Apa itu deteksi dan respons jaringan (NDR)?

NDR berevolusi dari analisis lalu lintas jaringan (NTA), sebuah teknologi yang awalnya dikembangkan untuk mengekstrak model lalu lintas jaringan dari data lalu lintas jaringan mentah. Karena solusi NTA menambahkan analisis perilaku dan kemampuan respons ancaman, analis industri di Gartner mengubah nama kategori tersebut menjadi 'deteksi dan respons jaringan' pada tahun 2020.

Jaringan adalah dasar dari dunia yang terhubung saat ini dan target utama bagi para pelaku ancaman.

Secara tradisional, organisasi mengandalkan alat deteksi ancaman seperti perangkat lunak antivirus, sistem deteksi intrusi (IDS), dan firewall untuk memastikan keamanan jaringan.

Banyak dari alat ini menggunakan pendekatan berbasis tanda tangan untuk mendeteksi, mengidentifikasi ancaman dengan mencocokkan indikator penyusupan (IOC) ke database tanda tangan ancaman siber.

Tanda tangan dapat berupa karakteristik apa pun yang terkait dengan serangan siber yang diketahui , seperti baris kode dari jenis malware tertentu atau baris subjek email phishing tertentu. Alat berbasis tanda tangan memantau jaringan untuk mencari tanda tangan yang ditemukan sebelumnya dan memberikan peringatan ketika menemukannya.

Meskipun efektif dalam memblokir ancaman siber yang sudah diketahui, alat berbasis tanda tangan sulit mendeteksi ancaman baru, tidak dikenal, atau yang baru muncul. Mereka juga kesulitan untuk mendeteksi ancaman yang tidak memiliki tanda tangan unik atau menyerupai perilaku yang sah, seperti:

• Penyerang siber menggunakan kredensial curian untuk mengakses jaringan
  
  
• Serangan penyusupan email bisnis (BEC), yaitu ketika peretas meniru atau membajak akun email eksekutif
  
  
• Karyawan secara tidak sengaja terlibat dalam perilaku berisiko, seperti menyimpan data perusahaan ke drive USB pribadi atau mengeklik tautan email berbahaya

Geng ransomware dan ancaman persisten canggih lainnya dapat mengeksploitasi celah dalam visibilitas ini untuk menyusup ke jaringan, melakukan pengawasan, meningkatkan hak istimewa dan meluncurkan serangan pada saat-saat yang tepat.

NDR dapat membantu organisasi mengisi kesenjangan yang ditinggalkan oleh solusi berbasis tanda tangan dan mengamankan jaringan modern dan makin kompleks.

Dengan menggunakan analisis canggih, machine learning, dan analisis perilaku, NDR dapat mendeteksi potensi ancaman bahkan tanpa tanda tangan yang diketahui. Dengan cara ini, NDR menyediakan lapisan keamanan real-time, membantu organisasi menangkap kerentanan dan serangan yang mungkin terlewatkan oleh perangkat keamanan lain.

Solusi deteksi dan respons jaringan mengambil pendekatan proaktif dan responsif secara dinamis untuk mengelola ancaman jaringan. Alat NDR terus memantau dan menganalisis aktivitas jaringan dan pola lalu lintas secara real time untuk mengidentifikasi aktivitas mencurigakan yang mungkin mengindikasikan adanya ancaman siber.

Deteksi ancaman dengan solusi NDR biasanya melibatkan lima langkah berikut:

1. Mengumpulkan data
2. Menetapkan dasar perilaku jaringan
3. Memantau aktivitas berbahaya
4. Menanggapi insiden
5. Menyempurnakan dari waktu ke waktu

Solusi NDR menawarkan serangkaian kemampuan yang dapat memberikan keunggulan dibandingkan alat pendeteksi ancaman berbasis tanda tangan tradisional. Kemampuan tersebut meliputi: 

Solusi NDR menyediakan pemantauan dan analisis real-time, yang memungkinkan identifikasi dan respons yang lebih cepat terhadap potensi ancaman. Beberapa alat NDR juga dapat memprioritaskan dan memberikan peringatan ke tim keamanan atau pusat operasi keamanan (SoC) berdasarkan tingkat keparahan ancaman potensial.

NDR dapat menawarkan visibilitas ke semua aktivitas jaringan on premises dan di lingkungan hybrid cloud . Visibilitas komprehensif ini dapat membantu organisasi mencegat lebih banyak insiden keamanan.

Karena solusi NDR memantau lalu lintas jaringan utara-selatan (keluar dan masuk) dan timur-barat (internal), mereka dapat mendeteksi intrusi pada perimeter jaringan dan gerakan lateral dalam jaringan. Kemampuan untuk menemukan anomali di dalam jaringan dapat membantu NDR menangkap ancaman lanjutan yang sedang menunggu. Beberapa alat NDR juga dapat mendeteksi ancaman yang bersembunyi di lalu lintas terenkripsi .

NDR memanfaatkan AI dan algoritma machine learning canggih untuk menganalisis data jaringan, mengidentifikasi pola, dan menemukan potensi ancaman, termasuk ancaman yang sebelumnya tidak diketahui yang sering dilewatkan oleh alat tradisional.

Beberapa solusi NDR memiliki kemampuan respons otomatis—seperti memutus koneksi jaringan yang mencurigakan—yang dapat menghentikan serangan saat serangan terjadi. Alat NDR juga dapat diintegrasikan dengan alat keamanan lainnya untuk mengeksekusi rencana respons insiden yang lebih kompleks. Misalnya, setelah mendeteksi ancaman, NDR mungkin meminta platform orkestrasi keamanan, otomatisasi dan respons (SOAR) untuk menjalankan pedoman respons yang telah ditentukan sebelumnya.

Banyak alat NDR yang dapat diintegrasikan dengan umpan intelijen ancaman dan basis data seperti kerangka kerja MITRE ATT&CK. Integrasi ini dapat meningkatkan model perilaku dan meningkatkan akurasi deteksi ancaman. Akibatnya, alat NDR bisa kurang rentan terhadap positif palsu.

Solusi NDR menyediakan data dan fungsionalitas kontekstual yang dapat digunakan tim keamanan untuk kegiatan perburuan ancaman yang secara proaktif mencari ancaman yang sebelumnya tidak terdeteksi.

Terlepas dari manfaatnya, solusi NDR bukannya tanpa keterbatasan. Beberapa kelemahan umum alat NDR saat ini dapat mencakup:

Alat NDR dapat memerlukan investasi yang signifikan dalam perangkat keras, perangkat lunak, dan personel keamanan siber. Misalnya, pengaturan awal dapat melibatkan penerapan sensor di seluruh segmen jaringan dan berinvestasi dalam penyimpanan data berkapasitas tinggi untuk volume besar data lalu lintas jaringan.

Menskalakan solusi NDR untuk mengembangkan jaringan dapat menjadi tantangan. Peningkatan arus data dapat membebani sumber daya dan menimbulkan kemacetan, sehingga solusi deteksi dan respons ancaman menjadi kurang efektif di perusahaan besar.

Alat NDR dapat menghasilkan banyak positif palsu dan membanjiri tim keamanan dengan kelelahan peringatan. Bahkan penyimpangan sekecil apa pun dari pola normal mungkin ditandai sebagai mencurigakan, yang menyebabkan waktu terbuang dan berpotensi kehilangan ancaman nyata.

Pemantauan lalu lintas jaringan secara terus-menerus, termasuk komunikasi terenkripsi, dapat meningkatkan masalah privasi. Kegagalan untuk mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR) dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dapat menyebabkan denda dan penalti yang tinggi.

Jaringan perusahaan saat ini terdesentralisasi dan ekspansif, menghubungkan pusat data, perangkat keras, perangkat lunak, perangkat IoT, dan beban kerja baik on premises maupun di lingkungan cloud.

Organisasi dan pusat operasi keamanan (SoC) mereka membutuhkan seperangkat alat yang tangguh untuk mendapatkan visibilitas lengkap ke dalam jaringan kompleks ini. Mereka makin mengandalkan kombinasi NDR dengan solusi keamanan lainnya.

Misalnya, NDR adalah salah satu dari tiga pilar triad visibilitas SOC Gartner, bersama dengan deteksi dan respons titik akhir (EDR) dan informasi keamanan dan manajemen peristiwa (SIEM) .

• EDR adalah perangkat lunak yang dirancang untuk secara otomatis melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber. Sementara NDR menyediakan tampilan "udara" lalu lintas jaringan, EDR dapat menyediakan tampilan tambahan "permukaan tanah" aktivitas di masing-masing titik akhir.
  
  
• SIEM menggabungkan dan menghubungkan data log dan peristiwa yang terkait dengan keamanan dari berbagai alat keamanan dan sumber jaringan, seperti server, aplikasi, dan perangkat. Alat NDR dapat melengkapi upaya ini dengan mengalirkan data lalu lintas jaringan dan analisisnya ke sistem SIEM, sehingga meningkatkan efektivitas keamanan dan kepatuhan terhadap peraturan SIEM.

Baru-baru ini, SoC juga telah mengadopsi solusi deteksi dan respons yang diperluas (XDR). XDR mengintegrasikan alat keamanan siber di seluruh infrastruktur TI hybrid organisasi, termasuk titik akhir, jaringan, dan beban kerja cloud. Banyak penyedia XDR yang menyertakan kemampuan NDR, sementara solusi XDR terbuka dapat memanfaatkan kemampuan NDR organisasi yang sudah ada, sesuai dengan alur kerja keamanan yang ada.