Il rilevamento e la risposta della rete (NDR) è una categoria di tecnologie di cybersecurity che utilizza metodi non basati sulla firma, come intelligenza artificiale, machine learning e analytics comportamentale, per rilevare attività sospette o dannose sulla rete e rispondere a minacce informatiche. 

L'NDR si è evoluto dall'analisi del traffico di rete (NTA), una tecnologia originariamente sviluppata per estrarre modelli di traffico di rete dai dati grezzi del traffico di rete. Poiché le soluzioni NTA hanno aggiunto funzionalità di analisi comportamentale e di risposta alle minacce, l'analista di settore Gartner ha ribattezzato la categoria NDR nel 2020.

Molti strumenti tradizionali di rilevamento delle minacce, come software antivirus, sistemi di rilevamento e prevenzione delle intrusioni (IDPS) e alcuni tipi di firewall, individuano e prevengono le minacce ricercando indicatori di compromissione (IOC) unici o firme.

Una firma può essere una caratteristica connessa a un attacco informatico noto, ad esempio una riga di codice, l'hash di un file o la dimensione di un file di una specifica variante di malware, l'intestazione di un pacchetto specifico o l'oggetto di un'e-mail di phishing o di social engineering. Gli strumenti basati sulle firme mantengono database regolarmente aggiornati di firme note e rilevano le minacce analizzando la presenza di tali firme nel traffico di rete.

Di conseguenza, questi strumenti basati sulle firme sono efficaci nell'impedire l'ingresso o la presenza di minacce note nella rete. Ma non riescono a rilevare malware o minacce nuove, ancora sconosciute o emergenti. Inoltre, è improbabile che individuino le minacce prive di firme, come:

• hacker che utilizzano credenziali rubate per accedere alla rete;
• attacchi Business e-mail compromise (BEC) in cui gli hacker impersonano o dirottano l'e-mail di un dirigente;
• dipendenti che assumono comportamenti involontariamente rischiosi, come salvare i dati aziendali su un'unità USB personale o fare clic su collegamenti e-mail a siti Web dannosi.
  

I ransomware e altre minacce persistenti avanzate sfruttano questi punti ciechi per introdursi nelle reti, effettuare ricognizioni, aumentare i privilegi e attendere il momento giusto per sferrare un attacco. 

Mentre gli strumenti basati sulle firme sono principalmente preventivi, l'NDR adotta un approccio dinamico e reattivo alle minacce di rete. Invece di eseguire una scansione alla ricerca di specifiche firme note, le soluzioni NDR monitorano e analizzano il traffico e l'attività di rete in tempo reale per individuare una qualsiasiattività sospetta, all'esterno o all'interno della rete, che potrebbe indicare una minaccia informatica nota o sconosciuta.

Le soluzioni NDR lo fanno con queste modalità:

Modellazione del comportamento della rete di base. Le soluzioni NDR inseriscono dati grezzi sull'attività di rete e metadati da sensori dedicati e agenti di applicazioni in tutta la rete, nonché da infrastrutture di rete come firewall e router. Gli strumenti NDR applicano quindi ai dati analytics del comportamento, AI e machine learning, per generare un modello di base del comportamento e dell'attività normale della rete. 

Rilevamento di attività sospette e potenzialmente dannose. NDR monitora costantemente la rete e utilizza le stesse funzionalità di analytics e AI per individuare in tempo reale gli scostamenti dal comportamento di base. Ad esempio, un utente che accede a dati sensibili al di fuori dell'orario di lavoro, un dispositivo endpoint che comunica con un server esterno sconosciuto o una porta che riceve pacchetti di dati insoliti.

Poiché le soluzioni NDR monitorano sia il traffico di rete nord-sud (in uscita e in entrata) che quello est-ovest (interno), sono in grado di rilevare e tracciare il movimento laterale delle minacce, un comportamento comune assunto da insider malevoli e minacce avanzate. Alcune soluzioni NDR includono funzionalità per rilevare le minacce che si nascondono nel traffico crittografato.

L'NDR può anche generare modelli di comportamento delle minacce, correlando i dati provenienti dai feed di threat intelligence, dal framework MITRE ATT&CK e da altre fonti di dati su tattiche, tecniche e procedure (TTP) dei criminali informatici. Questi modelli aiutano la soluzione NDR a separare i segnali dal rumore, ossia a distinguere tra probabili attacchi informatici e attività insolite ma innocue o "falsi positivi".

Fornitura di strumenti e automazione per la risposta agli incidenti. Quando una soluzione NDR rileva un attacco informatico o un comportamento che potrebbe segnalare un attacco informatico, può

• attribuire priorità e inviare avvisi al team di sicurezza o al centro delle operazioni di sicurezza (SOC) in tempo reale.
• Automatizzazione della risposta agli incidenti. Le soluzioni NDR possono intervenire automaticamente, ad esempio interrompendo una connessione di rete sospetta, per arrestare o bloccare un attacco in corso. L'NDR può anche sfruttare l'integrazione con altri strumenti di sicurezza per attivare la risposta agli incidenti. Ad esempio, potrebbe richiedere al sistema SOAR (security orchestration, automation and response) di un'organizzazione di eseguire un playbook di risposta predefinito.
• Indagini automatizzate sulle minacce. Le soluzioni NDR forniscono dati e funzionalità contestuali che i team di sicurezza e i SOC possono utilizzare per accelerare le indagini sulle minacce in corso e le indagini proattive sulle minacce sconosciute o non rilevate (il cosiddetto rilevamento delle minacce).

Oggi le reti aziendali sono altamente decentralizzate ed estese e collegano data center on-premise e cloud, hardware, software, dispositivi IoT e workload. Per ottenere una visibilità completa di queste reti distribuite e interconnesse, i SOC spesso si affidano all'NDR insieme ad altre soluzioni di sicurezza nell'ambito della loro strategia di sicurezza del cloud. 

Ad esempio, l'NDR è uno dei tre pilastri della triade di visibilità del SOC di Gartner, insieme al Rilevamento e risposta degli endpoint (EDR) e alla gestione delle informazioni e degli eventi di sicurezza (SIEM). Il rilevamento e risposta degli endpoint (EDR) è un software progettato per proteggere automaticamente gli utenti finali, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano i software antivirus e altri strumenti tradizionali di endpoint security. Offre una visione "a livello del suolo" dell'attività che si svolge presso i singoli endpoint che integra la "visione aerea" del traffico di rete fornita dall'NDR. Il SIEM combina e correla dati di log ed eventi relativi alla sicurezza provenienti da strumenti di sicurezza eterogenei e da altre fonti sulla rete (server, applicazioni, dispositivi). Gli strumenti NDR possono trasmettere i dati e le analisi del traffico di rete a un SIEM, arricchendo ulteriormente il valore del SIEM per i workflow di sicurezza e conformità normativa.

Più recentemente, i SOC stanno adottando soluzioni di rilevamento e risposta estese (XDR). XDR integra gli strumenti di cybersecurity nell'intera infrastruttura IT ibrida di un'organizzazione, endpoint, reti, workload cloud e altro, in modo che possano interoperare e coordinarsi per la prevenzione, il rilevamento e la risposta alle minacce informatiche. Molte soluzioni XDR incorporano funzionalità NDR; le soluzioni XDR aperte possono sfruttare le funzionalità NDR già presenti in un'organizzazione.