Pesquisar
Feche esta caixa de pesquisa.

Conteúdo

O que é NDR? O Guia Definitivo

Hoje, os tomadores de decisão de segurança enfrentam uma infinidade de opções quando se trata de construir uma pilha de segurança moderna. Um controle de segurança comumente esquecido é a detecção e resposta de rede, ou NDR. As soluções de segurança cibernética NDR não são novas. No entanto, devido à complexidade percebida de implementação, manutenção e utilização, muitos proprietários de segurança desvalorizam esta tecnologia na sua pilha de segurança, assumindo que outros produtos de segurança associados à rede podem evitar que as suas redes sejam comprometidas. Este guia fornece uma definição abrangente de NDR como uma solução moderna de segurança cibernética e sua importância no combate a ataques cibernéticos.

Como funciona a notificação de falha na entrega

As tecnologias de detecção e resposta de rede são projetadas para identificar ameaças em sua infraestrutura de rede e permitir que os analistas de segurança tomem ações de resposta decisivas rapidamente para mitigar o risco de uma violação prejudicial. Ao contrário de outras tecnologias de rede que exigem que os usuários sejam semi-especialistas em redes, os analistas de segurança com conhecimentos variados podem usar facilmente produtos NDR. Para entender melhor como Os recursos de NDR mantêm uma rede segura, devemos primeiro desvendar como eles são implantados e funcionam. 

Sua rede é o sistema nervoso central de toda a sua organização. Quer você esteja implantado exclusivamente “on-metal”, sem presença na nuvem, ou tenha optado “All-In” em um provedor de nuvem, a rede permite a comunicação vital de um centro de negócios para outro. Historicamente, pensava-se que a implantação de um firewall fornecia segurança suficiente para uma rede. No entanto, os fornecedores introduziram novos controles de segurança para proteger a rede e combater os avanços nos métodos de ataque. Os sistemas de detecção de invasões ou prevenção de intrusões aumentaram a capacidade do firewall de prevenir ataques cibernéticos bem-sucedidos, dada a dependência de assinaturas de ataques de rede conhecidas, quando os invasores modificaram suas táticas, mesmo que ligeiramente, a maioria dos produtos IDS/IPS tornaram-se pouco mais do que um incômodo para os invasores “ tratar."

O que é NDR? O Guia Definitivo - A Evolução do NDR

A evolução da NDR

Como os provedores de segurança costumam fazer quando enfrentam desafios crescentes de invasores, foi introduzido um novo tipo de produto conhecido como Análise de tráfego de rede (NTA). Conforme sugerido pelo nome, os produtos NTA analisariam conteúdos e métricas de tráfego entre os ativos das organizações e o tráfego de e para fontes externas. Um analista pode investigar os detalhes de padrões fora do comum para determinar se são necessárias ações corretivas. Agora, NDR entra em cena. O NDR combina os melhores recursos de IDS/IPS, NTA e outros recursos de segurança de rede em uma única solução para proteger uma rede. Os produtos NDR procuram fornecer uma visão holística das ameaças à segurança em sua rede. Usando uma combinação de assinaturas de rede maliciosas conhecidas, análises de segurança e análises de comportamento, as notificações de falha na entrega podem fornecer rapidamente detecção de ameaças com alta eficácia. Para ser mais específico, os produtos NDR podem não apenas analisar o conteúdo do tráfego de rede, mas também identificar atividades anômalas analisando os metadados do tráfego de rede (tamanho/forma do tráfego). Esse recurso é vantajoso ao lidar com tráfego criptografado, onde pode ser impossível para o produto NDR descriptografar em tempo real. Os produtos típicos de NDR oferecem recursos de detecção e de resposta a uma ameaça potencial.

Qual é o papel da NDR na segurança cibernética

Os invasores modernos procuram qualquer ponto fraco no ambiente de uma organização que possam explorar. Embora os endpoints sejam uma superfície de ataque popular para a maioria dos invasores, eles buscam cada vez mais maneiras de mascarar suas ameaças cibernéticas no tráfego regular da rede. Essa abordagem está ganhando popularidade devido à complexidade percebida associada ao monitoramento, à análise e à detecção de ameaças à medida que elas atravessam a rede. Num passado não tão distante, a identificação de ameaças no tráfego de rede exigia recursos com vasta experiência na configuração, manutenção e monitoramento do tráfego de rede. Hoje, no entanto, o cenário da segurança cibernética é muito diferente, tornando a proteção de uma rede muito mais acessível para todos os profissionais de segurança, não apenas para aqueles que são especialistas em redes. 

Como a maioria dos profissionais de segurança cibernética concordaria, a maioria dos ataques atinge a rede de uma forma ou de outra. Estudos recentes sugerem que 99% dos ataques bem-sucedidos podem ser detectados no tráfego de rede, muitos dos quais poderiam ser identificados e mitigados antes que o invasor implemente suas cargas. As soluções modernas de proteção de rede tornam a proteção de redes muito mais acessível para qualquer profissional de segurança, facilitando o uso de seus recursos. Juntamente com o aumento dos recursos automatizados incluídos na maioria das soluções, a identificação de ameaças em uma rede é agora mais fácil do que nunca. Para a maioria das equipes de segurança, mesmo aqueles que não têm experiência em redes podem implantar uma solução NDR em sua pilha de segurança e começam a identificar ameaças à medida que elas se movem entre os ativos da rede e entram e saem da rede com pouca intervenção humana. Ao incluir uma NDR em uma pilha de segurança, as equipes de segurança também podem obter enormes benefícios estratégicos e táticos que vão além da simples identificação de ameaças na rede.

Defesa em Profundidade

Primeiro, ao incluir a NDR em sua pilha de segurança, você segue as práticas recomendadas da abordagem de segurança de “defesa profunda”. Embora as plataformas de proteção de endpoints e as soluções de detecção e resposta de endpoints sejam projetadas para identificar ameaças nos endpoints, por exemplo, elas geralmente são cegas às ameaças à medida que se movem pela rede. Da mesma forma, os produtos de prevenção contra perda de dados são muito bons para identificar quando dados importantes são transferidos de um determinado local. No entanto, eles não são bons em captar essas informações críticas que atravessam a rede, especialmente se estiverem ofuscadas no tráfego regular da rede. É nesta situação que os produtos de segurança NDR têm o potencial de aprimorar a capacidade de uma equipe de segurança para reduzir o risco de um ataque cibernético bem-sucedido. Assim como os outros produtos mencionados são dedicados à detecção de ameaças em um ativo ou tipo de dados específico, o NDR concentra-se exclusivamente na compreensão do tráfego de rede de uma forma que nenhum outro produto de segurança consegue. Ao permitir a análise rápida do tráfego de rede em tempo real, os produtos de segurança NDR podem revelar ameaças potenciais no tráfego de rede que podem ter passado despercebidas.

Partilhando informação

Depois que as ameaças são detectadas, essas informações podem ser facilmente compartilhadas em uma plataforma SIEM ou XDR para correlacionar com outras ameaças, algumas das quais podem ser consideradas um sinal fraco. Com um fluxo constante de ameaças de rede agora analisadas com outros dados relevantes para a segurança, as equipes de segurança se beneficiarão de uma visão mais holística das ameaças em todos os seus ambientes de rede. Por exemplo, é comum que os invasores implementem ataques multivetoriais contra seus alvos, como iniciar uma campanha de phishing por e-mail contra vários funcionários e, ao mesmo tempo, tentar explorar uma vulnerabilidade conhecida descoberta em algum lugar da rede. Quando investigados separadamente, podem ser considerados de menor prioridade do que quando considerados parte de um ataque direcionado. Com a NDR implementada, em conjunto com uma XDR, esses ataques não são mais investigados isoladamente. Em vez disso, eles podem ser correlacionados e aumentados com informações contextuais relevantes, tornando muito mais fácil determinar se estão relacionados. Esta etapa adicional, que na maioria dos casos pode ocorrer automaticamente, significa que os analistas de segurança se tornam mais produtivos e eficientes sem exercer mais esforço. Para obter informações adicionais sobre os benefícios estratégicos da NDR, revise o Guia para compradores de NDR.

Como o NDR se compara ao EDR e ao XDR?

Com tantos produtos e serviços de cibersegurança que afirmam oferecer benefícios semelhantes, pode ser difícil para alguns decisores de segurança discernir quais os produtos a implementar para obter benefícios incrementais. A NDR não está imune a essa confusão, portanto, para ajudar os tomadores de decisão a compreender as semelhanças e diferenças entre os controles de segurança padrão, descrevemos a seguir as diferenças entre NDR, EDR e XDR.

Requisitos de notificação de falha na entrega

Primeiro, para estabelecer uma compreensão básica do foco deste guia, NDR, aqui estão os recursos padrão de uma solução NDR:
  • Produtos NDR deve coletar informações de tráfego de rede em tempo real e armazenar os dados coletados para possibilitar análises automatizadas.
  • Produtos NDR deve ser capaz de normalizar e enriquecer os dados coletados com informações contextualmente relevantes para facilitar uma análise abrangente
  • Produtos NDR também deve estabelecer uma linha de base de tráfego de rede regular, normalmente usando algoritmos de aprendizado de máquina. Depois que a linha de base for estabelecida, o produto NDR deverá revelar rapidamente instâncias quando o tráfego de rede testemunhado estiver fora dos padrões de tráfego típicos, alertando os analistas de segurança em tempo real sobre a anomalia. 
  • Produtos NDR deve abranger ativos locais e na nuvem.
  • Produtos NDR devem trabalhar para agregar alertas relacionados em grupos de investigação acionáveis, facilitando aos analistas de segurança 1) compreender o escopo de um ataque e 2) tomar ações de resposta
  • Produtos NDR deve fornecer meios automatizados para tomar ações de resposta apropriadas quando forem consideradas necessárias devido à natureza e ao escopo de um ataque

Requisitos de EDR

Os produtos Endpoint Detection and Response (EDR) devem fornecer os seguintes recursos para fornecer a proteção necessária de sua área de foco, os dispositivos endpoint:
  • Produtos EDR deve fornecer às equipes de segurança um meio de coletar e analisar dados de endpoint em tempo real. Normalmente, isso é fornecido por meio de um agente de endpoint implantável que pode ser facilmente distribuído por meio da ferramenta preferida da organização. Esses agentes de endpoint devem ser gerenciados centralmente e facilmente atualizados sem exigir a reinicialização do dispositivo. 
  • Produtos EDR deve ser capaz de analisar aplicativos e serviços em tempo real para erradicar arquivos e serviços potencialmente maliciosos. Quando descoberto, deverá ser possível colocar em quarentena automaticamente os arquivos e serviços suspeitos. 
  • Produtos EDR deve incluir um mecanismo de regras de correlação personalizável onde as equipes de segurança podem fazer upload de um conjunto de regras de correlação disponíveis publicamente ou criar suas próprias regras do zero. Estas regras devem incluir a capacidade de detectar uma ameaça e um meio de responder automaticamente, se necessário. 
  • Produtos EDR deve ser facilmente integrado do ponto de vista dos dados em outro produto de segurança, como uma plataforma SIEM ou XDR, para que os dados ricos coletados possam ser analisados ​​no contexto de outras informações relevantes para a segurança. 
  • Produtos EDR deve suportar implantações em dispositivos Microsoft Windows e diferentes versões de dispositivos Linux. 
  • EDR moderno os produtos também podem ser implantados em determinadas plataformas baseadas em nuvem e outros aplicativos fornecidos em nuvem, como o Microsoft Office 365. 

Requisitos XDR

Detecção e resposta estendidas (XDR) Os produtos são uma das mais novas tecnologias do mercado, nascidas da necessidade de facilitar às equipes de segurança enxutas o fornecimento de resultados de segurança contínuos em toda a empresa. Os produtos XDR devem incluir os seguintes recursos para oferecer os benefícios que a maioria das equipes de segurança espera. 

  • produtos XDR deve ingerir dados de qualquer fonte de dados disponível. Esses dados podem incluir 1) alertas de qualquer controle de segurança implantado, 2) dados de log de qualquer serviço em uso por uma organização, como os logs criados pelo sistema de gerenciamento de identidade da organização, e 3) log e informações relacionadas a atividades de qualquer nuvem ambiente e aplicativo, como informações de atividades coletadas de uma solução Cloud Access Security Broker (CASB).
  • produtos XDR idealmente, normalizar todos os dados recolhidos para permitir uma análise abrangente em escala.
  • produtos XDR devem usar aprendizado de máquina e inteligência artificial (IA) para correlacionar alertas e dados de atividades aparentemente díspares e não relacionados em incidentes/casos de segurança facilmente investigáveis. 
  • produtos XDR deve contextualizar automaticamente todos os dados coletados com informações importantes, facilitando aos analistas de segurança a conclusão rápida das investigações.
  • produtos XDR deve direcionar os esforços dos analistas de segurança, priorizando os incidentes de segurança suspeitos de acordo com seu impacto potencial na organização.
  • produtos XDR deve fornecer uma capacidade de resposta automatizada que possa ser iniciada sem intervenção humana com base na gravidade/impacto de uma ameaça potencial. 

Em resumo, os produtos NDR e EDR são, em última análise, insumos para uma plataforma XDR que permite aos analistas de segurança concluir investigações de segurança cibernética de forma mais rápida e eficaz do que nunca. 

Casos de uso comuns de NDR

Deveria ser evidente que os produtos NDR se concentram na identificação de ameaças à segurança à medida que atravessam a infraestrutura de rede de uma organização. Dito isto, pode ser mais fácil para os tomadores de decisão de segurança compreender os benefícios que um produto NDR oferece aplicando uma lente de caso de uso à discussão. A discussão a seguir descreve vários casos de uso de segurança comuns que um produto NDR pode ajudar uma equipe de segurança a atender.

Movimento lateral

Um desafio comum para uma equipe de segurança é entender quando um invasor se move lateralmente no ambiente. Por exemplo, quando um invasor compromete com sucesso uma conta de usuário ou um endpoint sem detecção, o próximo passo lógico é o invasor tentar avançar ainda mais no ambiente. Suponha que eles possam passar de um dispositivo para outro em modo furtivo. Nesse caso, eles podem descobrir onde existem informações confidenciais no ambiente, tornando seu ataque mais impactante no caso de ransomware.

Ao se movimentarem pela rede, eles também poderão identificar um aplicativo ou serviço vulnerável que lhes permita abrir uma “porta dos fundos” mais tarde para entrar novamente no ambiente à vontade. Além disso, para manter a persistência em um ambiente, muitos invasores tentarão escalar os privilégios de uma conta de usuário comprometida para direitos de administrador, dando-lhes carta branca em termos de fazer alterações no ambiente, potencialmente desabilitando certos recursos de segurança, excluindo logs que poderia deixar migalhas para as equipes de segurança usarem para concluir suas investigações. Com uma NDR que monitora a atividade da rede em tempo real, as equipes de segurança podem identificar rapidamente atividades suspeitas entre ativos de rede e padrões de tráfego anormais de sua rede para o mundo externo. Os produtos NDR correlacionam essa atividade anormal com as ações do usuário, o que pode destacar quando um invasor está se movimentando livremente pelos ativos da rede.

Credenciais comprometidas

Outro caso de uso diário de segurança que os produtos NDR podem atender está associado a credenciais comprometidas. Infelizmente, hoje em dia, um invasor pode obter credenciais de usuário válidas de várias maneiras, desde comprá-las na dark web até fazer com que um funcionário involuntário forneça suas credenciais voluntariamente em resposta a um e-mail fraudulento ou por meio de um site malicioso. Depois que o invasor obtém as credenciais, fica fácil para o invasor obter acesso ao ambiente. Uma vez dentro da organização, o invasor pode realizar inúmeras atividades maliciosas, como implantar ransomware debilitante, excluir dados de missão crítica ou expor informações confidenciais da empresa ao mundo exterior para causar estragos. Os produtos NDR facilitam a detecção de credenciais comprometidas pela natureza de como uma NDR funciona. Por exemplo, se um funcionário baseado na América do Norte for detectado fazendo login na China. Nesse caso, o produto NDR detectará essa anomalia e gerará um alerta que um analista de segurança poderá investigar rapidamente. Como o produto NDR contextualizará o aviso automaticamente, o analista de segurança poderá determinar rapidamente se esta anomalia é uma ameaça e iniciar uma resposta automatizada em segundos, como restringir o acesso do usuário a todos os ambientes de rede e forçar uma redefinição de senha. Eles também poderiam garantir que o acesso do usuário a quaisquer aplicativos e ativos de rede baseados em nuvem seja desativado por meio de uma integração a um produto CASB.
Voltar ao Topo