Jika Anda pernah menghabiskan waktu di dalam SOC layanan keuangan, Anda mungkin telah melihat ini secara langsung.
Organisasi terlindungi dengan baik di atas kertas. Kontrol perimeter yang kuat. Keamanan endpoint yang matang. SIEM yang menarik log dari mana-mana. Audit rutin. Laporan rutin. Namun, pelanggaran masih terjadi. Bukan karena tim tidak mampu, tetapi karena penyerang beroperasi di tempat-tempat yang tidak sepenuhnya terlihat oleh alat tradisional.
Titik buta itu adalah jaringan. Dan Network Detection and Response (NDR) adalah cara lembaga keuangan akhirnya menutupnya.
Keamanan Layanan Keuangan Terlihat Matang, Sampai Diuji
Bank, perusahaan asuransi, dan perusahaan investasi adalah beberapa organisasi yang paling sadar keamanan di dunia. Regulasi memaksa disiplin. Risiko memaksa investasi.
Tetapi sebagian besar tumpukan keamanan tumbuh secara bertahap. Alat ditambahkan untuk menyelesaikan masalah spesifik pada waktu tertentu:
- Firewall untuk mengontrol lalu lintas masuk dan keluar.
- Alat endpoint untuk menghentikan malware.
- SIEM untuk memusatkan log dan memenuhi kebutuhan kepatuhan.
Setiap lapisan berfungsi. Masalahnya adalah serangan modern tidak menghormati lapisan-lapisan tersebut. Mereka bergerak secara lateral. Mereka menggunakan kredensial yang valid. Mereka berkomunikasi secara diam-diam melalui saluran terenkripsi. Pada saat sesuatu terlihat jelas salah, penyerang sudah tertanam.
Bagaimana Serangan Keuangan Nyata Sebenarnya Terjadi
Dalam insiden dunia nyata, akses awal jarang menjadi peristiwa utama. Email phishing berhasil. Kredensial digunakan kembali. Koneksi pihak ketiga disalahgunakan. Tidak ada yang memicu alarm segera.
Apa yang terjadi selanjutnya adalah tempat risiko sebenarnya berada:
- Sistem internal mulai berkomunikasi dengan cara yang tidak familiar.
- Akses istimewa berkembang secara bertahap, bukan secara eksplosif.
- Data dipentaskan secara internal sebelum eksfiltrasi.
- Komunikasi eksternal berbaur dengan lalu lintas terenkripsi normal.
Dari perspektif firewall atau endpoint, tidak ada yang terlihat jelas berbahaya. Dari perspektif perilaku jaringan, semuanya telah berubah.
Mengapa Alat Tradisional Melewatkan Sinyal Ini
Deteksi endpoint difokuskan berdasarkan desain. Ini menjawab apa yang terjadi pada perangkat. SIEM berpusat pada log. Mereka memberi tahu Anda apa yang dilaporkan sistem setelah sesuatu terjadi. Keduanya tidak dirancang untuk menjawab pertanyaan kritis dalam lingkungan keuangan:
Apakah perilaku jaringan ini normal untuk bisnis kami?
Firewall mengizinkan lalu lintas berdasarkan aturan. Endpoint hanya melihat aktivitas mereka sendiri. Log tidak memiliki kontinuitas perilaku. Itu membuat tim keamanan bereaksi terhadap fragmen alih-alih memahami pola.
Apa yang Sebenarnya Ditambahkan oleh Network Detection and Response
NDR berfokus pada apa yang sulit dilihat oleh alat lain: perilaku jaringan yang berkelanjutan. Alih-alih hanya mengandalkan indikator yang diketahui, NDR menetapkan garis dasar tentang bagaimana sistem, pengguna, dan layanan biasanya berinteraksi. Kemudian menyoroti penyimpangan yang penting.
Ini termasuk:
- Komunikasi timur-barat yang tidak terduga antara sistem internal.
- Jalur autentikasi dan urutan akses yang tidak biasa.
- Sesi terenkripsi dan tujuan yang anomali.
- Pergerakan data yang tidak selaras dengan alur kerja bisnis.
Untuk lembaga keuangan, konteks perilaku ini sering kali merupakan sinyal yang dapat diandalkan pertama bahwa ada sesuatu yang salah.
Mengapa NDR Sangat Penting dalam Layanan Keuangan
1. Pergerakan Lateral adalah Vektor Risiko Utama
Setelah penyerang mendapatkan pijakan, mereka jarang tinggal diam. Pergerakan internal adalah cara mereka menemukan nilai.
Jaringan keuangan padat dan sangat terhubung, yang membuat pergerakan lateral sulit dideteksi tanpa visibilitas di seluruh jaringan. NDR mengekspos jalur tersebut dengan jelas.
2. Enkripsi Menyembunyikan Data dan Ancaman
Enkripsi tidak dapat dinegosiasikan dalam layanan keuangan. Tetapi itu juga membutakan alat inspeksi tradisional.
NDR tidak bergantung pada mendekripsi semuanya. Ini menganalisis metadata sesi, waktu, tujuan, dan perilaku untuk mengidentifikasi ancaman yang bersembunyi di dalam lalu lintas terenkripsi.
3. Lingkungan Hibrid dan Pihak Ketiga Meningkatkan Kompleksitas
Layanan cloud, API, mitra fintech, dan operasi yang dialihdayakan sekarang menjadi standar. Setiap koneksi memperkenalkan risiko.
NDR memberikan visibilitas yang konsisten di seluruh lingkungan on-prem, cloud, dan hibrid, membantu tim memahami bagaimana lalu lintas benar-benar mengalir, bukan hanya bagaimana diarsitekturkan.
4. Aktivitas Orang Dalam adalah Masalah Jaringan
Orang dalam jarang menerapkan malware. Mereka menyalahgunakan akses.
Tindakan mereka muncul sebagai perubahan halus dalam perilaku jaringan: di mana mereka terhubung, seberapa sering, dan apa yang mereka pindahkan. NDR adalah salah satu dari sedikit kontrol yang dirancang untuk menampilkan pola-pola tersebut sejak dini.
Seperti Apa NDR dalam SOC Keuangan yang Matang
Dalam praktiknya, NDR menjadi bagian dari operasi keamanan harian.
Tim menggunakannya untuk:
- Memvalidasi peringatan sebelum meningkatkan insiden.
- Merekonstruksi pergerakan penyerang selama investigasi.
- Menilai dampak dan radius ledakan sebelum penahanan.
- Mendukung audit dengan bukti perilaku yang konkret.
Alih-alih mengejar peringatan yang terisolasi, analis bekerja dari pandangan yang koheren tentang apa yang terjadi di seluruh jaringan. Itu memperpendek investigasi dan meningkatkan kepercayaan dalam keputusan respons.
Bagaimana NDR Cocok dengan Tumpukan Keamanan yang Ada
NDR tidak menggantikan SIEM, alat endpoint, atau platform SOAR. Ini memperkuat mereka.
- Peringatan endpoint mendapatkan konteks jaringan.
- Korelasi SIEM menjadi sadar perilaku.
- Alur kerja respons otomatis dipicu dengan kepercayaan yang lebih tinggi.
Lembaga keuangan yang mendapatkan nilai paling banyak dari NDR memperlakukannya sebagai lapisan visibilitas dan intelijen, bukan hanya alat deteksi lain.
Nilai Nyata dari NDR
Selama insiden, ketidakpastian adalah musuh. Pemimpin keamanan tidak hanya membutuhkan peringatan. Mereka membutuhkan jawaban:
- Sistem apa yang terlibat?
- Bagaimana penyerang bergerak?
- Data apa yang berisiko?
NDR memberikan kejelasan itu saat paling penting. Dan semakin banyak, lembaga keuangan menyadari bahwa tanpa visibilitas tingkat jaringan, bahkan program keamanan yang paling didanai dengan baik beroperasi dengan informasi yang tidak lengkap.
Kesimpulan
Ancaman siber dalam layanan keuangan tidak lagi didefinisikan oleh serangan keras atau malware yang jelas. Mereka didefinisikan oleh kehalusan, kesabaran, dan penyalahgunaan kepercayaan.
Network Detection and Response menangani realitas itu secara langsung. Ini tidak menjanjikan kesempurnaan. Ini memberikan visibilitas.
Untuk organisasi keuangan yang mengevaluasi cara memperkuat deteksi dan respons tanpa merombak seluruh tumpukan keamanan mereka, NDR layak untuk dipertimbangkan secara serius, bukan sebagai tambahan, tetapi sebagai lapisan fundamental.
Karena jika Anda tidak dapat melihat apa yang terjadi di dalam jaringan Anda, Anda selalu bereaksi terlambat. Dan dalam layanan keuangan, terlambat itu mahal.
