Network detection and response (NDR) adalah salah satu kategori teknologi keamanan siber yang menggunakan metode berbasis non-tanda tangan seperti kecerdasan buatan, pembelajaran mesin, dan analisis perilaku untuk mendeteksi aktivitas mencurigakan atau berbahaya di jaringan dan merespons ancaman siber. 

NDR telah berevolusi dari analisis lalu lintas jaringan (NTA), yaitu teknologi yang awalnya dikembangkan untuk mengekstrak model lalu lintas jaringan dari data lalu lintas jaringan mentah. Setelah solusi NTA menambahkan analisis perilaku dan kemampuan respons ancaman, analis industri Gartner mengubah nama kategori ini menjadi NDR pada tahun 20200.

Banyak alat pendeteksi ancaman konvensional (perangkat lunak antivirus, sistem deteksi dan pencegahan intrusi dini (IDPS), dan beberapa jenis firewall) mengidentifikasi dan mencegah ancaman dengan cara mencari indikator unik dari penyusupan (IOC), atau tanda tangan.

Tanda tangan dapat berupa ciri terkait serangan siber yang diketahui, misalnya, baris kode, hash file, atau ukuran file dari varian malware tertentu, header paket khusus, atau baris subjek dari email phishing atau rekayasa sosial. Alat berbasis tanda tangan memelihara database tanda tangan yang diketahui yang diperbarui secara berkala, dan mendeteksi ancaman dengan memindai adanya tanda tangan di lalu lintas jaringan.

Akibatnya, alat berbasis tanda tangan ini efektif dalam mencegah ancaman yang tidak diketahui agar tidak masuk atau mengintai di jaringan. Tetapi alat ini tidak dapat mendeteksi malware atau ancaman baru yang belum diketahui. Dan juga kemungkinan tidak bisa mengidentifikasi ancaman tanpa tanda tangan, seperti

• Peretas yang menggunakan kredensial curian untuk mengakses jaringan
• Serangan penyusupan email bisnis (BEC) yaitu ketika peretas meniru atau membajak akun email eksekutif
• Karyawan yang terlibat dengan perilaku berisiko secara tidak sengaja, seperti menyimpan data perusahaan di drive USB pribadi, atau mengeklik tautan email ke situs web berbahaya.
  

Ransomware dan ancaman terus menerus tingkat lanjut mengeksploitasi titik buta ini untuk menyusup ke jaringan lain, melakukan pengintaian, meningkatkan hak istimewa, dan menunggu momen yang tepat untuk melakukan serangan. 

Meskipun alat berbasis tanda tangan pada dasarnya dapat mencegah, NDR mengambil langkah responsif yang dinamis terhadap ancaman jaringan. Alih-alih memindai tanda tangan spesifik yang dikenal, solusi NDR memantau dan menganalisis lalu lintas jaringan dan aktivitas real time untuk mengidentifikasi segala aktivitas mencurigakan, di luar maupun di dalam jaringan, yang mungkin mengindikasikan ancaman siber yang diketahui atau tidak diketahui.

Solusi NDR melakukannya dengan:

Membuat model dari perilaku jaringan dasar. Solusi NDR menyerap data dan metadata mentah aktivitas jaringan dari sensor khusus dan agen aplikasi di seluruh jaringan, dan dari infrastruktur jaringan seperti firewall dan router. Alat NDR kemudian menerapkan analisis perilaku, AI, dan pembelajaran mesin pada data untuk menghasilkan model dasar dari perilaku dan aktivitas jaringan normal. 

Mendeteksi aktivitas mencurigakan dan berpotensi berbahaya. NDR terus memantau jaringan, dan menggunakan analisis yang sama serta kemampuan AI untuk mengidentifikasi perubahan dari perilaku dasar secara real time. Contohnya, pengguna mengakses data sensitif di luar jam kerja, perangkat titik akhir berkomunikasi dengan server eksternal yang tidak diketahui, atau port yang menerima paket data tidak wajar.

Karena solusi NDR memantau lalu lintas jaringan utara-selatan (keluar dan masuk) serta timur-barat (internal), solusi ini dapat mendeteksi dan melacak pergerakan lateral ancaman, perilaku umum orang dalam yang jahat, dan ancaman tingkat lanjut. Beberapa solusi NDR termasuk kemampuan untuk mendeteksi ancaman yang bersembunyi di lalu lintas terenkripsi.

NDR juga dapat membuat model perilaku ancaman dengan mengorelasikan data dari umpan intelijen ancaman, yaitu kerangka kerja MITRE ATT&CK, ke sumber data lain mengenai taktik, teknik, dan prosedur penjahat siber (TTP). Model-model ini membantu solusi NDR menyortir sinyal dari gangguan yang membedakan kemungkinan serangan siber dengan aktivitas tidak wajar namun tidak berbahaya, atau disebut 'positif palsu'.

Menyediakan alat dan otomatisasi respons insiden. Ketika solusi NDR mendeteksi serangan siber atau perilaku yang menandakan serangan siber, NDR bisa

• Memprioritaskan dan memberi peringatan pada tim keamanan atau pusat operasi keamanan (SOC) secara real time.
• Mengotomatiskan respons insiden. Solusi NDR dapat secara otomatis mengambil tindakan seperti memutus koneksi jaringan yang mencurigakan untuk mengganggu atau menghentikan serangan yang sedang terjadi. NDR juga dapat memanfaatkan integrasi dengan alat keamanan lainnya untuk memicu respons insiden. Contohnya, NDR dapat memerintahkan sistem SOAR (orkestrasi, otomatisasi, dan respons keamanan) organisasi untuk melakukan pedoman respons yang sudah ditentukan sebelumnya.
• Mengoptimalkan investigasi ancaman. Solusi NDR memberikan data kontekstual dan fungsionalitas yang dapat digunakan oleh tim keamanan dan SOC untuk mempercepat investigasi ancaman yang sedang berlangsung dan investigasi proaktif, atau ancaman yang tidak diketahui atau tidak terdeteksi (disebut sebagai perburuan ancaman).

Saat ini, jaringan perusahaan sangat tidak terpusat dan meluas, menghubungkan pusat data on premises dan cloud, perangkat keras, perangkat lunak, perangkat IoT, dan beban kerja. Untuk mendapatkan visibilitas penuh ke dalam jaringan yang terdistribusi dan saling terhubung ini, SOC seringkali bergantung pada NDR dan solusi keamanan lain sebagai bagian dari strategi keamanan cloud mereka. 

Misalnya, NDR adalah salah satu dari tiga pilar triad visibilitas SOC Gartner, bersama dengan deteksi dan respons titik akhir (EDR) dan informasi keamanan dan manajemen peristiwa (SIEM). EDR adalah perangkat lunak yang dirancang untuk secara otomatis melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi terhadap ancaman siber yang berhasil melampaui perangkat lunak antivirus dan alat keamanan titik akhir lainnya. EDR memberikan pandangan 'permukaan dasar' dari aktivitas yang terjadi di titik akhir seseorang yang melengkapi 'pandangan udara' dari lalu lintas jaringan yang disediakan NDR. SIEM menggabungkan dan mengorelasikan data log dan peristiwa terkait keamanan dari alat keamanan yang berbeda dan sumber lain di jaringan (server, aplikasi, perangkat). Alat NDR dapat mengalirkan data lalu lintas jaringan dan analisis ke SIEM, agar semakin memperkaya nilai SIEM untuk keamanan dan alur kerja kepatuhan regulasi.

Baru-baru ini, SOC mengadopsi solusi deteksi dan respons yang diperluas (XDR). XDR mengintegrasikan alat keamanan siber di seluruh infrastruktur TI hybrid organisasi, yaitu titik akhir, jaringan, beban kerja cloud, dan sebagainya, agar mereka dapat saling beroperasi dan berkoordinasi dalam pencegahan, deteksi, dan respons ancaman siber. Banyak solusi XDR yang menggabungkan kemampuan NDR. Solusi XDR terbuka dapat memanfaatkan kemampuan NDR yang telah dimiliki oleh organisasi.