Apa yang dimaksud dengan deteksi dan respons titik akhir (EDR)?

EDR mengumpulkan data secara terus menerus dari semua titik akhir di jaringan—komputer desktop dan laptop, server, perangkat seluler, perangkat IoT (Internet of Things), dan banyak lagi. Perangkat ini menganalisis data secara real time untuk mencari bukti ancaman siber yang diketahui atau dicurigai, dan dapat merespons secara otomatis untuk mencegah atau meminimalkan kerusakan dari ancaman yang diidentifikasi.

Pertama kali mendapat pengakuan dari Gartner pada tahun 2013, EDR diadopsi oleh perusahaan secara luas saat ini, dengan alasan yang bagus.

Studi memperkirakan bahwa sebanyak 90% serangan siber yang berhasil dan 70% pelanggaran data yang berhasil terjadi berasal dari perangkat titik akhir. Meskipun antivirus, anti-malware, firewall, dan solusi keamanan titik akhir tradisional lainnya telah berkembang seiring berjalannya waktu, solusi-solusi tersebut masih terbatas pada mendeteksi ancaman titik akhir yang diketahui, berbasis file, atau berbasis tanda tangan. Hal ini kurang efektif, misalnya, dalam menghentikan serangan rekayasa sosial, seperti pesan phishing yang memikat korban untuk membocorkan data sensitif atau mengunjungi situs web palsu yang berisi kode berbahaya. (Phishing adalah metode pengiriman ransomware yang paling umum.) Dan mereka tidak berdaya melawan makin banyaknya serangan siber 'tanpa file' yang beroperasi secara eksklusif di memori komputer untuk menghindari pemindaian file atau tanda tangan sama sekali.

Yang paling penting, alat keamanan titik akhir tradisional tidak dapat mendeteksi atau menetralisir ancaman tingkat lanjut yang menyelinap melewatinya. Hal ini memungkinkan ancaman tersebut untuk mengintai dan menjelajahi jaringan selama berbulan-bulan, mengumpulkan data dan mengidentifikasi kerentanan sebagai persiapan untuk meluncurkan serangan ransomware , eksploitasi zero-day, atau serangan siber skala besar lainnya.

EDR melanjutkan solusi keamanan titik akhir tradisional ini. Analisis deteksi ancaman dan kemampuan respons otomatisnya dapat—seringkali tanpa campur tangan manusia—mengidentifikasi dan menahan potensi ancaman yang menembus perimeter jaringan sebelum mereka dapat menyebabkan kerusakan serius. EDR juga menyediakan alat yang dapat digunakan tim keamanan untuk menemukan, menyelidiki, dan, mencegah ancaman yang dicurigai dan muncul secara mandiri.

Meskipun ada perbedaan di antara vendor, solusi EDR biasanya menggabungkan lima kemampuan inti: Pengumpulan data titik akhir yang berkelanjutan, analisis real time dan deteksi ancaman, respons ancaman otomatis, isolasi dan remediasi ancaman, dan dukungan untuk perburuan ancaman.

EDR secara terus menerus mengumpulkan data - data tentang proses, kinerja, perubahan konfigurasi, koneksi jaringan, unduhan atau transfer file dan data, pengguna akhir, atau perilaku perangkat - dari setiap perangkat titik akhir di jaringan. Data disimpan dalam database pusat atau data lake, biasanya dihosting di cloud.

Sebagian besar solusi keamanan EDR mengumpulkan data ini dengan memasang alat pengumpul data yang ringan, atau agen, di setiap perangkat titik akhir; beberapa mungkin mengandalkan kemampuan di sistem operasi titik akhir.

EDR menggunakan analisis canggih dan algoritma machine learning untuk mengidentifikasi pola yang menunjukkan ancaman yang diketahui atau aktivitas mencurigakan secara real-time, seiring perkembangannya.

Secara umum, EDR mencari dua jenis indikator: indikator penyusupan (IOC), yang merupakan tindakan atau peristiwa yang konsisten dengan potensi serangan atau pelanggaran; dan indikator serangan (IOA), yang merupakan tindakan atau peristiwa yang terkait dengan ancaman siber atau penjahat siber yang telah diketahui.

Untuk mengidentifikasi indikator ini, EDR mengkorelasikan data titik puncaknya sendiri secara real time dengan data dari layanan intelijen ancaman, yang memberikan informasi yang terus diperbarui tentang ancaman siber baru dan terbaru—taktik yang mereka gunakan, titik akhir atau kerentanan infrastruktur TI yang mereka eksploitasi, dan banyak lagi. Layanan intelijen ancaman dapat bersifat eksklusif (dioperasikan oleh penyedia EDR), pihak ketiga, atau berbasis komunitas. Selain itu, banyak solusi EDR juga memetakan data ke Mitre ATT&CK, sebuah basis pengetahuan global yang dapat diakses secara bebas mengenai taktik dan teknik ancaman siber peretas yang juga mendapatkan kontribusi dari pemerintah Amerika Serikat.

Analisis dan algoritme EDR juga dapat melakukan penyelidikan sendiri, membandingkan data real time dengan data historis dan garis dasar yang telah ditetapkan untuk mengidentifikasi aktivitas yang mencurigakan, aktivitas pengguna akhir yang menyimpang, dan apa pun yang mungkin mengindikasikan insiden atau ancaman keamanan siber. Mereka juga dapat memisahkan 'sinyal', atau ancaman yang nyata, dari 'kebisingan' positif palsu, sehingga analis keamanan dapat fokus pada insiden yang penting.

Banyak perusahaan mengintegrasikan EDR dengan solusi SIEM (informasi keamanan dan manajemen acara), yang mengumpulkan keamanan terkait di semua lapisan infrastruktur TI—tidak hanya titik akhir tetapi aplikasi, database, browser web, perangkat keras jaringan, dan banyak lagi. Data SIEM dapat memperkaya analisis EDR dengan konteks tambahan untuk mengidentifikasi, memprioritaskan, menyelidiki, dan memulihkan ancaman.

EDR merangkum data penting dan hasil analitik dalam konsol manajemen pusat yang juga berfungsi sebagai antarmuka pengguna (UI) solusi. Dari konsol, anggota tim keamanan mendapatkan visibilitas penuh ke setiap masalah titik akhir dan keamanan titik akhir, di seluruh perusahaan, dan meluncurkan investigasi, respons ancaman, dan remediasi yang melibatkan setiap dan semua titik akhir.

Otomatisasi adalah apa yang menjadikan 'respons'—respons yang benar-benar cepat—dalam EDR. Berdasarkan aturan yang telah ditetapkan sebelumnya yang ditetapkan oleh tim keamanan—atau 'dipelajari' dari waktu ke waktu oleh algoritme machine learning—solusi EDR dapat secara otomatis

• Memberi tahu analis keamanan terhadap ancaman tertentu atau aktivitas mencurigakan
• Melakukan triase atau memprioritaskan peringatan berdasarkan tingkat keparahannya
• Membuat laporan 'lacak kembali' yang melacak setiap pemberhentian insiden atau ancaman di jaringan, hingga ke akar penyebabnya
• Memutuskan sambungan perangkat titik akhir, atau log pengguna akhir dari jaringan
• Menghentikan proses sistem atau titik akhir
• Mencegah titik akhir mengeksekusi (mengaktifkan) file atau lampiran email yang berbahaya atau mencurigakan
• Memicu perangkat lunak antivirus atau anti-malware untuk memindai titik akhir lain di jaringan untuk ancaman yang sama

EDR dapat mengotomatiskan kegiatan investigasi dan remediasi ancaman (lihat di bawah). Selain itu, EDR dapat diintegrasikan dengan sistem SOAR (orkestrasi keamanan, otomatisasi, dan respons) untuk mengotomatiskan pedoman respons keamanan (urutan respons insiden) yang melibatkan alat keamanan lainnya.

Semua otomatisasi ini membantu tim keamanan merespons insiden dan ancaman dengan lebih cepat, untuk mencegah meminimalkan kerusakan yang dapat terjadi pada jaringan. Dan itu membantu tim keamanan bekerja seefisien mungkin dengan staf yang mereka miliki.

Setelah ancaman diisolasi, EDR menyediakan kemampuan yang dapat digunakan analis keamanan untuk menyelidiki lebih lanjut ancaman tersebut. Misalnya, analisis forensik membantu analis keamanan menentukan akar penyebab ancaman, mengidentifikasi berbagai file yang terdampak, dan mengidentifikasi kerentanan atau kerentanan yang dieksploitasi oleh penyerang untuk masuk dan bergerak di sekitar jaringan, mendapatkan akses ke kredensial autentikasi, atau melakukan aktivitas berbahaya lainnya.

Berbekal informasi ini, analis dapat menggunakan alat remediasi untuk menghilangkan ancaman. Remediasi mungkin melibatkan

• Menghancurkan file berbahaya dan menghapusnya dari titik akhir
  
• Memulihkan konfigurasi yang rusak, pengaturan registri, data dan file aplikasi
• Menerapkan pembaruan atau tambalan untuk menghilangkan kerentanan
• Memperbarui aturan deteksi untuk mencegah terulangnya insiden

Perburuan ancaman (juga disebut perburuan ancaman siber) adalah latihan keamanan proaktif di mana analis keamanan mencari jaringan untuk ancaman yang belum diketahui, atau ancaman yang diketahui belum dideteksi atau diperbaiki oleh alat keamanan siber otomatis organisasi. Ingat, ancaman tingkat lanjut dapat mengintai selama berbulan-bulan sebelum terdeteksi, mengumpulkan informasi sistem dan kredensial pengguna sebagai persiapan untuk pelanggaran skala besar. Perburuan ancaman yang efektif dan tepat waktu dapat mengurangi waktu yang diperlukan untuk mendeteksi dan memulihkan ancaman ini, serta membatasi atau mencegah kerusakan akibat serangan tersebut.

Pemburu ancaman menggunakan berbagai taktik dan teknik, yang sebagian besar mengandalkan sumber data, analitik, dan kemampuan otomatisasi yang sama dengan yang digunakan EDR untuk mendeteksi, merespons, dan melakukan remediasi ancaman. Sebagai contoh, seorang analis perburuan ancaman mungkin ingin mencari file tertentu, perubahan konfigurasi atau artefak lain berdasarkan analisis forensik, atau data MITRE ATT&CK yang menjelaskan metode penyerang tertentu.

Untuk mendukung perburuan ancaman, EDR menyediakan kemampuan ini bagi analis keamanan melalui cara berbasis UI atau terprogram, sehingga mereka dapat melakukan pencarian ad-hoc, kueri data, korelasi dengan intelijen ancaman, dan investigasi lainnya. Alat EDR yang ditujukan khusus untuk perburuan ancaman mencakup semuanya, mulai dari bahasa skrip sederhana (untuk mengotomatiskan tugas umum) hingga alat kueri bahasa alami.

EPP, atau platform perlindungan titik akhir, adalah platform keamanan terintegrasi yang menggabungkan perangkat lunak antivirus (NGAV) dan anti-malware generasi berikutnya dengan perangkat lunak kontrol web/filter web, firewall, gateway email, dan teknologi keamanan titik akhir tradisional lainnya.

Sekali lagi, teknologi EPP difokuskan terutama pada pencegahan ancaman yang diketahui, atau ancaman yang berperilaku dengan cara yang diketahui, pada titik akhir. EDR memiliki kemampuan untuk mengidentifikasi dan membendung ancaman yang tidak diketahui atau potensial yang melampaui teknologi keamanan titik akhir tradisional. Namun demikian, banyak EPP yang telah berevolusi untuk menyertakan kemampuan EDR seperti analisis deteksi ancaman tingkat lanjut dan analisis perilaku pengguna.

Seperti EDR, XDR (deteksi dan respons yang diperluas) dan MDR (deteksi dan respons terkelola) adalah solusi deteksi ancaman perusahaan yang didorong oleh AI dan analitik. Keduanya berbeda dari EDR dalam ruang lingkup perlindungan yang diberikan, dan cara disampaikan.

XDR mengintegrasikan alat keamanan di seluruh infrastruktur hybrid organisasi—tidak hanya titik akhir, tetapi juga jaringan, email, aplikasi, beban kerja cloud, dan banyak lagi—sehingga alat ini dapat saling beroperasi dan berkoordinasi dalam pencegahan, deteksi, dan respons terhadap ancaman siber. Seperti EDR, XDR mengintegrasikan SIEM, SOAR, dan teknologi keamanan siber perusahaan lainnya. Sebuah teknologi yang masih berkembang pesat, XDR memiliki potensi untuk membuat pusat operasi keamanan (SoC) yang kewalahan jauh lebih efisien dan efektif dengan menyatukan titik kontrol keamanan, telemetri, analitik, dan operasi ke dalam satu sistem perusahaan pusat.

MDR adalah layanan keamanan siber yang dialihdayakan yang melindungi organisasi terhadap ancaman yang melewati operasi keamanan siber sendiri. Penyedia MDR biasanya menawarkan layanan pemantauan, deteksi, dan remediasi ancaman 24 jam x 7 hari dari tim analis keamanan yang sangat terampil yang bekerja dari jarak jauh dengan teknologi EDR atau XDR berbasis cloud. MDR dapat menjadi solusi yang menarik bagi organisasi yang membutuhkan keahlian keamanan di luar apa yang dimiliki oleh stafnya, atau teknologi keamanan di luar anggarannya.