Para pemimpin keamanan siber memiliki tugas yang berat dan perlu meningkatkan cakupan kerangka kerja keamanan mereka sebagai cara untuk melindungi perusahaan mereka secara efektif.
Pelanggaran data, serangan dan eksposur sangat umum, hanya berfokus pada pencegahan serangan, membuat perusahaan tidak siap jika mereka disusupi penyerang.
Sebuah laporan pelanggaran data dari IBM baru-baru ini menyatakan, bahwa rata-rata perusahaan memiliki peluang 27,7% untuk mengalami pelanggaran data.
Risiko ini telah mengakibatkan perluasan prioritas.
Selain mencegah serangan, perusahaan juga harus fokus pada alat deteksi, identifikasi, respons dan pemulihan untuk memberi tahu mereka kapan dan bagaimana mereka telah disusupi, selagi memberi mereka alat, data dan analisis yang diperlukan.
Solusi endpoint detection and response atau EDR adalah salah satu alat yang efektif dan mampu untuk memastikan kita dalam memantau endpoint dengan kemampuannya yang dapat mencegah adanya serangan atau perilaku yang mencurigakan.
Apakah EDR?
EDR adalah alat yang bisa memantau endpoint kita pada setiap perilaku yang mencurigakan, memperingatkan kita jika disusupi, serta memberikan data bermanfaat dan analisis perilaku yang akan mempermudah kita dalam mengidentifikasi penyerang, juga merespons dengan tepat, sehingga kita dapat mencegah kerusakan lebih lanjut.
Ini adalah komponen penting dari departemen keamanan siber yang tepat karena tidak hanya berfokus pada pencegahan serangan, tetapi juga menyediakan kemampuan mitigasi dalam mengurangi kerusakan akibat disusupi penyerang.
Mengingat bahwa endpoint sering kali dijadikan peretas untuk membahayakan perusahaan, EDR bisa menjadi prioritas bagi perusahaan mana pun.
Bagaimana Cara Kerja EDR dan Menemukan yang Terbaik?
Banyak endpoint yang bekerja cukup mirip dan kita harus mencari solusi keamanan EDR seperti berikut ini:
- Pemantauan endpoint dan pengumpulan data
Ini adalah fungsi utama EDR.
Dengan ini kita dapat mengumpulkan data seperti aktivitas, proses, koneksi, akses dan lainnya dari berbagai endpoint kita.
Semakin banyak endpoint yang dikumpulkan EDR, semakin kuat pula deteksi dan respons kita.
Solusi keamanan EDR yang tepat harus memiliki cakupan yang luas.
- Kemampuan respons
Cara bagaimana EDR memberi tahu kita dan menangani potensi pelanggaran atau skenario berbahaya adalah hal penting.
EDR yang efektif akan bekerja secara real time dan memberikan peringatan serta dasbor bermanfaat yang merangkum informasi dari upaya pemantauan berkelanjutan EDR.
Tergantung pada solusi EDR, mungkin ada tindakan otomatis yang memicu, namun kembali lagi pada perilaku atau agen yang terdeteksi.
Dengan ini kita dapat memastikan, jika di antara skenario kritis, respons atau perlindungan perusahaan kita tidak hanya bergantung pada tindakan pasca-peringatan, penyerang juga bisa ditahan atau dinetralisir oleh EDR itu sendiri.
- Investigasi forensik dan analisis perilaku
Solusi keamanan EDR yang efektif tidak hanya berhenti pada deteksi dan peringatan.
Perusahaan juga harus menyediakan kemampuan investigasi forensik di samping analisis perilaku (ini dapat dilakukan dengan bantuan AI, machine learning atau kemajuan teknologi tambahan).
Hal ini dapat memberikan gambaran lengkap tentang bagaimana penyerang mengkompromikan endpoint dan memasuki lingkungan kita.
Kita juga akan mendapatkan informasi penting yang akan membantu untuk menemukan kerentanan atau kemungkinan eksposur yang tidak diketahui, memberi kita area prioritas yang akan mencegah serangan atau kompromi serupa terjadi.
Pertimbangan Utama saat Mencari EDR
EDR memiliki kekuatan, kemampuan dan fitur berbeda yang mungkin bermanfaat atau tidak bagi perusahaan kita.
Kualitas yang tercantum di atas harus dianggap sebagai dasar yang harus dimiliki untuk EDR apa pun.
Kita juga harus memilih solusi EDR yang tepat untuk kebutuhan, termasuk: industri, ukuran, susunan departemen keamanan perusahaan kita, alat yang digunakan, vendor lain, dan lingkungan.
Pertanyaan yang Sering Ditanyakan Mengenai EDR Meliputi:
Bisakah EDR mendeteksi ancaman dan anomali?
EDR secara sederhana hanya memiliki daftar perilaku atau tindakan yang mungkin terpicu saat terdeteksi, tetapi jika diterapkan secara massal di semua endpoint kita, mungkin berakhir dengan banyak kesalahan positif.
Cari EDR yang memiliki lebih banyak variabilitas dalam cara mendeteksi perilaku yang mencurigakan dan pertimbangkan yang menggunakan kerangka kerja serangan tertentu cenderung lebih akurat dan menghasilkan lebih sedikit kesalahan positif.
Seberapa luas cakupannya?
Perusahaan akan terlihat sangat berbeda dari yang mereka lakukan sebelumnya.
Server dan jaringan lebih terputus dan vendor berbasis cloud telah digabungkan secara besar-besaran di sebagian besar perusahaan.
Tim sudah terdistribusi dengan penggunaan perangkat pribadi pada jaringan yang meningkat secara dramatis.
Kita harus memastikan solusi EDR dalam menangkap sifat luas lingkungan kita, sehingga dapat memantau semua endpoint perusahaan.
Seberapa besar kompleksitas perusahaan yang diperkenalkan?
Ini sebagian merupakan pertimbangan implementasi yang berbasis departemen.
Contohnya, seperti yang digunakan sebelumnya, jika EDR tim kita dibanjiri dengan peringatan, hal ini dapat menguras sumber daya berharga yang dapat digunakan di tempat lain.
Bagaimana dapat terintegrasi dengan lingkungan kita, merupakan hal yang penting.
Jika kita harus mengubah arsitektur secara drastis, kemungkinan kita tidak akan melihat manfaatnya beberapa bulan ke depan.
Perlukah XDR atau MDR?
Tergantung pada kebutuhan atau susunan perusahaan kita, mungkin kita memerlukan layanan eXtended endpoint detection (XDR) atau managed detection and response (MDR) yang terkelola.
XDR berfungsi untuk memperluas cakupan, menyediakan analitik keamanan tingkat perusahaan dan korelasi peristiwa keamanan dalam layanan EDR.
Ini memberikan layanan deteksi dan respons di luar endpoint (seperti lingkungan hibrid) sambil tetap mempertimbangkan perusahaan dan infrastruktur secara holistik.
Departemen keamanan, terkenal dengan kurangnya sumber daya dan kemungkinan perusahaan tidak memiliki jumlah pegawai untuk mengelola alat yang kaya data seperti EDR.
Sedangkan MDR menyediakan tim keamanan siber outsourcing yang didedikasikan untuk prioritas keamanan siber departemen kita.
EDR adalah komponen penting dari lapisan keamanan siber yang komprehensif
EDR dapat dengan cepat menjadi alat penting untuk departemen keamanan siber perusahaan mana pun, tetapi perlu beberapa pertimbangan yang cermat dan tepat saat memilih.
Jika kita berada di pasar, untuk memilih sesuatu, pastikan kita tidak membeli terlalu banyak kata kunci atau pemasaran yang menjanjikan dan memiliki teknologi mencolok, tanpa memastikan apakah barang tersebut dapat melayani kebutuhan mendasar kita juga.
Kita juga harus mempertimbangkan EDR sebagai bagian dari peta jalan keamanan siber yang secara keseluruhan bisa memahami bagaimana vendor dapat mendukung kita 6, 12, dan 18 bulan dari sekarang.
Seiring pertumbuhan dan skala perusahaan, mungkin berarti XDR atau MDR akan dibutuhkan di masa mendatang, jadi kita dapat merencanakan untuk ke depannya bisa memprioritaskan vendor EDR dengan kemampuan tersebut.
EDR adalah salah satu solusi terpenting yang harus tersedia untuk perusahaan kita, jadi pastikan untuk meluangkan waktu agar bisa memilih yang tepat.
