Con la crescita delle reti distribuite, gli strumenti di sicurezza basati su firme come IDS/IPS non sono più sufficienti per garantire la sicurezza aziendale. Oltre al rilevamento basato sulla firma, i team di sicurezza hanno riconosciuto la necessità di strumenti di analisi più ampi per rilevare e contrastare le minacce a livello di sistema incentrate sulla rete stessa che non hanno una firma precedente. Le soluzioni NDR sfruttano l'analisi comportamentale avanzata, l'apprendimento automatico e l'intelligenza artificiale per fornire un ulteriore livello di protezione negli ambienti on-premise e cloud.

Le soluzioni NDR più avanzate offrono una miriade di vantaggi:

• Visibilità pervasiva delle minacce: i team di sicurezza possono vedere le minacce nella rete, dalle intrusioni agli spostamenti laterali, sia on-premise che nel cloud.
• Riduzione dei falsi positivi: le organizzazioni possono ridurre il numero di falsi positivi, in modo che i team addetti alla sicurezza possano concentrarsi sul blocco delle intrusioni reali.
• Prevenzione o blocco più rapido delle intrusioni: l'NDR utilizza l'intelligenza artificiale e l'apprendimento automatico per operare in tempo reale e rilevare e bloccare immediatamente le minacce alla velocità.
• Visualizzazione completa dell'attacco: con un blueprint di intrusione completo e una tempistica dettagliata delle minacce in tutta la rete, i team di sicurezza possono comprendere rapidamente la portata di un attacco e assegnare priorità alle risorse.

VMware NSX Network Detection and Response, leader in ambito di NDR, offre una serie perfettamente integrata di funzionalità di rilevamento e risposta della rete per la sicurezza est-ovest all'interno del data center e negli ambienti multi-cloud. La soluzione VMware NDR fornisce un ampissimo set di funzionalità di rilevamento che comprende IDS/IPS completamente distribuito, analisi del traffico di rete basata sul comportamento e sandbox di rete basata sull'emulazione del sistema completo.

L'NDR acquisisce e correla continuamente grandi volumi di traffico di rete ed eventi di sicurezza su più risorse e hop. Raccogliendo i dati dal perimetro della rete (per coprire il traffico nord-sud) e dai sensori all'interno della rete (per coprire il traffico est-ovest), le soluzioni NDR sfruttano l'intelligenza artificiale e l'apprendimento automatico per sviluppare una base di confronto dei normali flussi di traffico di rete e quindi anche la capacità di rilevare attività malevole che non seguono i normali schemi.

Gli strumenti di NDR basati sull'intelligenza artificiale apprendono e si adattano continuamente per fornire il rilevamento automatico di minacce sofisticate e in continua evoluzione.

Se viene rilevato un attacco, le soluzioni NDR possono fornire un'analisi forense end-to-end della sequenza temporale degli attacchi, dall'infiltrazione iniziale agli spostamenti laterali all'interno della rete, e possono attivare automaticamente i workflow di prevenzione e mitigazione.

Generalmente le organizzazioni decidono se preferiscono:

• Una soluzione NDR gestita, in cui un vendor di terze parti fornisce la protezione as-a-Service e un certo livello di integrazione con i prodotti di altri vendor che potrebbero essere distribuiti.
• Una soluzione NDR in-house, in cui possiedi e gestisci il sistema e lo integri con le altre tecnologie di sicurezza. Questa era una situazione tipica in passato, ma sta diventando sempre più problematica con l'espansione del panorama delle minacce.
• Una soluzione NDR automatizzata, come un'offerta SOAR, è un sistema più elaborato che va oltre l'NDR per fornire la raccolta completa dei dati da più tecnologie di sicurezza e la risposta automatizzata agli incidenti.