A detecção e resposta de rede (NDR) é uma categoria da tecnologia de cibersegurança que utiliza métodos não baseados em assinaturas — como inteligência artificial, aprendizado de máquina e análise de dados comportamentais — para detectar atividades suspeitas ou maliciosas na rede e responder a ameaças cibernéticas. 

A NDR evoluiu da análise de tráfego de rede (NTA), uma tecnologia originalmente desenvolvida para extrair modelos de tráfego de rede a partir de dados brutos. À medida que as soluções de NTA adicionaram a análise comportamental e recursos de resposta a ameaças, a Gartner, empresa analista de setores, renomeou a categoria como NDR em 2020.

Muitas ferramentas tradicionais de detecção de ameaças — softwares antivírus, sistemas precoces de detecção e prevenção de invasões (IDPSs) e alguns tipos de firewall — as identificam e previnem procurando indicadores exclusivos de comprometimento (IOCs), também conhecidos como assinaturas.

Uma assinatura pode ser qualquer característica associada a um ataque cibernético conhecido — por exemplo, uma linha de código, hash ou tamanho de arquivo de uma variante específica de malware, um cabeçalho de pacote específico ou o assunto de um e-mail de phishing ou engenharia social. As ferramentas baseadas em assinaturas mantêm bancos de dados regularmente atualizados de IOCs conhecidos e detectam ameaças buscando por elas no tráfego de rede.

Como consequência, essas ferramentas se mostram eficazes em prevenir que ameaças conhecidas entrem ou se escondam na rede. Porém, elas não conseguem detectar malwares ou ameaças novas, desconhecidas ou emergentes. Também é improvável que elas identifiquem ameaças sem assinaturas, como:

• hackers usando credenciais roubadas para acessar a rede.
• Ataques de BEC (comprometimento de e-mail empresarial), em que hackers se passam por executivos ou sequestram as contas de e-mail deles.
• Funcionários apresentando de maneira não intencional comportamentos de risco, como salvar dados da empresa em uma unidade USB pessoal ou clicar em links de e-mail que levam a sites maliciosos.
  

O ransomware e outras ameaças persistentes avançadas exploram esses pontos cegos para se infiltrar em redes, fazer reconhecimento, obter privilégios e aguardar o momento certo de lançar um ataque. 

Embora as ferramentas baseadas em assinaturas sejam principalmente preventivas, a NDR adota uma abordagem dinamicamente responsiva em relação às ameaças de rede. Em vez de procurar por assinaturas conhecidas e específicas, as soluções de NDR monitoram e analisam o tráfego e a atividade de rede em tempo real para identificar qualquer atividade suspeita, interna ou externa, que possa indicar uma ameaça cibernética conhecida ou desconhecida.

As soluções de NDR fazem isso ao:

Modelar o comportamento de referência da rede. As soluções de NDR ingerem dados e metadados brutos de atividade da rede a partir de sensores e agentes de aplicações dedicados em toda a rede, bem como a partir da infraestrutura da rede, como firewalls e roteadores. As ferramentas de NDR então aplicam análise comportamental, IA e aprendizado de máquina aos dados para gerar um modelo de referência do comportamento e da atividade normais da rede. 

Detectar atividades suspeitas e potencialmente maliciosas. A NDR monitora a rede continuamente e usa os mesmos recursos de análise de dados e IA para identificar desvios do comportamento-padrão em tempo real. Os exemplos incluem um usuário acessando dados confidenciais fora do horário de trabalho, um dispositivo de endpoint se comunicando com um servidor externo desconhecido ou uma porta recebendo pacotes de dados incomuns.

Como as soluções de NDR monitoram o tráfego de rede norte-sul (saída e entrada) e leste-oeste (interno), são capazes de detectar e rastrear movimentos laterais de ameaças, um comportamento comum de agentes internos maliciosos e ameaças avançadas. Algumas soluções de NDR incluem recursos para detectar ameaças ocultas no tráfego criptografado.

A NDR também é capaz de gerar modelos de comportamento de ameaças, correlacionando dados de feeds de inteligência, o framework MITRE ATT&CK e outras fontes de dados sobre táticas, técnicas e procedimentos (TTPs) de cibercriminosos. Esses modelos ajudam a solução de NDR a discernir o que são sinais e o que é apenas ruído, ou seja, distinguir prováveis ataques cibernéticos de atividades incomuns mas inofensivas, os “falsos positivos”.

Fornecer automação e ferramentas de resposta a incidentes. Quando uma solução de NDR detecta um ataque cibernético ou um comportamento que pode sinalizar isso, ela pode:

• Priorizar e emitir alertas para a equipe de segurança ou para o centro de operações de segurança (SOC) em tempo real.
• Automatizar a resposta a incidentes. As soluções de NDR podem executar ações automaticamente, como encerrar uma conexão de rede suspeita, a fim de atrapalhar ou encerrar um ataque enquanto ele ocorre. A NDR também é capaz de aproveitar as integrações com outras ferramentas de segurança para acionar a resposta a incidentes. Por exemplo, ela pode levar o sistema SOAR (orquestração, automação e resposta de segurança) de uma organização a executar um playbook de resposta predefinido.
• Otimizar as investigações de ameaças. As soluções de NDR fornecem dados contextuais e funcionalidades que as equipes de segurança e os SOCs usam para acelerar investigações de ameaças em curso e buscas proativas de ameaças desconhecidas ou não detectadas (medida conhecida como caça a ameaças).

Hoje, as redes empresariais são altamente descentralizadas e extensas, conectando data centers no local e na nuvem, hardwares, softwares, dispositivos de IoT e cargas de trabalho. Para ter visibilidade total dessas redes distribuídas e interconectadas, os SOCs geralmente usam a NDR em conjunto com outras soluções de segurança como parte da sua estratégia de segurança na nuvem. 

Por exemplo, a NDR é um dos três pilares da tríade de visibilidade do SOC da Gartner, juntamente com a detecção e resposta de endpoint (EDR) e a gestão de eventos e informações de segurança (SIEM). A EDR é um software projetado para proteger de forma automática os usuários finais, dispositivos de endpoint e ativos de TI de uma organização contra ameaças cibernéticas que passam por softwares antivírus e outras ferramentas tradicionais de segurança de endpoint. Ela fornece uma visão “no nível do solo” da atividade que ocorre em endpoints individuais, complementando a “visão aérea” do tráfego de rede fornecida pela NDR. A SIEM combina e correlaciona dados de log e eventos relacionados à segurança a partir de ferramentas de segurança díspares e outras fontes na rede (servidores, aplicações, dispositivos). As ferramentas de NDR podem transmitir os próprios dados e análise de tráfego de rede para um sistema de SIEM, tornando-a ainda mais valiosa para os fluxos de trabalho de segurança e conformidade regulatória.

Recentemente, os SOCs estão adotando soluções de detecção e resposta estendidas (XDR). A XDR integra ferramentas de cibersegurança em toda a infraestrutura de TI híbrida de uma organização — endpoints, redes, cargas de trabalho na nuvem e muito mais — para que elas possam interoperar e coordenar a prevenção, detecção e resposta a ameaças cibernéticas. Muitas soluções de XDR incorporam recursos de NDR. E soluções abertas de XDR podem aproveitar os recursos de NDR que uma organização já tem à disposição.