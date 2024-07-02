Diperbarui: 8 Juli 2024
Kontributor: Annie Badman, Matthew Kosinski
Deteksi dan respons jaringan (NDR) adalah salah satu kategori teknologi keamanan siber yang menggunakan metode berbasis non-tanda tangan seperti kecerdasan buatan, machine learning, dan analisis perilaku untuk mendeteksi aktivitas mencurigakan atau berbahaya di jaringan dan merespons ancaman siber.
NDR telah berevolusi dari analisis lalu lintas jaringan (NTA), yaitu teknologi yang awalnya dikembangkan untuk mengekstrak model lalu lintas jaringan dari data lalu lintas jaringan mentah. Karena solusi NTA menambahkan analisis perilaku dan kemampuan respons ancaman, analis industri di Gartner mengubah nama kategori tersebut menjadi 'deteksi dan respons jaringan' pada tahun 2020.
Jaringan adalah dasar dari dunia yang terhubung saat ini dan target utama bagi para pelaku ancaman.
Secara tradisional, organisasi mengandalkan alat deteksi ancaman seperti perangkat lunak antivirus, sistem deteksi intrusi (IDS), dan firewall untuk memastikan keamanan jaringan.
Banyak dari alat ini menggunakan pendekatan berbasis tanda tangan untuk mendeteksi, mengidentifikasi ancaman dengan mencocokkan indikator penyusupan (IOC) ke database tanda tangan ancaman siber.
Tanda tangan dapat berupa karakteristik apa pun yang terkait dengan serangan siber yang diketahui , seperti baris kode dari jenis malware tertentu atau baris subjek email phishing tertentu. Alat berbasis tanda tangan memantau jaringan untuk mencari tanda tangan yang ditemukan sebelumnya dan memberikan peringatan ketika menemukannya.
Meskipun efektif dalam memblokir ancaman siber yang sudah diketahui, alat berbasis tanda tangan sulit mendeteksi ancaman baru, tidak dikenal, atau yang baru muncul. Mereka juga kesulitan untuk mendeteksi ancaman yang tidak memiliki tanda tangan unik atau menyerupai perilaku yang sah, seperti:
Geng ransomware dan ancaman persisten canggih lainnya dapat mengeksploitasi celah dalam visibilitas ini untuk menyusup ke jaringan, melakukan pengawasan, meningkatkan hak istimewa dan meluncurkan serangan pada saat-saat yang tepat.
NDR dapat membantu organisasi mengisi kesenjangan yang ditinggalkan oleh solusi berbasis tanda tangan dan mengamankan jaringan modern dan makin kompleks.
Dengan menggunakan analisis canggih, machine learning, dan analisis perilaku, NDR dapat mendeteksi potensi ancaman bahkan tanpa tanda tangan yang diketahui. Dengan cara ini, NDR menyediakan lapisan keamanan real-time, membantu organisasi menangkap kerentanan dan serangan yang mungkin terlewatkan oleh perangkat keamanan lain.
Solusi deteksi dan respons jaringan mengambil pendekatan proaktif dan responsif secara dinamis untuk mengelola ancaman jaringan. Alat NDR terus memantau dan menganalisis aktivitas jaringan dan pola lalu lintas secara real time untuk mengidentifikasi aktivitas mencurigakan yang mungkin mengindikasikan adanya ancaman siber.
Deteksi ancaman dengan solusi NDR biasanya melibatkan lima langkah berikut:
Solusi NDR menyerap data lalu lintas jaringan mentah dan metadata melalui telemetri, yang merupakan praktik penggunaan otomatisasi untuk mengumpulkan dan mengirimkan data dari sumber jarak jauh.
Alat NDR sering kali mengumpulkan data dari titik akhir, infrastruktur jaringan, firewall, dan sumber lain untuk mendapatkan gambaran menyeluruh tentang jaringan. Data yang dikumpulkan dapat mencakup data paket jaringan, data aliran, dan data log.
Alat NDR menggunakan analitik perilaku, AI, dan machine learning untuk mengevaluasi data dan menetapkan model dasar perilaku dan aktivitas jaringan normal.
Setelah menetapkan garis dasar, sistem terus memantau lalu lintas jaringan secara real time. NDR membandingkan aktivitas jaringan saat ini dengan garis dasar tersebut untuk mendeteksi penyimpangan yang mungkin menandakan eksfiltrasi data dan potensi ancaman lainnya.
Penyimpangan tersebut dapat berupa upaya akses yang tidak sah, transfer data yang tidak biasa, pola login yang tidak wajar (seperti mengakses data di luar jam kerja), atau komunikasi dengan server web yang tidak dikenal.
Setelah mendeteksi aktivitas yang mencurigakan, solusi NDR memperingatkan tim keamanan untuk bertindak. Beberapa alat NDR juga dapat mengambil tindakan otomatis untuk mengurangi ancaman. Respons otomatis ini dapat mencakup pemblokiran alamat IP yang berbahaya, mengisolasi perangkat yang disusupi, atau membatasi lalu lintas yang mencurigakan untuk mencegah kerusakan lebih lanjut.
Sistem NDR terus menyesuaikan model aktivitas jaringan mereka dengan memasukkan umpan balik dari ancaman dan respons yang terdeteksi. Mereka juga mengintegrasikan masukan dari analis keamanan dan umpan intelijen ancaman. Penyempurnaan berkelanjutan ini meningkatkan akurasi dan efektivitas alat NDR dalam mendeteksi dan merespons ancaman baru dan berkembang.
Solusi NDR menawarkan serangkaian kemampuan yang dapat memberikan keunggulan dibandingkan alat pendeteksi ancaman berbasis tanda tangan tradisional. Kemampuan tersebut meliputi:
Solusi NDR menyediakan pemantauan dan analisis real-time, yang memungkinkan identifikasi dan respons yang lebih cepat terhadap potensi ancaman. Beberapa alat NDR juga dapat memprioritaskan dan memberikan peringatan ke tim keamanan atau pusat operasi keamanan (SoC) berdasarkan tingkat keparahan ancaman potensial.
NDR dapat menawarkan visibilitas ke semua aktivitas jaringan on premises dan di lingkungan hybrid cloud . Visibilitas komprehensif ini dapat membantu organisasi mencegat lebih banyak insiden keamanan.
Karena solusi NDR memantau lalu lintas jaringan utara-selatan (keluar dan masuk) dan timur-barat (internal), mereka dapat mendeteksi intrusi pada perimeter jaringan dan gerakan lateral dalam jaringan. Kemampuan untuk menemukan anomali di dalam jaringan dapat membantu NDR menangkap ancaman lanjutan yang sedang menunggu. Beberapa alat NDR juga dapat mendeteksi ancaman yang bersembunyi di lalu lintas terenkripsi .
NDR memanfaatkan AI dan algoritma machine learning canggih untuk menganalisis data jaringan, mengidentifikasi pola, dan menemukan potensi ancaman, termasuk ancaman yang sebelumnya tidak diketahui yang sering dilewatkan oleh alat tradisional.
Beberapa solusi NDR memiliki kemampuan respons otomatis—seperti memutus koneksi jaringan yang mencurigakan—yang dapat menghentikan serangan saat serangan terjadi. Alat NDR juga dapat diintegrasikan dengan alat keamanan lainnya untuk mengeksekusi rencana respons insiden yang lebih kompleks. Misalnya, setelah mendeteksi ancaman, NDR mungkin meminta platform orkestrasi keamanan, otomatisasi dan respons (SOAR) untuk menjalankan pedoman respons yang telah ditentukan sebelumnya.
Banyak alat NDR yang dapat diintegrasikan dengan umpan intelijen ancaman dan basis data seperti kerangka kerja MITRE ATT&CK. Integrasi ini dapat meningkatkan model perilaku dan meningkatkan akurasi deteksi ancaman. Akibatnya, alat NDR bisa kurang rentan terhadap positif palsu.
Solusi NDR menyediakan data dan fungsionalitas kontekstual yang dapat digunakan tim keamanan untuk kegiatan perburuan ancaman yang secara proaktif mencari ancaman yang sebelumnya tidak terdeteksi.
Terlepas dari manfaatnya, solusi NDR bukannya tanpa keterbatasan. Beberapa kelemahan umum alat NDR saat ini dapat mencakup:
Alat NDR dapat memerlukan investasi yang signifikan dalam perangkat keras, perangkat lunak, dan personel keamanan siber. Misalnya, pengaturan awal dapat melibatkan penerapan sensor di seluruh segmen jaringan dan berinvestasi dalam penyimpanan data berkapasitas tinggi untuk volume besar data lalu lintas jaringan.
Menskalakan solusi NDR untuk mengembangkan jaringan dapat menjadi tantangan. Peningkatan arus data dapat membebani sumber daya dan menimbulkan kemacetan, sehingga solusi deteksi dan respons ancaman menjadi kurang efektif di perusahaan besar.
Alat NDR dapat menghasilkan banyak positif palsu dan membanjiri tim keamanan dengan kelelahan peringatan. Bahkan penyimpangan sekecil apa pun dari pola normal mungkin ditandai sebagai mencurigakan, yang menyebabkan waktu terbuang dan berpotensi kehilangan ancaman nyata.
Pemantauan lalu lintas jaringan secara terus-menerus, termasuk komunikasi terenkripsi, dapat meningkatkan masalah privasi. Kegagalan untuk mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR) dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dapat menyebabkan denda dan penalti yang tinggi.
Jaringan perusahaan saat ini terdesentralisasi dan ekspansif, menghubungkan pusat data, perangkat keras, perangkat lunak, perangkat IoT, dan beban kerja baik on premises maupun di lingkungan cloud.
Organisasi dan pusat operasi keamanan (SoC) mereka membutuhkan seperangkat alat yang tangguh untuk mendapatkan visibilitas lengkap ke dalam jaringan kompleks ini. Mereka makin mengandalkan kombinasi NDR dengan solusi keamanan lainnya.
Misalnya, NDR adalah salah satu dari tiga pilar triad visibilitas SOC Gartner, bersama dengan deteksi dan respons titik akhir (EDR) dan informasi keamanan dan manajemen peristiwa (SIEM) .
Baru-baru ini, SoC juga telah mengadopsi solusi deteksi dan respons yang diperluas (XDR). XDR mengintegrasikan alat keamanan siber di seluruh infrastruktur TI hybrid organisasi, termasuk titik akhir, jaringan, dan beban kerja cloud. Banyak penyedia XDR yang menyertakan kemampuan NDR, sementara solusi XDR terbuka dapat memanfaatkan kemampuan NDR organisasi yang sudah ada, sesuai dengan alur kerja keamanan yang ada.
