Gartner ha recentemente pubblicato "Ridefinire il rilevamento e la risposta di rete come piattaforma operativa di sicurezza fondamentale" (è richiesto un abbonamento). Si tratta di un lavoro molto valido, che riflette un cambiamento che molti team di sicurezza hanno già attuato, consapevolmente o meno. In sostanza, il documento riconosce una semplice verità: il rilevamento da solo non basta a garantire la resilienza. Ciò che conta è la comprensione. È qui che la prospettiva Vectra AIe quella di Gartner coincidono in modo significativo.
Vectra AI : dimostrare la resilienza agli attacchi è il risultato desiderato dal SOC
La resilienza inizia con le risposte alle domande giuste. Quando i clienti ci parlano di resilienza, non descrivono prodotti o categorie. Descrivono la consapevolezza: la consapevolezza di capire quando qualcosa non va nel momento stesso in cui qualcosa non va. La resilienza, dal nostro punto di vista, è la consapevolezza dei difensori in ogni momento:
- Chi e cosa c'è nella rete?
- Come si comportano tali entità?
- Quali comportamenti sono rischiosi e perché?
- Quanto è grave il rischio e perché?
- Chi o cos'altro è coinvolto?
- Quali azioni intraprendere, come, quando e dove?
- L'esposizione agli attacchi è stata ridotta?
- La situazione della sicurezza sta migliorando?
- E l'organizzazione rimane conforme?
Non si tratta di una lista di controllo, bensì di un modello mentale. Ed è proprio attraverso questa lente che il ruolo dell'NDR diventa chiaro. Il documento di Gartner rafforza questa idea spostando l'attenzione dagli avvisi isolati al contesto, alla correlazione e alla rilevanza operativa.
Il punto di vista di Gartner: NDR è una piattaforma SOC fondamentale
Gartner afferma chiaramente che l'NDR tradizionale, incentrato esclusivamente sulle anomalie di rete, non è più adeguato agli ambienti moderni né agli attacchi moderni.
Le reti ibride, l'accesso basato sull'identità, i carichi di lavoro cloud e gli aggressori assistiti dall'intelligenza artificiale hanno cambiato le carte in tavola. I team di sicurezza non si chiedono più: "È successo qualcosa di anomalo?". Si chiedono piuttosto: "Cosa significa, quanto è grave e cosa devo fare adesso?".
Posizionando l'NDR come piattaforma operativa di sicurezza fondamentale, Gartner riconosce che il valore dell'NDR risiede nella sua capacità di aiutare i team a rispondere rapidamente e con sicurezza a domande fondamentali, non solo a generare avvisi. Si tratta di una distinzione importante.
Dove Vectra AI la stessa evoluzione
Vectra AIritiene che l'NDR si guadagni un posto nelle operazioni di sicurezza fungendo da fonte di comprensione, non solo da fonte di segnali. Crediamo che l'NDR agisca come un motore decisionale per i rischi informatici, traducendo continuamente i segnali generati dall'intelligenza artificiale in indicazioni chiare su come, quando e dove i difensori dovrebbero agire, contenere gli attacchi attivi e ridurre l'esposizione agli attacchi. Ciò fornisce ai leader le prove necessarie per dimostrare la conformità, la resilienza, l'efficienza operativa e l'efficacia.
Quando NDR funziona come dovrebbe, aiuta i team a:
- Identifica le entità reali dietro l'attività, non solo gli indirizzi IP o le sessioni
- Comprendere il comportamento nel tempo, in tutti i domini
- Distinguere i comportamenti rischiosi dai rumori innocui
- Guarda come si sviluppano gli attacchi e chi o cosa è in pericolo
- Decidere le azioni da intraprendere con chiarezza e sicurezza
L'enfasi posta da Gartner sulla visibilità unificata, il contesto dell'identità, l'analisi basata sull'intelligenza artificiale e la progressione degli attacchi è perfettamente in linea con questa visione. Linguaggio diverso, stessa destinazione.
Una panoramica di alto livello: Gartner vs Vectra AI
Ad alto livello, la direzione di Gartner e la prospettiva Vectra AIconvergono verso un risultato condiviso: decisioni migliori, più rapide e con meno incertezze.
Non si tratta di parità di funzionalità. Si tratta piuttosto delle domande a cui NDR dovrebbe rispondere nelle operazioni reali.
Dove poniamo un'enfasi leggermente diversa
Gartner spinge giustamente il mercato verso funzionalità predittive e preventive, tra cui il punteggio predittivo, i concetti di prossimità all'impatto e l'inganno. Vectra AI con questa direzione, ma pone leggermente più enfasi sulla sequenza e sulla fiducia.
In base alla nostra esperienza, l'azione preventiva funziona solo quando i team hanno fiducia nella comprensione di fondo:
- Chi è coinvolto
- Cosa stanno facendo
- Perché è importante
- E cosa ridurrà il rischio
La previsione e l'automazione sono potenti quando si basano su un contesto di attacco accurato e in tempo reale. Non si tratta tanto di un disaccordo quanto piuttosto di una differenza di enfasi: Gartner descrive dove deve arrivare l'NDR, mentre Vectra AI su ciò che deve essere vero dal punto di vista operativo per arrivarci.
Il quadro generale
Il contributo più importante di "Ridefinire il rilevamento e la risposta di rete come piattaforma operativa di sicurezza fondamentale" non è una raccomandazione specifica. È il riconoscimento che il compito dell'NDR è cambiato. L'NDR non riguarda più solo la telemetria di rete o il rilevamento di anomalie sulla rete. Si tratta di aiutare i team di sicurezza a comprendere il proprio ambiente, valutare i rischi nel contesto e intraprendere azioni che migliorino in modo misurabile la resilienza. È una direzione che condividiamo pienamente e che riteniamo rifletta ciò che i team SOC desiderano e di cui hanno bisogno. La comprensione porta ad azioni sicure e competenti. E sono proprio le azioni sicure e competenti a costruire e dimostrare la resilienza.