A Detecção e Resposta de Rede (Network Detection and Response - NDR) usa uma combinação de tecnologias e metodologias avançadas de cibersegurança para identificar anomalias e responder a ameaças que outras medidas de segurança podem não detectar.
As equipes do centro de operações de segurança (SOC) estão sob intensa pressão para proteger suas organizações contra ameaças cibernéticas. Essas ameaças continuam a evoluir e proliferar enquanto a rede se torna cada vez mais sem fronteiras, criando uma superfície de ataque maior e mais complexa para lidar. O aumento do trabalho remoto e híbrido contribuiu significativamente para isso desde os anos da pandemia, com a McKinsey estimando que pelo menos 58% da força de trabalho dos EUA já é remota.
Dentro da rede extensa, há um grande número de ativos não gerenciados: dispositivos que não têm agentes de segurança instalados ou cujas configurações de segurança estão mal configuradas ou desatualizadas. Segundo algumas estimativas, os ativos não gerenciados podem superar os ativos gerenciados em 2:1.
Ativos não gerenciados são difíceis de corrigir. Eles também raramente, ou nunca, são escaneados em busca de vulnerabilidades — e podem nem ser escaneáveis. Especialmente com dispositivos mais antigos, os fabricantes podem demorar para lançar atualizações de segurança. E para que as equipes de TI os atualizem, elas podem primeiro precisar reimplantá-los ou adicionar licenças, exigindo esforços e custos que não são fáceis de justificar, mesmo que esses dispositivos representem uma responsabilidade de segurança.
Por todos esses motivos, os cibercriminosos são atraídos por dispositivos não gerenciados. Eles fornecem excelentes esconderijos — oportunidades de “viver da terra”. Os invasores podem usar ferramentas completamente legítimas e autorizadas para se movimentar pela rede entre dispositivos não gerenciados sem chamar atenção, permanecendo discretos por semanas ou meses.
Tecnologias e abordagens de segurança, como detecção e resposta estendidas (EDR), detecção e resposta a ameaças de identidade (ITDR) e gerenciamento de superfície de ataque (ASM), não foram projetadas para encontrar ameaças ocultas em ativos não gerenciados ou ver o tráfego interno da rede. O NDR preenche essa lacuna, expondo e correlacionando até mesmo anomalias sutis causadas por ameaças que, de outra forma, poderiam passar despercebidas.
Algumas projeções sugerem que o planeta poderá ter mais de18 bilhões de dispositivos já em 2025. Mesmo que uma pequena porcentagem desses dispositivos não seja gerenciada, as implicações de segurança serão enormes. Poucas equipes de SOC hoje têm visibilidade de toda a superfície de ataque ou de cada endpoint, especialmente ativos não gerenciados. É difícil defender onde você não pode alcançar e impossível administrar o que você não pode ver.
Os SOCs também são notoriamente sobrecarregados por alertas, o que leva a muitos alarmes falsos e ataques perdidos. Mesmo com esse dilúvio, muitas vezes eles não têm os dados necessários para entender os incidentes completamente. Há muito ruído e pouca informação precisa, acionável e precisa.
O NDR aborda essas dificuldades monitorando o tráfego de rede e os comportamentos dos dispositivos dentro da rede. Qualquer atividade em torno de um dispositivo não gerenciado pode ser detectada, analisada e considerada anômala, mesmo que o dispositivo em si esteja escuro. E os recursos de correlação do NDR fazem o trabalho de peneirar padrões e conectar os pontos para diferenciar com mais precisão entre ameaças potenciais legítimas e atividades inofensivas.
Com uma solução NDR eficaz, as equipes SOC podem descobrir ativos não gerenciados na rede e detectar e correlacionar o que de outra forma seriam "sinais fracos" para bloquear ameaças e eliminar invasores. Sinais fracos são essencialmente alertas ou eventos de baixa confiança sobre os quais não há informações suficientes para saber se um ataque está presente ou não.
Como ataques complexos e multicamadas podem se disfarçar com movimentos incrementais em diferentes camadas da rede — nenhuma delas é evidência suficiente por si só para justificar uma intervenção na segurança cibernética — outras tecnologias e estruturas de segurança podem não detectá-los. A NDR com correlação entre camadas pode juntar as peças para fornecer uma avaliação afirmativa.
Refazendo o ataque de ponta a ponta
O NDR dá às equipes do SOC mais visibilidade sobre o que está acontecendo na rede, extraindo metadados de rede de todo o tráfego, suspeito ou não. Esses metadados são correlacionados com ameaças potenciais, dando às equipes do SOC uma maneira de visualizar a pegada de um ataque. Eles podem ver cadeias inteiras de ataque, identificar causas raiz e determinar o escopo completo de um incidente em toda a pilha de segurança.
O NDR também fornece uma maneira de descobrir vulnerabilidades latentes, fornecendo uma plataforma onde os resultados de ferramentas de varredura de terceiros podem ser atendidos com conhecimento especializado em segurança, para que possíveis fraquezas sejam corrigidas preventivamente, antes de serem exploradas.
Tudo isso — especialmente quando alinhado com outras soluções de segurança, como EDR, ITDM e ASM — permite ações quase em tempo real com tempo de detecção mais rápido, custos mais baixos e menos falsos positivos.
O NDR fornece monitoramento e análise contínuos do tráfego de rede usando inspeção profunda de pacotes, análise comportamental e aprendizado de máquina. Ele detecta anomalias e identifica ameaças potenciais, integrando-se com fontes de inteligência de ameaças para máxima eficácia. Ao combinar monitoramento em tempo real com resposta e mitigação automatizadas, o NDR possibilita que as equipes do SOC se defendam proativamente contra ameaças cibernéticas sofisticadas e minimizem o impacto potencial de incidentes de segurança.
Para executar essas funções, o NDR precisa de um conjunto abrangente de recursos inter-relacionados. Isso inclui:
As soluções de detecção e resposta de rede também precisam ser capazes de escalar conforme as redes se expandem e mais dispositivos se conectam a elas, além de oferecer desempenho consistente e confiável. O ideal seria que alguma capacidade de melhoria contínua também fosse incorporada, para que a solução NDR pudesse se tornar mais precisa e eficaz ao longo do tempo.
Quais recursos adicionais o NDR pode precisar?
Empresas de análise de segurança cibernética, como Gartner e Forrester, sugeriram que, além dos principais recursos descritos acima, as soluções de NDR também precisam de outras características para desenvolver o escopo completo de proteção necessário.
Esses recursos avançados incluem:
Qual é a abordagem da Trend Micro para NDR?
A Trend usa telemetria nativa de todos os vetores de segurança para fornecer detecções de alta fidelidade com fortes correlações e contexto rico. A abordagem Trend para NDR permite que os SOCs incorporem remediação automatizada enquanto trabalham com soluções de terceiros e plataformas de orquestração, automação e resposta de segurança (SOAR) para evitar ataques futuros.
A tecnologia NDR da Trend identifica riscos associados a dispositivos gerenciados e não gerenciados, detectando anomalias e modelando comportamentos para identificar até mesmo padrões tênues que podem indicar uma ameaça.
Embora muitas soluções de NDR dependam quase exclusivamente de IA, machine learning, e detecção de anomalias, a Trend também incorpora mais de 35 anos de inteligência de ameaças, bem como análise comportamental altamente sofisticada para detectar ameaças com precisão e taxas extremamente baixas de falsos positivos.
NDR é uma adição essencial ao kit de ferramentas de cibersegurança de uma organização, que complementa EDR, ITDR e ASM para cobrir vulnerabilidades de rede e fornecer XDR completo. A Trend atende aos principais requisitos para NDR e aos requisitos de recursos adicionais identificados pelos principais analistas de segurança cibernética para uma solução abrangente e confiável de detecção e resposta de rede.