• February 18, 2025

Network Detection and Response (NDR) Didefinisikan: Manfaat, Use Case, Fitur, dan Kemampuan

Network Detection and Response (NDR): Pengertian, Cara Kerja, Manfaat, dan Use Case

Apa Itu Network Detection and Response (NDR)?

Network Detection and Response (NDR) adalah solusi keamanan siber yang dirancang untuk mendeteksi aktivitas jahat dalam jaringan dengan cara menganalisis lalu lintas data jaringan secara real-time, kemudian merespons ancaman secara otomatis atau manual.

Berbeda dengan Endpoint Detection and Response (EDR) yang fokus pada endpoint, NDR bekerja dengan mengumpulkan data dari paket-paket jaringan yang bergerak di jalur east-west (antar perangkat dalam jaringan internal) dan north-south (antara jaringan internal dengan eksternal).

Menurut Gartner®, NDR menggunakan analitik perilaku untuk mendeteksi aktivitas abnormal, menganalisis paket mentah, metadata lalu lintas jaringan, dan menyediakan respons otomatis seperti karantina perangkat atau pemblokiran lalu lintas.

 

Bagaimana NDR Bekerja?

  1. Pengumpulan Data Jaringan:
    • NDR mengambil salinan lalu lintas jaringan melalui SPAN port (port mirroring), TAP, atau packet broker.
    • Data ini mencakup percakapan antar perangkat, alamat MAC, IP, port, dan informasi koneksi lainnya.
  2. Analisis dan Deteksi:
    • Machine Learning: Mempelajari pola perilaku normal jaringan untuk mendeteksi aktivitas mencurigakan.
    • Behavioral Analysis: Menganalisis perilaku jaringan untuk menemukan penyimpangan.
    • Signature Analysis: Mencocokkan lalu lintas jaringan dengan indikator ancaman yang sudah dikenal (Indicators of Compromise/IoCs).
  3. Out-of-Band Monitoring:
    • NDR bekerja di luar jalur utama lalu lintas (out-of-band), sehingga tidak mengganggu performa jaringan.
    • Alat ini hanya mengamati dan mencatat data, tanpa mengintervensi lalu lintas asli.
  4. Respon Otomatis dan Manual:
    • Mengisolasi perangkat yang terinfeksi.
    • Memblokir lalu lintas mencurigakan.
    • Mengintegrasikan dengan alat keamanan lain seperti SIEM dan SOAR.

 

Kemampuan Kritis NDR:

  1. Dekripsi Lalu Lintas Terenkripsi:
    • Sebagian besar serangan kini menggunakan saluran terenkripsi, sehingga kemampuan mendekripsi lalu lintas menjadi penting.
    • Analisis lalu lintas terenkripsi saja sering kali tidak cukup untuk mendeteksi serangan yang menggunakan protokol seperti MSRPC dan Kerberos.
  2. Dukungan Beragam Protokol:
    • Mampu membaca dan mengurai berbagai protokol jaringan, aplikasi, database, dan internet.
    • Semakin banyak protokol yang didukung, semakin tinggi akurasi deteksi.

 

Mengapa Data Jaringan Penting untuk Deteksi Ancaman?

  • Sumber Data yang Paling Akurat:
    • Data jaringan sulit diubah oleh penyerang, berbeda dengan log atau agen endpoint yang bisa dimanipulasi setelah sistem dikompromikan.
    • Semua aktivitas, baik dari pengguna maupun perangkat, harus melewati jaringan. Oleh karena itu, memantau jaringan memberikan bukti yang tidak dapat disangkal.
  • Deteksi Awal:
    • Tanda-tanda awal serangan seperti beaconing ke Command and Control (C2), pencarian jaringan, pergerakan lateral, dan eskalasi domain paling mudah dideteksi melalui data jaringan.

 

Manfaat NDR:

  1. Visibilitas Ancaman Menyeluruh:
    • Memantau lalu lintas north-south (masuk/keluar jaringan) dan east-west (antar perangkat dalam jaringan internal).
    • Menyediakan deteksi ancaman yang tidak bisa diperoleh dari IDS, firewall generasi baru (NGFW), atau alat lainnya.
  2. Mitigasi Risiko:
    • Mengidentifikasi perilaku penyerang di tahap awal, seperti:
      • Komunikasi dengan server C2.
      • Pemindaian dan eksplorasi jaringan.
      • Pergerakan lateral.
      • Eskalasi hak akses.
    • Mengurangi dampak serangan dengan respons cepat.
  3. Penemuan Aset dan Shadow IT:
    • Secara otomatis mengidentifikasi semua perangkat yang terhubung ke jaringan, termasuk perangkat yang tidak terkelola (unmanaged devices).
    • Memberikan gambaran yang lebih jelas tentang permukaan serangan (attack surface) organisasi.

 

Use Case NDR:

  1. Deteksi dan Respon Ransomware:
    • Mengidentifikasi klien yang menerima file berbahaya atau menghubungi IP mencurigakan.
    • Deteksi berbasis AI terhadap perilaku pasca-kompromi.
    • Investigasi cepat dan isolasi perangkat yang terinfeksi.
  2. Threat Hunting:
    • Mencari aktivitas mencurigakan secara proaktif, sebelum terjadi insiden.
    • Memanfaatkan data jaringan historis untuk analisis mendalam.
  3. Network Forensics:
    • Melakukan investigasi pasca-insiden menggunakan rekaman lalu lintas jaringan.
    • Memastikan bukti digital yang kuat untuk memahami cara serangan dilakukan.
  4. Deteksi Pergerakan Lateral:
    • Mengungkap upaya penyerang berpindah dari satu sistem ke sistem lain dalam jaringan internal.
  5. Identifikasi Komunikasi C2:
    • Mendeteksi perangkat yang mencoba terhubung dengan server yang dikendalikan oleh penyerang.

 

Kesimpulan:

NDR menjadi alat penting dalam strategi keamanan modern, memberikan visibilitas mendalam terhadap aktivitas jaringan yang sulit dilihat dengan alat lain. Dengan kemampuan machine learning, analisis perilaku, dan dekripsi lalu lintas terenkripsi, NDR membantu organisasi mendeteksi ancaman lebih awal, merespons lebih cepat, dan meningkatkan ketahanan siber secara menyeluruh.

Hubungi ExtraHop Indonesia untuk info lebih lanjut, POC terkait dengan solusi NDR.

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • [email protected]