Che cosa si intende per soluzione NDR? Definizione e descrizione

Che cosa si intende per soluzione NDR (Network Detection and Response)?

Le soluzioni di cybersecurity NDR eseguono un monitoraggio continuo delle reti aziendali, ricorrendo a tecniche e strumenti non basati su firme con cui cercano minacce informatiche e comportamenti anomali, e rispondono alle minacce rilevate sfruttando funzionalità di difesa native o integrando funzionalità di strumenti esterni.

Come funziona una soluzione NDR?

Una soluzione di cybersecurity NDR esegue un monitoraggio ininterrotto della rete di un'azienda raccogliendo tutti i dati sul traffico di rete, assicurando un livello di visibilità senza precedenti, e utilizza l'analisi comportamentale, il machine learning e l'intelligenza artificiale per individuare minacce informatiche e comportamenti anomali e rispondere alle minacce rilevate sfruttando funzionalità di difesa native o integrando funzionalità di strumenti esterni.

Le soluzioni NDR più sofisticate utilizzano strumenti avanzati basati su machine learning e intelligenza artificiale per modellare le tattiche, tecniche e procedure degli attaccanti indicate nel framework MITRE ATT&CK al fine di individuare, con precisione estrema, i comportamenti che fanno presagire un attacco. Portando alla luce informazioni sul contesto utili per le attività di sicurezza, estrapolando dati altamente affidabili e mettendo in correlazione gli eventi usando parametri come orari, utenti e applicazioni, riescono a ridurre drasticamente il tempo e l'impegno necessari per investigare le minacce. Eseguono infine valutazioni complete sul fronte della sicurezza inviando metadati sulle correlazioni tra rilevamenti e minacce a soluzioni SIEM (Security Information & Event Management). 

Le soluzioni NDR non si limitano a rilevare le minacce ma arrivano a neutralizzarle in tempo reale usando le funzionalità native o quelle presenti nell'ampia gamma di integrazioni supportate con strumenti e soluzioni di cybersecurity o soluzioni di tipo SOAR (Security Orchestration, Automation and Response).

Perché alla mia azienda serve la sicurezza NDR?

La sicurezza NDR riveste un ruolo cruciale per la protezione di ogni infrastruttura digitale.

Le minacce generalmente prendono di mira tre bersagli: la rete, gli endpoint e i registri.

  • L'EDR (Endpoint Detection and Response) traccia un inventario dettagliato dei processi che avvengono a livello più elementare negli host e le interazioni che si generano.
  • L'NDR offre una visione di livello più elevato delle interazioni che avvengono su tutti i dispositivi della rete.
  • I responsabili della sicurezza, infine, configurano le soluzioni SIEM affinché raccolgano i dati dei registri eventi da altri sistemi e li mettano in correlazione tra loro.

Durante le loro operazioni di ricerca delle minacce o risoluzione degli incidenti, i responsabili della sicurezza che implementano questi strumenti riescono a rispondere a una serie di domande, del tipo: Che cosa è successo alla risorsa o all'account prima dell'allerta? Che cosa è successo dopo l'allerta? Possiamo risalire al momento in cui le cose hanno iniziato a mettersi male?

L'elemento più importante di questo gruppo è la soluzione NDR, perché fornisce un livello di analisi che le altre non possiedono.

Gli exploit che operano a livello del BIOS di un dispositivo, ad esempio, hanno la capacità di mettere in crisi l'EDR e le loro attività malevole potrebbero non essere trascritte nei registri, ma non sfuggono agli strumenti di rete che ne rilevano la presenza non appena interagiscono con altri sistemi a cui sono connessi.

Inoltre, le soluzioni NDR sono particolarmente abili a rilevare l'utilizzo di tunnel HTTPS criptati occulti che gli attaccanti più avanzati e sofisticati nascondono nel normale traffico di rete e utilizzano per avviare sessioni di comando e controllo (C2), esfiltrare dati sensibili dell'azienda e dei suoi clienti e aggirare i controlli della sicurezza perimetrale.

Le piattaforme NDR basate su IA più efficaci raccolgono e conservano i metadati più significativi arricchendoli con informazioni generate dall'intelligenza artificiale.

Utilizzando in maniera efficace l'intelligenza artificiale riescono a rilevare la presenza di attaccanti in tempo reale e a svolgere indagini risolutive sugli incidenti.

Quali sono i benefici offerti dalle soluzioni NDR?

Le soluzioni di cybersecurity NDR offrono una visibilità completa e ininterrotta su tutti gli utenti, i dispositivi e le tecnologie connesse alla rete, dai data center al cloud, dagli utenti del campus a quelli che lavorano in remoto, da IaaS a SaaS, dalle stampanti ai dispositivi IoT.

Le principali soluzioni NDR ricorrono alle analisi comportamentali, al machine learning e all'intelligenza artificiale per modellare direttamente i comportamenti malevoli e rilevare gli attacchi avanzati e persistenti con precisione chirurgica. Poiché non rilevano le anomalie ma si limitano agli attacchi in corso, evitano di generare la tipica marea di avvisi insignificanti e poco affidabili degli altri strumenti. Offrono difesa e copertura rilevando varie fasi del ciclo di attacco, come la persistenza, la privilege escalation, l'elusione delle difese, l'accesso alle credenziali, la ricognizione, il movimento laterale, la raccolta di dati, il comando e controllo e l'esfiltrazione.

Le soluzioni NDR basate su IA più sofisticate funzionano in modalità automatica e migliorano drasticamente le valutazioni di sicurezza e l'efficacia operativa del SOC (Security Operations Center) mettendo a disposizione degli analisti ricostruzioni complete degli attacchi in linguaggio naturale, vale a dire le informazioni necessarie per gestire gli avvisi in modo rapido e completo, malgrado l'annosa carenza di professionisti della sicurezza informatica e di competenze adeguate che affligge le aziende e i team responsabili della sicurezza.

Oltre a rilevare gli attacchi sofisticati che operano silenziosamente e impiegano tecniche di elusione, le soluzioni NDR permettono di rispondere automaticamente agli attacchi gravi tramite controlli nativi e di bloccarli in tempo reale. In più, si integrano con svariati prodotti di cybersecurity come EDR e soluzioni di sicurezza come SOAR.

Scopri di più sulla piattaforma NDR basata su IA di Vectra

Vectra Cognito è una piattaforma di rilevamento e risposta alle minacce che utilizza l'intelligenza artificiale per rilevare i comportamenti degli attaccanti e impedire la compromissione di host e utenti. Vectra Cognito genera avvisi altamente affidabili e non decripta i dati. La sicurezza e la riservatezza dei dati nel cloud, nei data center, nelle reti aziendali e nei dispositivi IoT è garantita.

La piattaforma Cognito per NDR è totalmente al servizio del rilevamento e della risposta agli attacchi che prendono di mira cloud, data center, IoT e reti aziendali. Il nostro compito consiste nell'individuare e bloccare questi attacchi in modo rapido e sicuro. La piattaforma Cognito è conforme agli standard SO C2 Type 2 e garantisce pertanto la sicurezza e la riservatezza dei dati dei partner e dei clienti.

Related Content