Apesar de semelhantes, a NDR (Detecção e Resposta de Rede) e EDR (Detecção e Resposta de Endpoint) têm funções diferentes em relação à segurança cibernética, e, à medida que o número de incidentes cresce a cada ano, entender essas diferenças e quais as vantagens de cada ferramenta é essencial para encontrar novas maneiras mais inteligentes de combater ameaças e manter os negócios funcionamento plenamente. 

Apesar dos antivírus tradicionais serem eficazes e desempenharem um papel importante na proteção contra malwares, ransomwares e outros incidentes, eles já não são mais suficientes para proteger um perímetro que cresce constantemente com a adoção de um número cada vez maior de dispositivos móveis. Para suprir essa necessidade, o NDR e o EDR são duas das mais importantes soluções de segurança disponíveis para as empresas. 

Mas qual a melhor? Essa discussão entre qual é a melhor solução está se tornando comum entre especialistas. Enquanto a Detecção e Resposta de Endpoint é baseada em um agente que precisa estar instalado em todos os dispositivos monitorados, a Detecção e Resposta de Rede analisa o tráfego de rede monitorado. Ambas têm o mesmo objetivo, mas a abordagem adotada, conceitualmente e tecnicamente, é diferente. 

O NDR

Uma solução de Detecção e Resposta de Rede é voltada para detectar qualquer tráfego anormal ou suspeito que passe por uma rede. A solução, então, monitora o tráfego por meio de uma análise baseada em máquina e oferece maior visibilidade em relação a ameaças conhecidas e desconhecidas, melhorando a capacidade da equipe de segurança agir quando um incidente ocorre. 

O NDR não é baseado na assinatura do vetor, se baseia em técnicas de aprendizado de máquina ou outras técnicas analíticas para monitorar o tráfego de rede, criar modelos para o comportamento normal e responder rapidamente no caso de ataque. 

Detectado o ataque, é enviada uma notificação para os administradores da rede tomem as medidas e ações necessárias para eliminar a ameaça. A solução pode ser baseada na nuvem, no local ou ser virtual. 

Benefícios: 

• Proteção contra malwares novos 
• Uso da inteligência artificial (IA) para detectar brechas de segurança 
• Maior agilidade para detectar ameaças 
• Fornece análise forense 
• Simplifica processos de resposta a incidentes 

O EDR

O uso da Detecção e Resposta de Endpoint está crescendo em todo o mundo, com crescimento anual de cerca de 26% (McAfee), principalmente pelo crescimento do número de dispositivos conectados. A solução, então, coleta informações dos diversos dispositivos, monitora e analisa e responde automaticamente, e em tempo real, possíveis anomalias. Por meio de aprendizado de máquina, a solução monitora os endpoints na busca por comportamentos suspeitos e assinaturas de vetores conhecidos. 

De acordo com o Gartner, a Detecção e Resposta de Endpoint usa várias técnicas de análise de dados para detectar comportamentos suspeitos, fornecer informações de contexto, bloquear possíveis ataques e fornecer sugestões de correção. 

Benefícios: 

• O EDR funciona como uma segunda linha de defesa 
• A solução também se baseia em IA para identificar novas ameaças 
• Identifica ameaças diretamente nos endpoints para evitar que se espalhem pela rede 

NDR OU EDR?

Não há uma resposta fechada para isso. As duas ferramentas agregam valor à estratégia de segurança cibernética da empresa. Ambos registram e monitoram, criam análises e alertam a equipe de segurança quando atividades suspeitas são detectadas. 

A diferença entre eles é que a Detecção e Resposta de Rede monitora atividades na própria ferramenta, enquanto a Detecção e Resposta de Endpoint concentra o monitoramento e prevenção diretamente nos endpoints, ou seja, nos dispositivos conectados (computadores, smartphones, servidores). Por esse motivo, o EDR pode não detectar alguns tipos de ataques mais complexos, que são monitorados pelo NDR. 

As redes corporativas atuais são extremamente complexas, com diversos usuários, aplicativos, fluxos de dados e endpoints distribuídos em ambientes na nuvem e locais. Como o EDR permite visualizar apenas endpoints, diversas lacunas e desafios de segurança surgem no caminho, aumentando o risco de que ataques cibernéticos não sejam detectados à tempo de serem detidos. Dessa forma, o NDR pode ser considerado mais abrangente que o EDR, o que o torna, também mais caro e complexo para configurar. 

Ainda assim, a melhor maneira de evitar esses desafios é implementar o NDR à pilha de segurança da empresa, pois: 

• O NDR coleta dados de várias fontes e de diferentes redes, por isso seus algoritmos não podem ser manipulados. Enquanto o EDR pode ser desabilitado, o NDR detectará a ameaça. 
• A solução NDR monitora tráfego de rede conhecidos e também identifica e monitora dispositivos e redes desconhecidas e dispositivos que não contem com EDR, como um novo smartphone. 
• O NDR também detecta anomalias no comportamento de firewalls e gateways mal configurados. 
• Como a coleta de dados é baseada na rede, é muito mais difícil dessas informações serem adulteradas, o que torna o NDR ideal para análise forense digital. 
• A solução NDR permite maior visibilidade em relação às conexões de redes e fluxos de dados. 

Para o Gartner, a eficácia de uma estratégia robusta de segurança cibernética está na integração de diferentes tipos de detecção NDR e EDR, implementando o conceito XRD (Detecção e Resposta Estendida). 

Como a superfície de ataque está em constante expansão e as táticas utilizadas por hackers também evoluem e se tornam mais complexas, investir em uma plataforma XDR para alcançar uma abordagem unificada e mais eficiente para cobrir possíveis lacunas na prevenção, detecção e resposta a ameaças não detectadas pelo EDR. 

Por onde começar

O EDR é uma solução mais barata que o NDR e se mostra eficaz em relação à vulnerabilidades conhecidas e para proteger endpoints. Entretanto, se houver dificuldades para sua implementação, seja pelo uso de sistemas operacionais obsoletos ou dispositivos não compatíveis, implementar uma solução NDR é o melhor caminho enquanto uma solução XDR não se mostra viável. 

À medida que os negócios crescem e se tornam mais complexos, ao mesmo tempo em que as ameaças cibernéticas se tornam mais frequentes, implementar uma solução de monitoramento é essencial para proteger dados críticos e confidenciais. 

A Solo Endpoint Protection é uma solução gerenciada de proteção para endpoints baseada nas ferramentas de segurança multipremiadas da Kaspersky. Entre em contato com nossos especialistas e conheça nossa solução de segurança de nível empresarial como serviço.