O que é NDR?
Hoje detecção e resposta de rede (NDR) tem uma longa história, evoluindo da segurança de rede e análise de tráfego de rede (NTA). A definição histórica de segurança de rede é usar um firewall de perímetro e sistemas de prevenção de intrusão para filtrar o tráfego que entra na rede, mas como a tecnologia de TI e segurança evoluiu, a definição é muito mais ampla agora devido aos ataques modernos que utilizam abordagens mais complexas.
Hoje, segurança de rede é tudo o que uma empresa faz para garantir a segurança de suas redes e de tudo que está conectado a elas. Isso inclui a rede, a nuvem (ou nuvens), terminais, servidores, IoT, usuários e aplicativos. Segurança de rede os produtos buscam usar medidas preventivas físicas e virtuais para proteger a rede e seus ativos contra acesso não autorizado, modificação, destruição e uso indevido.
Por que o NDR é importante?
NDR é importante porque a rede é a espinha dorsal da infraestrutura de TI e todos os usuários e dispositivos estão conectados a ela - é a única fonte da verdade se você puder ver o tráfego de uma maneira significativa. O tráfego de todos os seus sistemas, incluindo endpoints, servidores, aplicativos e internet, deve passar pela rede, então a rede é a fonte lógica de informações verdadeiras sobre explorações de segurança, e NDR é a ferramenta que captura essas informações.
Existem muitas ferramentas de segurança que cobrem endpoints, aplicativos como e-mail e servidores, mas analisar dados e logs dessas ferramentas não é suficiente para impedir os ataques de hoje. Se há uma coisa importante a saber sobre a rede, é que ela não mente. É por isso que o NDR completa a jornada de uma organização para Tudo Detecção e Resposta (Isto é, XDR) junto com a detecção e resposta de endpoint (ou seja, EDR) para dados de endpoint e SIEM para logs de ferramenta de segurança. Especificamente, NDR vê o que os endpoints e outros logs não veem (toda a rede; dispositivos, aplicativos SaaS, comportamento do usuário), atua como o verdadeiro conjunto de dados e permite respostas em tempo real.
Como funciona o NDR?
NDR soluções usam técnicas não baseadas em assinaturas (por exemplo, aprendizado de máquina ou outras técnicas analíticas) para ataques desconhecidos juntamente com técnicas baseadas em assinaturas de qualidade (por exemplo, inteligência de ameaças fundida in-line para alertas) para ataques conhecidos para detectar tráfego ou atividades suspeitas. NDR pode ingerir dados de sensor, firewalls existentes, IPS / IDS, metadados de NetFlow, ou qualquer outra fonte de dados de rede, assumindo o posicionamento estratégico de sensores e / ou outra telemetria de rede. O tráfego norte / sul e o tráfego leste / oeste devem ser monitorados, bem como o tráfego em ambientes físicos e virtuais. Todos os dados são coletados e agregados em um data lake central, enriquecido com contextos como Inteligência de ameaça, nome do host e / ou informações do usuário, em seguida, processados por um avançado Motor AI para detectar padrões de tráfego suspeitos e gerar alertas.
Uma vez que os alertas são acionados, o analista ou NDR solução deve responder. A resposta é a contrapartida crítica para detecções e é fundamental para NDR. Respostas automáticas, como o envio de comandos para um firewall para descartar tráfego suspeito ou para um EDR ferramenta para colocar em quarentena um endpoint afetado, ou respostas manuais, como fornecer caça a ameaças ou ferramentas de investigação de incidentes são elementos comuns de NDR.
Como você integra o NDR com outras ferramentas de segurança?
As ferramentas de NDR se integram a outras ferramentas de segurança por meio de interfaces de programação de aplicativos (APIs) fornecidas pelo NDR fornecedor. Claro, se você estiver usando o Stellar Cyber's Open XDR plataforma, NDR já está integrado a ele, junto com uma próxima geração SIEM e inteligência de ameaças.
