Category: Uncategorized

Di era digital modern, performa jaringan dan keamanan siber adalah dua aspek krusial yang tidak dapat dipisahkan. Ketika aplikasi bisnis dan layanan digital bergantung pada kecepatan, stabilitas, dan keandalan jaringan, gangguan sekecil apa pun bisa berdampak besar pada produktivitas dan reputasi perusahaan. Untuk itu, dibutuhkan solusi yang mampu memantau performa jaringan secara menyeluruh, sekaligus memberikan deteksi dini terhadap potensi ancaman. Inilah peran penting fitur Network Performance Monitoring (NPM) dari ExtraHop. Apa Itu Network Performance Monitoring (NPM)? Network Performance Monitoring adalah proses pemantauan, analisis, dan pelaporan terhadap performa jaringan — termasuk latensi, throughput, packet loss, dan waktu respons. Tujuan utamanya adalah memastikan aplikasi dan layanan yang berjalan melalui jaringan dapat diakses dengan cepat dan andal. Namun yang membedakan NPM ExtraHop dari solusi lainnya adalah kemampuannya untuk menggabungkan pemantauan performa dan keamanan (secops + netops) dalam satu platform terpadu berbasis real-time traffic analysis. Fitur Unggulan NPM dari ExtraHop Full-Stream Analytics – Pemantauan Trafik secara Lengkap Berbeda dari solusi lain yang hanya menganalisis metadata atau flow data, ExtraHop memanfaatkan Full-Stream Analytics, yaitu menganalisis setiap byte dan setiap transaksi dalam trafik jaringan. Keunggulannya: Memperoleh data performa dari setiap transaksi aplikasi, bukan hanya dari sampling. Mendapatkan informasi kontekstual lengkap untuk analisis root-cause. Bisa digunakan untuk SLA monitoring hingga analisis bottleneck jaringan. Deteksi Masalah Kinerja Aplikasi secara Real-Time ExtraHop memungkinkan tim NetOps dan AppOps untuk: Melihat latensi aplikasi, transport, dan jaringan secara terpisah. Mengidentifikasi aplikasi yang mengalami penurunan performa. Menganalisis dampak dari perangkat, user, atau server tertentu terhadap performa layanan. Dengan dasbor interaktif, tim bisa langsung mengetahui di mana masalah berada — apakah di sisi client, server, jaringan, atau aplikasi. Auto Discovery & Dependency Mapping Salah satu tantangan dalam pengelolaan jaringan besar adalah mengetahui bagaimana berbagai layanan dan sistem saling terhubung. Fitur auto-discovery dan dependency mapping dari ExtraHop secara otomatis memetakan semua perangkat dan aplikasi dalam jaringan, serta hubungan di antaranya. Manfaatnya: Memudahkan pelacakan insiden. Membantu dalam perencanaan kapasitas dan migrasi sistem. Mendukung strategi segmentasi dan Zero Trust. Anomali Performa sebagai Early Warning ExtraHop tidak hanya mendeteksi penurunan performa, tetapi juga mengenali anomali perilaku performa yang bisa menjadi tanda awal serangan siber. Misalnya: Peningkatan traffic mendadak dari satu endpoint. Lonjakan DNS request abnormal. Respon lambat dari server tertentu yang bisa menandakan malware aktif di background. Fitur ini memberi nilai tambah karena menjembatani antara NetOps dan SecOps dalam satu proses analisis. Manfaat Bisnis dari NPM ExtraHop Implementasi fitur NPM dari ExtraHop membawa dampak langsung terhadap efektivitas operasional dan strategi keamanan organisasi: Waktu penyelesaian insiden lebih cepat berkat root-cause analysis yang akurat. Meningkatkan kepuasan pengguna akhir karena performa aplikasi tetap optimal. Meminimalkan potensi downtime melalui deteksi dini dan proaktif. Mengurangi gesekan antara tim NetOps dan SecOps, karena mereka bisa bekerja berdasarkan satu sumber data yang sama. Kesimpulan Di tahun 2025 dan seterusnya, performa jaringan tidak bisa dipisahkan dari aspek keamanan. ExtraHop, melalui fitur Network Performance Monitoring (NPM), menawarkan pendekatan menyeluruh yang tidak hanya fokus pada kecepatan dan stabilitas, tetapi juga pada deteksi ancaman performa yang mengarah pada potensi serangan. Dengan analitik real-time berbasis full-stream, visibilitas menyeluruh, serta deteksi dan respons yang cepat, ExtraHop NPM menjadi fondasi yang kuat untuk menjaga kualitas layanan digital dan mempertahankan keunggulan kompetitif di era yang serba digital dan penuh risiko ini. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik untuk keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di extrahop.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Dalam lanskap keamanan siber yang semakin kompleks dan penuh risiko, pendekatan tradisional berbasis perimeter sudah tidak lagi memadai. Munculnya model Zero Trust Architecture (ZTA) menjadi respons atas kenyataan bahwa serangan kini bisa datang dari mana saja — baik dari luar maupun dari dalam jaringan organisasi. Di tengah kebutuhan untuk menerapkan Zero Trust dengan efektif, ExtraHop hadir sebagai platform Network Detection and Response (NDR) yang mendukung visi Zero Trust secara menyeluruh. Apa Itu Zero Trust Architecture? Zero Trust bukan sekadar teknologi, tetapi sebuah filosofi keamanan yang berprinsip pada “never trust, always verify.” Dalam model ini, tidak ada pengguna, perangkat, atau aplikasi yang secara otomatis dipercaya, bahkan jika mereka berada dalam jaringan internal. Setiap akses harus diverifikasi, divalidasi, dan terus dimonitor. Komponen utama dari Zero Trust meliputi: Identitas dan akses yang kuat Segmentasi jaringan Visibilitas menyeluruh terhadap aktivitas jaringan Deteksi dan respons real-time Dan di sinilah ExtraHop berperan krusial sebagai solusi yang memberi visibilitas dan pemahaman mendalam terhadap semua aktivitas dalam jaringan, termasuk komunikasi terenkripsi. Mengapa ExtraHop Cocok untuk Zero Trust? Zero Trust membutuhkan visibilitas menyeluruh dan pemantauan real-time terhadap semua aktivitas jaringan — termasuk komunikasi antar perangkat, server, cloud, dan endpoint. ExtraHop, dengan kemampuan Network Detection and Response-nya, menjadi tulang punggung dalam mendukung prinsip-prinsip tersebut. Berikut adalah cara ExtraHop memperkuat implementasi Zero Trust: Visibilitas Penuh terhadap Lalu Lintas Jaringan Untuk menerapkan kebijakan Zero Trust yang efektif, organisasi perlu mengetahui siapa yang mengakses apa, kapan, dan dari mana. ExtraHop memberikan visibilitas tingkat paket (packet-level visibility) tanpa agen, yang memungkinkan pemantauan menyeluruh terhadap seluruh lalu lintas jaringan—baik di data center, cloud, maupun lingkungan hybrid. Dengan ExtraHop Reveal(x), organisasi dapat melihat komunikasi antar sistem dan mendeteksi aktivitas mencurigakan secara real-time, bahkan di jaringan terenkripsi (TLS 1.3). Deteksi Anomali dan Tindakan Tidak Biasa Zero Trust bukan hanya soal kontrol akses, tapi juga soal terus memvalidasi perilaku yang terjadi dalam jaringan. ExtraHop menggunakan machine learning dan behavioral analytics untuk mendeteksi anomali dari perilaku pengguna, aplikasi, dan perangkat. Contohnya: Deteksi lateral movement yang tidak biasa Perilaku DNS mencurigakan Akses terhadap data sensitif oleh akun yang tidak biasa Peringatan yang dihasilkan bukan sekadar alert pasif, tetapi berbasis konteks, prioritas, dan siap untuk ditindaklanjuti. Integrasi dengan Sistem Keamanan Lain Implementasi Zero Trust sering kali melibatkan banyak sistem — seperti SIEM, EDR, firewall, dan IAM. ExtraHop mendukung integrasi dengan berbagai platform seperti CrowdStrike, Splunk, Palo Alto Networks, dan lainnya. Ini memungkinkan automated response terhadap ancaman yang terdeteksi, seperti memblokir akses jaringan secara otomatis atau memicu isolasi endpoint. Mendukung Micro-Segmentation dan Least Privilege ExtraHop membantu organisasi menerapkan micro-segmentation, yakni membagi jaringan ke dalam zona-zona yang lebih kecil dan lebih mudah dikontrol. Dengan menganalisis trafik jaringan antar segmen, ExtraHop memungkinkan pengelolaan akses berdasarkan prinsip least privilege — hanya memberi akses sesuai kebutuhan. Deteksi Insider Threat dan Serangan yang Sudah Masuk Model Zero Trust tidak hanya fokus pada pencegahan, tetapi juga pada deteksi cepat jika serangan sudah berhasil masuk. ExtraHop unggul dalam mendeteksi insider threat dan post-breach activity, seperti: Eksfiltrasi data Akses abnormal ke database internal Perilaku pengguna yang menyimpang dari baseline Dengan kemampuan ini, ExtraHop memberi waktu yang berharga untuk melakukan mitigasi sebelum serangan berkembang. Kesimpulan Menerapkan Zero Trust Architecture bukanlah proses instan, melainkan sebuah perjalanan strategi keamanan yang membutuhkan teknologi pendukung yang andal. ExtraHop bukan hanya sekadar alat monitoring jaringan, tetapi sebuah platform cerdas yang memampukan organisasi untuk menerapkan prinsip-prinsip Zero Trust secara menyeluruh — mulai dari visibilitas, deteksi anomali, segmentasi, hingga respons otomatis. Di tengah ancaman siber yang terus berkembang di tahun 2025 dan seterusnya, ExtraHop memberikan pondasi kuat bagi organisasi yang ingin membangun arsitektur keamanan modern yang adaptif, responsif, dan benar-benar mengusung prinsip “never trust, always verify.” Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik untuk keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di extrahop.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Di era digital yang terus berkembang pesat, serangan siber menjadi ancaman nyata bagi organisasi di seluruh dunia. Tahun 2025 diproyeksikan sebagai titik kritis di mana kecepatan dan skala serangan siber meningkat secara drastis. Serangan berbasis AI, ransomware-as-a-service, dan eksploitasi terhadap sistem IoT menjadi lebih canggih dan masif. Untuk menghadapinya, organisasi tidak cukup hanya mengandalkan solusi keamanan tradisional. Di sinilah ExtraHop hadir sebagai game-changer dalam dunia keamanan siber. Apa Itu ExtraHop? ExtraHop adalah platform Network Detection and Response (NDR) canggih yang memanfaatkan machine learning dan AI untuk memberikan visibilitas real-time terhadap seluruh aktivitas jaringan. Tidak hanya mendeteksi anomali, ExtraHop juga mampu menganalisis dan merespons ancaman sebelum mereka menyebabkan kerugian besar bagi perusahaan. Dengan pendekatan berbasis cloud-scale, ExtraHop dirancang untuk menghadapi ancaman kompleks yang sering kali tidak terdeteksi oleh firewall, antivirus, maupun SIEM tradisional. Fitur Terbaik ExtraHop untuk Menghadapi Ancaman Siber 2025 Real-Time Threat Detection dengan AI dan Machine Learning Salah satu kekuatan utama ExtraHop adalah kemampuannya menganalisis hingga 100+ Gbps trafik jaringan dalam waktu nyata. Dengan dukungan machine learning yang terus belajar dari pola lalu lintas jaringan, ExtraHop mampu: Mendeteksi anomali perilaku pengguna dan perangkat. Mengidentifikasi lateral movement dari penyerang. Mendeteksi command and control communication yang tersembunyi. Fitur ini menjadi sangat penting di tahun 2025 ketika serangan siber sering dilakukan dengan kecepatan tinggi dan teknik penghindaran deteksi yang kompleks. Decryption Tanpa Agen untuk Enkripsi TLS 1.3 Semakin banyak serangan modern menggunakan enkripsi untuk menyembunyikan aktivitas jahat mereka. ExtraHop mampu melakukan decrypt TLS 1.3 traffic secara pasif dan legal tanpa mengganggu privasi atau membutuhkan agen tambahan. Dengan begitu, visibilitas tidak hilang meskipun komunikasi terenkripsi. Automated Incident Response ExtraHop terintegrasi dengan berbagai platform keamanan seperti Splunk, Palo Alto Networks, dan CrowdStrike. Fitur ini memungkinkan tim keamanan untuk melakukan respons otomatis terhadap ancaman, seperti: Pemblokiran koneksi mencurigakan. Isolasi endpoint yang terinfeksi. Mengirim peringatan ke SIEM untuk investigasi lebih lanjut. Di tahun 2025, kecepatan respons sangat penting, dan fitur otomatisasi ExtraHop menjadi nilai tambah besar. Reveal(x) 360 – Visibilitas Global dari Cloud Melalui platform Reveal(x) 360, ExtraHop menyediakan visibilitas dan analisis lalu lintas jaringan dari lingkungan hybrid dan multi-cloud. Banyak organisasi saat ini mengandalkan AWS, Azure, maupun Google Cloud, sehingga dibutuhkan satu alat yang mampu mengamankan semuanya sekaligus. ExtraHop menjawab tantangan ini dengan monitoring lintas cloud yang mulus dan menyeluruh. Threat Intelligence Terintegrasi ExtraHop secara aktif memanfaatkan threat intelligence global untuk mengidentifikasi indikator kompromi (IOC) terbaru. Ini termasuk deteksi serangan dari grup APT (Advanced Persistent Threat), malware baru, dan teknik serangan zero-day yang muncul setiap hari. Mengapa ExtraHop Relevan di Tahun 2025? Kecepatan: Waktu deteksi dan respons yang cepat adalah kunci. ExtraHop mampu mengidentifikasi dan menanggapi ancaman dalam hitungan detik. Skalabilitas: Cocok untuk organisasi besar dengan trafik jaringan masif. Zero Trust Readiness: Membantu implementasi strategi Zero Trust melalui visibilitas dan kontrol mendalam. Kesimpulan Menghadapi lanskap ancaman siber yang semakin cepat, masif, dan kompleks di tahun 2025, organisasi memerlukan pendekatan yang adaptif, cerdas, dan real-time. ExtraHop, melalui teknologi Network Detection and Response, AI, dan visibilitas jaringan tanpa agen, menjadi solusi keamanan siber yang tidak hanya mendeteksi ancaman, tetapi juga memberdayakan tim keamanan untuk bertindak cepat dan tepat. Dengan adopsi ExtraHop, perusahaan tidak hanya melindungi aset digital mereka, tetapi juga meningkatkan kesiapan terhadap ancaman masa depan yang semakin sulit diprediksi. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik untuk keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di extrahop.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Perburuan Ancaman di Jaringan: Panduan Pengantar Perburuan ancaman selama ini dilakukan pada endpoint atau menggunakan log. Tim keamanan dan respons insiden (IR) lebih memilih pendekatan berbasis endpoint dan log karena metode ini sudah mapan, mudah diakses, dan umumnya intuitif untuk menemukan ancaman yang sudah dikenal. Namun, pendekatan tradisional ini tidak mampu mendeteksi vektor serangan yang belum diketahui dan aktor ancaman yang mungkin telah mengeksploitasi kelemahan sebelumnya. Forensik endpoint dan log peristiwa bergantung pada indikator kompromi (IOC) yang telah dikenal dan bentuk intelijen ancaman lainnya. Oleh karena itu, untuk menggunakannya secara efektif, kita harus tahu apa yang sedang dicari. Jika tidak, penyerang dapat tetap beroperasi tanpa terdeteksi, semakin menanamkan diri mereka di dalam jaringan atau bahkan mengeksploitasinya secara aktif. Selain itu, aktor ancaman terus berinovasi dalam mencari cara untuk melewati alat forensik endpoint. Kebocoran Shadow Brokers pada tahun 2017 yang melibatkan alat peretasan ofensif dari National Security Agency (NSA) telah memberi penyerang akses terhadap teknologi yang memungkinkan mereka memodifikasi log Windows Event dan menghapus jejak aktivitas mereka. Inilah mengapa perburuan ancaman berbasis jaringan menjadi sangat penting bagi tim keamanan saat ini. Dalam situasi di mana kita tidak mencari IOC tertentu, melainkan indikator perilaku aktivitas mencurigakan atau taktik, teknik, dan prosedur (TTP) yang dikaitkan dengan aktor ancaman tertentu, pendekatan berbasis jaringan jauh lebih efektif dibanding metode tradisional yang semakin rentan dieksploitasi. Meskipun lebih kompleks, pendekatan berbasis jaringan lebih unggul dalam perburuan ancaman karena bergantung pada analisis packet capture (PCAP). Analisis PCAP memberikan tampilan yang tidak dapat diubah, komprehensif, dan terperinci tentang semua lalu lintas jaringan yang masuk, keluar, dan bergerak dalam lingkungan TI organisasi. Kelengkapan data ini, dikombinasikan dengan ketidakmampuan aktor ancaman untuk mengubah data jaringan yang ditangkap oleh sensor PCAP, memungkinkan tim keamanan menetapkan fakta dalam investigasi siber. Kepastian yang ditingkatkan melalui analisis paket ini menjelaskan mengapa tim forensik siber tingkat tinggi, seperti Mandiant, mengalokasikan sumber daya yang signifikan untuk investigasi paket dalam penanganan insiden klien mereka. Keterbatasan Metode Perburuan Ancaman Berbasis Endpoint dan Log Perburuan ancaman berbasis endpoint menggunakan teknologi forensik endpoint dan alat sumber terbuka terkait. Pendekatan ini mencakup teknik seperti analisis memori dengan volatility, analisis sistem dengan The Sleuth Kit, analisis malware dengan Joe Sandbox, serta pemeriksaan manual database Windows Registry. Namun, kelemahan dari metode ini adalah hanya dapat mengidentifikasi ancaman yang sudah terdaftar dalam basis data malware. Sementara itu, analisis log secara tradisional dianggap lebih mudah dibandingkan inspeksi paket. Biasanya, investigasi log melibatkan pencarian dan analisis log firewall serta proxy untuk IOC yang diketahui. Log yang sering diperiksa mencakup permintaan DNS, permintaan HTTP, dan aktivitas Server Name Indication (SNI) dalam lalu lintas TLS. Namun pada akhirnya, analisis log hanyalah proses pencocokan tanda tangan (signature matching) terhadap ancaman yang sudah dikenal, bukan perburuan ancaman yang sebenarnya. Selain itu, analisis log memiliki kelemahan besar karena aktor ancaman yang lebih canggih sering menghapus atau mengubah file log untuk menyembunyikan aktivitas mereka. Sebaliknya, analisis paket menangkap esensi perburuan ancaman di lanskap serangan modern karena berfokus pada identifikasi ancaman yang sebelumnya tidak diketahui. Kekuatan Investigasi Berbasis Paket Perburuan ancaman di jaringan ibarat mencari jarum dalam tumpukan jerami—tanpa mengetahui apakah jarum itu benar-benar ada. Dengan analisis paket, tim respons insiden harus menemukan ancaman secara mandiri. Bagi yang belum familiar, paket adalah komponen dasar dari jaringan digital modern. Sebuah paket adalah blok data yang dikumpulkan dan ditransfer melalui jaringan komputer. Setiap paket membawa informasi alamat yang membantu mengidentifikasi komputer pengirim dan penerima pesan melalui berbagai sidik jari digital unik. Paket jaringan terdiri dari tiga bagian utama: header, payload, dan trailer. Ukuran dan struktur paket bergantung pada arsitektur atau protokol jaringan yang digunakan. Dalam investigasi berbasis paket, analis memasuki lingkungan TI dengan asumsi bahwa jaringan telah dikompromikan, meskipun mereka tidak memiliki intelijen ancaman atau IOC sebelumnya sebagai panduan. Jenis perburuan ini dilakukan di dalam perimeter jaringan, dengan menargetkan indikator seperti aktivitas pengintaian (reconnaissance), pergerakan lateral, dan eksploitasi layanan. Protokol umum yang digunakan untuk perburuan ancaman di luar perimeter jaringan meliputi DNS, HTTP, SSL/TLS, dan FTP. Sementara itu, perburuan ancaman internal yang lebih spesifik dapat melibatkan analisis protokol seperti Server Message Block (SMB), yang sering digunakan untuk mendeteksi aktivitas enkripsi file ransomware. Bagaimana RevealX Memperkuat Perburuan Ancaman Dalam lanskap ancaman yang terus berkembang dengan aktor ancaman yang semakin canggih, pendekatan berbasis jaringan menjadi sangat penting bagi tim keamanan. Namun, membangun aplikasi pemantauan jaringan generasi berikutnya secara internal sangat tidak praktis bagi sebagian besar organisasi. Proses ini membutuhkan keahlian khusus, kapasitas pusat data yang besar, serta pemahaman mendalam tentang berbagai protokol jaringan. Nilai utama yang ditawarkan oleh solusi Network Detection and Response (NDR) adalah kemampuannya dalam menangkap data komunikasi jaringan dan metadata secara otomatis, real-time, serta dalam skala cloud. Jika diterapkan dengan baik, NDR memberikan visibilitas menyeluruh ke dalam lingkungan TI organisasi dan semua data yang mengalir di dalamnya. Investigasi jaringan yang efektif didasarkan pada investigasi berbasis hipotesis, analitik perilaku tingkat lanjut, dan pemrosesan data berbasis machine learning. Teknologi machine learning sangat penting dalam mendeteksi anomali jaringan. Meskipun tidak selalu menandakan aktivitas berbahaya, ketidakwajaran dalam aliran data jaringan dan perilaku pengguna dapat menjadi petunjuk keberadaan rantai serangan aktor ancaman. Organisasi sebaiknya mengotomatisasi fungsi perburuan ancaman berbasis jaringan dengan menerapkan solusi NDR yang telah teruji, seperti RevealX dari ExtraHop. Solusi NDR yang andal akan mendeteksi ancaman dan secara otomatis menampilkan korelasi serangan, memungkinkan pengguna melihat seluruh serangan serta komponen yang terlibat. Kemampuan ini membantu tim keamanan memahami bagaimana penyerang masuk ke jaringan mereka, sistem apa saja yang terpengaruh, serta file atau akun yang dikompromikan. RevealX unggul dalam mendeteksi pergerakan lateral dan memberikan rantai bukti yang dapat diikuti secara intuitif, melacak semua jejak penyerang dari titik masuk hingga penyebaran lebih lanjut di dalam jaringan. Kemampuan deteksi pergerakan lateral dalam RevealX diperkuat dengan kemampuannya untuk mendekripsi lalu lintas SSL dan TLS 1.3 serta menganalisis lebih dari 90 protokol jaringan, termasuk berbagai protokol Microsoft. Dengan teknologi dekripsi paten-protected, RevealX adalah satu-satunya penyedia dalam ruang NDR yang mampu mendekripsi protokol Microsoft dalam jaringan. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik untuk keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih…

Salah satu misi kami di ExtraHop adalah membantu mengurangi waktu, upaya, dan keahlian yang dibutuhkan untuk mendapatkan wawasan yang dapat ditindaklanjuti dari data jaringan. Oleh karena itu, kami terus bekerja sama dengan pelanggan untuk meningkatkan platform dan pengalaman mereka—serta secara aktif meminta masukan untuk fitur baru. Itulah sebabnya kami sangat antusias mengumumkan fitur baru yang didorong oleh pengguna dalam rilis terbaru RevealX: Visualisasi Lalu Lintas Peer-to-Peer, yang dimungkinkan oleh opsi filter IP dinamis baru dalam platform. Fitur baru ini memungkinkan pengguna mengisolasi dan memvisualisasikan komunikasi antara perangkat tertentu di jaringan dengan satu alamat IP atau segmen jaringan. Hal ini mendukung berbagai kasus penggunaan, mulai dari pemecahan masalah dan validasi kebijakan hingga perburuan ancaman dan analisis akar penyebab. Filter baru ini akan otomatis muncul di dalam dasbor yang sudah mendukung drilldown berdasarkan alamat IP dan dapat digunakan untuk pelaporan baru ke depan. Apa Itu Visualisasi Peer-to-Peer? Dalam RevealX, Device Pages menyediakan tampilan mendetail tentang semua informasi yang dapat ditemukan RevealX mengenai suatu perangkat—termasuk perannya, perangkat lunak yang dijalankan, lalu lintas yang ditangani, serta alamat IP yang terkait. Yang lebih penting, halaman ini juga menyediakan visualisasi data yang sangat berguna untuk pemecahan masalah jaringan. Namun, hingga saat ini, mengisolasi informasi antara perangkat tertentu dan satu alamat IP atau blok CIDR mengharuskan pengguna untuk mengakses beberapa kumpulan data atau grafik, sering kali beralih bolak-balik untuk kasus penggunaan tertentu. Opsi filtering dinamis yang baru menyederhanakan alur kerja ini dengan secara otomatis memfilter seluruh kumpulan data dan dasbor berdasarkan IP atau blok CIDR yang dipilih. Hal ini memungkinkan investigasi yang lebih efisien dan mengurangi upaya yang tidak perlu. Cara Menggunakan Dynamic Filters di RevealX Dynamic filters adalah fitur yang dapat digunakan di dasbor atau kumpulan grafik mana pun dalam RevealX yang memiliki metrik drill-down berbasis IP, termasuk metrik khusus yang didefinisikan oleh pengguna. Setelah pelanggan memperbarui firmware RevealX ke versi terbaru, filter baru ini akan otomatis tersedia. Untuk mulai membandingkan segmen, pengguna cukup memasukkan alamat IP atau blok CIDR di kotak filter. Setelah itu, semua grafik dan kumpulan data terkait akan secara dinamis menampilkan hasil berdasarkan target yang dipilih. Sebelum IP difilter di RevealX Setelah IP difilter di RevealX Kasus Penggunaan untuk Pemfilteran IP Dinamis Pelanggan lama yang membaca blog ini mungkin sudah dapat membayangkan beberapa alur kerja di mana fitur penyaringan baru ini akan sangat berguna. Berikut adalah beberapa contoh kasus penggunaan yang kami harapkan dapat memberikan dampak besar di awal: Networking/DevOps/IT Ops Analisis Akar Penyebab: Isolasi komunikasi antara pasangan atau grup perangkat, seperti server aplikasi dan database, untuk dengan cepat mengidentifikasi masalah dalam pemadaman. Penilaian Dampak Perubahan: Bandingkan kesehatan jaringan antar segmen untuk menilai kinerja penerapan atau perubahan konfigurasi baru. Pemantauan Proaktif: Pantau lalu lintas antara grup perangkat kritis, seperti load balancer dan server web, untuk mendeteksi serta menangani masalah sebelum meningkat. Pemetaan Ketergantungan: Visualisasikan ketergantungan antar sistem atau grup perangkat, seperti lingkungan pengembangan dan pipeline CI/CD, untuk perencanaan infrastruktur atau pemulihan bencana. Pemecahan Masalah Kinerja: Identifikasi secara akurat hambatan atau latensi antara perangkat hingga ke tingkat protokol untuk debugging yang lebih mendetail. Keamanan Perburuan Ancaman: Fokus pada lalu lintas antara perangkat yang terkompromi atau grup perangkat untuk mengisolasi dan melacak pergerakan lateral. Investigasi Terarah: Telusuri lebih dalam interaksi antara grup perangkat seperti workstation administrator dan server kritis untuk mengungkap aktivitas mencurigakan. Validasi Kebijakan: Validasi kebijakan keamanan dengan cepat dan mudah dengan memastikan hanya perangkat yang diizinkan yang dapat berkomunikasi. Audit Kepatuhan: Tunjukkan kepatuhan terhadap persyaratan audit seperti PCI dengan membuktikan bahwa perangkat berkomunikasi sebagaimana mestinya—atau tidak sama sekali. Pelacakan Malware: Inspeksi rantai komunikasi dari perangkat ke perangkat untuk melacak atau menelusuri kembali penyebaran malware. Dasbor di RevealX Difilter Berdasarkan Segmen Jaringan Mulai dengan Visualisasi Peer-to-Peer Pelanggan dapat mempelajari lebih lanjut tentang visualisasi peer-to-peer dan pemfilteran dinamis di RevealX dengan menghubungi perwakilan akun mereka atau langsung masuk dan menggunakan firmware terbaru dari RevealX. Bagi yang belum menjadi pelanggan, kami mengundang Anda untuk melihat semua fitur baru yang dirilis di blog peluncuran kami, lalu mencoba demo mandiri di situs kami extrahop.ilogoindonesia.com . Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di extrahop.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Untuk membantu sektor infrastruktur kritis dalam memantau jaringannya terhadap Salt Typhoon dan ancaman persisten tingkat lanjut (APT) yang disponsori negara lainnya, CISA, NSA, FBI, dan empat lembaga mitra internasional telah mengeluarkan panduan penguatan keamanan sepanjang sembilan halaman. Panduan ini menekankan pentingnya peningkatan visibilitas jaringan secara signifikan. “Sulit untuk melebih-lebihkan betapa merusaknya APT Salt Typhoon,” kata Mark Bowling, Chief Information Security and Risk Officer di ExtraHop. Ia merujuk pada aktor ancaman yang disponsori oleh pemerintah Tiongkok, yang berhasil menyusup ke jaringan setidaknya selusin penyedia telekomunikasi, mencuri catatan panggilan pelanggan, serta mengakses komunikasi pribadi pejabat pemerintah dan politik AS dalam upaya mengumpulkan komunikasi terenkripsi. “Dari perspektif keamanan nasional, Salt Typhoon empat hingga lima kali lebih buruk daripada SolarWinds,” tambah Bowling, yang menjadi CISO setelah berkarier selama 20 tahun sebagai agen FBI yang menyelidiki kejahatan siber dan terorisme. “Serangan ini dapat menyebabkan kerusakan yang tidak dapat diperbaiki, menghambat, atau bahkan menghentikan berbagai investigasi kontra-intelijen, intelijen asing, dan kontra-terorisme.” Panduan dari CISA berfokus pada pentingnya visibilitas jaringan, karena Salt Typhoon awalnya memperoleh akses ke lingkungan perusahaan telekomunikasi dengan mengeksploitasi perangkat rentan yang terpapar ke internet publik. Aktor ancaman ini juga memanfaatkan kerentanan yang sudah diketahui pada perangkat jaringan untuk mempertahankan keberadaannya, serta menggunakan alat sah seperti PowerShell dan Windows Management Instrumentation Command-line (WMIC) guna menghindari deteksi saat melakukan pengintaian, pergerakan lateral, dan pencurian data. Dengan visibilitas dan pemantauan jaringan yang lebih baik—termasuk kemampuan untuk mendekripsi lalu lintas dan protokol terenkripsi—organisasi dapat mengidentifikasi perangkat rentan, termasuk yang secara tidak sengaja terekspos ke internet karena kesalahan konfigurasi dan menjadi target empuk bagi peretas. Mereka juga dapat mendeteksi pergerakan lateral, teknik penyalahgunaan alat bawaan sistem (living off the land), serta perubahan mencurigakan di lingkungan yang mengindikasikan aktivitas berbahaya, seperti perubahan konfigurasi yang tidak sah pada perangkat jaringan dan aktivasi mendadak sandi serta protokol lemah. Di bawah ini, kami menguraikan panduan pemantauan dan penguatan jaringan dari CISA serta menjelaskan bagaimana platform ExtraHop® RevealX™—yang berfungsi ganda sebagai deteksi dan respons jaringan (NDR) serta manajemen kinerja jaringan (NPM)—dapat membantu penyedia telekomunikasi dan infrastruktur kritis lainnya dalam menerapkan rekomendasi tersebut serta meningkatkan postur keamanan jaringan mereka terhadap Salt Typhoon dan ancaman negara lainnya. Inti dari Solusi: Bagaimana RevealX Membantu Organisasi Memenuhi Panduan CISA Terkait Salt Typhoon Sebagai rangkuman dari rekomendasi CISA, organisasi disarankan untuk menerapkan alat pemantauan dan manajemen jaringan yang kuat dan beroperasi di luar jalur utama (out-of-band), dengan kemampuan menangkap paket data, yang: Menyediakan visibilitas terhadap lalu lintas jaringan masuk, keluar, dan internal; Menerapkan manajemen konfigurasi secara ketat; Memantau perangkat yang terpapar ke internet publik dan yang melakukan koneksi eksternal; serta Mendeteksi dan memberikan peringatan terkait berbagai perubahan di lingkungan, termasuk perubahan konfigurasi perangkat jaringan, aktivasi protokol lemah, perubahan perilaku pengguna dan aktivitas akun, serta modifikasi daftar kontrol akses (ACL). CISA juga merekomendasikan untuk mengenkripsi sebanyak mungkin lalu lintas jaringan dari ujung ke ujung, membatasi eksposur lalu lintas manajemen ke internet, serta mengumpulkan log di tingkat sistem operasi jaringan, aplikasi, dan perangkat lunak dalam lingkungan organisasi. RevealX mendukung rekomendasi tersebut serta berbagai praktik terbaik lainnya yang diuraikan oleh CISA. Solusi ini beroperasi di luar jalur utama, menangkap salinan penuh paket data dan telemetri NetFlow, serta memberikan organisasi visibilitas yang luas terhadap aktivitas dalam jaringan mereka. RevealX menawarkan kedalaman dan cakupan visibilitas jaringan yang tak tertandingi dengan mengekstrak lebih banyak metadata dari paket penuh dibandingkan solusi lain, mendekode empat kali lebih banyak protokol dibandingkan produk NDR lainnya, mendekripsi lalu lintas jaringan terenkripsi, dan melakukan semua ini dengan kecepatan tingkat perusahaan serta skala cloud. Baca selengkapnya untuk detail lebih lanjut. Perkuat Visibilitas dan Pemantauan Panduan CISA: Dapatkan visibilitas terhadap lalu lintas jaringan north-south dan east-west, aktivitas pengguna, serta aliran data. Terapkan solusi pemantauan arus jaringan yang kuat. Gunakan alat manajemen jaringan out-of-band yang terpisah secara fisik dari jaringan operasional utama serta mencegah koneksi lateral antar perangkat untuk menghindari pergerakan lateral jika terjadi kompromi. Terapkan pemantauan dan manajemen jaringan yang setidaknya mencakup manajemen konfigurasi, otomatisasi fungsi administratif rutin, serta deteksi dan peringatan terhadap perubahan dalam lingkungan, seperti koneksi, aktivitas pengguna, dan aktivitas akun, serta memiliki kemampuan menangkap paket data. Pantau semua perangkat yang menerima koneksi eksternal dari luar jaringan perusahaan. Selidiki konfigurasi yang tidak sesuai dengan standar keamanan, seperti port terbuka, layanan yang tidak dikenal, atau penggunaan tak terduga dari Generic Routing Encapsulation (GRE) atau IPsec tunnel. Pahami arsitektur infrastruktur dan enclave produksi serta bagaimana lingkungan tersebut terhubung atau tersegmentasi. Petakan dan pahami batas serta titik masuk/keluar dari enclave manajemen jaringan. Keunggulan RevealX: RevealX beroperasi di luar jalur utama (out-of-band) dan secara pasif memantau seluruh transaksi kritis dalam jaringan organisasi, termasuk lalu lintas jaringan masuk, keluar, dan lateral internal. Dengan menangkap salinan lalu lintas jaringan di inti tempat data di-host, RevealX dapat memantau lalu lintas east-west secara efektif tanpa mengganggu kinerja jaringan. Selain itu, RevealX menangkap paket penuh serta telemetri NetFlow dari lebih banyak lapisan jaringan (OSI lapisan 2-7) dibandingkan solusi lain yang hanya memeriksa lalu lintas di OSI lapisan 3 dan 4. Kemampuan ini memungkinkan RevealX memberikan konteks yang lebih kaya terhadap aktivitas dalam jaringan, mempercepat deteksi, investigasi, dan respons terhadap ancaman, serta mengurangi jumlah positif palsu. Keunggulan visibilitas RevealX diakui oleh pelanggan dan analis: ExtraHop dinobatkan sebagai pemimpin dalam IDC MarketScape: Worldwide Network Detection and Response 2024 Vendor Assessment dan Forrester Wave: Network Analysis and Visibility Q2 2023. Lee Chieffalo, Direktur Teknis ISP Viasat, pelanggan ExtraHop, mengatakan: “Dengan RevealX, saya dapat mengetahui apa yang dilakukan setiap paket di jaringan, kapan saja: ke mana ia pergi, dari mana asalnya, dan apa yang sedang dikomunikasikan di kedua sisi percakapan. Ini memungkinkan tim saya membuat keputusan yang akurat dan tepat tentang optimalisasi, keamanan, dan pemecahan masalah jaringan.” Deteksi Anomali Panduan CISA: Selidiki dan analisis setiap modifikasi konfigurasi yang tidak biasa pada perangkat jaringan, termasuk switch, router, dan firewall. Terapkan sistem peringatan untuk perubahan tidak sah dalam jaringan, seperti pembaruan rute yang mencurigakan, aktivasi protokol lemah, serta perubahan pada pengguna dan daftar kontrol akses (ACL). Pantau login akun pengguna dan layanan untuk mendeteksi anomali. Keunggulan RevealX: RevealX menggunakan pembelajaran mesin berbasis cloud untuk menganalisis data jaringan dan mendeteksi penyimpangan mencurigakan dari pola perilaku…

Mendeteksi Perangkat Lunak RMM dengan RevealX ExtraHop Baik Anda seorang analis keamanan maupun seorang praktisi IT yang suka melakukan semuanya sendiri (DIY), memiliki alat yang tepat untuk pekerjaan yang tepat memang membuat hidup jauh lebih mudah. Sama seperti saya yang menyukai power tools—khususnya yang nirkabel dengan baterai yang bisa dipertukarkan. Tapi, gergaji mesin listrik nirkabel itu ibarat pedang bermata dua: mampu memotong dua arah dengan sangat mudah, namun juga sangat berbahaya jika digunakan tanpa hati-hati. Dalam dunia IT dan keamanan, perangkat lunak Remote Monitoring and Management (RMM) seperti AnyDesk, ConnectWise ScreenConnect, dan Splashtop bisa diibaratkan seperti gergaji mesin nirkabel tadi. Di satu sisi, perangkat ini sangat membantu tim IT dan keamanan dalam mempercepat tugas-tugas seperti instalasi patch jarak jauh dan pemecahan masalah. Namun, di sisi lain, perangkat lunak ini memberi akses remote yang memungkinkan admin helpdesk atau pihak lain mengambil alih kendali perangkat pengguna. Hal ini membuat perangkat lunak RMM kian sering disalahgunakan oleh aktor ancaman untuk: Membangun saluran Command and Control (C2) secara interaktif. Melakukan lateral movement (pergerakan lateral) di dalam jaringan. Mempertahankan persistence (keberlanjutan akses). Menyamar sebagai aktivitas yang sah, sehingga sulit terdeteksi oleh alat keamanan tradisional. Aktor ancaman bisa saja: Menyalahgunakan perangkat lunak RMM yang memang sudah diizinkan di lingkungan korban. Menginstal perangkat lunak RMM baru setelah menguasai perangkat korban, meskipun perangkat tersebut sebelumnya tidak digunakan dalam organisasi korban. Setelah menginstal RMM, penyerang akan memperoleh passcode untuk perangkat lunak tersebut. Passcode ini memungkinkan mereka berinteraksi dengan perangkat yang telah terinfeksi, atau memanfaatkan fitur perangkat lunak untuk memasang alat lain guna mengumpulkan data dari perangkat korban. Peningkatan Eksploitasi RMM oleh Aktor Ancaman Ancaman ini semakin serius, hingga mendorong Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan pada tahun 2023 terkait penyalahgunaan perangkat lunak RMM, yang dikategorikan dalam kerangka ATT&CK sebagai T1219. Fakta terbaru: CrowdStrike melaporkan adanya peningkatan eksploitasi perangkat lunak RMM oleh penyerang sebesar 70% di tahun 2024. Grup-grup penyerang yang teridentifikasi melibatkan nama besar seperti: Scattered Spider LockBit Static Kitten (Iran) Famous Chollima (Korea Utara) RevealX ExtraHop: Solusi Deteksi RMM yang Semakin Canggih Sebagai bagian dari misi ExtraHop® untuk membantu organisasi mengungkap risiko siber dan membangun ketahanan, kemampuan platform RevealX™ telah diperluas. RevealX kini dapat mengidentifikasi dan mendeteksi penggunaan perangkat lunak RMM di seluruh lingkungan Anda—baik on-premises maupun cloud (publik maupun privat). Riwayat Deteksi RMM di RevealX: 2020: RevealX mulai mengidentifikasi perangkat lunak RMM secara pasif di jaringan sebagai bagian dari proses automatic asset discovery. Dengan memantau lalu lintas jaringan, RevealX dapat secara otomatis mendeteksi endpoint, sistem operasi, cipher suite, dan aplikasi, termasuk perangkat lunak RMM seperti: ConnectWise ScreenConnect TeamViewer Splashtop AnyDesk Atera Agent Desember 2024: ExtraHop meluncurkan New Remote Access Software Activity Detector. Detektor ini mampu mengidentifikasi koneksi pertama kali ke layanan cloud yang berhubungan dengan perangkat lunak remote access dan RMM. Setiap aktivitas pertama kali dari perangkat yang menghubungkan ke layanan RMM akan memicu peringatan ke SOC (Security Operations Center) agar dapat divalidasi atau diselidiki lebih lanjut. Kombinasi Fitur Andalan: Penemuan Otomatis (Automatic Discovery): Mengidentifikasi kehadiran perangkat lunak RMM di jaringan, baik perangkat lunak yang sudah dikenal maupun yang baru muncul. Deteksi Real-Time (Real-Time Detection): Memberikan peringatan instan jika terjadi aktivitas penggunaan perangkat lunak RMM untuk pertama kalinya. Memudahkan tim keamanan membedakan antara penggunaan RMM yang sah dengan yang berpotensi berbahaya. Mengapa Deteksi RMM Penting? Cegah Penyalahgunaan Akses Jarak Jauh: RMM menjadi celah favorit penyerang untuk mempertahankan akses setelah berhasil menembus jaringan. Lindungi dari Serangan Lateral Movement: Setelah menguasai satu perangkat, penyerang menggunakan RMM untuk berpindah ke perangkat lain di dalam jaringan. Respon Dini terhadap Ancaman: Dengan deteksi awal, tim keamanan bisa segera mengisolasi perangkat yang terindikasi, sebelum serangan meluas. Pantauan Aktivitas Abnormal: RevealX memastikan semua koneksi perangkat baru ke layanan RMM dideteksi dan diperiksa keabsahannya. Penggunaan perangkat lunak RMM seperti AnyDesk, ScreenConnect, dan Splashtop memang memudahkan pekerjaan tim IT. Namun, ancaman eksploitasi oleh aktor jahat juga terus meningkat. Oleh karena itu, deteksi dan pemantauan aktivitas RMM menjadi krusial dalam strategi keamanan. Dengan fitur RevealX yang terus berkembang, ExtraHop Indonesia menghadirkan solusi untuk mendeteksi penggunaan RMM secara otomatis dan real-time, memastikan perusahaan dapat membedakan aktivitas yang sah dan berbahaya, serta merespons ancaman dengan cepat. 5 Cara Mitigasi Ancaman RMM (Remote Monitoring and Management) Untuk mengurangi risiko penyalahgunaan perangkat lunak RMM, tim keamanan dan IT dapat menerapkan langkah-langkah berikut: Blokir atau Batasi Lalu Lintas ke Situs dan Layanan RMM: Secara proaktif blokir atau batasi akses keluar (outbound traffic) ke domain dan IP yang terkait dengan layanan perangkat lunak remote access dan RMM yang tidak sah. Pantau Perangkat yang Menjalankan Perangkat Lunak Remote Access Tidak Sah: Lakukan pemantauan aktif untuk mengidentifikasi perangkat yang menjalankan perangkat lunak RMM yang tidak diizinkan dalam lingkungan perusahaan. Terapkan Kontrol untuk Mencegah Aplikasi yang Tidak Sah: Implementasikan kontrol keamanan seperti Application Whitelisting atau Application Control untuk mencegah eksekusi aplikasi yang tidak sah, termasuk perangkat lunak RMM yang tidak disetujui. Karantina Perangkat dengan Koneksi RMM yang Mencurigakan: Isolasi atau karantina perangkat yang melakukan koneksi pertama kali ke layanan RMM yang tidak dikenal. Sambil melakukan karantina, lakukan pemeriksaan mendalam untuk mengidentifikasi indikasi kompromi (Indicators of Compromise/IoC). Pantau dan Investigasi Aktivitas yang Tidak Biasa: Lakukan pemantauan dan investigasi terhadap aktivitas yang mencurigakan untuk mendeteksi dan meminimalkan potensi kerusakan sebelum eskalasi lebih lanjut. Bagi pelanggan RevealX ExtraHop: Fitur identifikasi dan deteksi perangkat lunak RMM sudah dapat digunakan saat ini untuk membantu mengamankan jaringan Anda dari penyalahgunaan perangkat lunak remote access. Belum menjadi pelanggan? Hubungi ExtraHop Indonesia untuk mengetahui teknologi lebih lanjut terkait keamanan Perusahaan anda.

Network Detection and Response (NDR): Pengertian, Cara Kerja, Manfaat, dan Use Case Apa Itu Network Detection and Response (NDR)? Network Detection and Response (NDR) adalah solusi keamanan siber yang dirancang untuk mendeteksi aktivitas jahat dalam jaringan dengan cara menganalisis lalu lintas data jaringan secara real-time, kemudian merespons ancaman secara otomatis atau manual. Berbeda dengan Endpoint Detection and Response (EDR) yang fokus pada endpoint, NDR bekerja dengan mengumpulkan data dari paket-paket jaringan yang bergerak di jalur east-west (antar perangkat dalam jaringan internal) dan north-south (antara jaringan internal dengan eksternal). Menurut Gartner®, NDR menggunakan analitik perilaku untuk mendeteksi aktivitas abnormal, menganalisis paket mentah, metadata lalu lintas jaringan, dan menyediakan respons otomatis seperti karantina perangkat atau pemblokiran lalu lintas.   Bagaimana NDR Bekerja? Pengumpulan Data Jaringan: NDR mengambil salinan lalu lintas jaringan melalui SPAN port (port mirroring), TAP, atau packet broker. Data ini mencakup percakapan antar perangkat, alamat MAC, IP, port, dan informasi koneksi lainnya. Analisis dan Deteksi: Machine Learning: Mempelajari pola perilaku normal jaringan untuk mendeteksi aktivitas mencurigakan. Behavioral Analysis: Menganalisis perilaku jaringan untuk menemukan penyimpangan. Signature Analysis: Mencocokkan lalu lintas jaringan dengan indikator ancaman yang sudah dikenal (Indicators of Compromise/IoCs). Out-of-Band Monitoring: NDR bekerja di luar jalur utama lalu lintas (out-of-band), sehingga tidak mengganggu performa jaringan. Alat ini hanya mengamati dan mencatat data, tanpa mengintervensi lalu lintas asli. Respon Otomatis dan Manual: Mengisolasi perangkat yang terinfeksi. Memblokir lalu lintas mencurigakan. Mengintegrasikan dengan alat keamanan lain seperti SIEM dan SOAR.   Kemampuan Kritis NDR: Dekripsi Lalu Lintas Terenkripsi: Sebagian besar serangan kini menggunakan saluran terenkripsi, sehingga kemampuan mendekripsi lalu lintas menjadi penting. Analisis lalu lintas terenkripsi saja sering kali tidak cukup untuk mendeteksi serangan yang menggunakan protokol seperti MSRPC dan Kerberos. Dukungan Beragam Protokol: Mampu membaca dan mengurai berbagai protokol jaringan, aplikasi, database, dan internet. Semakin banyak protokol yang didukung, semakin tinggi akurasi deteksi.   Mengapa Data Jaringan Penting untuk Deteksi Ancaman? Sumber Data yang Paling Akurat: Data jaringan sulit diubah oleh penyerang, berbeda dengan log atau agen endpoint yang bisa dimanipulasi setelah sistem dikompromikan. Semua aktivitas, baik dari pengguna maupun perangkat, harus melewati jaringan. Oleh karena itu, memantau jaringan memberikan bukti yang tidak dapat disangkal. Deteksi Awal: Tanda-tanda awal serangan seperti beaconing ke Command and Control (C2), pencarian jaringan, pergerakan lateral, dan eskalasi domain paling mudah dideteksi melalui data jaringan.   Manfaat NDR: Visibilitas Ancaman Menyeluruh: Memantau lalu lintas north-south (masuk/keluar jaringan) dan east-west (antar perangkat dalam jaringan internal). Menyediakan deteksi ancaman yang tidak bisa diperoleh dari IDS, firewall generasi baru (NGFW), atau alat lainnya. Mitigasi Risiko: Mengidentifikasi perilaku penyerang di tahap awal, seperti: Komunikasi dengan server C2. Pemindaian dan eksplorasi jaringan. Pergerakan lateral. Eskalasi hak akses. Mengurangi dampak serangan dengan respons cepat. Penemuan Aset dan Shadow IT: Secara otomatis mengidentifikasi semua perangkat yang terhubung ke jaringan, termasuk perangkat yang tidak terkelola (unmanaged devices). Memberikan gambaran yang lebih jelas tentang permukaan serangan (attack surface) organisasi.   Use Case NDR: Deteksi dan Respon Ransomware: Mengidentifikasi klien yang menerima file berbahaya atau menghubungi IP mencurigakan. Deteksi berbasis AI terhadap perilaku pasca-kompromi. Investigasi cepat dan isolasi perangkat yang terinfeksi. Threat Hunting: Mencari aktivitas mencurigakan secara proaktif, sebelum terjadi insiden. Memanfaatkan data jaringan historis untuk analisis mendalam. Network Forensics: Melakukan investigasi pasca-insiden menggunakan rekaman lalu lintas jaringan. Memastikan bukti digital yang kuat untuk memahami cara serangan dilakukan. Deteksi Pergerakan Lateral: Mengungkap upaya penyerang berpindah dari satu sistem ke sistem lain dalam jaringan internal. Identifikasi Komunikasi C2: Mendeteksi perangkat yang mencoba terhubung dengan server yang dikendalikan oleh penyerang.   Kesimpulan: NDR menjadi alat penting dalam strategi keamanan modern, memberikan visibilitas mendalam terhadap aktivitas jaringan yang sulit dilihat dengan alat lain. Dengan kemampuan machine learning, analisis perilaku, dan dekripsi lalu lintas terenkripsi, NDR membantu organisasi mendeteksi ancaman lebih awal, merespons lebih cepat, dan meningkatkan ketahanan siber secara menyeluruh. Hubungi ExtraHop Indonesia untuk info lebih lanjut, POC terkait dengan solusi NDR.