NDR (Network Detection and Response): la guida completa

NDR è l'acronimo di "Network Detection and Response" (rilevamento e risposta di rete). Si tratta di una tecnologia di sicurezza informatica che monitora costantemente il traffico di rete utilizzando l'intelligenza artificiale e l'analisi comportamentale per individuare le minacce in tempo reale. A differenza degli strumenti di sicurezza tradizionali, che si basano su firme note o dati di log, l'NDR analizza le comunicazioni di rete effettive, sia il traffico nord-sud che attraversa il perimetro, sia il traffico est-ovest che si muove lateralmente tra i sistemi interni.

L'NDR rileva minacce quali il movimento laterale, le comunicazioni di comando e controllo, l'esfiltrazione di dati, l'uso improprio delle credenziali e le anomalie nel traffico crittografato. Offre funzionalità di risposta automatizzata quali l'isolamento dell'host, la chiusura della sessione e l'integrazione con piattaforme SOAR per una risposta coordinata agli incidenti. Questa categoria è stata formalmente definita da Gartner nel 2020 e convalidata con il primo Magic Quadrant dedicato all'NDR nel 2025.

Le organizzazioni implementano soluzioni NDR per colmare il divario di visibilità tra il rilevamento endpoint(EDR) e quello basato sui log (SIEM), in particolare per i dispositivi non gestiti, i sistemi IoT/OT e cloud che non possono eseguire endpoint .

Le soluzioni NDR ed EDR monitorano fonti di dati fondamentalmente diverse ed eccellono in scenari di rilevamento diversi. L'NDR monitora il traffico di rete nell'intera infrastruttura, fornendo visibilità sulle comunicazioni tra tutti i dispositivi — gestiti, non gestiti e IoT/OT. Viene implementato senza agenti utilizzando TAP di rete, porte SPAN e registri cloud , senza richiedere l'installazione di software sui dispositivi monitorati.

EDR monitora i singoli endpoint installando agenti leggeri su ciascun dispositivo. Offre una visibilità approfondita sull'esecuzione dei processi, sulle modifiche ai file, sull'attività della memoria e sulle modifiche al Registro di sistema su ciascun host.

L'NDR eccelle nel rilevare i movimenti laterali, le minacce legate al traffico crittografato e gli attacchi contro i dispositivi non gestiti. L'EDR eccelle nel rilevare malware , gli attacchi senza file e le minacce a livello di processo sui sistemi gestiti. L'NDR fornisce il contesto a livello di rete che manca all'EDR, mentre l'EDR fornisce i dettagli endpoint che l'NDR non è in grado di rilevare. La maggior parte delle architetture di sicurezza richiede entrambe le tecnologie come pilastri complementari della triade di visibilità del SOC.

Sebbene entrambi contribuiscano al rilevamento delle minacce, NDR e SIEM svolgono funzioni principali diverse. L'NDR analizza il traffico di rete in tempo reale utilizzando l'analisi comportamentale e l'apprendimento automatico, individuando le anomalie nelle comunicazioni di rete effettive. Il SIEM raccoglie, mette in correlazione e analizza i dati di log provenienti da tutta l'organizzazione utilizzando un sistema di rilevamento basato su regole.

La differenza fondamentale sta nella dipendenza dai dati. Il SIEM si basa sui dispositivi e sulle applicazioni che generano e inoltrano i log. Se un dispositivo non produce log, se questi sono incompleti o configurati in modo errato, oppure se un aggressore manomette i meccanismi di registrazione, il SIEM perde la visibilità. L'NDR monitora il traffico di rete stesso, che gli aggressori non possono facilmente sopprimere: ogni comunicazione di rete crea modelli di traffico osservabili.

L'NDR offre una visibilità unica sulla rete in direzione est-ovest, che manca alla maggior parte delle implementazioni SIEM. Il SIEM garantisce una copertura organizzativa più ampia grazie all'aggregazione dei log ed è la piattaforma principale per la reportistica di conformità, le tracce di audit e la conservazione dei log. Le organizzazioni traggono il massimo vantaggio dall'integrazione di entrambe le soluzioni: i rilevamenti NDR arricchiscono le correlazioni SIEM con prove provenienti dalla rete.

NDR si concentra specificamente sul rilevamento e sulla risposta a livello di rete, fornendo una visibilità approfondita sui modelli di traffico di rete, sulle anomalie comportamentali e sui flussi di comunicazione. XDR estende le capacità di rilevamento e risposta a diversi ambiti di sicurezza — endpoint, rete, cloud, posta elettronica e identità — correlando i dati telemetrici provenienti da varie fonti per creare una visione unificata degli incidenti.

L'NDR può funzionare come tecnologia di sicurezza autonoma o come componente di rete all'interno di una piattaforma XDR più ampia. Molte soluzioni XDR includono funzionalità NDR, ma potrebbero non raggiungere la stessa profondità delle soluzioni NDR dedicate per quanto riguarda l'analisi del traffico di rete e il rilevamento comportamentale.

Il confine tra NDR e XDR sta diventando sempre più labile. Alcuni fornitori ampliano le loro piattaforme NDR per includere cloud endpoint cloud , orientandosi di fatto verso l'XDR. Altri partono dall'XDR e approfondiscono le loro capacità di analisi della rete. Le organizzazioni dovrebbero valutare se hanno bisogno della visibilità approfondita della rete offerta dall'NDR autonomo, della correlazione tra domini dell'XDR o di entrambe integrate in una piattaforma unificata.

Sì. Le moderne soluzioni NDR analizzano il traffico crittografato senza decrittografarlo, il che è fondamentale dato che oggi l'87% o più delle minacce sfrutta canali crittografati. L'NDR esamina diversi attributi delle comunicazioni crittografate per individuare eventuali anomalie.

L'analisi dei metadati esamina gli attributi di connessione quali indirizzi di origine e destinazione, porte, protocolli, dettagli dei certificati, durata delle sessioni e volumi di dati. Il fingerprinting JA3 e JA4 identifica le applicazioni client e server in base ai parametri dell'handshake TLS, rivelando malware presenta impronte digitali distintive diverse da quelle del software legittimo. L'analisi dei certificati verifica la presenza di certificati autofirmati, certificati scaduti e attributi insoliti associati a infrastrutture dannose.

L'analisi dei tempi e dell'entropia rileva i modelli di beaconing — ovvero le richieste periodiche inviate ai server di comando e controllo — e i flussi di dati anomali sulla base degli intervalli di tempo e dell'entropia del payload. Questi modelli comportamentali rivelano le minacce anche quando il contenuto effettivo del payload è crittografato, rendendo l'NDR essenziale per gli ambienti in cui la maggior parte del traffico utilizza TLS o altri protocolli di crittografia.

La "triade della visibilità SOC" è un concetto introdotto da Gartner nel 2019 nella nota di ricerca intitolata "Applying Network-Centric Approaches for Threat Detection and Response" (Applicazione di approcci incentrati sulla rete per il rilevamento e la risposta alle minacce). Descrive tre tecnologie complementari che, insieme, garantiscono una visibilità completa delle minacce ai centri operativi di sicurezza.

I tre pilastri sono il SIEM per l'analisi basata sui log, l'EDR per endpoint e la risposta endpoint e l'NDR per il rilevamento e la risposta sulla rete. Ciascuna tecnologia monitora una fonte di dati diversa e copre una porzione diversa della superficie di attacco. Il SIEM analizza i log provenienti da applicazioni, sistemi e infrastrutture. L'EDR monitora endpoint , inclusi processi, file e memoria. L'NDR monitora i modelli di traffico di rete e le comunicazioni.

Il concetto della triade riconosce che nessun singolo strumento è in grado di fornire una visibilità completa sull'intero ambiente di un'organizzazione. Gli autori degli attacchi sfruttano le lacune esistenti tra i vari strumenti. L'NDR colma la lacuna critica nella visibilità della rete, rilevando le minacce nel traffico est-ovest, nelle comunicazioni crittografate e nelle attività che coinvolgono dispositivi non gestiti, che né il SIEM né l'EDR sono in grado di monitorare. Le organizzazioni che implementano tutti e tre i pilastri ottengono una copertura di rilevamento significativamente migliore rispetto a quelle che si affidano a una o due sole tecnologie.

NDR supporta direttamente zero trust fornendo una verifica continua del comportamento della rete, anziché fidarsi implicitamente di qualsiasi traffico. In un zero trust , nessun utente, dispositivo o segmento di rete è considerato intrinsecamente affidabile e tutte le comunicazioni devono essere continuamente convalidate.

L'NDR contribuisce all zero trust diversi modi. Monitora tutto il traffico di rete interno — non solo quello perimetrale — rilevando comportamenti anomali anche da parte di utenti autenticati e segmenti di rete considerati affidabili. Identifica gli scostamenti rispetto ai modelli comportamentali di riferimento stabiliti che potrebbero indicare credenziali compromesse o minacce interne. Fornisce visibilità sulle comunicazioni est-ovest tra i microsegmenti, verificando che le politiche di segmentazione siano applicate e rilevando movimenti non autorizzati tra i segmenti.

L'NDR monitora anche i dispositivi non gestiti e quelli IoT/OT che potrebbero non essere soggetti ai zero trust basati sull'identità, assicurando che il comportamento di rete di tali dispositivi sia in linea con i modelli previsti. Con oltre il 67% delle organizzazioni che implementano zero trust , la verifica comportamentale continua offerta dall'NDR rappresenta una componente sempre più essenziale dell'infrastruttura di sicurezza.

L'NDR in linea e l'NDR fuori banda rappresentano due diverse architetture di implementazione con vantaggi e svantaggi distinti. L'NDR in linea si colloca direttamente nel percorso di rete, ispezionando il traffico mentre transita attraverso il sensore. Questa posizione consente il blocco in tempo reale del traffico dannoso, ma introduce latenza e crea un potenziale punto singolo di errore in caso di malfunzionamento del sensore.

L'NDR fuori banda monitora le copie del traffico di rete fornite dai TAP di rete o dalle porte SPAN. Analizza questo traffico replicato senza intervenire sul percorso dei dati. Questo approccio elimina la latenza e il rischio di guasti, ma non è in grado di bloccare direttamente il traffico dannoso: per attuare misure di contenimento, deve integrarsi con firewall, switch o soluzioni EDR.

La maggior parte delle implementazioni NDR aziendali utilizza architetture fuori banda, poiché garantiscono un monitoraggio completo senza il rischio di interrompere il funzionamento della rete. Le implementazioni in linea sono più comuni in ambienti con specifici requisiti di blocco in tempo reale, come le infrastrutture critiche o gli ambienti che gestiscono dati altamente sensibili, dove il blocco automatico immediato giustifica il compromesso operativo. Molte organizzazioni adottano un approccio ibrido: fuori banda per un monitoraggio esteso, con sensori in linea nei punti critici.

No. Il monitoraggio tradizionale della rete e l'NDR hanno finalità diverse. Il monitoraggio della rete si concentra sulla disponibilità e sulle prestazioni, monitorando l'utilizzo della larghezza di banda, il tempo di attività, la latenza e la perdita di pacchetti per garantire che la rete funzioni in modo affidabile. Strumenti come i monitor SNMP e i sistemi di gestione delle prestazioni di rete rientrano in questa categoria.

L'NDR va ben oltre, applicando analisi comportamentali basate sull'intelligenza artificiale specificamente per il rilevamento delle minacce. L'NDR definisce modelli di riferimento comportamentali dell'attività di rete normale, rileva le anomalie che indicano minacce alla sicurezza, mette in correlazione segnali multipli per individuare incidenti di sicurezza da classificare in base alla priorità e fornisce funzionalità di risposta automatizzate o guidate per contenere le minacce.

Sebbene entrambe le tecnologie monitorino il traffico di rete, i loro obiettivi differiscono in modo sostanziale. Il monitoraggio di rete si chiede: «La rete funziona correttamente?», mentre l’NDR si chiede: «C’è qualcuno che sta attaccando la rete?». Le fonti dei dati possono sovrapporsi, ma i modelli analitici, gli obiettivi di rilevamento e le capacità di risposta sono completamente diversi. L’NDR integra il monitoraggio di rete e molte organizzazioni utilizzano entrambe le soluzioni: il monitoraggio di rete per la visibilità operativa e l’NDR per la visibilità sulla sicurezza.

L'intelligenza artificiale è la tecnologia fondamentale che rende possibile l'NDR moderno. Senza l'intelligenza artificiale e l'apprendimento automatico, l'NDR tornerebbe al rilevamento basato sulle firme: l'approccio che ha caratterizzato l'era degli IDS/IPS e che si è rivelato insufficiente contro le minacce moderne.

I modelli di apprendimento automatico sono alla base della definizione dei valori di riferimento comportamentali, la funzione principale dell'NDR. Questi modelli osservano nel tempo i modelli di rete normali per ogni dispositivo, utente e sottorete, apprendendo quali sono i comportamenti tipici. Quando il traffico in tempo reale si discosta da questi valori di riferimento, i modelli segnalano le anomalie affinché vengano esaminate. Questo approccio rileva minacce inedite per le quali non esistono ancora firme.

I modelli di deep learning gestiscono compiti complessi di riconoscimento di schemi, quali l'identificazione delle comunicazioni di comando e controllo all'interno del traffico crittografato, l'individuazione di esfiltrazioni di dati graduali distribuite su numerose sessioni di piccole dimensioni e il riconoscimento di schemi di attacco in più fasi che si protraggono per ore o giorni. L'analisi statistica integra i modelli di machine learning per l'individuazione di valori anomali nel traffico ad alto volume.

L'ultima generazione di NDR introduce l'IA agentica, ovvero agenti di intelligenza artificiale autonomi che analizzano gli avvisi, ricompongono i segnali comportamentali in un quadro completo degli attacchi e classificano gli incidenti in base al rischio aziendale. Ciò riduce il carico di lavoro degli analisti del SOC e consente una risposta più rapida alle minacce reali, filtrando al contempo i falsi positivi.