NDR – Network Detection & Response é hoje considerada uma tecnologia de segurança em segurança de TI que não deve faltar em nenhuma rede corporativa. Mas quem avalia todos os dados e lidera a resposta? A palavra mágica aqui é MDR – Serviços Gerenciados de Detecção e Resposta. Uma entrevista com Michael Veit, especialista em segurança da Sophos.
Soluções de segurança eficazes incluem componentes tecnológicos, como proteção de terminais em rede e um firewall de próxima geração, ambos combinados com inteligência artificial e experiência humana na forma de serviços de segurança.
Embora as soluções clássicas de segurança detectem e evitem um grande número de ataques e anomalias maliciosas, a proteção direta da rede tem sido negligenciada há muito tempo. No entanto, depois que os invasores encontram acesso à rede, é difícil localizá-los. Nem a proteção de endpoint nem o firewall detectam de forma confiável os invasores que já estão na rede. Desta forma, os atacantes podem mover-se desimpedidos e secretamente lateralmente através da rede durante um longo período de tempo (movimento lateral), a fim de preparar o seu ataque real ou roubo de dados.
NDR é bom – MDR é melhor
Michael Veit, especialista em segurança da Sophos (Imagem: Sophos).
NDR (Detecção e Resposta de Rede) agora é indispensável para uma segurança de rede forte. Embora as tecnologias de detecção de NDR forneçam uma visão geral muito boa do status e da proteção da rede, as mensagens inofensivas e perigosas também precisam ser compreendidas. Finalmente, também é importante cumprir o ponto “Resposta” na NDR, ou seja, tomar as medidas corretas após indicações de um ataque ou incidente.
A Sophos aborda exatamente esse ponto em suas soluções e oferece às empresas detecção e resposta gerenciadas como serviço de segurança cibernética 24 horas por dia, 7 dias por semana, 365 dias por ano. Michael Veit, especialista em segurança da Sophos, nos responde em uma entrevista sobre como exatamente o MDR funciona com a Sophos, o que ele pode fazer e quais são os pontos importantes.
Os pontos fortes do NDR em combinação com o MDR – Cibersegurança como Serviço
Segurança cibernética B2B: quais são os pontos fortes do NDR para as empresas?
Michael Veit, Sophos: “Uma solução NDR moderna detecta ataques mesmo nas profundezas da rede. Ele monitora o tráfego e também detecta atividades de sistemas não gerenciados, dispositivos IoT, usuários ou ativos não autorizados e quaisquer outras fontes de tráfego de rede. Ele pode até inspecionar dados de pacotes criptografados sem colocar os dados pessoais em risco.”
A nova geração de NDR, como a da Sophos, é uma solução avançada de monitoramento de rede projetada para lidar com o cenário de ameaças complexo e em constante evolução. Ele combina cinco mecanismos de detecção proprietários com análises de aprendizagem profunda para fornecer inteligência acionável em tempo real sobre uma ampla gama de ameaças de rede. Os mecanismos de detecção classificam o tráfego de rede com base em mais de 330 protocolos, 50 riscos de fluxo e milhares de IOCs. Esses mecanismos também incluem vários modelos de aprendizagem profunda que fornecem novos níveis de precisão na detecção de ameaças e, ao mesmo tempo, minimizam falsos positivos.”
Segurança cibernética B2B: Por que as empresas deveriam confiar no MDR em combinação com o NDR?
Michael Veit, Sophos: “Detectar uma anomalia ou padrão de ataque na rede é apenas o primeiro passo. Um sistema NDR avisa a empresa e também fornece informações relevantes sobre o problema ou ataque. Estas devem ser interpretadas corretamente e então a parte da “resposta” deve ser cumprida perfeitamente. E é exatamente aí que reside o problema de muitas empresas, pois não possuem especialistas disponíveis. As coisas funcionam de maneira diferente com o MDR: uma vez detectados, os invasores devem ser removidos da rede e as brechas devem ser fechadas. Isto é feito automaticamente através de outro componente crucial no ecossistema de segurança: MDR (Managed Detection and Response Services). Os serviços MDR são informados automaticamente pela solução NDR que um invasor não detectado anteriormente pode estar na rede da empresa.
Com essas informações, a equipe do Centro de Operações de Segurança MDR da Sophos entra em ação imediatamente, investiga o relatório NDR e elimina os invasores. Ao mesmo tempo, os peritos forenses estão pesquisando os caminhos do ataque para descobrir malware residual ou para detectar e corrigir manipulações e alterações de direitos na rede. Somente o processamento preciso de tal cadeia de incidentes é uma resposta perfeita a um ataque.”
Segurança cibernética B2B: quais são os recursos especiais de uma notificação de falha na entrega?
Michael Veit, Sophos: “As tecnologias NDR trazem muita luz para uma empresa em uma rede que de outra forma seria obscura. Isso ajuda a identificar dispositivos de rede desconhecidos ou desprotegidos, incluindo dispositivos IoT ou TO legítimos que não podem ser totalmente gerenciados com um sensor de endpoint. Estes incluem, por exemplo, dispositivos IoT, impressoras ou sistemas desatualizados que estão na rede. Dispositivos de rede que foram esquecidos e, portanto, não são levados em conta e protegidos pela segurança de TI também são populares entre os hackers. A NDR identifica e monitora esses dispositivos em busca de comportamento suspeito ou malicioso que possa indicar um ataque.
Além disso, ativos não autorizados introduzidos na rede que já possam estar comprometidos ou usados para lançar um ataque podem ser facilmente detectados e monitorados pelo Sophos NDR.”
Segurança cibernética B2B: O Sophos NDR também detecta os ataques mais modernos?
Michael Veit, Sophos: “Esse é um ponto muito interessante. A solução também detecta atividades de Comando e Controle (C2) nunca antes vistas. Porque muitos ataques e violações de segurança são controlados remotamente. À primeira vista, algumas comunicações entre o invasor e seus processos remotos na rede parecem legítimas. A NDR pode detectar novas atividades C2 de dia zero e, assim, detectar ataques direcionados e altamente especializados em um estágio inicial.
Outra característica especial da solução é a detecção precoce de fluxos de tráfego de rede suspeitos. A Sophos é capaz até de identificar padrões de tráfego incomuns e, assim, detectar tráfego prejudicial gerado por malware conhecido. Um exemplo: a Sophos analisou o padrão de tráfego do QBot ou Qakbot e comparou-o com fluxos de tráfego de rede suspeitos. Foi assim também que foi identificado um ataque do QBot. A tecnologia por trás disso: O modelo Sophos NDR EPA (Encrypted Payload Analytics) converte fluxos de pacotes em imagens e usa uma rede neural para determinar se a imagem corresponde ao que esperamos de um fluxo de dados Qakbot ou de outra família de malware (por exemplo, Bumblebee, Cobalt Strike, Emotet, Dridex).”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.