Data di aggiornamento: 8 luglio 2024
Autori: Annie Badman, Matthew Kosinski
Il rilevamento e la risposta della rete (NDR) è una categoria di tecnologie di cybersecurity che utilizza metodi non basati sulla firma, come l'AI, l'apprendimento automatico e l'analisi comportamentale, per rilevare attività sospette o dannose sulla rete e rispondere a minacce informatiche.
L'NDR è un'evoluzione dell'analisi del traffico di rete (NTA), una tecnologia originariamente sviluppata per estrarre modelli di traffico di rete dai dati non elaborati del traffico di rete. Dal momento che le soluzioni NTA hanno aggiunto funzionalità di analisi comportamentale e di risposta alle minacce, nel 2020 gli analisti del settore di Gartner® hanno ribattezzato la categoria in "network detection and response".
Le reti rappresentano la base del mondo connesso di oggi e i bersagli principali per gli attori delle minacce.
In passato, le organizzazioni si affidavano a strumenti di rilevamento delle minacce quali software antivirus, sistemi di rilevamento delle intrusioni (IDS) e firewall per garantire la sicurezza della rete.
Molti di questi strumenti utilizzano un approccio basato sulle firme per il rilevamento, individuano le minacce abbinando gli indicatori di compromissione (IOC) a un database di firme di minacce informatiche.
Una firma può essere qualsiasi caratteristica associata a un attacco informatico noto, come ad esempio una riga di codice proveniente da una specifica attività di malware o uno specifico oggetto di un'e-mail di phishing. Gli strumenti basati sulle firme monitorano le reti alla ricerca di queste eventuali firme scoperte in precedenza e generano avvisi quando le trovano.
Sebbene siano efficaci nel bloccare le minacce informatiche conosciute, gli strumenti basati sulle firme hanno difficoltà nel rilevare le minacce nuove, sconosciute o emergenti. Hanno inoltre difficoltà a rilevare le minacce prive di firme univoche o assomigliano a comportamenti legittimi, come:
- Criminali informatici che utilizzano credenziali rubate per accedere alla rete
- Attacchi Business e-mail compromise (BEC), in cui gli hacker impersonano o dirottano l'account e-mail di un dirigente
- I dipendenti si impegnano involontariamente in comportamenti rischiosi, come salvare i dati aziendali su una chiavetta USB personale o fare clic su link e-mail dannosi
Le bande di ransomware e altre minacce persistenti avanzate possono sfruttare queste lacune nella visibilità per infiltrarsi nelle reti, condurre azioni di sorveglianza, aumentare i privilegi e lanciare attacchi in momenti opportuni.
NDR può aiutare le organizzazioni a colmare le lacune lasciate dalle soluzioni basate sulle firme e a proteggere reti moderne e sempre più complesse.
Utilizzando analisi avanzate, apprendimento automatico e analisi comportamentale, l'NDR è in grado di rilevare anche potenziali minacce senza firme note. In questo modo, NDR fornisce un livello di sicurezza in tempo reale, aiutando le organizzazioni a rilevare vulnerabilità e attacchi che altri strumenti di sicurezza potrebbero non rilevare.
Acquisisci gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Le soluzioni di rilevamento e risposta alla rete adottano un approccio proattivo e dinamico alla gestione delle minacce di rete. Gli strumenti NDR monitorano e analizzano costantemente l'attività di rete e i modelli di traffico in tempo reale per individuare attività sospette che potrebbero indicare una minaccia informatica.
Il rilevamento delle minacce con una soluzione NDR in genere comporta queste cinque fasi:
- Raccolta dei dati
- Definizione di una linea di base per il comportamento della rete
- Monitoraggio di attività dannose
- Risposta agli incidenti
- Ottimizzazione nel tempo
Le soluzioni NDR inseriscono dati e metadati grezzi sul traffico di rete attraverso la telemetria, la pratica di utilizzo dell'automazione per la raccolta e la trasmissione di dati da fonti remote.
Gli strumenti NDR spesso raccolgono dati provenienti dagli endpoint, dall'infrastruttura di rete, dai firewall e da altre fonti per ottenere una visione completa della rete. I dati raccolti possono includere dati di pacchetti di rete, dati di flusso e dati di registro.
Gli strumenti NDR utilizzano l'analisi comportamentale, l'AI e l'apprendimento automatico per valutare i dati e stabilire un modello di base del normale comportamento e attività della rete.
Dopo aver stabilito una linea di base, il sistema monitora costantemente e in tempo reale il traffico di rete. L'NDR confronta l'attività di rete corrente con quella di base per rilevare eventuali deviazioni che potrebbero segnalare l'esfiltrazione dei dati e altre potenziali minacce.
Tali deviazioni potrebbero includere tentativi di accesso non autorizzati, trasferimenti di dati insoliti, modelli di accesso anomali (come l'accesso ai dati al di fuori degli orari regolari) o comunicazioni con server web sconosciuti.
Quando rilevano attività sospette, le soluzioni NDR avvisano i team addetti alla sicurezza affinché agiscano. Alcuni strumenti NDR possono anche intraprendere azioni automatiche per mitigare la minaccia. Queste risposte automatizzate possono includere il blocco degli indirizzi IP dannosi, l'isolamento dei dispositivi compromessi o la limitazione del traffico sospetto per evitare ulteriori danni.
I sistemi NDR adattano costantemente i propri modelli di attività di rete incorporando il feedback delle minacce e delle risposte rilevate. Integrano inoltre input di analisti della sicurezza e feed di threat intelligence. Questo costante perfezionamento migliora l'accuratezza e l'efficacia degli strumenti NDR nel rilevare e rispondere alle minacce nuove e in evoluzione.
Le soluzioni NDR offrono una serie di funzionalità che possono offrire vantaggi rispetto ai tradizionali strumenti di rilevamento delle minacce basati sulle firme. Queste capacità includono:
Le soluzioni NDR offrono monitoraggio e analisi in tempo reale, consentendo un'individuazione e una risposta più rapide alle potenziali minacce. Alcuni strumenti NDR possono anche assegnare priorità e inviare avvisi ai team addetti alla sicurezza o ai centri operativi per la sicurezza (SOC) in base alla gravità potenziale delle minacce.
NDR può offrire visibilità su tutte le attività di rete on-premise e in ambienti di hybrid cloud. Questa visibilità completa può aiutare le organizzazioni a intercettare più incidenti di sicurezza.
Dal momento che le soluzioni NDR monitorano sia il traffico di rete nord-sud (uscita e ingresso) sia est-ovest (interno), sono in grado di rilevare sia le intrusioni nel perimetro della rete, sia i movimenti laterali all'interno della rete. La capacità di individuare le anomalie all'interno della rete può aiutare l'NDR a bloccare le minacce avanzate in agguato. Alcuni strumenti NDR possono anche rilevare le minacce nascoste nel traffico crittografato.
NDR utilizza l'AI e gli algoritmi avanzati di apprendimento automatico per analizzare i dati di rete, individuare modelli e potenziali minacce, comprese le minacce precedentemente sconosciute che spesso sfuggono agli strumenti tradizionali.
Alcune soluzioni NDR sono dotate di funzionalità di risposta automatica, come la chiusura di una connessione di rete sospetta, che possono bloccare un attacco in corso. Gli strumenti NDR possono anche integrarsi con altri strumenti di sicurezza per eseguire piani di risposta agli incidenti più complessi. Ad esempio, dopo aver individuato una minaccia, una soluzione NDR potrebbe richiedere una piattaforma di orchestrazione della sicurezza, automazione e risposta (SOAR) per eseguire un playbook di risposta predefinito.
Numerosi strumenti NDR possono integrarsi con feed e database di threat intelligence come il framework MITRE ATT&CK. Queste integrazioni possono migliorare i modelli comportamentali e l'accuratezza del rilevamento delle minacce. Di conseguenza, gli strumenti NDR possono essere meno inclini a falsi positivi.
Le soluzioni NDR offrono dati contestuali e funzionalità che i team addetti alla sicurezza possono utilizzare per le attività di rilevamento delle minacce che cercano proattivamente minacce non rilevate in precedenza.
Nonostante i vantaggi, le soluzioni NDR non sono prive di limiti. Alcuni punti deboli comuni degli attuali strumenti NDR possono includere:
Gli strumenti NDR possono richiedere investimenti significativi in termini di hardware, software e personale addetto alla sicurezza informatica. Ad esempio, la configurazione iniziale può comportare l'implementazione di sensori in tutti i segmenti di rete e l'investimento in un data storage ad alta capacità per grandi volumi di dati sul traffico di rete.
Scalare le soluzioni NDR per reti in crescita può essere difficile. L'aumento del flusso di dati può esaurire le risorse e creare colli di bottiglia, rendendo le soluzioni di rilevamento e risposta alle minacce meno efficaci nelle grandi imprese.
Gli strumenti NDR possono generare molti falsi positivi e sopraffare i team addetti alla sicurezza con stress da avvisi. Anche la minima deviazione dagli schemi normali potrebbe essere contrassegnata come sospetta, con conseguente perdita di tempo e potenzialmente assenza di minacce reali.
Il monitoraggio costante del traffico di rete, comprese le comunicazioni crittografate, può sollevare problemi di privacy. Il mancato rispetto di normative quali il General Data Protection Regulation (GDPR) e lo Payment Card Industry Data Security Standard (PCI DSS) possono comportare sanzioni e multe.
Le attuali reti aziendali sono decentralizzate ed espansive e collegano data center, hardware, software, dispositivi IoT e workload sia on-premise, sia in ambienti cloud.
Le organizzazioni e i loro centri operativi per la sicurezza (SOC) hanno bisogno di un set di strumenti affidabile per ottenere una visibilità completa su queste reti complesse. Si affidano sempre più spesso a una combinazione di NDR con altre soluzioni per la sicurezza.
Ad esempio, l'NDR è uno dei tre pilastri della triade di visibilità SOC di Gartner, insieme al rilevamento e risposta degli endpoint (EDR) e alla gestione delle informazioni e degli eventi di sicurezza (SIEM).
- L'EDR è un software progettato per proteggere automaticamente gli utenti finali, i dispositivi endpoint e le risorse IT di un'organizzazione dalle minacce informatiche. Mentre l'NDR fornisce una "vista aerea" del traffico di rete, l'EDR può fornire una "vista supplementare "a livello del terreno" dell'attività nei singoli endpoint.
- SIEM combina e correla i dati di registro ed eventi relativi alla sicurezza provenienti da diversi strumenti di sicurezza e fonti di rete, come server, applicazioni e dispositivi. Gli strumenti NDR possono integrare questi sforzi trasmettendo i dati e l'analisi del traffico di rete ai sistemi SIEM, migliorando la sicurezza del SIEM e l'efficacia della conformità normativa.
Più recentemente, i SOC stanno anche adottando soluzioni di rilevamento e risposta estese (XDR). XDR integra gli strumenti di cybersecurity nell'intera infrastruttura IT ibrida di un'organizzazione, compresi gli endpoint, le reti e i workload cloud. Numerosi fornitori di XDR includono funzionalità NDR, mentre le soluzioni XDR aperte possono utilizzare le capacità NDR esistenti di un'organizzazione, inserendosi nei workflow di sicurezza esistenti.
Utilizza le soluzioni di rilevamento e risposta alle minacce di IBM per rafforzare la tua sicurezza e accelerare il rilevamento delle minacce.
Passa con fiducia al multicloud ibrido e integra la sicurezza in ogni fase del tuo percorso verso l'adozione del cloud.
Proteggi l'infrastruttura e la rete dalle minacce alla cybersecurity con soluzioni moderne, competenze e soluzioni comprovate.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi.
Scopri come sta cambiando il panorama della sicurezza odierno e come affrontare le sfide e sfruttare la resilienza dell'AI generativa.
L'intelligenza artificiale (AI) sfrutta computer e macchine per imitare le funzionalità decisionali e di risoluzione dei problemi della mente umana.