Il rilevamento e la risposta della rete (NDR) utilizzano una combinazione di tecnologie e metodologie avanzate di cybersecurity per identificare le anomalie e rispondere alle minacce che altre misure di sicurezza possono non rilevare.
Sommario
Definizione di NDR
Il network detection and response (NDR) è un tipo di soluzione di cybersecurity progettata per aiutare a proteggere l'infrastruttura di rete da minacce note e sconosciute. Sfrutta il machine learning (ML), il monitoraggio attivo, l'analisi comportamentale e altre funzionalità e tecnologie integrate per aiutare le organizzazioni a identificare, isolare e mitigare i rischi associati alla rete. Originariamente nota come analisi del traffico di rete (Network Traffic Analysis, NTA), da allora NDR si è evoluta in una funzionalità di sicurezza di rete multisfaccettata con funzioni proattive estese.
Perché è necessaria la NDR?
I team del Security Operations Center (SOC) sono sottoposti a una forte pressione per proteggere le loro organizzazioni dalle minacce informatiche. Mentre le operazioni continuano a esplorare le opzioni di distribuzione remote e ibride, le minacce si evolvono e proliferano mentre la rete diventa sempre più senza confini. L'NDR offre una visibilità estesa e una visione approfondita dell'ambiente di rete, aiutandoti a rimanere al sicuro in modo proattivo.
NDR fornisce monitoraggio e analisi continui del traffico di rete utilizzando un'ispezione approfondita dei pacchetti, analisi comportamentale e machine learning (ML). Rileva le anomalie e identifica le potenziali minacce, integrandosi con le fonti di informazioni sulle minacce per la massima efficacia. Combinando il monitoraggio in tempo reale con la risposta e la mitigazione automatizzate, NDR consente ai team SOC di difendersi in modo proattivo dalle sofisticate minacce informatiche e di ridurre al minimo il potenziale impatto degli incidenti di sicurezza.
Quali sfide risolve NDR per i team SOC?
Sovraccarico di avvisi, falsi allarmi e rischio senza priorità
I SOC sono spesso sopraffatti da avvisi, che portano a falsi allarmi e attacchi persi. Anche con questo picco, potrebbero non disporre dei dati necessari per comprendere appieno gli incidenti o i rischi. Se c'è troppo rumore e troppe poche informazioni accurate, precise e utilizzabili, è difficile individuare e prevenire le minacce.
L'NDR affronta queste difficoltà monitorando il traffico di rete e i comportamenti dei dispositivi. Qualsiasi attività intorno a un dispositivo non gestito può essere rilevata, analizzata e ritenuta anomala, anche se il dispositivo stesso è oscuro. Inoltre, le capacità di correlazione di NDR analizzano gli schemi e collegano i punti, aiutandoti a distinguere in modo più preciso tra minacce potenziali legittime e attività innocue. Individua le risorse non gestite sulla rete. Rileva e correla quello che altrimenti sarebbe un "segnale debole" di bassa affidabilità che manca di un contesto sufficiente. Quindi, blocca le minacce e estrai gli aggressori.
Risorse non gestite e non protette e integrazioni IA
Le reti spesso ospitano un gran numero di risorse non gestite, in altre parole, dispositivi che non dispongono di agenti di sicurezza installati o le cui impostazioni di sicurezza sono configurate in modo errato o obsolete. Secondo alcune stime, le risorse non gestite possono superare le risorse gestite di due a uno. Queste sono difficili da correggere e raramente, se non mai, vengono sottoposte a scansione per rilevare eventuali vulnerabilità.
Alcune risorse non gestite potrebbero non essere nemmeno scansionabili. Con i dispositivi più vecchi, in particolare, i produttori possono essere lenti a emettere aggiornamenti di sicurezza o potrebbero non riceverli più, altrimenti noti come periodo di fine supporto. Affinché i team IT possano aggiornare la sicurezza di queste risorse, potrebbero prima doverle ridistribuire o aggiungere licenze, richiedendo sforzi e costi che non sono facili da giustificare, anche se tali dispositivi rappresentano una responsabilità per la sicurezza.
Per tutti questi motivi, i cyber criminali sono attratti da dispositivi non gestiti. Forniscono nascondigli eccellenti. Gli aggressori possono utilizzare strumenti completamente legittimi e autorizzati per spostarsi nella rete tra dispositivi non gestiti senza attirare l'attenzione, in attesa per giorni, settimane o addirittura mesi. Allo stesso tempo, i cyber criminali che accedono alla tua rete potrebbero anche iniziare a utilizzare i tuoi agenti di intelligenza artificiale (IA) e abbonamenti a proprio vantaggio.
Le soluzioni di rilevamento e risposta degli endpoint (EDR), il rilevamento e la risposta alle minacce di identità (ITDR) e la gestione dell'esposizione al rischio informatico non sono progettate per individuare le minacce che si insinuano in risorse non gestite o vedere all'interno del traffico di rete. L'NDR svolge questo ruolo, esponendo e correlando anche piccole anomalie causate da minacce che altrimenti potrebbero passare inosservate. Individua le risorse non gestite sulla rete, rileva e correla ciò che altrimenti sarebbe un "segnale debole" di bassa affidabilità che manca di un contesto sufficiente, quindi blocca le minacce e estrai gli aggressori.
Visibilità, correlazione e tracciamento del percorso di attacco limitati
Non puoi proteggere ciò che non puoi vedere. Gli aggressori utilizzano la crittografia per nascondere le proprie impronte. Ottenere visibilità sul flusso di rete decifrato è essenziale per prevenire gli incidenti di rete. L'NDR offre ai team SOC una maggiore visibilità su ciò che accade nella rete estraendo metadati di rete da tutto il traffico, sospetti o di altro tipo. Alcune soluzioni possono persino analizzare il traffico di rete crittografato per aiutare a identificare i rischi in modo accurato e rapido.
Questi metadati sono correlati a potenziali minacce, consentendoti di visualizzare l'impronta di un attacco e colmare eventuali lacune di esposizione. Visualizza l'intera catena di attacco, identifica le cause principali e determina l'intero ambito di un incidente in tutto lo stack di sicurezza. L'NDR fornisce anche un modo per scoprire le vulnerabilità latenti. Gli output degli strumenti di scansione di terze parti possono essere integrati con conoscenze di sicurezza esperte, in modo che i potenziali punti deboli vengano risolti in modo preventivo.
Quando si consolidano le soluzioni di data lake e cybersecurity attraverso un'unica piattaforma di cybersecurity, le informazioni provenienti da NDR possono essere sfruttate ancora più velocemente ed efficacemente, in particolare in tandem con l'automazione basata sull'intelligenza artificiale. Ciò aiuta il tuo team a ridurre il carico di lavoro, accelerare il rilevamento, ridurre i costi e i falsi positivi e stare al passo con gli avversari. Le soluzioni NDR in grado di correlare i dati provenienti da più livelli hanno una maggiore probabilità di isolare le minacce reali, attivando avvisi significativi di cui i team SOC possono fidarsi e che devono essere affrontati.
Quali sono i componenti di una soluzione NDR?
Le soluzioni NDR più proattive incorporano componenti e funzionalità potenti, tra cui:
- Modellazione del traffico di rete in modo che le anomalie si distinguano e il rilevamento si verifichi su base comportamentale piuttosto che cercando firme specifiche; ciò richiede ML e analisi avanzate
- Fornitura di un tasso di falsi positivi costantemente basso una volta che la soluzione è stata correttamente messa a punto, garantendo che i team SOC possano fidarsi dei risultati che ricevono
- La capacità di aggregare e correlare gli avvisi in "incidenti strutturati", facilitando la prioritizzazione dei rischi e l'indagine sulle minacce
- La capacità di contenere o bloccare le minacce con risposte automatizzate, semplificando le operazioni di sicurezza
- La capacità di scalare man mano che le reti si espandono e sempre più dispositivi si connettono e interagiscono con loro
- Miglioramento continuo integrato
Supporto per approcci zero-trust
Zero trust è il miglior framework di oggi per limitare l'accesso alle risorse aziendali, aiutando le organizzazioni a proteggersi da violazioni e attacchi. Un rapporto ESG del 2024 ha rivelato che oltre due terzi delle organizzazioni stanno implementando politiche Zero Trust.* Per stare al passo con ogni mossa di un aggressore, è fondamentale mettere in atto zero trust in tandem con funzionalità come il rilevamento e la risposta della rete. Ciò consente al tuo team di avere una comprensione completa delle risorse in rete, del comportamento degli utenti e dei flussi di dati, aiutandoti a far emergere e gestire in modo proattivo il rischio.
NDR in linea rispetto a NDR fuori banda
I sensori NDR in linea migliorano le operazioni di sicurezza, come implica il termine, essendo situati all'interno del flusso del traffico di rete, a differenza degli approcci NDR più tradizionali. L'NDR in linea può decrittografare, analizzare e rispondere automaticamente a comportamenti sospetti. Questo approccio pratico e in tempo reale alla protezione della rete è l'opzione ideale, fornendo ai team SOC gli strumenti, la velocità e l'efficienza necessari per proteggere in modo proattivo i loro ambienti.
L'NDR fuori banda è meno coinvolto, con sensori implementati al di fuori del traffico di rete. Questo approccio è più passivo, raccogliendo con discrezione il traffico di rete e verificando la presenza di rischi. L'NDR fuori banda era inizialmente adatto per ambienti più sensibili, come quelli con esigenze di conformità rigorose o problemi di impatto sulle prestazioni. Tuttavia, come approccio più isolato e in silos, è stato reso obsoleto da alcune soluzioni NDR in linea.
Quali sono i vantaggi delle soluzioni NDR?
Integrazione e interoperabilità senza interruzioni
L'NDR può integrarsi in ambienti e interfacciarsi con configurazioni di sicurezza di rete preesistenti, tra cui firewall, EDR, XDR e sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM). L'utilizzo di playbook dedicati, servizi gestiti e supporto dei fornitori aiuta il team SOC a garantire un'integrazione perfetta. Questo apre la strada a una migliore correlazione dei dati e visibilità dei rischi.
Risposta rapida agli incidenti e prioritizzazione dei rischi
L'NDR consente di agire più velocemente degli avversari, gestendo in modo proattivo i rischi di rete noti e sconosciuti con maggiore velocità e precisione. I flussi di lavoro automatizzati aiutano i team SOC a organizzare e dare priorità agli avvisi di sicurezza, alleviando l'affaticamento e la confusione e liberando le risorse. Le informazioni contestualizzate e consolidate sugli eventi di sicurezza consentono loro di rispondere più rapidamente, affrontando le vulnerabilità prima che possano essere subiti danni.
Riduzione dei falsi positivi
Applicando rigorosi controlli degli accessi e monitorando le risorse, i comportamenti e i flussi di dati di rete, NDR aiuta i team SOC a rilevare e prevenire movimenti laterali non autorizzati ed escalation dei privilegi. Meno falsi positivi significa essere in grado di concentrarsi su ciò che richiede l'attenzione più urgente.
Allineamento con zero trust
L'implementazione di NDR aiuta le organizzazioni ad adottare una sicurezza zero-trust, controllando strettamente dati sensibili, risorse e accesso alla rete. Monitorando costantemente il comportamento degli utenti e l'attività dei dispositivi, l'NDR rende più facile individuare le azioni rischiose e applicare regole di accesso rigorose, rendendo meno probabili le violazioni e gli accessi non autorizzati.
Scalabilità e adattamento alle minacce più recenti
L'NDR consente ai team SOC di semplificare e ottimizzare continuamente le proprie operazioni, scalando con loro e riducendo al contempo lo sforzo. Informazioni dettagliate sul rischio della rete offrono opportunità per anticipare e adattarsi alle minacce più recenti. Questo è fondamentale dato che le tecnologie, e il panorama della rete stessa, cambiano costantemente. Mantenere il ritmo non è sufficiente.
Come funzionano le soluzioni NDR con l'IA?
Gli attori delle minacce stanno abusando attivamente della potenza dell'IA, rendendo il crimine informatico più semplice, veloce e pericoloso. Allo stesso tempo, l'IA stessa può aiutare a rafforzare significativamente la protezione. Sfruttarla per informazioni sulle minacce, gestione del profilo delle risorse, previsione del percorso di attacco e guida alla correzione, anche attraverso NDR, EDR e XDR basati sull'intelligenza artificiale, può aiutarti a operare e innovare in modo sicuro.
IA e ML sono al centro dell'NDR, trasformando il modo in cui i team SOC gestiscono il rischio e proteggono gli ambienti di rete. Queste tecnologie consentono alle organizzazioni di passare da una sicurezza reattiva a una proattiva, rafforzando la protezione in tempo reale e adattandosi al contempo ad ambienti, comportamenti e metodi di attacco in continua evoluzione.
I flussi di lavoro di risposta automatizzati e i data lake di sicurezza consolidati consentono ai team SOC di agire più velocemente degli aggressori, affrontando i rischi e mitigando le minacce prima che si aggravino. La perfetta interoperabilità con le soluzioni XDR, EDR, SIEM e SOAR può anche garantire che la sicurezza della rete non sia mai in silos o disconnessa. Invece, può essere gestito in modo olistico in ogni livello dell'ambiente.
Dove posso ottenere assistenza per il rilevamento e la risposta della rete (NDR)?
Disporre della giusta soluzione NDR è la chiave, ma deve essere in grado di prevedere l'intera catena di attacco, identificare le cause principali e l'intero ambito degli incidenti e applicare in modo proattivo il rilevamento e la risposta a più livelli. Trend Vision One™ XDR for Networks offre tutto questo e informazioni dettagliate sulle minacce alla rete e tra i livelli, garantendo la conformità alle normative e l'assenza di punti ciechi.
Una volta ottenuta la vista dall'alto, è possibile ottenere una difesa continua e resiliente con azioni native in linea, playbook automatizzati e/o risposte di terze parti integrate applicando le azioni di risposta alle minacce su tutti i livelli di sicurezza.
*Fonte: Grady, J. (2024, 14 febbraio). Tendenze in Zero Trust: Le strategie e le pratiche rimangono frammentate, ma molte vedono il successo. TechTarget. https://www.techtarget.com/esg-global/survey-results/trends-in-zero-trust-strategies-and-practices-remain-fragmented-but-many-are-seeing-success/
Joe Lee è Vice President of Product Management presso Trend Micro, dove guida la strategia globale e lo sviluppo dei prodotti per le soluzioni di sicurezza di rete e e-mail aziendali.
Domande frequenti (FAQ)
Che cos'è l'NDR nella sicurezza?
Il Network Detection and Response (NDR) è una soluzione di cybersecurity che monitora il traffico di rete per identificare, prevenire e rispondere agli attacchi informatici.
L'NDR è migliore dell'EDR?
Né è "migliore". Endpoint Detection and Response (EDR) protegge endpoint come computer e telefoni. Il network detection and response (NDR) protegge intere reti.
Cosa significa NDR nella sicurezza?
NDR è l'acronimo di Network Detection and Response. NDR è una soluzione di cybersecurity che monitora il traffico di rete per segnalare le anomalie e rilevare possibili minacce informatiche.
Qual è un esempio di network detection and response?
Esempi di strumenti di network detection and response (NDR) includono software di rilevamento del malware, sistemi di rilevamento delle minacce interne e strumenti di rilevamento del phishing.
Qual è lo scopo dell'NDR?
Lo scopo del network detection and response (NDR) è identificare, rilevare e rispondere a potenziali attacchi informatici e altre minacce informatiche nelle reti IT.
Qual è la differenza tra firewall e network detection and response?
I firewall sono difese di frontiera che impediscono ai malintenzionati di accedere ai sistemi IT senza autorizzazione. Il network detection and response rileva le minacce che superano il firewall.
Che cos'è il network detection and response?
Il network detection and response è un processo di cybersecurity che monitora il traffico di rete per identificare e rilevare attacchi informatici e minacce informatiche in tempo reale.
Quali sono i quattro tipi di sicurezza di rete?
I quattro principali tipi di sicurezza di rete sono firewall, reti private virtuali (VPN), sistemi di rilevamento e prevenzione delle intrusioni (IDPS) e controlli di accesso e autorizzazione.
Quali sono i 5 principali rischi per la cybersecurity?
I 5 principali rischi attuali per la cybersecurity sono gli attacchi ransomware e malware, gli schemi di phishing, le violazioni dei dati, le minacce interne e gli attacchi DDoS (Distributed Denial-of-Service).
A cosa serve l'NDR?
Il NDR (network detection and response) è una soluzione di cybersecurity utilizzata per identificare, prevenire e rispondere in modo proattivo alle potenziali minacce informatiche nel traffico di rete.