Você é um gestor de segurança e adquiriu um EDR (Endpoint Detection and Response) para fazer a proteção dos servidores e workstations da sua empresa e tem a certeza que todo seu ambiente está protegido das mais variadas ameaças de cibersegurança. 

No entanto, você deixa passar despercebido outros tipos de dispositivos que também estão conectados à sua rede, os chamados dispositivos IoT. 

Por terem um Hardware geralmente limitado e executarem uma versão simplificada de Sistemas Operacionais, com vulnerabilidades conhecidas, muitas vezes não é possível instalar um agente de EDR para fazer a proteção desse tipo de dispositivo, e assim a equação está formada: 

Vulnerabilidades conhecidas + um sistema desprotegido = prato cheio para atacantes.

Os atacantes, um grupo de ransomware sofisticado, exploraram uma Webcam na sua infraestrutura que possuía uma vulnerabilidade conhecida. Eles aproveitam dessa vulnerabilidade e estabelecem um backdoor através do dispositivo comprometido.

Como o IoT, por seu hardware limitado, não possuía um EDR instalado e não gerava logs centralizados, o ataque permaneceu invisível para os analistas do SOC, já que a organização não possuía uma ferramenta avançada de visibilidade de rede, limitando sua visibilidade apenas para os Endpoints.

Da infecção à lição aprendida

Com acesso à rede, os invasores iniciaram um movimento lateral silencioso, identificando servidores críticos e credenciais privilegiadas. Sem um NDR para analisar o tráfego de rede e detectar atividades anômalas, a organização só percebeu o ataque quando já era tarde demais.

Pode parecer ficção para boa parte das pessoas, mas casos como esses são frequentemente noticiados nos portais de cibersegurança (CISO Advisor. Ataque de ransomware começou em câmera.)

Ataques como esses poderiam ter sido identificados caso o gap de visibilidade da rede interna da organização estivesse preenchido com uma ferramenta de detecção e resposta a incidentes em rede (NDR).  Ao monitorar todo o tráfego interno, utilizando algoritmos avançados de inteligência artificial, machine learning e técnicas como o DPI (Deep Packet Inspection) e análise comportamental de usuários (UEBA), a ferramenta analisa todo o tráfego bruto de rede e identifica uma série de ataques  como: Ransomware, Movimentação Lateral, C&C, Data Exfiltration e dezenas de outras ameaças. 

A Relevância do NDR Dentro de uma Plataforma XDR

Incidentes cibernéticos cada vez mais sofisticados reforçam a necessidade de uma abordagem abrangente na detecção e resposta a ameaças, não somente limitada a Endpoints. Nesse contexto, a presença do NDR dentro de uma plataforma que correla e centraliza informações, como o Extended Detection and Response (XDR) torna-se fundamental. O Zerum Omnivision oferece uma visão centralizada das ameaças, correlacionando dados de endpoints, redes, análise comportamental de usuários e outras fontes, com o diferencial de proporcionar uma visão integrada de dados de múltiplos fabricantes e com Inteligência Artificial embarcada para auxiliar na análise de eventos de segurança e na tomada de decisão;

O NDR fortalece o XDR ao fornecer dados detalhados sobre o tráfego de rede, melhorando a correlação de eventos e reduzindo falsos positivos, o que contribui diretamente para a eficiência e rapidez na resposta a incidentes. Ao integrar o NDR dentro do XDR, as equipes de segurança obtêm uma capacidade aprimorada de detecção de ameaças avançadas, respondendo de forma mais ágil e precisa aos ataques antes que causem impactos significativos.

---

---

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

---

📝 Para saber mais, entre em contato através do formulário abaixo.