EDR e NDR vengano spesso implementati contemporaneamente.

Cos'è l'NDR?

NDR È uno strumento che monitora le interazioni tra i dispositivi sulla rete interna di un'organizzazione. Distribuisce sensori sulle reti di un'organizzazione, monitora quali dispositivi interagiscono con essa e analizza i dati che inviano ai peer e ai server esterni.

Questo potrebbe sembrare simile a un firewall: mentre un firewall analizza il traffico in entrata o in uscita da una rete – chiamato traffico Nord-Sud – non offre visibilità sul traffico tra i dispositivi interni. Gli NDR consentono di monitorare il traffico interno di una rete, o traffico Est-Ovest: offrono una nuova profondità di visibilità sulla rete, senza particolari esigenze di configurazione.

I dati grezzi raccolti dai sistemi NDR sono i seguenti:

Pacchetti di rete non elaborati: Acquisiti direttamente dal traffico di rete tramite porte SPAN, TAP o sensori dedicati, questi pacchetti offrono una visibilità completa delle transazioni, inclusi gli header di protocollo e i metadati relativi al payload.
Registrazioni di flusso: Formati di metadati come NetFlow o IPFIX che riassumono i modelli di comunicazione, tra cui indirizzi IP di origine e destinazione, numeri di porta, protocolli e conteggi di byte.
Metadati del traffico: Derivato dall'analisi dei pacchetti, include la durata della sessione, la frequenza delle comunicazioni, i modelli comportamentali dei dispositivi e i dati provenienti dai protocolli del livello applicativo.

Tutti questi dati vengono quindi acquisiti dal motore di analisi dello strumento NDR ed elaborati per individuare segnali di traffico dannoso. Per massimizzare le probabilità di successo nel rilevamento delle minacce, NDR impiega due strategie di analisi:

Analisi di rete basata sulla firma

Man mano che ogni singolo punto dati di rete viene assemblato in un grafico di serie temporali, è possibile mappare le attività dei singoli dispositivi rispetto alle minacce note. Il rilevamento basato sulle firme consolida specifici comportamenti di attacco a livello di rete in Indicatori di Compromissione (IoC), che vengono memorizzati nel database dell'NDR.

Una firma si riferisce a qualsiasi attributo identificabile collegato a un attacco informatico noto: potrebbe trattarsi di un frammento di codice di una specifica variante di malware o di un oggetto riconoscibile di un'email di phishing. Gli strumenti di rilevamento basati sulle firme analizzano l'attività di rete alla ricerca di questi pattern noti e attivano avvisi quando vengono rilevate corrispondenze.

Il monitoraggio degli IOC è intrinsecamente reattivo. Il rilevamento di un IOC indica in genere che si è già verificata una violazione. Tuttavia, se l'attività dannosa è ancora in corso, il rilevamento precoce di un IOC può svolgere un ruolo cruciale nell'interrompere l'attacco, consentendo un contenimento più rapido e riducendo i potenziali danni all'organizzazione.

Analisi della rete comportamentale

Oltre al rilevamento basato sulle firme, la maggior parte degli NDR offre anche un'analisi comportamentale. Questa analisi acquisisce tutti i punti dati, ma invece di confrontarli staticamente con un database di rischio esterno, li utilizza per costruire una base di riferimento comportamentale.

Questa baseline rappresenta l'attività normale: allinea dispositivi e utenti in base alla frequenza di comunicazione, al volume di dati e all'utilizzo del protocollo. Una volta definiti questi modelli di comportamento previsti, le soluzioni NDR possono identificare efficacemente le deviazioni che potrebbero segnalare una potenziale minaccia. Potrebbero verificarsi discrepanze tra il comportamento previsto e quello effettivo del protocollo, nonché attività applicative insolite al di fuori dell'orario di lavoro. NDR può anche integrarsi con altri strumenti di sicurezza, al fine di ottenere un quadro ancora più completo della normale attività di rete di un'organizzazione.

Nel complesso, sia il rilevamento delle minacce basato sul comportamento sia quello basato sulle firme consentono a NDR di fornire non solo una visibilità completa Est-Ovest, ma anche un rilevamento completo delle minacce a livello di rete.

Cos'è l'EDR?

EDR offre lo stesso approccio di raccolta dati approfondita e granulare agli endpoint di un'organizzazione. Installando agenti locali su ciascun endpoint, le singole azioni di ogni dispositivo vengono registrate e raccolte. I tipi di dati raccolti da EDR includono:

Dati di esecuzione del processo: Dettagli di tutti i processi in esecuzione, comprese le relazioni padre-figlio, gli argomenti della riga di comando e i timestamp di esecuzione.
Modifica del file system: Creazioni, modifiche, eliminazioni e controlli di integrità dei file (inclusi hash dei file e fonti di download).
Modifiche al registro: Modifiche alle chiavi del registro di sistema di Windows e alle impostazioni di configurazione critiche per il comportamento del sistema.
Account utente: Tutti gli account utente che hanno effettuato l'accesso, sia direttamente che in remoto
Configurazioni di sistema: Applicazioni installate, stati dei servizi e dati sulla conformità alle policy di sicurezza.

Analogamente ai sensori NDR, gli agenti EDR trasmettono in continuo dati grezzi a una piattaforma centralizzata, dove i modelli di apprendimento automatico li analizzano per individuare anomalie quali catene di processi non autorizzate, comunicazioni di rete sospette o modifiche del registro associate a tecniche di attacco note.

EDR vs NDR: diversi casi d'uso

Sebbene i due strumenti utilizzino metodi di analisi simili, i loro punti focali individuali li rendono particolarmente adatti a casi d'uso diversi.

Sicurezza IoT

I sensori NDR sono spesso basati su porte SPAN, che funzionano creando copie di ogni pacchetto che attraversa la loro rete. Queste copie vengono quindi inoltrate agli strumenti di monitoraggio dell'NDR: questo processo di copia delle informazioni sui pacchetti, anziché inoltrare tutti i pacchetti originali al motore di analisi, impedisce interferenze alla rete host.

Oltre a proteggere le reti sensibili, questa configurazione consente di monitorare e proteggere le attività di rete dei dispositivi IoT (Internet of Things). Gli IoT sono spesso troppo leggeri e numerosi per poter essere dotati di agenti installati, il che li rende una minaccia per la sicurezza ormai nota. Password deboli, impostazioni predefinite inadeguate e una grave mancanza di opzioni di gestione dei dispositivi hanno reso i dispositivi IoT estremamente difficili da proteggere. Tuttavia, poiché gli strumenti NDR catturano tutte le comunicazioni di rete, è possibile monitorare il comportamento est-ovest dell'IoT. Inoltre, poiché il traffico sospetto tra i dispositivi IoT e la loro rete più ampia può essere mappato a minacce note, il tempo medio di risposta risulta drasticamente accelerato.

Protezione dei dipendenti a distanza

L'EDR offre funzionalità di monitoraggio continuo, rilevamento delle minacce e risposta automatica direttamente sull'endpoint. Questo è particolarmente importante poiché gli endpoint remoti non possono sempre essere limitati a reti e dispositivi periferici specifici. Senza questa protezione, i dipendenti ibridi rischiano di diventare vettori di infezioni quando ricollegano i dispositivi remoti alle reti aziendali.

Inoltre, quando viene rilevato un evento di sicurezza su un dispositivo remoto, EDR può avviare la strategia di risposta in base ai fattori circostanti. Ad esempio, se viene rilevato un insieme di IoC che indicano la presenza di un ransomware, può isolare i dispositivi interessati prima che si diffondano.

Rilevamento del movimento laterale

Quando un aggressore ottiene l'accesso alle risorse di un'azienda, è estremamente probabile che la sua azione successiva sia quella di esplorare la rete del dispositivo, esplorare gli utenti e i dispositivi connessi e individuare i punti deboli della vittima. Sono queste informazioni che guideranno le fasi successive dell'implementazione del payload.

NDR vs EDR: differenze a colpo d'occhio

Caratteristica/capacità	NDR	EDR
Area di messa a fuoco	Monitora il traffico di rete e le comunicazioni.	Monitora i singoli dispositivi endpoint (ad esempio laptop, server).
Origine dei dati	Pacchetti di rete, record di flusso (NetFlow/IPFIX), metadati.	Registri di sistema, attività dei file, comportamento dei processi, modifiche del registro.
Ambito di visibilità	Ampia visibilità a livello di rete.	Visibilità approfondita a livello di dispositivo.
Metodi di rilevamento delle minacce	Rilevamento delle anomalie, analisi comportamentale, ispezione del traffico crittografato.	Analisi dei file, monitoraggio del comportamento, rilevamento basato sulla firma.
Casi d'uso	Movimento laterale, traffico di comando e controllo, esfiltrazione di dati.	Infezioni da malware, minacce interne, tentativi di exploit.
Capacità di risposta	Avvisi e integrazioni con SIEM/SOAR; bonifica diretta limitata.	Contenimento automatizzato delle minacce (ad esempio, interruzione dei processi, isolamento dei dispositivi).
Scenario di distribuzione	Reti aziendali con molti dispositivi connessi.	Forza lavoro remota, ambienti BYOD, endpoint ad alto rischio.
Requisiti di distribuzione	In genere senza agente; utilizza sensori di rete come tap e porte SPAN.	Richiede l'installazione di agenti su ciascun dispositivo endpoint monitorato.

Integrare EDR con NDR tramite Stellar Cyber

Poiché i due strumenti operano così bene in tandem, spesso vengono implementati insieme. Ciò accresce l'importanza delle capacità di integrazione di ciascuno strumento, poiché le informazioni acquisite da ciascuno possono accelerare significativamente l'MTTR. Stellar Cyber incarna questa capacità congiunta con il suo ApriXDR Prodotto: integrandosi con qualsiasi EDR, esegue un'ispezione approfondita dei pacchetti (DPI) insieme al sandboxing del malware per un rilevamento e una prevenzione del malware zero-day sempre attivi.

ApriXDR Correla gli avvisi a livello di rete con quelli generati dagli strumenti di sicurezza dell'organizzazione, trasformandoli in incidenti accessibili. Invece di riempire i flussi di lavoro degli analisti con infiniti avvisi, Stellar li ordina e filtra in modo proattivo in base a requisiti di azione immediata. Scopri come OpenXDR può restituire capacità di risposta proattiva al tuo team di sicurezza con una demo oggi.

Risorse correlate

Funzionalità di sicurezza

Verticali

Confronta con Stellar Cyber

Confronto

Casi d'uso

Elementi distintivi

Leadership di pensiero

Programmi e risorse

Inizia ora

Risorse in primo piano

SOC Guide all'automazione

Guide SecOps

AI-Driven SIEM Le guide

Scegli la lingua

NDR vs EDR: le principali differenze

Cos'è l'NDR?

Analisi di rete basata sulla firma

Analisi della rete comportamentale

Cos'è l'EDR?

EDR vs NDR: diversi casi d'uso

Sicurezza IoT

Protezione dei dipendenti a distanza

Rilevamento del movimento laterale

NDR vs EDR: differenze a colpo d'occhio

Integrare EDR con NDR tramite Stellar Cyber

Sembra troppo bello per essere vero? Guardalo tu stesso!

Prodotti

AI multistrato™

Confronta

Partner

Risorse

Azienda

Per le imprese

Per MSSP

Capacità e tecnologia

Reti

Biscotti su Stellar

Sembra troppo bello per
essere vero?
Guardalo tu stesso!