Apa itu NDR?
Hari ini deteksi dan respons jaringan (NDR) memiliki sejarah panjang, berkembang dari keamanan jaringan dan analisis lalu lintas jaringan (NTA)Definisi historis keamanan jaringan adalah menggunakan firewall perimeter dan Sistem Pencegahan Intrusi untuk menyaring lalu lintas yang masuk ke jaringan, tetapi seiring berkembangnya teknologi TI dan keamanan, definisinya kini jauh lebih luas karena serangan modern memanfaatkan pendekatan yang lebih kompleks.
Saat ini, keamanan jaringan adalah segala hal yang dilakukan perusahaan untuk memastikan keamanan jaringannya, dan segala hal yang terhubung dengannya. Ini termasuk jaringan, cloud (atau cloud), titik akhir, server, IoT, pengguna, dan aplikasi. Keamanan jaringan produk berupaya menggunakan tindakan pencegahan fisik dan virtual untuk melindungi jaringan dan asetnya dari akses tidak sah, modifikasi, penghancuran, dan penyalahgunaan.
Mengapa NDR penting?
NDR penting karena jaringan adalah tulang punggung infrastruktur TI, dan setiap pengguna dan perangkat terhubung dengannya—jaringan adalah satu-satunya sumber kebenaran jika Anda dapat melihat lalu lintas dengan cara yang berarti. Lalu lintas dari semua sistem Anda, termasuk titik akhir, server, aplikasi, dan internet, harus melewati jaringan, sehingga jaringan adalah sumber logis informasi sebenarnya tentang eksploitasi keamanan, dan NDR adalah alat yang menangkap informasi tersebut.
Ada banyak alat keamanan yang mencakup titik akhir, aplikasi seperti email, dan server, tetapi menganalisis data dan log dari alat-alat ini tidak cukup untuk menggagalkan serangan saat ini. Jika ada satu hal penting yang perlu diketahui tentang jaringan, itu adalah bahwa jaringan tidak berbohong. Itulah sebabnya NDR melengkapi perjalanan organisasi untuk Deteksi dan Respon Semuanya (yaitu, XDR) bersama dengan Deteksi dan Respons Titik Akhir (yaitu, EDR) untuk data titik akhir dan SIEM untuk log alat keamanan. Secara khusus, NDR melihat apa yang tidak dilihat oleh titik akhir dan log lainnya (seluruh jaringan; perangkat, aplikasi SaaS, perilaku pengguna), bertindak sebagai kumpulan data sebenarnya dan memungkinkan respons waktu nyata.
Bagaimana cara kerja NDR?
NDR solusi menggunakan teknik non-tanda tangan (misalnya, Mesin belajar atau teknik analitis lainnya) untuk serangan tak dikenal bersama dengan teknik berbasis tanda tangan berkualitas (misalnya intelijen ancaman yang digabungkan secara inline untuk peringatan) untuk serangan yang diketahui guna mendeteksi lalu lintas atau aktivitas yang mencurigakan. NDR dapat menyerap data dari yang didedikasikan sensor, firewall yang ada, IPS/IDS, metadata dari NetFlow, atau sumber data jaringan lainnya, dengan asumsi penempatan sensor dan/atau telemetri jaringan lainnya yang strategis. Lalu lintas utara/selatan dan lalu lintas timur/barat harus dipantau serta lalu lintas di lingkungan fisik dan virtual. Semua data dikumpulkan dan diagregasi dalam danau data pusat, diperkaya dengan konteks seperti Intelijen Ancaman, nama host dan/atau informasi pengguna, kemudian diproses oleh sistem canggih mesin AI untuk mendeteksi pola lalu lintas yang mencurigakan dan meningkatkan peringatan.
Setelah peringatan dipicu, analis atau NDR Solusinya harus merespon. Respon adalah bagian penting dari deteksi dan merupakan hal mendasar NDRRespons otomatis seperti mengirim perintah ke firewall untuk menjatuhkan lalu lintas yang mencurigakan atau ke EDR alat untuk mengkarantina titik akhir yang terpengaruh, atau respons manual seperti menyediakan alat perburuan ancaman atau investigasi insiden adalah elemen umum NDR.
Bagaimana Anda mengintegrasikan NDR dengan alat keamanan lainnya?
Alat NDR terintegrasi dengan alat keamanan lainnya melalui antarmuka pemrograman aplikasi (API) yang disediakan oleh NDR vendor. Tentu saja, jika Anda menggunakan Stellar Cyber Open XDR Platform, NDR sudah terintegrasi di dalamnya, bersama dengan generasi berikutnya SIEM dan intelijen ancaman.
