Cos'è l'NDR?
Di oggi rilevamento e risposta della rete (NDR) ha una lunga storia, che si è evoluta dalla sicurezza della rete e analisi del traffico di rete (NTA). La definizione storica di sicurezza della rete consiste nell'utilizzare un firewall perimetrale e sistemi di prevenzione delle intrusioni per schermare il traffico in entrata nella rete, ma poiché la tecnologia IT e di sicurezza si è evoluta, la definizione è ora molto più ampia a causa degli attacchi moderni che sfruttano approcci più complessi.
Oggi, la sicurezza della rete è tutto ciò che un'azienda fa per garantire la sicurezza delle sue reti e di tutto ciò che è connesso ad esse. Ciò include la rete, il cloud (oi cloud), gli endpoint, i server, l'IoT, gli utenti e le applicazioni. Sicurezza della rete I prodotti cercano di utilizzare misure preventive fisiche e virtuali per proteggere la rete e le sue risorse da accessi non autorizzati, modifiche, distruzione e uso improprio.
Perché il rapporto di mancato recapito è importante?
NDR è importante perché la rete è la spina dorsale dell'infrastruttura IT e ogni utente e dispositivo è connesso ad essa: è l'unica fonte di verità se riesci a vedere il traffico in modo significativo. Il traffico da tutti i tuoi sistemi, inclusi endpoint, server, applicazioni e Internet, deve passare attraverso la rete, quindi la rete è la fonte logica di vere informazioni sugli exploit di sicurezza e NDR è lo strumento che cattura queste informazioni.
Esistono molti strumenti di sicurezza che coprono endpoint, applicazioni come e-mail e server, ma l'analisi dei dati e dei registri di questi strumenti non è sufficiente per contrastare gli attacchi di oggi. Se c'è una cosa importante da sapere sulla rete, è che non mente. Ecco perché NDR completa il viaggio di un'organizzazione verso Rilevamento e risposta di tutto (Cioè, XDR) insieme a Endpoint Detection and Response (ovvero EDR) per i dati degli endpoint e SIEM per i registri degli strumenti di sicurezza. Nello specifico, NDR vede ciò che gli endpoint e gli altri log non vedono (l'intera rete, dispositivi, applicazioni SaaS, comportamento degli utenti), agisce come il vero set di dati e consente risposte in tempo reale.
Come funziona il rapporto di mancato recapito?
NDR soluzioni utilizzano tecniche non basate sulla firma (ad esempio, machine learning o altre tecniche analitiche) per attacchi sconosciuti insieme a tecniche di qualità basate su firme (ad esempio informazioni sulle minacce fuse in linea per gli avvisi) per attacchi noti per rilevare traffico o attività sospette. NDR può ingerire dati da dedicato sensore, firewall esistenti, IPS/IDS, metadati da Flusso netto, o qualsiasi altra fonte di dati di rete, presupponendo il posizionamento strategico di sensori e/o altra telemetria di rete. Dovrebbero essere monitorati sia il traffico nord/sud che il traffico est/ovest, nonché il traffico in ambienti sia fisici che virtuali. Tutti i dati vengono raccolti e aggregati in un data lake centrale, arricchito con contesti come Threat intelligence, nome host e/o informazioni utente, quindi elaborati da un avanzato motore di intelligenza artificiale per rilevare modelli di traffico sospetti e generare avvisi.
Una volta attivati gli avvisi, l'analista o NDR la soluzione deve rispondere. La risposta è la controparte critica ai rilevamenti ed è fondamentale per NDR. Risposte automatiche come l'invio di comandi a a firewall per eliminare il traffico sospetto o per an EDR strumento per mettere in quarantena un endpoint interessato o risposte manuali come la ricerca di minacce o strumenti di indagine sugli incidenti sono elementi comuni di NDR.
Come si integra NDR con altri strumenti di sicurezza?
Gli strumenti NDR si integrano con altri strumenti di sicurezza tramite le interfacce di programmazione delle applicazioni (API) fornite dal NDR venditore. Certo, se stai usando Stellar Cyber's Open XDR piattaforma, NDR è già integrato in esso, insieme a una nuova generazione SIEM e informazioni sulle minacce.
