NDR – Network Detection & Response è ormai considerata una tecnologia di sicurezza nell'ambito della sicurezza informatica che non dovrebbe mancare in nessuna rete aziendale. Ma chi valuta tutti i dati e guida la risposta? La parola magica qui è MDR – Managed Detection and Response Services. Un'intervista con Michael Veit, esperto di sicurezza presso Sophos.
Soluzioni di sicurezza efficaci includono componenti tecnologici come la protezione degli endpoint in rete e un firewall di prossima generazione, entrambi abbinati all’intelligenza artificiale e all’esperienza umana sotto forma di servizi di sicurezza.
Mentre le classiche soluzioni di sicurezza riconoscono e scongiurano un gran numero di attacchi e anomalie dannose, la protezione diretta della rete è stata per molto tempo trascurata. Tuttavia, una volta che gli aggressori hanno trovato l’accesso alla rete, sono difficili da rintracciare. Né la protezione endpoint né il firewall rilevano in modo affidabile gli aggressori già presenti nella rete. In questo modo gli aggressori possono spostarsi lateralmente per lungo tempo e senza ostacoli attraverso la rete (movimento laterale) per preparare il loro attacco vero e proprio o il furto di dati.
L'NDR è buono, l'MDR è migliore
Michael Veit, esperto di sicurezza di Sophos (Immagine: Sophos).
NDR (Network Detection and Response) è ormai indispensabile per una forte sicurezza della rete. Sebbene le tecnologie di rilevamento NDR forniscano un’ottima panoramica dello stato e della protezione della rete, è necessario comprendere anche i messaggi innocui e quelli pericolosi. Infine, è anche importante soddisfare il punto di “risposta” dell’NDR, ovvero intraprendere le azioni giuste in seguito alle indicazioni di un attacco o incidente.
Sophos affronta esattamente questo punto nelle sue soluzioni e offre alle aziende rilevamento e risposta gestiti come sicurezza informatica come servizio 24 ore su 7, 365 giorni su XNUMX, XNUMX giorni all'anno. Michael Veit, esperto di sicurezza presso Sophos, ci risponde in un'intervista su come funziona esattamente MDR con Sophos, cosa può fare e quali sono i punti importanti.
I punti di forza di NDR in combinazione con MDR – Cybersecurity as a Service
Cyber Security B2B: quali punti di forza ha la NDR per le aziende?
Michael Veit, Sophos: “Una moderna soluzione NDR rileva gli attacchi anche nelle profondità della rete. Monitora il traffico e rileva anche l'attività proveniente da sistemi non gestiti, dispositivi IoT, utenti o risorse non autorizzati e qualsiasi altra fonte di traffico di rete. Può persino ispezionare i dati dei pacchetti crittografati senza mettere a rischio i dati personali."
La nuova generazione di NDR, come quella di Sophos, è una soluzione avanzata di monitoraggio della rete progettata per affrontare il panorama delle minacce complesso e in continua evoluzione. Combina cinque motori di rilevamento proprietari con analisi di deep learning per fornire informazioni utili in tempo reale su un'ampia gamma di minacce di rete. I motori di rilevamento classificano il traffico di rete in base a oltre 330 protocolli, 50 rischi di flusso e migliaia di IOC. Questi motori includono anche molteplici modelli di deep learning che forniscono nuovi livelli di precisione nel rilevamento delle minacce riducendo al minimo i falsi positivi”.
Sicurezza informatica B2B: perché le aziende dovrebbero affidarsi all’MDR in combinazione con l’NDR?
Michael Veit, Sophos: “Rilevare un’anomalia o un modello di attacco nella rete è solo il primo passo. Un sistema NDR avvisa l'azienda e fornisce anche informazioni rilevanti sul problema o sull'attacco. Questi devono essere interpretati correttamente e quindi la parte “risposta” deve essere soddisfatta perfettamente. Ed è proprio qui che risiede il problema per molte aziende, poiché non hanno a disposizione esperti. Con MDR le cose funzionano diversamente: una volta individuati, gli aggressori devono essere rimossi dalla rete e le lacune devono essere colmate. Ciò avviene automaticamente tramite un altro componente cruciale nell’ecosistema della sicurezza: MDR (Managed Detection and Response Services). I servizi MDR vengono automaticamente informati dalla soluzione NDR che un utente malintenzionato precedentemente non rilevato potrebbe trovarsi nella rete aziendale.
Con queste informazioni, il team MDR Security Operations Center di Sophos entra immediatamente in azione, indaga sulla segnalazione NDR ed elimina gli aggressori. Allo stesso tempo gli esperti forensi studiano le vie dell'attacco per scoprire malware residui o per individuare e correggere manipolazioni e modifiche dei diritti nella rete. Solo l’elaborazione precisa di una tale catena di eventi è una risposta perfetta a un attacco”.
Cyber Security B2B: quali sono le peculiarità di un NDR?
Michael Veit, Sophos: “Le tecnologie NDR portano a un’azienda molta luce in una rete altrimenti oscura. Ciò aiuta a identificare i dispositivi di rete sconosciuti o non protetti, inclusi i dispositivi IoT o OT legittimi che non possono essere completamente gestiti con un sensore endpoint. Questi includono, ad esempio, dispositivi IoT, stampanti o sistemi obsoleti presenti in rete. Anche i dispositivi di rete dimenticati e quindi non presi in considerazione e protetti dalla sicurezza informatica sono apprezzati dagli hacker. NDR identifica e monitora tali dispositivi per rilevare comportamenti sospetti o dannosi che potrebbero indicare un attacco.
Inoltre, le risorse non autorizzate introdotte nella rete che potrebbero già essere state compromesse o utilizzate per lanciare un attacco possono essere facilmente rilevate e monitorate da Sophos NDR.”
Cyber Security B2B: Sophos NDR rileva anche gli attacchi più moderni?
Michael Veit, Sophos: “Questo è un punto molto interessante. La soluzione rileva anche attività di comando e controllo (C2) mai viste prima. Perché molti attacchi e violazioni della sicurezza sono controllati da remoto. A prima vista, alcune comunicazioni tra l’aggressore e i suoi processi remoti all’interno della rete sembrano legittime. NDR è in grado di rilevare nuove attività C2 zero-day e quindi di individuare tempestivamente attacchi mirati e altamente specializzati.
Un'altra particolarità della soluzione è il rilevamento tempestivo di flussi di traffico di rete sospetti. Sophos è in grado anche di identificare modelli di traffico insoliti e quindi di rilevare il traffico dannoso generato da malware noti. Un esempio: Sophos ha analizzato il modello di traffico di QBot o Qakbot e lo ha confrontato con flussi di traffico di rete sospetti. Questo è anche il modo in cui è stato identificato un attacco di QBot. La tecnologia dietro: Il modello Sophos NDR EPA (Encrypted Payload Analytics) converte i flussi di pacchetti in immagini e utilizza una rete neurale per determinare se l'immagine corrisponde a ciò che ci aspettiamo da un flusso di dati Qakbot o da un'altra famiglia di malware (ad esempio Bumblebee, Cobalt Strike, Emotet, Dridex)."
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.