NDR (Network Detection and Response) es parte de las nuevas herramientas de la “familia” Detection and Response que la industria pone a disposición como respuesta a las amenazas cada vez más “creativas”, polimórficas y masivas.
Un NDR por definición es una solución que se encarga de detectar y responder amenazas a nivel de redes.
El primero obstáculo que nos encontramos al hablar de un NDR es la comparación con los Network IDS o IPS (Intrusion Detection Service o Intrusion Prevention System). La diferencia fundamental es que los IDS/IPS se basan en comparativas de hashes con firmas para para detectar o prevenir amenazas en la red. Un NDR usa técnicas de inteligencia artificial, aprendizaje automático y análisis de comportamiento para detectar amenazas en la red, así estas pueden ser de día cero o amenazas ya conocidas.
Las soluciones NDR necesitan colectores en la red o sniffers para hacer su trabajo que se colocan en lugares estratégicos de la red como la capa de agregación, core y a veces el borde.
Las ventajas de las soluciones NDR son detección precisa de las amenazas en la red, con bajo porcentaje de falsos positivos y una visibilidad completa de la red.
Sin embargo… Tengo un problema con las soluciones NDR
Ya hace algunos años pasamos de IDS a IPS por la parte de prevención. Porque no queremos que la solución nos avise, queremos que la solución lo prevenga o lo contenga. Que tome una acción.
Como revisamos en líneas anteriores un NDR tiene beneficios interesantes para cualquier infraestructura de red en la parte de detección y visibilidad. Nos falta “la R” de Response.
Los NDR se basan en recolectar tráfico de red para establecer un veredicto. Si el veredicto es que el tráfico es malicioso generará una respuesta hacia algún otro sistema para bloquear la amenaza. Este otro sistema puede ser un ITSM, SIEM, NAC, Firewall o un IPS.
He ahí la cuestión, los NDR generan una respuesta, pero una respuesta que debe ser procesada por otro sistema para bloquear la amenaza. Ahí es donde vuelvo a la comparativa ¿un NDR es más un IDS o IPS?, un NDR detecta y responde, pero el que previene (como acción) o protege es realmente cualquier otro sistema.
Para ser completamente preciso existen soluciones NDR que usan artimañas de denegación o spoofing para controlar el tráfico malicioso, que me sigue pareciendo una mala idea. En otros casos los NDR tienen integraciones a nivel de APIs con otros sistemas como NGFW, SIEM, NAC. Que si bien cumplen con la función, son integraciones que pueden ser interesantes si son del mismo fabricante ya que un solo fabricante cuida los APIs y las integraciones. Cuando estas dependen de distintos fabricantes, en casi ningún caso podrán garantizar la compatibilidad en ambos sentidos.
Para concluir
Los NDR no me parecen una mala solución per se. Me parecen un gran complemento para traer visibilidad de networking en la estrategia macro de ciberseguridad y una primera opción cuando no es posible instalar agentes en endpoints. Si no es el caso, le asigno mayor prioridad a soluciones de EDR (Endpoint Detection and Response) y XDR (Extended Detection and Response).
Abrazo!