Há muita incerteza a respeito do Network Detection and Response (NDR) em uma estratégia de segurança de rede. As organizações geralmente questionam se realmente precisam de uma solução NDR quando já possuem soluções de SIEM e EDR. Por que não se pode utilizar apenas soluções de IDS/IPS para garantir a segurança da rede?

Vamos entender melhor como essa pergunta pode ser respondida da forma adequada.

No relatório de pesquisa do Gartner Applying Network-Centric Approaches for Threat Detection and Response, publicado em março de 2019, é apresentado o conceito da Tríade de Visibilidade do SOC. Neste relatório, o Gartner aconselha:

“A sofisticação crescente das ameaças exige que as organizações usem várias fontes de dados para detecção e resposta a ameaças. As tecnologias baseadas em rede permitem que profissionais técnicos obtenham visibilidade rápida de ameaças em um ambiente inteiro sem usar agentes.”

Partindo do princípio que o histórico de ameaças geralmente é encontrado na rede, endpoint e logs, eles devem ser utilizados para estabelecer a Tríade de Visibilidade do Centro de Operações de Segurança (SOC) que fornece uma abordagem proativa para diminuir o risco de um agente malicioso permanecer sem ser detectado na rede por meses.

As soluções NDR assumem uma posição extremamente relevante na tríade, oferecendo visibilidade completa de todo o ambiente de rede. Neste conceito, a combinação das soluções NDR e EDR fornecem visibilidade dos dados de rede e endpoints, respectivamente, enquanto as ferramentas de SIEM agregam dados de log e eventos de segurança. O EDR fornece detalhes dos processos executados nos hosts e as interações deles, enquanto o NDR compreende, de forma analítica e inteligente, as interações entre todos os dispositivos na rede.

Nesta tríade, é importante compreender que o NDR fornece perspectiva mais abrangente que os demais. A partir da coleta passiva e armazenamento do tráfego de rede, o NDR realiza a monitoração contínua do tráfego norte/sul e leste/oeste (com a extração dos dados da camada 2 a 7) e aplica análises comportamentais avançadas – em tempo real – combinadas com técnicas de machine learning para detectar, investigar e responder prontamente a ameaças que, de outra forma, permaneceriam despercebidas.

Um malware a nível de memória, por exemplo, pode burlar o EDR e sua atividade pode não ser registrada em logs. Mas, a partir do momento em que começa a interagir com outro dispositivo de rede, o NDR consegue detectá-lo e é extremamente eficiente nas ações de investigação e resposta. Afinal, os dados de rede não mentem! 

---

A definição apropriada de NDR – Zerum Lynx

O Zerum Lynx é uma solução completa e robusta que se enquadra nessa nova categoria de soluções de segurança de rede com o foco em detecção e resposta a incidentes (Network Detection and Response – NDR). Ele fornece, de forma centralizada, ampla visibilidade do ambiente de rede, inteligência aplicada à análise e investigação de ameaças e recursos para resposta a incidentes. 

O Lynx aplica técnicas avançadas de análise não baseadas em assinatura (por exemplo, aprendizado de máquina e outras técnicas analíticas) para detectar tráfego suspeito em ambientes de rede. A partir do tráfego bruto e/ou fluxos de comunicação (por exemplo, NetFlow), o Zerum Lynx realiza análise contínua para criar modelos que reflitam o comportamento normal da rede. Quando um tráfego suspeito é detectado, alertas são acionados para análises e investigações mais apuradas.

Além de monitorar o tráfego norte/sul (que atravessa o perímetro da organização), o Lynx também monitora as comunicações leste/oeste e aplica análises sobre o tráfego a partir de sensores de rede estrategicamente posicionados no ambiente. Quanto mais visibilidade do ambiente de rede, maior o controle e conhecimento da superfície de ataque.

Como elementos diferenciais dentre as soluções tradicionais de NDR, o Zerum Lynx dispõe de recursos de orquestração de respostas automatizadas (SOAR) integradas à ativos de terceiros (por exemplo, criação automática de regra de bloqueio em firewalls) e Forense de Rede, garantindo o armazenamento seguro e disponibilidade de evidências que possibilitam a rastreabilidade do incidente e investigações forense.

Para maiores informações sobre o Zerum Lynx, acesse o Guia Rápido: O que é Network Detection and Response (NDR)?

---

Minha organização precisa de uma solução NDR?

As equipes de cibersegurança que buscam eliminar os gaps de visibilidade em ambientes de rede – sejam on-premise, em nuvem ou híbridos – em uma única solução, devem considerar o NDR em seu programa de cibersegurança.

O Gartner, em seu Gartner Market Guide for Network Detection and Response, publicado em junho de 2020, recomenda que: 

“Empresas devem considerar fortemente o uso de NDR para complementar ferramentas baseadas em assinatura e sandboxes. Inúmeros clientes relataram que as ferramentas de NDR detectam tráfego suspeito que outras ferramentas de segurança de perímetro não são capazes de identificar.”

O NDR fornece insights valiosos e realiza análises de rede em tempo real que adicionam contexto e colocam as informações mais relevantes à disposição dos analistas. Além da ampla visibilidade, o NDR garante a rastreabilidade dos fatos através da trilha de evidências forenses sobre o comportamento de ameaças considerando todo o ciclo de vida do ataque, revelando o seu escopo e a escala por completo. Isso elimina a busca interminável por ameaças e fornece evidências incontestáveis, baseadas em rede, para ações de threat hunting, aplicação de políticas, suporte de auditoria e ações legais.

O NDR também é uma solução ideal em um ambiente em que a instalação de agentes para detecção baseada em endpoints não é viável (ambientes hospitalares e industriais, por exemplo) podem usar NDR para monitorar e inspecionar o fluxo de tráfego entre dispositivos e alertar sobre protocolos que quase nunca são monitorados.

Por fim, o NDR irá contribuir de forma significativa com seu programa de cibersegurança e colocá-lo à frente dos cibercriminosos que não param de evoluir. Fornecendo ainda mais visibilidade, inteligência e automatização para potencializando as ações de detecção e resposta a incidentes que vão além das capacidades entregues nas soluções de EDR e SIEM.

---

---

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

---

📝 Para saber mais, entre em contato através do formulário abaixo.