Mata Kuliah : Audit Sistem Informasi
Dosen : Prof. Dr. Apollo, M.Si., Ak.
Kuis Ke-7 ini bertema Cyber Security khususnya untuk Cyber Security Endpoint Detection and Response (EDR) dalam Audit. Tahapan pertama, saya akan membahas tentang aplikasi Cyber Security terlebih dahulu. Jaringan modern memiliki banyak titik akhir, termasuk workstation, server, dan instance mesin cloud. Setiap titik akhir rentan terhadap serangan, tetapi tim keamanan tidak dapat mengakses titik akhir, tidak dapat melihat aktivitas berbahaya yang terjadi di titik akhir, dan tidak dapat pergi ke titik akhir untuk menyelidiki dan menahan serangan. Banyak perusahaan telah beralih ke Endpoint Protection Platform (EPP) yang lebih lengkap untuk mengamankan endpoint mereka dalam beberapa tahun terakhir. Pendekatan penting untuk keamanan titik akhir adalah Endpoint Detection and Response (EDR), yang melacak insiden keamanan di titik akhir untuk mencegah kerusakan dan mencegah serangan.
Apa itu EDR?
Endpoint Detection and Response (EDR) mengacu pada praktik dan teknologi yang digunakan untuk memantau aktivitas titik akhir, mengidentifikasi ancaman, dan merespons serangan dengan memicu tindakan otomatis pada perangkat titik akhir. Perangkat lunak EDR dirancang untuk secara otomatis melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber yang dapat melewati perangkat lunak antivirus. Solusi EDR bekerja dengan mengidentifikasi insiden keamanan dan membantu tim keamanan memitigasinya. Anton Chuvakin dari Gartner menciptakan istilah ini pada tahun 2013, dengan penekanan pada penyediaan visibilitas terhadap insiden keamanan yang terjadi di titik akhir. Tujuan utama dari solusi EDR adalah untuk memperingatkan tim keamanan akan aktivitas berbahaya dan memungkinkan penyelidikan dan penahanan yang cepat terhadap serangan endpoint.
Platform Perlindungan Titik Akhir dan Kebutuhan akan EDR
Platform Perlindungan Titik Akhir (EPP) menyediakan antivirus lama (AV) dan Antivirus Generasi Berikutnya (NGAV). Teknik serangan modern dapat menghindari antivirus lawas, dan NGAV menyediakan perlindungan tambahan, termasuk langkah-langkah berbasis non-signature seperti analisis perilaku, AI, dan modul deterministik. Namun, jika serangan terjadi pada titik akhir, dan AV dan NGAV lama tidak dapat memblokirnya, tim keamanan akan mengalami kesulitan untuk mengatasi situasi tersebut. Mereka mungkin tidak mengetahui bahwa insiden keamanan terjadi pada titik akhir, dan tidak akan memiliki informasi forensik yang diperlukan untuk menyelidiki dan menanggapi serangan tersebut.
Bahkan dengan tindakan yang paling canggih sekalipun, beberapa serangan akan berhasil mengkompromikan titik akhir. EDR dikembangkan dengan kesadaran ini, untuk membantu tim keamanan dengan cepat mendeteksi serangan terhadap endpoint, dan mengumpulkan data secara real time untuk memfasilitasi respon. EDR juga memungkinkan kontrol jarak jauh terhadap endpoint untuk menahan serangan dan mencegahnya menyebar lebih jauh.
Saat ini EDR dianggap sebagai bagian yang tidak terpisahkan dari perlindungan titik akhir, dan banyak solusi EPP hadir dengan komponen EDR terintegrasi. Solusi EDR dapat mengurangi waktu respons insiden dalam hal serangan yang ditargetkan pada titik akhir, dan meningkatkan peluang untuk mendeteksi serangan dan menghentikannya lebih awal sebelum menyebar dan menyebabkan kerusakan.
Solusi EDR
Solusi EDR terdiri dari tiga mekanisme utama:
- Pengumpulan data titik akhir yang berkelanjutan-mengumpulkan data tentang peristiwa seperti eksekusi proses, komunikasi, dan login pengguna yang terjadi di titik akhir.
- Mesin deteksi-melakukan analisis data untuk menemukan anomali dan mendeteksi aktivitas berbahaya pada titik akhir.
- Perekaman data-memberi tim keamanan data waktu nyata tentang insiden keamanan di titik akhir, yang kemudian dapat digunakan untuk tujuan investigasi.
Jenis Ancaman