by
Equipe comunicação Solo Network
| Nov 14, 2022
Apesar de semelhantes, a NDR (Detecção e Resposta de Rede) e EDR (Detecção e Resposta de Endpoint) têm funções diferentes em relação à segurança cibernética, e, à medida que o número de incidentes cresce a cada ano, entender essas diferenças e quais as vantagens de cada ferramenta é essencial para encontrar novas maneiras mais inteligentes de combater ameaças e manter os negócios funcionamento plenamente.
Apesar dos antivírus tradicionais serem eficazes e desempenharem um papel importante na proteção contra malwares, ransomwares e outros incidentes, eles já não são mais suficientes para proteger um perímetro que cresce constantemente com a adoção de um número cada vez maior de dispositivos móveis. Para suprir essa necessidade, o NDR e o EDR são duas das mais importantes soluções de segurança disponíveis para as empresas.
Mas qual a melhor? Essa discussão entre qual é a melhor solução está se tornando comum entre especialistas. Enquanto a Detecção e Resposta de Endpoint é baseada em um agente que precisa estar instalado em todos os dispositivos monitorados, a Detecção e Resposta de Rede analisa o tráfego de rede monitorado. Ambas têm o mesmo objetivo, mas a abordagem adotada, conceitualmente e tecnicamente, é diferente.
O NDR
Uma solução de Detecção e Resposta de Rede é voltada para detectar qualquer tráfego anormal ou suspeito que passe por uma rede. A solução, então, monitora o tráfego por meio de uma análise baseada em máquina e oferece maior visibilidade em relação a ameaças conhecidas e desconhecidas, melhorando a capacidade da equipe de segurança agir quando um incidente ocorre.
O NDR não é baseado na assinatura do vetor, se baseia em técnicas de aprendizado de máquina ou outras técnicas analíticas para monitorar o tráfego de rede, criar modelos para o comportamento normal e responder rapidamente no caso de ataque.
Detectado o ataque, é enviada uma notificação para os administradores da rede tomem as medidas e ações necessárias para eliminar a ameaça. A solução pode ser baseada na nuvem, no local ou ser virtual.
Benefícios:
- Proteção contra malwares novos
- Uso da inteligência artificial (IA) para detectar brechas de segurança
- Maior agilidade para detectar ameaças
- Fornece análise forense
- Simplifica processos de resposta a incidentes
O EDR
O uso da Detecção e Resposta de Endpoint está crescendo em todo o mundo, com crescimento anual de cerca de 26% (McAfee), principalmente pelo crescimento do número de dispositivos conectados. A solução, então, coleta informações dos diversos dispositivos, monitora e analisa e responde automaticamente, e em tempo real, possíveis anomalias. Por meio de aprendizado de máquina, a solução monitora os endpoints na busca por comportamentos suspeitos e assinaturas de vetores conhecidos.
De acordo com o Gartner, a Detecção e Resposta de Endpoint usa várias técnicas de análise de dados para detectar comportamentos suspeitos, fornecer informações de contexto, bloquear possíveis ataques e fornecer sugestões de correção.
Benefícios:
- O EDR funciona como uma segunda linha de defesa
- A solução também se baseia em IA para identificar novas ameaças
- Identifica ameaças diretamente nos endpoints para evitar que se espalhem pela rede
NDR OU EDR?
Não há uma resposta fechada para isso. As duas ferramentas agregam valor à estratégia de segurança cibernética da empresa. Ambos registram e monitoram, criam análises e alertam a equipe de segurança quando atividades suspeitas são detectadas.
A diferença entre eles é que a Detecção e Resposta de Rede monitora atividades na própria ferramenta, enquanto a Detecção e Resposta de Endpoint concentra o monitoramento e prevenção diretamente nos endpoints, ou seja, nos dispositivos conectados (computadores, smartphones, servidores). Por esse motivo, o EDR pode não detectar alguns tipos de ataques mais complexos, que são monitorados pelo NDR.
As redes corporativas atuais são extremamente complexas, com diversos usuários, aplicativos, fluxos de dados e endpoints distribuídos em ambientes na nuvem e locais. Como o EDR permite visualizar apenas endpoints, diversas lacunas e desafios de segurança surgem no caminho, aumentando o risco de que ataques cibernéticos não sejam detectados à tempo de serem detidos. Dessa forma, o NDR pode ser considerado mais abrangente que o EDR, o que o torna, também mais caro e complexo para configurar.
Ainda assim, a melhor maneira de evitar esses desafios é implementar o NDR à pilha de segurança da empresa, pois:
- O NDR coleta dados de várias fontes e de diferentes redes, por isso seus algoritmos não podem ser manipulados. Enquanto o EDR pode ser desabilitado, o NDR detectará a ameaça.
- A solução NDR monitora tráfego de rede conhecidos e também identifica e monitora dispositivos e redes desconhecidas e dispositivos que não contem com EDR, como um novo smartphone.
- O NDR também detecta anomalias no comportamento de firewalls e gateways mal configurados.
- Como a coleta de dados é baseada na rede, é muito mais difícil dessas informações serem adulteradas, o que torna o NDR ideal para análise forense digital.
- A solução NDR permite maior visibilidade em relação às conexões de redes e fluxos de dados.
Para o Gartner, a eficácia de uma estratégia robusta de segurança cibernética está na integração de diferentes tipos de detecção NDR e EDR, implementando o conceito XRD (Detecção e Resposta Estendida).
Como a superfície de ataque está em constante expansão e as táticas utilizadas por hackers também evoluem e se tornam mais complexas, investir em uma plataforma XDR para alcançar uma abordagem unificada e mais eficiente para cobrir possíveis lacunas na prevenção, detecção e resposta a ameaças não detectadas pelo EDR.
Por onde começar
O EDR é uma solução mais barata que o NDR e se mostra eficaz em relação à vulnerabilidades conhecidas e para proteger endpoints. Entretanto, se houver dificuldades para sua implementação, seja pelo uso de sistemas operacionais obsoletos ou dispositivos não compatíveis, implementar uma solução NDR é o melhor caminho enquanto uma solução XDR não se mostra viável.
À medida que os negócios crescem e se tornam mais complexos, ao mesmo tempo em que as ameaças cibernéticas se tornam mais frequentes, implementar uma solução de monitoramento é essencial para proteger dados críticos e confidenciais.
A Solo Endpoint Protection é uma solução gerenciada de proteção para endpoints baseada nas ferramentas de segurança multipremiadas da Kaspersky. Entre em contato com nossos especialistas e conheça nossa solução de segurança de nível empresarial como serviço.