Apa itu deteksi dan respons data (DDR)?
Deteksi dan respons data (DDR) adalah teknologi keamanan siber yang memantau dan melindungi data dalam format dan lokasi apa pun di lingkungan lokal, cloud, dan multicloud .
Tidak seperti alat pencegahan kehilangan data (DLP) lainnya yang memantau infrastruktur jaringan dan titik akhir untuk mencari tanda-tanda aktivitas yang mencurigakan, alat DDR berfokus pada data itu sendiri, melacak pergerakan dan aktivitas data.
Dirancang sebagai pendekatan proaktif terhadap keamanan cloud, DDR melakukan deteksi ancaman siber terhadap data yang sedang diam atau bergerak secara real time. DDR juga mengotomatiskan respons terhadap serangan siber sehingga pelanggaran data, serangan ransomware, dan upaya eksfiltrasi lainnya dapat diatasi saat terjadi.
Perkuat intelijen keamanan Anda
Tetap terdepan dalam menghadapi ancaman dengan berita dan insight tentang keamanan, AI, dan lainnya, setiap minggu di Buletin Think.
Solusi DDR penting karena membantu mengatasi kerentanan data cloud yang didistribusikan di berbagai platform, aplikasi, penyimpanan data, dan lingkungan software as a service (SaaS).
Sifat komputasi cloud yang terbuka dan saling terhubung dapat membahayakan informasi sensitif seperti data pelanggan, informasi identifikasi pribadi (PII), dan data keuangan.
Laporan Biaya Pelanggaran Data IBM menemukan bahwa 40% pelanggaran data melibatkan data yang disimpan di berbagai lingkungan. Data yang dicuri dari cloud publik menimbulkan biaya pelanggaran rata-rata tertinggi sebesar USD 5,17 juta.
Dengan makin berkembangnya peraturan privasi data dan biaya pelanggaran data global yang mencapai titik tertinggi sepanjang masa, strategi keamanan data cloud yang efektif menjadi keharusan bisnis.
Solusi keamanan seperti deteksi dan respons titik akhir (EDR), deteksi dan respons yang diperluas (XDR ), dan firewall melindungi dari ancaman data di tingkat jaringan dan perangkat. Namun, karena perimeter jaringan sering kali bocor dalam jaringan yang terhubung dengan cloud, langkah-langkah keamanan ini memberikan perlindungan yang terbatas saat data berpindah atau ada secara bersamaan di beberapa sistem.
Sebaliknya, DDR beroperasi di luar batas jaringan. DDR memonitor dan melindungi data itu sendiri di mana pun lokasinya.
Dengan menggunakan penemuan data dan klasifikasi data, DDR menentukan lokasi data sensitif. DDR kemudian melacak pergerakan dan penggunaan data di seluruh lingkungan multicloud.
Kemampuan analitik tingkat lanjut dan deteksi anomali memungkinkan perangkat DDR mengidentifikasi aktivitas data berbahaya atau perilaku pengguna. Misalnya, akses tidak sah, pengunduhan informasi dalam jumlah besar, transfer data larut malam, atau alamat dari lokasi yang tidak biasa dapat menjadi sinyal serangan siber.
DDR biasanya diterapkan sebagai salah satu bagian dari sistem manajemen postur keamanan data (DSPM). DSPM memberikan pandangan terpusat tentang potensi ancaman di seluruh lingkungan cloud organisasi. DDR memberikan perlindungan data secara real-time untuk deteksi dan merespons ancaman-ancaman tersebut.
Organisasi juga dapat mengintegrasikan DDR dengan alat keamanan lain seperti manajemen postur keamanan cloud (CSPM); orkestrasi keamanan, otomatisasi, dan respons (SOAR); informasi keamanan dan manajemen peristiwa (SIEM), serta solusi manajemen risiko.
Ada empat komponen utama untuk solusi deteksi dan respons data:
- Pemantauan
- Deteksi
- Pemberitahuan
- Respons
DDR melakukan pemantauan log aktivitas data secara real-time dan terus menerus untuk mengidentifikasi dan mengisolasi insiden keamanan saat terjadi.
Saat melacak aliran data dan interaksi di berbagai platform cloud, DDR mengandalkan silsilah data untuk memantau potensi ancaman. Silsilah data menunjukkan asal, jalur, tujuan, dan Transformasi berbagai jenis data. Informasi ini membantu DDR menentukan kapan dan apakah data sensitif mungkin berisiko—misalnya, jika data berpindah ke sistem yang tidak terduga atau diubah dengan cara yang tidak terduga.
Saat memantau data, alat DDR ini menerapkan machine learning dan analisis perilaku untuk deteksi penyimpangan dari aktivitas dasar. Misalnya, permintaan akses data yang tidak biasa, pengunduhan informasi sensitif dalam jumlah besar, atau lonjakan aktivitas pengguna dapat menandakan adanya risiko.
Deteksi ancaman ini menjadi lebih akurat seiring berjalannya waktu karena DDR belajar mengenali penyimpangan yang makin halus dari pola dan perilaku normal.
Saat potensi pelanggaran atau anomali terdeteksi, DDR memicu peringatan untuk memberi tahu tim keamanan yang sesuai. Pembuatan peringatan dilakukan berdasarkan prioritas sehingga personel tidak kewalahan dengan pemberitahuan yang berlebihan atau kesalahan positif. Biasanya, hanya ancaman terhadap data sensitif yang memicu peringatan, sehingga tim dapat segera menyelidiki dan memperbaiki masalah tersebut.
Respons insiden adalah komponen terakhir dari deteksi dan respons data. Kemampuan respons otomatis DDR dapat mengambil tindakan segera untuk menahan pelanggaran data. Tindakan ini dapat mencakup mengisolasi sistem yang terpengaruh, menangguhkan lalu lintas jaringan dan memblokir izin pengguna
.DDR juga dapat menghasilkan laporan insiden yang mendalam untuk membantu tim memahami penyebab pelanggaran data sehingga mereka dapat memperbarui kebijakan keamanan yang sesuai.
Mencegah eksfiltrasi data
Eksfiltrasi data adalah pemindahan informasi yang tidak sah dari sistem internal suatu organisasi. Misalnya, seorang karyawan mungkin mencoba mengunduh kekayaan intelektual atau rahasia dagang sebelum meninggalkan perusahaan dan pindah ke perusahaan pesaing. Atau, seorang penjahat siber mungkin mencuri data pribadi yang dapat digunakan untuk melakukan penipuan kartu kredit.
DDR mencegah eksfiltrasi dengan memantau dan mendeteksi aktivitas data yang mencurigakan secara real time. Fungsionalitas respons otomatisnya dapat memblokir unduhan data berbahaya sebelum terjadi dan memperingatkan tim keamanan untuk mengambil tindakan lebih lanjut.
Mendeteksi ancaman orang dalam
Ancaman orang dalam dapat sulit dideteksi karena berasal dari pengguna yang sah dari organisasi, seperti karyawan, kontraktor dan mitra bisnis. Terkadang, kredensial yang sah dapat dicuri dan digunakan oleh penjahat siber.
Makin lama ancaman orang dalam tidak terdeteksi, makin besar kerusakan yang dapat ditimbulkan melalui pencurian atau manipulasi data untuk tujuan jahat.
DDR menawarkan keuntungan untuk mendeteksi ancaman orang dalam lebih cepat daripada solusi tradisional. Alih-alih mendeteksi pencurian data setelah terjadi, DDR dapat melihat tanda-tanda peringatan dini dari ancaman orang dalam. Melalui analisis perilaku dan deteksi anomali, DDR mengidentifikasi perilaku mencurigakan dari pengguna yang berwenang, memicu peringatan keamanan, dan merespons ancaman sebelum atau saat ancaman itu terjadi.
Mengurangi serangan ransomware
Ransomware adalah malware yang mengenkripsi data sensitif organisasi dan menyandera data tersebut hingga uang tebusan dibayarkan. Ini adalah salah satu bentuk perangkat lunak berbahaya yang paling umum dan dapat merugikan organisasi yang terkena dampaknya hingga jutaan dolar. Menurut Laporan Biaya Pelanggaran Data, serangan ransomware merugikan organisasi rata-rata sebesar USD 4,91 juta.
DDR dapat memitigasi serangan ransomware dengan memonitor dan mengidentifikasi anomali dalam akses data dan aktivitas data secara real time.
Contoh, DDR dapat deteksi enkripsi tak terduga dari sejumlah besar informasi, yang sering menandakan serangan ransomware. DDR kemudian dapat secara otomatis mengisolasi sistem yang terkena dampak untuk menahan serangan dan memperingatkan tim keamanan untuk mengambil tindakan lebih lanjut
Memantau dan mengelola kepatuhan
Organisasi berada di bawah tekanan untuk mematuhi peraturan perlindungan data seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) dan Peraturan Perlindungan Data Umum (GDPR). Ketidakpatuhan terhadap mandat ini dapat mengakibatkan denda, sanksi, dan kerusakan reputasi merek.
DDR membantu organisasi mengelola kepatuhan data dengan terus memantau data, melakukan audit data, dan melacak log akses. Fungsionalitas ini membantu organisasi memetakan kemampuan perlindungan data mereka dengan persyaratan peraturan. Setiap celah dalam perlindungan atau kemungkinan pelanggaran dapat dengan cepat diatasi dan diperbaiki.