As ciberameaças estão a aumentar em número e a tornar-se cada vez mais sofisticadas. As organizações necessitam de medidas de segurança avançadas para proteger as suas redes, porque os sistemas de segurança tradicionais ficam muitas vezes aquém, deixando lacunas que os ciberataques podem explorar.
Este artigo explora como a Deteção e Resposta de Rede (NDR – Network Detection and Response) pode preencher estas lacunas, tirando partido de tecnologias modernas como Machine Learning (ML) para melhorar a segurança de rede. Apresentaremos o conceito de NDR, discutiremos o papel fulcral de Machine Learning neste domínio, e destacarem as melhores práticas para implementar uma solução NDR.
Porque as soluções de segurança tradicionais são insuficientes
As soluções de segurança tradicionais – como soluções de endpoints, proxies ou sistemas de deteção de intrusões (IDS) – muitas vezes não fornecem proteção adequada contra certos tipos de ataques, o que significa que podem deixar alguns ângulos mortos que os atacantes sofisticados podem explorar.
Eis os principais motivos pelos quais estas soluções são geralmente insuficientes:
- Visibilidade limitada
A maioria das soluções de segurança não monitoriza dispositivos não geridos, uma vez que trabalha a nível dos endpoints, deixando assim potenciais pontos de entrada para os atacantes. Além disso, a maioria destas soluções concentra-se principalmente no tráfego externo, ignorando o tráfego interno que se move dentro da rede. De facto, há muito tráfego irrelevante a passar pela rede interna das empresas, o que dificulta a análise. - Tecnologia desatualizada
As soluções de segurança como IDS dependem de métodos baseados em assinaturas que ignoram as técnicas de ataque modernas. Além disso, não são facilmente escaláveis, pois muitas vezes exigem a monitorização de tráfego não encriptado. - Falta de contexto
As soluções tradicionais de segurança de rede tendem a fornecer apenas dados básicos de ligação, sem insights detalhados sobre a natureza das ligações. Muitas vezes, perdem as informações contextuais necessárias para identificar e responder com precisão às ameaças.
Estas limitações resultam em ângulos mortos, tempos de resposta lentos e proteção inadequada contra ataques sofisticados.
O que traz o NDR para a mesa?
NDR consiste numa sonda instalada na rede de modo semelhante a um IDS. Tenta resolver as lacunas identificadas acima ao basear o seu reconhecimento nos metadados dos pacotes que passam pela rede, em vez do seu conteúdo. Isto permite que esta tecnologia processe maior largura de banda e funcione em tráfego encriptado (que, hoje em dia, representa a maior parte do tráfego).
Isto significa que a sonda é capaz de analisar muitas informações superficiais, sendo o local perfeito para tirar partido de tecnologias avançadas como Machine Learning para analisar padrões de tráfego de rede e detetar anomalias em tempo real, oferecendo alta-fidelidade e relevância.
Esta capacidade permite uma identificação mais rápida e precisa das ameaças, garantindo que as organizações podem responder pronta e eficientemente a incidentes de segurança.
A localização do NDR na rede torna-o também uma ótima ferramenta para correlacionar bits de informação obtidos de diversas fontes.
O papel de Machine Learning em NDR
Os algoritmos de ML analisam grandes quantidades de dados de rede para estabelecerem um ponto de partida de comportamento normal. Uma vez estabelecida esta linha de partida, o sistema pode identificar desvios que podem indicar potenciais ameaças. As principais vantagens de ML no contexto de NDR incluem:
- Deteção de anomalias
Os modelos de ML são excelentes na deteção de padrões incomuns no tráfego de rede, como transferências de dados inesperadas ou tentativas anormais de login. - Análise comportamental
Ao compreender o comportamento típico dos utilizadores e dos dispositivos, a tecnologia ML pode detetar desvios que sugerem contas comprometidas ou ameaças internas, como um funcionário que trabalha inesperadamente a meio da noite. - Integração de Threat Intelligence
A tecnologia Machine Learning consegue integrar diversos tipos de informação de Threat Intelligence, melhorando a capacidade do sistema para reconhecer ameaças conhecidas e emergentes. - Melhoria contínua
Os modelos de ML utilizam o treino supervisionado e não supervisionado para aprender e adaptar-se ao longo do tempo à realidade da rede, melhorando a sua precisão e reduzindo os falsos positivos à medida que processam mais dados.
Workflow de deteção e resposta a ataques
Para melhor compreender o workflow de deteção e resposta com um NDR, consideremos o exemplo abaixo.
Cenário
Uma grande organização torna-se alvo de um atacante sofisticado que conseguiu entrar na rede da empresa e comprometer as credenciais de um utilizador privilegiado. Em vez de lançar um ataque direto, o atacante move-se lateralmente na rede, acedendo e recolhendo dados confidenciais de vários servidores durante várias semanas. O objetivo é evitar a deteção, misturando-se com o tráfego normal da rede e, eventualmente, extraindo os dados sem disparar qualquer alarme imediato.
Deteção
O sistema NDR, ao monitorizar todo o tráfego interno da rede, deteta anomalias subtis que as ferramentas de segurança tradicionais provavelmente não reconheceriam. Por exemplo, o sistema percebe que a conta comprometida começa a aceder a servidores com os quais o utilizador normalmente não interage e em horários estranhos. Além disso, o NDR deteta padrões invulgares no volume e na frequência das transferências de dados entre sistemas internos, que não correspondem ao comportamento de base estabelecido para esse utilizador ou esses sistemas.
Ao contrário das soluções de endpoint, que se concentram apenas na atividade do endpoint, ou dos proxies que monitorizam o tráfego web, o sistema NDR tem visibilidade de toda a rede, incluindo o tráfego entre dispositivos dentro da rede. Esta ampla visibilidade permite ao NDR identificar movimentos laterais e atividades de preparação de dados que, de outra forma, poderiam passar como tráfego interno legítimo.
Resposta
Ao detetar estas anomalias, o sistema NDR correlaciona as atividades suspeitas em diversas partes da rede, reconhecendo-as como parte de um ataque coordenado. O sistema aumenta automaticamente o nível de alerta e notifica o Centro de Operações de Segurança (SOC), fornecendo informações detalhadas sobre o movimento lateral suspeito e as possíveis áreas de armazenamento de dados.
Nota: a parte “resposta” no termo NDR também pode ser interpretada literalmente, bloqueando um utilizador ou endpoint da rede, o que é feito redefinindo as ligações que tenta estabelecer, por exemplo. No entanto, este é um recurso perigoso que pode sair pela culatra em caso de falsos positivos e que deve ser utilizado com cautela.
Boas práticas para implementar uma solução NDR
Para maximizar a eficácia de uma solução NDR, as organizações devem considerar as seguintes práticas:
- Visibilidade abrangente da rede
A chave para obter o melhor resultado da implementação de um NDR é ter a máxima visibilidade da rede da empresa, garantindo que a solução NDR tem acesso a todos os segmentos de rede relevantes, incluindo ambientes de cloud. Por isso, é preciso escolher o posicionamento com cuidado. - Integração com ferramentas existentes
Recomenda-se que as empresas integrem o NDR com o EDR (Endpoint Detection and Response) existente, SIEM (Security Information and Event Management) e outras ferramentas de segurança para criar um ecossistema de segurança coeso. O NDR permite também correlacionar mais informação no SIEM, desde endpoints a rede, para fornecer uma visão ainda mais completa da infraestrutura da empresa. - Atualizações e ajustes regulares
A solução NDR deve permanecer atualizada com os feeds de Threat Intelligence mais recentes, e os modelos de ML devem ser ajustados regularmente para manter uma elevada precisão de deteção. - Planeamento de resposta a incidentes
É aconselhável desenvolver e atualizar regularmente os planos de resposta a incidentes para garantir ações rápidas quando o sistema NDR deteta ameaças. - Formação e sensibilização
As empresas devem forma a equipa de segurança sobre como utilizar o sistema NDR de forma eficaz, e mantê-la informada sobre as últimas ameaças e tendências cibernéticas.
Conclusão
O NDR representa um avanço significativo na cibersegurança, respondendo às limitações dos sistemas legacy e fornecendo capacidades abrangentes de deteção e resposta a ameaças em tempo real.
Ao integrar tecnologias avançadas de ML, as plataformas NDR oferecem uma solução robusta para os desafios crescentes da segurança de rede, garantindo que as organizações podem proteger os seus ativos críticos contra uma vasta gama de ameaças cibernéticas.
No entanto, o NDR requer uma boa maturidade de segurança das organizações, para que possam obter o melhor desta ferramenta, combinando-a com outros recursos, como EDR, SIEM e manuais de resposta.