Perkhidmatan Pemantauan Ancaman Rangkaian (NDR) di Malaysia 2026
Pemantauan ancaman rangkaian — yang dikenali sebagai Network Detection and Response (NDR) atau Network Traffic Analysis (NTA) — adalah lapisan deteksi yang dilihat trafik 'east-west' dalam rangkaian dalaman anda untuk mengenal pasti pergerakan lateral, exfiltration data, command-and-control beaconing, dan teknik pelampau yang terlepas dari EDR endpoint. Untuk syarikat Malaysia yang sudah ada SIEM dan EDR tetapi masih menjadi mangsa ransomware atau APT, NDR sering menjadi keping yang hilang. Panduan ini meliputi cara kerja NDR, kes guna utama, integrasi SOC, kos di pasaran MY, dan pemetaan ke BNM RMiT dan NACSA NCII.
Apa itu NDR dan mengapa ia berbeza dari IDS/IPS
Network Detection and Response (NDR) — kadang dipanggil Network Traffic Analysis (NTA) — adalah platform yang memantau trafik rangkaian secara pasif untuk mengesan tingkah laku yang luar biasa, terutamanya 'east-west' (trafik antara host dalaman) yang tidak melalui firewall perimeter. Vendor utama termasuk Darktrace, Vectra AI, ExtraHop, Corelight, dan modul NDR dalam platform XDR seperti Palo Alto Cortex dan Microsoft Defender for Identity.
NDR berbeza dari IDS/IPS tradisional. IDS/IPS perimeter menyemak trafik berasaskan signature untuk serangan yang dikenali. NDR menggunakan machine learning untuk membangunkan baseline trafik normal dan menanda sisihan — contohnya, satu workstation yang tiba-tiba mengimbas 254 host lain dalam subnet (port scanning), atau satu server yang membuat DNS query yang luar biasa kerap kepada domain tidak biasa (beacon C2).
NDR juga berbeza dari EDR. EDR melihat apa yang berlaku di dalam endpoint (proses, file changes, registry). NDR melihat trafik antara endpoint. Kedua-duanya melengkapi: EDR mungkin terlepas attacker yang menggunakan binari sah (living-off-the-land), tetapi NDR akan nampak pergerakan tidak biasa antara host. Sebaliknya, NDR mungkin tidak nampak attacker yang sudah berada di dalam satu host dengan akses sah.
Kes guna teras: apa NDR mengesan yang lain terlepas
Empat kes guna primer untuk NDR dalam konteks Malaysia:
- Lateral movement — attacker yang sudah masuk (selalunya melalui phishing atau VPN curi) bergerak melintang. NDR mengesan PsExec, WMI, RDP, dan SMB anomali antara workstation/server yang biasanya tidak berkomunikasi.
- Command-and-control (C2) beaconing — malware yang menyambung balik ke server attacker setiap interval tetap. NDR membaca pola interval dan domain reputasi untuk menanda beacon walaupun ia menggunakan HTTPS encrypted.
- Data exfiltration — pemindahan data besar keluar dari rangkaian dalaman. NDR mengesan volume luar biasa kepada destinasi pelik (Mega.nz, Pastebin, IP cloud asing), terutama dari host yang biasanya tidak melakukan upload.
- Insider threat dan privileged misuse — admin yang mengakses sistem di luar skop kerja, atau service account yang digunakan untuk interactive logon. NDR boleh meneropong pola akses tidak normal.
Seni bina: sensor pasif vs inline
NDR biasanya dipasang sebagai sensor pasif yang menerima copy trafik melalui TAP (Test Access Point) atau SPAN port pada switch teras dan distribution. Ini bermakna tiada impact prestasi pada rangkaian — sensor hanya melihat, tidak campur tangan. Pemasangan tidak memerlukan agen pada endpoint dan tidak membuka risiko prestasi baharu.
Lokasi sensor adalah kunci. Untuk syarikat Malaysia dengan rangkaian campus + DC, biasanya anda perlukan: (1) sensor pada perimeter (north-south) untuk DMZ dan internet egress, (2) sensor pada core switch DC untuk trafik east-west antara server, (3) sensor pada layer distribution untuk trafik antara cawangan/jabatan, dan opsyenal (4) sensor pada cloud VPC untuk persekitaran AWS/Azure.
Versi lebih canggih menambah inline response — apabila ancaman dikesan, NDR boleh meminta firewall atau NAC untuk memutus sesi atau quarantine host. Tetapi inline response menambah risiko (false positive boleh menjatuhkan trafik sah), jadi kebanyakan deployment Malaysia kekal pasif dengan eskalasi manual.
Integrasi dengan SOC dan SIEM
NDR tidak menggantikan SIEM atau SOC — ia satu sumber alert tambahan yang harus diintegrasikan ke dalam workflow SOC sedia ada. Apabila NDR menghasilkan alert, ia harus diforward ke SIEM untuk korelasi dengan log lain (siapa logged in, apa proses berjalan, alert EDR berkaitan), dan kemudian ditriaging oleh analis SOC mengikut playbook yang sama seperti alert lain.
Integrasi yang berkesan memerlukan pemetaan jelas: setiap alert NDR perlu mempunyai severity (low/medium/high/critical), pemilik (siapa siasat), SLA (berapa cepat respons), dan playbook (langkah-langkah respons). Tanpa ini, alert NDR akan tertimbus dalam noise SIEM.
Untuk syarikat tanpa SOC dalaman, MDR vendor yang menyediakan NDR sebagai sebahagian pakej akan menguruskan integrasi ini. Pelanggan menerima alert yang sudah ditriaged dengan konteks lengkap dan saranan tindakan.
Kos pasaran Malaysia 2026
Harga NDR di Malaysia 2026 berbeza-beza mengikut bilangan sensor, jumlah host yang dipantau, dan sama ada anda membeli platform sahaja atau termasuk perkhidmatan analis (managed NDR).
| Skala Deployment | Bilangan Sensor | Host Dipantau | Julat Kos (RM/tahun) |
|---|---|---|---|
| PKS, 1 lokasi | 1–2 sensor | 100–500 | 80,000 – 180,000 |
| Enterprise, 1 DC | 3–5 sensor | 500–2,000 | 180,000 – 400,000 |
| Multi-DC + cawangan | 6–15 sensor | 2,000–10,000 | 350,000 – 900,000 |
| Bank/GLC multinasional | 20+ sensor | 10,000+ | 800,000 – 2,500,000+ |
| Managed NDR (vendor SOC) | Termasuk pakej | — | +30–60% atas kos platform |
Pemetaan ke BNM RMiT dan NACSA NCII
BNM RMiT seksyen 10 (Cybersecurity) memerlukan pemantauan keselamatan berterusan dan kemampuan mengesan ancaman pelampau. Auditor BNM yang lebih matang semakin bertanya tentang liputan east-west — bukan sahaja firewall perimeter. Walaupun NDR tidak disebut secara nama dalam RMiT, dalam praktik institusi kewangan tier-1 di Malaysia sudah memasang NDR sebagai sebahagian SOC matang mereka.
Untuk operator NCII di bawah Akta Keselamatan Siber 2024, NACSA mengharapkan kemampuan deteksi ancaman yang merangkumi seluruh kitaran serangan, bukan hanya endpoint. NDR menjadi semakin biasa dalam dokumen postur keselamatan yang diserahkan kepada NACSA semasa audit pematuhan.
Apabila menulis dokumen pematuhan, posisikan NDR sebagai sebahagian lapisan 'Detect' dalam rangka NIST CSF — bersama EDR (endpoint detect) dan SIEM (log detect). Ini menunjukkan postur defense-in-depth yang dijangkakan oleh regulator MY moden.
Pertimbangan praktikal untuk PKS Malaysia
Bagi PKS Malaysia yang masih membangunkan keupayaan keselamatan, NDR kadang-kadang dianggap 'overkill' — dan dalam beberapa kes itu betul. Jika anda belum mempunyai EDR pada setiap endpoint, MFA universal, dan SIEM asas, NDR bukan keutamaan tertinggi. Bina asas dahulu.
Tetapi jika anda sudah mempunyai semua di atas dan masih kerap mengalami insiden (terutama lateral movement atau ransomware), NDR adalah pelaburan logik berikutnya. Banyak insiden ransomware Malaysia 2024-2026 melibatkan attacker yang sudah masuk selama 30+ hari, bergerak melintang, tanpa pernah dikesan EDR — kerana mereka menggunakan binari sah dan tidak menjana alert endpoint. NDR akan mengesan pergerakan tidak biasa itu.
Pilihan pelaksanaan untuk PKS: (a) beli platform NDR pilihan + sewa jurutera rangkaian untuk pasang dan tune (kos tinggi awal, kemudian operasi dalaman), (b) langgan managed NDR dari vendor MY (kos langganan, tetapi tiada pasukan dalaman diperlukan), atau (c) menerima NDR sebagai sebahagian pakej MDR yang lebih luas (selalunya paling kos efektif untuk PKS).
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Apa perbezaan antara NDR dan IDS/IPS warisan?
IDS/IPS warisan (Snort, Suricata standalone, Cisco Firepower) menggunakan signature untuk serangan yang dikenali, terutama pada perimeter (north-south). NDR menggunakan machine learning untuk membangunkan baseline tingkah laku dan menanda sisihan, dan ia menumpukan pada trafik east-west (antara host dalaman). NDR lebih baik mengesan attacker yang sudah masuk; IDS/IPS lebih baik mengesan eksploitasi yang dikenali pada perimeter.
Adakah NDR perlu jika saya sudah ada EDR pada semua endpoint?
Ya, kerana EDR dan NDR mengesan jenis tingkah laku berbeza. EDR melihat dalam endpoint (proses, file, registry). NDR melihat antara endpoint (siapa cakap dengan siapa, berapa kerap). Attacker yang menggunakan teknik 'living off the land' (PowerShell sah, PsExec, SMB) selalunya terlepas EDR tetapi nampak pada NDR sebagai pergerakan tidak biasa.
Bolehkah NDR melihat trafik HTTPS encrypted?
NDR moden boleh mengesan banyak corak ancaman dalam HTTPS tanpa decrypt — melalui analisis metadata (saiz packet, timing, JA3 fingerprint, certificate). Untuk decrypt penuh, anda perlu SSL inspection (memerlukan TLS interception infrastructure), yang menambah kompleksiti pematuhan PDPA. Kebanyakan deployment Malaysia menjalankan NDR tanpa decrypt penuh.
Berapa lama implementasi NDR mengambil masa?
Tipikal 4-8 minggu: minggu 1-2 untuk rancangan sensor placement dan TAP/SPAN setup, minggu 3-4 untuk pemasangan dan baseline awal, minggu 5-6 untuk tuning false positive, minggu 7-8 untuk go-live dengan SOC integration penuh.
Apakah vendor NDR yang paling biasa di Malaysia?
Yang paling kerap dijumpai: Darktrace (kuat dalam ML detection), Vectra AI (kuat dalam attacker behaviour), ExtraHop (kuat dalam protokol perbankan), Corelight (Zeek-based, popular untuk SOC matang), dan modul NDR dalam Cortex XDR/Microsoft Defender untuk syarikat dalam ekosistem vendor tersebut.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.