Il rilevamento e la risposta della rete (NDR) utilizzano una combinazione di tecnologie e metodologie avanzate di cybersecurity per identificare le anomalie e rispondere alle minacce che altre misure di sicurezza possono non rilevare.
I team del Security Operations Center (SOC) sono sottoposti a una forte pressione per proteggere le loro organizzazioni dalle minacce informatiche. Queste minacce continuano a evolversi e proliferare mentre la rete diventa sempre più senza confini, creando una superficie di attacco più ampia e complessa da affrontare. L’aumento del lavoro da remoto e ibrido ha contribuito in modo significativo a questo aspetto sin dagli anni della pandemia, con McKinsey che stima che almeno il 58% della forza lavoro statunitense sia già da remoto.
All'interno della rete in continua espansione vi sono enormi quantità di risorse non gestite: dispositivi che non dispongono di agenti di sicurezza installati o le cui impostazioni di sicurezza sono configurate in modo errato o obsolete. Secondo alcune stime, le risorse non gestite possono superare quelle gestite in rapporto 2:1.
Le risorse non gestite sono difficili da correggere. Inoltre, raramente, se non mai, vengono scansionati alla ricerca di vulnerabilità e potrebbero non essere affatto scansionabili. Con i dispositivi più vecchi, in particolare, i produttori possono essere lenti a emettere aggiornamenti di sicurezza. E per consentire ai team IT di aggiornarli, potrebbe essere necessario prima ridistribuirli o aggiungere licenze, richiedendo sforzi e costi non facili da giustificare, anche se tali dispositivi rappresentano una responsabilità per la sicurezza.
Per tutti questi motivi, i cyber criminali sono attratti da dispositivi non gestiti. Forniscono eccellenti nascondigli: opportunità di "vivere di quello che offre il territorio". Gli aggressori possono utilizzare strumenti completamente legittimi e autorizzati per spostarsi nella rete tra dispositivi non gestiti senza attirare l'attenzione, rimanendo nascosti per settimane o mesi.
Tecnologie e approcci di sicurezza come il rilevamento e la risposta estesi (EDR), il rilevamento e la risposta alle minacce di identità (ITDR) e la gestione della superficie di attacco (ASM) non sono progettati per individuare le minacce che si nascondono nelle risorse non gestite o vedere all'interno del traffico di rete. L'NDR colma questo divario, esponendo e correlando anche le sottili anomalie causate da minacce che altrimenti potrebbero scivolare attraverso le crepe.
Alcune proiezioni suggeriscono che il pianeta potrebbe finire con oltre 18 miliardi di dispositivi già nel 2025. Anche se una piccola percentuale di questi dispositivi non viene gestita, le implicazioni per la sicurezza saranno enormi. Pochi team SOC oggi hanno visibilità sull'intera superficie di attacco o su ogni ultimo endpoint, in particolare sulle risorse non gestite. È difficile gestire e difendersi da ciò che non si raggiunge e non si vede.
I SOC sono inoltre notoriamente sopraffatti da avvisi, che portano a una serie di falsi allarmi e attacchi persi. Anche con questa enorme quantità di dati, spesso mancano le informazioni necessarie per comprendere appieno gli incidenti. C'è troppo rumore e troppe poche informazioni accurate, precise e utilizzabili.
L'NDR affronta queste difficoltà monitorando il traffico di rete e i comportamenti dei dispositivi all'interno della rete. Qualsiasi attività intorno a un dispositivo non gestito può essere rilevata, analizzata e ritenuta anomala, anche se il dispositivo stesso è buio. E le capacità di correlazione di NDR fanno il lavoro di setacciare i modelli e collegare i punti per differenziare più precisamente tra minacce potenziali legittime e attività innocue.
Con una soluzione NDR efficace, i team SOC possono scoprire le risorse non gestite sulla rete e rilevare e correlare quali sarebbero altrimenti i "segnali deboli" per bloccare le minacce e sradicare gli aggressori. I segnali deboli sono essenzialmente avvisi o eventi a bassa affidabilità su cui non ci sono informazioni sufficienti per sapere se un attacco è presente o meno.
Ritracciamento dell'attacco da un'estremità all'altra
L'NDR offre ai team SOC una maggiore visibilità su ciò che accade nella rete estraendo metadati di rete da tutto il traffico, sospetto o di altro tipo. Questi metadati sono correlati a potenziali minacce, offrendo ai team SOC un modo per visualizzare l'impronta di un attacco. Possono vedere intere catene di attacco, identificare le cause principali e determinare l'intero ambito di un incidente in tutto lo stack di sicurezza.
L'NDR fornisce anche un modo per scoprire le vulnerabilità latenti fornendo una piattaforma in cui gli output degli strumenti di scansione di terze parti possono essere soddisfatti con conoscenze di sicurezza esperte in modo che i potenziali punti deboli vengano risolti in modo preventivo, prima che vengano sfruttati.
Tutte queste soluzioni, soprattutto se in linea con altre soluzioni di sicurezza come EDR, ITDM e ASM, consentono azioni quasi in tempo reale con tempi di rilevamento più rapidi, costi inferiori e meno falsi positivi.
NDR fornisce monitoraggio e analisi continui del traffico di rete utilizzando un'ispezione approfondita dei pacchetti, analisi comportamentale e machine learning. Rileva le anomalie e identifica le potenziali minacce, integrandosi con le fonti di informazioni sulle minacce per la massima efficacia. Combinando il monitoraggio in tempo reale con la risposta e la mitigazione automatizzate, NDR consente ai team SOC di difendersi in modo proattivo dalle sofisticate minacce informatiche e di ridurre al minimo il potenziale impatto degli incidenti di sicurezza.
Per eseguire tali funzioni, NDR ha bisogno di una serie completa di funzionalità interconnesse. Tra cui:
Le soluzioni di rilevamento e risposta della rete devono inoltre essere in grado di scalare man mano che le reti si espandono e sempre più dispositivi si connettono al loro interno, e di fornire prestazioni costanti e affidabili. Idealmente, anche una certa capacità di miglioramento continuo sarebbe integrata, in modo che la soluzione NDR possa diventare più accurata ed efficace nel tempo.
Di quali funzionalità aggiuntive potrebbe aver bisogno l'NDR?
Aziende di analisi della cybersecurity come Gartner e Forrester hanno suggerito che, oltre alle funzionalità principali descritte sopra, le soluzioni NDR necessitano anche di altri tratti per sviluppare l'intero ambito di protezione richiesto.
Queste funzionalità avanzate includono:
Qual è l'approccio di Trend Micro all'NDR?
Trend utilizza la telemetria nativa da tutti i vettori di sicurezza per fornire rilevamenti ad alta fedeltà con forti correlazioni e un contesto ricco. L'approccio Trend all'NDR consente ai SOC di incorporare la correzione automatizzata mentre lavorano con soluzioni di terze parti e piattaforme di orchestrazione, automazione e risposta della sicurezza (SOAR) per prevenire attacchi futuri.
La tecnologia NDR di Trend identifica i rischi associati ai dispositivi non gestiti e gestiti, rilevando anomalie e modellando il comportamento per individuare anche modelli deboli che potrebbero indicare una minaccia.
Mentre molte soluzioni NDR si affidano quasi esclusivamente all'intelligenza artificiale, al machine learning e al rilevamento delle anomalie, Trend incorpora anche oltre 35 anni di informazioni sulle minacce e un'analisi comportamentale altamente sofisticata per rilevare accuratamente le minacce con tassi di falsi positivi estremamente bassi.
L'NDR è un'aggiunta essenziale al toolkit di cybersecurity di un'organizzazione, che integra EDR, ITDR e ASM per coprire le vulnerabilità della rete e fornire un XDR completo. Trend soddisfa i requisiti fondamentali per NDR e i requisiti per le funzionalità aggiuntive identificate dai principali analisti di cybersecurity per una soluzione completa e affidabile di rilevamento e risposta della rete.
Rileva le minacce ignote, protegge anche gli asset non gestiti. Non lasciare nulla di scoperto con il rilevamento e la risposta sulla rete (NDR)