Deteksi dan respons jaringan (NDR) adalah salah satu kategori teknologi keamanan siber yang menggunakan metode berbasis non-tanda tangan seperti kecerdasan buatan, machine learning, dan analisis perilaku untuk mendeteksi aktivitas mencurigakan atau berbahaya di jaringan dan merespons ancaman siber.
NDR berevolusi dari analisis lalu lintas jaringan (NTA), sebuah teknologi yang awalnya dikembangkan untuk mengekstrak model lalu lintas jaringan dari data lalu lintas jaringan mentah. Setelah solusi NTA menambahkan analisis perilaku dan kemampuan respons ancaman, analis industri Gartner mengubah nama kategori ini menjadi NDR pada tahun 2020.
Jaringan adalah dasar dari dunia yang terhubung saat ini dan target utama bagi para pelaku ancaman.
Secara tradisional, organisasi mengandalkan alat deteksi ancaman seperti perangkat lunak antivirus, sistem deteksi intrusi (IDS), dan firewall untuk memastikan keamanan jaringan.
Banyak dari alat ini menggunakan pendekatan berbasis tanda tangan untuk mendeteksi, mengidentifikasi ancaman dengan mencocokkan indikator kompromi (IOC) ke database tanda tangan ancaman siber.
Tanda tangan dapat berupa karakteristik apa pun yang terkait dengan serangan siber yang diketahui , seperti baris kode dari jenis malware tertentu atau baris subjek email phishing tertentu. Alat berbasis tanda tangan memantau jaringan untuk mencari tanda tangan yang ditemukan sebelumnya dan memberikan peringatan ketika menemukannya.
Meskipun efektif dalam memblokir ancaman siber yang sudah diketahui, alat berbasis tanda tangan sulit mendeteksi ancaman baru, tidak dikenal, atau yang baru muncul. Mereka juga kesulitan untuk mendeteksi ancaman yang tidak memiliki tanda tangan unik atau menyerupai perilaku yang sah, seperti:
- Penyerang siber menggunakan kredensial curian untuk mengakses jaringan
- Serangan penyusupan email bisnis (BEC, yaitu ketika peretas meniru atau membajak akun email eksekutif
- Karyawan secara tidak sengaja terlibat dalam perilaku berisiko, seperti menyimpan data perusahaan ke drive USB pribadi atau mengeklik tautan email berbahaya
Geng ransomware dan ancaman persisten canggih lainnya dapat memanfaatkan celah dalam visibilitas ini untuk menyusup ke jaringan, melakukan pengawasan, meningkatkan hak istimewa dan meluncurkan serangan pada saat-saat yang tepat.
NDR dapat membantu organisasi mengisi kesenjangan yang ditinggalkan oleh solusi berbasis tanda tangan dan mengamankan jaringan modern dan makin kompleks.
Dengan menggunakan analisis canggih, machine learning, dan analisis perilaku, NDR dapat mendeteksi potensi ancaman bahkan tanpa tanda tangan yang diketahui. Dengan cara ini, NDR menyediakan lapisan keamanan real-time, membantu organisasi menangkap kerentanan dan serangan yang mungkin terlewatkan oleh perangkat keamanan lain.
Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan kecepatan dan efektivitas yang lebih besar dengan IBM Security X-Force Threat Intelligence Index.
Solusi deteksi dan respons jaringan mengambil pendekatan proaktif dan responsif secara dinamis untuk mengelola ancaman jaringan. Alat NDR terus memantau dan menganalisis aktivitas jaringan dan pola lalu lintas secara real time untuk mengidentifikasi aktivitas mencurigakan yang mungkin mengindikasikan adanya ancaman siber.
Deteksi ancaman dengan solusi NDR biasanya melibatkan lima langkah berikut:
- Mengumpulkan data
- Menetapkan dasar perilaku jaringan
- Memantau aktivitas berbahaya
- Menanggapi insiden
- Menyempurnakan dari waktu ke waktu
Solusi NDR menyerap data lalu lintas jaringan mentah dan metadata melalui telemetri, yang merupakan praktik penggunaan otomatisasi untuk mengumpulkan dan mengirimkan data dari sumber jarak jauh.
Alat NDR sering kali mengumpulkan data dari titik akhir, infrastruktur jaringan, firewall, dan sumber lain untuk mendapatkan gambaran menyeluruh tentang jaringan. Data yang dikumpulkan dapat mencakup data paket jaringan, data aliran, dan data log.
Alat NDR menggunakan analitik perilaku, AI, dan machine learning untuk mengevaluasi data dan menetapkan model dasar perilaku dan aktivitas jaringan normal.
Setelah menetapkan garis dasar, sistem terus memantau lalu lintas jaringan secara real time. NDR membandingkan aktivitas jaringan saat ini dengan garis dasar tersebut untuk mendeteksi penyimpangan yang mungkin menandakan eksfiltrasi data dan potensi ancaman lainnya.
Penyimpangan tersebut dapat berupa upaya akses yang tidak sah, transfer data yang tidak biasa, pola login yang tidak wajar (seperti mengakses data di luar jam kerja), atau komunikasi dengan server web yang tidak dikenal.
Setelah mendeteksi aktivitas yang mencurigakan, solusi NDR memperingatkan tim keamanan untuk bertindak. Beberapa alat NDR juga dapat mengambil tindakan otomatis untuk mengurangi ancaman. Respons otomatis ini dapat mencakup pemblokiran alamat IP yang berbahaya, mengisolasi perangkat yang disusupi, atau membatasi lalu lintas yang mencurigakan untuk mencegah kerusakan lebih lanjut.
Sistem NDR terus menyesuaikan model aktivitas jaringan mereka dengan memasukkan umpan balik dari ancaman dan respons yang terdeteksi. Mereka juga mengintegrasikan masukan dari analis keamanan dan umpan intelijen ancaman. Penyempurnaan berkelanjutan ini meningkatkan akurasi dan efektivitas alat NDR dalam mendeteksi dan merespons ancaman baru dan berkembang.
Solusi NDR menawarkan serangkaian kemampuan yang dapat memberikan keunggulan dibandingkan alat pendeteksi ancaman berbasis tanda tangan tradisional. Kemampuan tersebut meliputi:
Solusi NDR menyediakan pemantauan dan analisis real-time, yang memungkinkan identifikasi dan respons yang lebih cepat terhadap potensi ancaman. Beberapa alat NDR juga dapat memprioritaskan dan memberikan peringatan ke tim keamanan atau pusat operasi keamanan (SoC) berdasarkan tingkat keparahan ancaman potensial.
NDR dapat menawarkan visibilitas ke semua aktivitas jaringan on premises dan di lingkungan hybrid cloud . Visibilitas komprehensif ini dapat membantu organisasi mencegat lebih banyak insiden keamanan.
Karena solusi NDR memantau lalu lintas jaringan utara-selatan (keluar dan masuk) dan timur-barat (internal), mereka dapat mendeteksi intrusi pada perimeter jaringan dan gerakan lateral dalam jaringan. Kemampuan untuk menemukan anomali di dalam jaringan dapat membantu NDR menangkap ancaman lanjutan yang sedang menunggu. Beberapa alat NDR juga dapat mendeteksi ancaman yang bersembunyi di lalu lintas terenkripsi .
NDR memanfaatkan AI dan algoritma machine learning canggih untuk menganalisis data jaringan, mengidentifikasi pola, dan menemukan potensi ancaman, termasuk ancaman yang sebelumnya tidak diketahui yang sering dilewatkan oleh alat tradisional.
Beberapa solusi NDR memiliki kemampuan respons otomatis—seperti memutus koneksi jaringan yang mencurigakan—yang dapat menghentikan serangan saat serangan terjadi. Alat NDR juga dapat diintegrasikan dengan alat keamanan lainnya untuk mengeksekusi rencana respons insiden yang lebih kompleks. Misalnya, setelah mendeteksi ancaman, NDR mungkin meminta platform orkestrasi keamanan, otomatisasi dan respons (SOAR) untuk menjalankan pedoman respons yang telah ditentukan sebelumnya.
Banyak alat NDR yang dapat diintegrasikan dengan umpan intelijen ancaman dan basis data seperti kerangka kerja MITRE ATT&CK. Integrasi ini dapat meningkatkan model perilaku dan meningkatkan akurasi deteksi ancaman. Akibatnya, alat NDR bisa kurang rentan terhadap positif palsu.
Solusi NDR menyediakan data dan fungsionalitas kontekstual yang dapat digunakan tim keamanan untuk kegiatan perburuan ancaman yang secara proaktif mencari ancaman yang sebelumnya tidak terdeteksi.
Terlepas dari manfaatnya, solusi NDR bukannya tanpa keterbatasan. Beberapa kelemahan umum alat NDR saat ini dapat mencakup:
Alat NDR dapat memerlukan investasi yang signifikan dalam perangkat keras, perangkat lunak, dan personel keamanan siber. Misalnya, pengaturan awal dapat melibatkan penerapan sensor di seluruh segmen jaringan dan berinvestasi dalam penyimpanan data berkapasitas tinggi untuk volume besar data lalu lintas jaringan.
Menskalakan solusi NDR untuk mengembangkan jaringan dapat menjadi tantangan. Peningkatan arus data dapat membebani sumber daya dan menimbulkan kemacetan, sehingga solusi deteksi dan respons ancaman menjadi kurang efektif di perusahaan besar.
Alat NDR dapat menghasilkan banyak positif palsu dan membanjiri tim keamanan dengan kelelahan peringatan. Bahkan penyimpangan sekecil apa pun dari pola normal mungkin ditandai sebagai mencurigakan, yang menyebabkan waktu terbuang dan berpotensi kehilangan ancaman nyata.
Pemantauan lalu lintas jaringan secara terus-menerus, termasuk komunikasi terenkripsi, dapat meningkatkan masalah privasi. Kegagalan untuk mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR) dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dapat menyebabkan denda dan penalti yang tinggi.
Jaringan perusahaan saat ini terdesentralisasi dan ekspansif, menghubungkan pusat data, perangkat keras, perangkat lunak, perangkat IoT, dan beban kerja baik on premises maupun di lingkungan cloud.
Organisasi dan pusat operasi keamanan (SoC) mereka membutuhkan seperangkat alat yang tangguh untuk mendapatkan visibilitas lengkap ke dalam jaringan kompleks ini. Mereka makin mengandalkan kombinasi NDR dengan solusi keamanan lainnya.
Misalnya, NDR adalah salah satu dari tiga pilar triad visibilitas SOC Gartner, bersama dengan deteksi dan respons titik akhir (EDR) dan informasi keamanan dan manajemen peristiwa (SIEM) .
- EDR adalah perangkat lunak yang dirancang untuk secara otomatis melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber. Sementara NDR menyediakan tampilan "udara" lalu lintas jaringan, EDR dapat menyediakan tampilan tambahan "permukaan tanah" aktivitas di masing-masing titik akhir.
- SIEM menggabungkan dan menghubungkan data log dan peristiwa yang terkait dengan keamanan dari berbagai alat keamanan dan sumber jaringan, seperti server, aplikasi, dan perangkat. Alat NDR dapat melengkapi upaya ini dengan mengalirkan data lalu lintas jaringan dan analisisnya ke sistem SIEM, sehingga meningkatkan efektivitas keamanan dan kepatuhan terhadap peraturan SIEM.
Baru-baru ini, SoC juga telah mengadopsi solusi deteksi dan respons yang diperluas (XDR). XDR mengintegrasikan alat keamanan siber di seluruh infrastruktur TI hybrid organisasi, termasuk titik akhir, jaringan, dan beban kerja cloud. Banyak penyedia XDR yang menyertakan kemampuan NDR, sementara solusi XDR terbuka dapat memanfaatkan kemampuan NDR organisasi yang sudah ada, sesuai dengan alur kerja keamanan yang ada.
Manfaatkan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Beralihlah dengan percaya diri ke hybrid multicloud dan integrasikan keamanan ke dalam setiap fase perjalanan cloud Anda.
Lindungi infrastruktur dan jaringan Anda dari ancaman keamanan siber yang canggih dengan keterampilan, keahlian, dan solusi modern yang telah terbukti.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya.
Pelajari bagaimana lingkungan keamanan saat ini berubah dan cara menavigasi tantangan dan memanfaatkan ketahanan AI generatif.
Kecerdasan buatan (AI) memanfaatkan komputer dan mesin untuk meniru kemampuan pemecahan masalah dan pengambilan keputusan dari pikiran manusia.