Deteksi dan respons data (DDR) adalah teknologi keamanan siber yang memantau dan melindungi data dalam format dan lokasi apa pun di lingkungan on premises, cloud, dan multicloud.
Tidak seperti alat pencegahan kehilangan data (DLP) lainnya yang memantau infrastruktur jaringan dan titik akhir untuk mencari tanda-tanda aktivitas yang mencurigakan, alat DDR berfokus pada data itu sendiri, melacak pergerakan dan aktivitas data.
Dirancang sebagai pendekatan proaktif terhadap keamanan cloud, DDR mendeteksi ancaman siber terhadap data tidak aktif atau bergerak secara real-time. DDR juga mengotomatiskan respons terhadap serangan siber sehingga pelanggaran data, serangan ransomware, dan upaya eksfiltrasi lainnya dapat dibendung saat terjadi.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Solusi DDR penting karena membantu mengatasi kerentanan data cloud yang terdistribusi di berbagai platform, aplikasi, penyimpanan data, dan lingkungan perangkat lunak sebagai layanan (SaaS).
Sifat komputasi cloud yang terbuka dan saling terhubung dapat membuat informasi sensitif seperti data pelanggan, informasi identifikasi pribadi (PII), dan data keuangan berisiko.
Laporan Biaya Pelanggaran Data IBM menemukan bahwa 40% pelanggaran data melibatkan data yang disimpan di berbagai lingkungan. Data yang dicuri dari cloud publik menimbulkan biaya pelanggaran rata-rata tertinggi yaitu USD 5,17 juta.
Dengan makin berkembangnya peraturan privasi data dan biaya pelanggaran data global yang mencapai titik tertinggi sepanjang masa, strategi keamanan data cloud yang efektif menjadi keharusan bisnis.
Solusi keamanan seperti deteksi dan respons titik akhir (EDR), deteksi dan respons yang diperluas (XDR), dan firewall melindungi dari ancaman data di tingkat jaringan dan perangkat. Namun, karena perimeter jaringan sering kali memiliki banyak celah di jaringan yang terhubung ke cloud, langkah-langkah keamanan ini memberikan perlindungan terbatas saat data bergerak atau data berada di beberapa sistem secara bersamaan.
Sebaliknya, DDR beroperasi di luar batas jaringan. DDR memantau dan melindungi data itu sendiri di mana pun lokasinya.
Dengan menggunakan penemuan dan klasifikasi data, DDR menentukan lokasi data sensitif. DDR kemudian melacak pergerakan dan penggunaan data di seluruh lingkungan multicloud.
Kemampuan analitik lanjutan dan deteksi anomali memungkinkan alat DDR untuk mengidentifikasi aktivitas data atau perilaku pengguna berbahaya. Misalnya, akses yang tidak sah, pengunduhan informasi dalam jumlah besar, transfer data tengah malam, atau alamat IP dari lokasi yang tidak biasa dapat menandakan adanya serangan siber.
DDR biasanya diterapkan sebagai salah satu bagian dari sistem manajemen postur keamanan data (DSPM). DSPM menyediakan gambaran terpusat tentang potensi ancaman di seluruh lingkungan cloud organisasi. DDR menyediakan perlindungan data real-time untuk deteksi dan menanggapi ancaman tersebut.
Organisasi juga dapat mengintegrasikan DDR dengan alat keamanan lain seperti manajemen postur keamanan cloud (CSPM), orkestrasi keamanan, otomatisasi, dan respons (SOAR), manajemen informasi dan peristiwa keamanan (SIEM), serta solusi manajemen risiko.
Ada empat komponen utama pada solusi deteksi dan respons data:
DDR melakukan pemantauan log aktivitas data secara real-time dan terus-menerus untuk mengidentifikasi dan mengisolasi insiden keamanan saat terjadi.
Karena melacak aliran data dan interaksi di beberapa platform cloud, DDR bergantung pada silsilah data untuk memantau potensi ancaman. Silsilah data menunjukkan asal, jalur, tujuan, dan transformasi dari berbagai jenis data. Informasi ini membantu DDR menentukan kapan dan apakah data sensitif mungkin berisiko, misalnya apakah data pindah ke sistem yang tidak terduga atau diubah dengan cara yang tidak terduga.
Saat memantau data, alat DDR menerapkan machine learning dan analitik perilaku untuk mendeteksi penyimpangan dari aktivitas dasar. Misalnya, permintaan akses data yang tidak biasa, pengunduhan informasi sensitif dalam jumlah besar, atau lonjakan aktivitas pengguna dapat menandakan adanya risiko.
Deteksi ancaman ini menjadi lebih akurat seiring berjalannya waktu karena DDR belajar mengenali penyimpangan yang makin halus dari pola dan perilaku normal.
Saat potensi pelanggaran atau anomali terdeteksi, DDR memicu peringatan untuk memberi tahu tim keamanan yang sesuai. Pembuatan peringatan dilakukan berdasarkan prioritas sehingga personel tidak kewalahan dengan pemberitahuan yang berlebihan atau positif palsu. Biasanya, hanya ancaman terhadap data sensitif yang memicu peringatan, sehingga tim dapat segera menyelidiki dan memperbaiki masalah tersebut.
Respon insiden adalah komponen terakhir dari deteksi dan respons data. Kemampuan respons otomatis DDR dapat mengambil tindakan segera untuk membendung pelanggaran data. Tindakan ini dapat mencakup mengisolasi sistem yang terpengaruh, menangguhkan lalu lintas jaringan dan memblokir izin pengguna.
DDR juga dapat menghasilkan laporan insiden yang mendalam untuk membantu tim memahami penyebab pelanggaran data sehingga mereka dapat memperbarui kebijakan keamanan dengan sesuai.
Eksfiltrasi data adalah transfer informasi tidak sah dari sistem internal organisasi. Misalnya, seorang karyawan mungkin mencoba mengunduh kekayaan intelektual atau rahasia dagang sebelum meninggalkan perusahaan untuk beralih ke pesaing. Atau penjahat siber mungkin mencuri data pribadi yang dapat digunakan untuk melakukan penipuan kartu kredit.
DDR mencegah eksfiltrasi dengan memantau dan mendeteksi aktivitas data yang mencurigakan secara real-time. Fungsionalitas respons otomatisnya dapat memblokir unduhan data berbahaya sebelum terjadi dan memperingatkan tim keamanan untuk mengambil tindakan lebih lanjut.
Ancaman orang dalam bisa sulit dideteksi karena berasal dari pengguna resmi organisasi, seperti karyawan, kontraktor, dan mitra bisnis. Terkadang, kredensial yang sah dapat dicuri dan digunakan oleh penjahat siber.
Makin lama ancaman orang dalam tidak terdeteksi, makin besar kerusakan yang dapat ditimbulkan melalui pencurian atau manipulasi data untuk tujuan jahat.
DDR menawarkan keuntungan untuk mendeteksi ancaman orang dalam lebih cepat daripada solusi tradisional. Alih-alih mendeteksi pencurian data setelah terjadi, DDR dapat melihat tanda-tanda peringatan dini dari ancaman orang dalam. Melalui analitik perilaku dan deteksi anomali, DDR mengidentifikasi perilaku mencurigakan dari pengguna yang berwenang, memicu peringatan keamanan, dan merespons ancaman sebelum atau saat ancaman itu terjadi.
Ransomware adalah malware yang mengenkripsi data sensitif organisasi dan menyanderanya sampai uang tebusan dibayarkan. Ini adalah salah satu bentuk perangkat lunak berbahaya yang paling umum dan dapat merugikan organisasi yang terkena dampak hingga jutaan dolar. Menurut Laporan Biaya Pelanggaran Data, serangan ransomware merugikan organisasi rata-rata sebesar USD 4,91 juta.
DDR dapat memitigasi serangan ransomware dengan memantau dan mengidentifikasi anomali dalam akses data dan aktivitas data secara real-time.
Misalnya, DDR dapat mendeteksi enkripsi tidak terduga dari sejumlah besar informasi, yang sering menandakan serangan ransomware. DDR kemudian dapat secara otomatis mengisolasi sistem yang terkena dampak untuk membendung serangan dan memperingatkan tim keamanan untuk mengambil tindakan lebih lanjut
Organisasi berada di bawah tekanan untuk mematuhi peraturan perlindungan data seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) dan Peraturan Perlindungan Data Umum (GDPR). Ketidakpatuhan terhadap mandat ini dapat membawa denda, sanksi, dan kerusakan reputasi merek.
DDR membantu organisasi mengelola kepatuhan data dengan terus memantau data, melakukan audit data, dan melacak log akses. Fungsionalitas ini membantu organisasi memetakan kemampuan perlindungan data mereka sesuai persyaratan peraturan. Setiap celah dalam perlindungan atau kemungkinan pelanggaran dapat dengan cepat diatasi dan diperbaiki.