Keamanan siber menjadi semakin penting dalam era digital saat ini. Endpoint Detection and Response (EDR) adalah salah satu pendekatan kunci dalam melindungi sistem dan perangkat akhir dari serangan siber. Artikel ini akan membahas secara mendalam tentang EDR, termasuk konsep dasarnya, bagaimana EDR bekerja, manfaatnya, serta contoh kasus nyata yang menggambarkan keefektifan EDR dalam menghadapi ancaman siber.
1. Pendahuluan
Keamanan siber adalah salah satu aspek paling penting dalam dunia digital saat ini. Dengan serangan siber yang semakin kompleks dan beragam, organisasi dan individu harus mengambil langkah-langkah yang kuat untuk melindungi data, perangkat, dan infrastruktur mereka dari ancaman siber. Endpoint Detection and Response (EDR) adalah salah satu elemen yang krusial dalam strategi keamanan siber, dan dalam artikel ini, kami akan menguraikan secara rinci konsep EDR, bagaimana EDR bekerja, manfaatnya, dan memberikan contoh kasus nyata yang memperlihatkan pentingnya EDR dalam menghadapi ancaman siber.
Â
2. Konsep Dasar EDR
EDR adalah istilah yang digunakan oleh Gartner untuk menggambarkan sistem keamanan kelas lain yang mengidentifikasi dan memeriksa perilaku meragukan pada host dan titik akhir. Hal ini dibersihkan dengan tingkat motorisasi tertentu yang memperingatkan keselamatan tenaga kerja dan mempertimbangkan waktu reaksi yang cepat. EDR adalah pendekatan keamanan siber yang difokuskan pada perlindungan perangkat akhir (endpoints), seperti komputer, laptop, server, dan perangkat mobile, dari serangan siber. Konsep dasar EDR melibatkan deteksi, respons, dan pemantauan keamanan pada level akhir sistem. Berikut adalah beberapa konsep dasar dalam EDR:Â
2.1. Deteksi: EDR menggunakan teknologi deteksi yang canggih untuk mengidentifikasi aktivitas mencurigakan atau aneh pada perangkat akhir. Ini termasuk pemantauan lalu lintas jaringan, perilaku pengguna, serta analisis malware.
2.2. Respons: EDR memungkinkan respons yang cepat terhadap ancaman. Ketika aktivitas mencurigakan terdeteksi, sistem EDR akan merespons dengan mengisolasi perangkat atau mengambil tindakan lain untuk mencegah penyebaran serangan.Â
2.3. Pemantauan: EDR secara terus-menerus memantau perangkat akhir, sehingga dapat mendeteksi ancaman yang muncul dalam waktu nyata. Hal ini memungkinkan respons cepat terhadap serangan sebelum kerusakan yang signifikan terjadi.
3. Bagaimana EDR Bekerja
3.1. Pemantauan Aktivitas
Proses EDR dimulai dengan pemantauan aktivitas pada perangkat akhir. Ini mencakup pengamatan aktivitas sistem, lalu lintas jaringan, perilaku pengguna, dan tanda-tanda lain yang dapat mengindikasikan ancaman siber.
3.2. Deteksi Ancaman
Sistem EDR menggunakan algoritma dan aturan yang canggih untuk mendeteksi ancaman siber. Ini termasuk mendeteksi malware, perilaku mencurigakan, atau aktivitas yang tidak sesuai dengan pola normal.Â
3.3. Analisis Ancaman
Setelah ancaman terdeteksi, sistem EDR melakukan analisis lebih lanjut untuk memahami tingkat keparahan ancaman dan dampaknya. Hal ini membantu dalam menentukan langkah-langkah respons yang sesuai.
3.4. Respons Terhadap Ancaman
Sistem EDR merespons ancaman dengan berbagai cara. Ini dapat mencakup isolasi perangkat dari jaringan, menghentikan proses jahat, atau menghapus malware. Respons harus sesuai dengan tingkat keparahan ancaman.
3.5. Pemulihan dan Investigasi
Setelah ancaman diatasi, EDR dapat membantu dalam pemulihan sistem ke keadaan normal. Selain itu, data yang terkumpul selama insiden dapat digunakan untuk penyelidikan lebih lanjut.
4. Manfaat EDR
Penggunaan EDR dalam strategi keamanan siber memberikan berbagai manfaat yang signifikan. Beberapa manfaat utama EDR adalah:
4.1. Deteksi Dini Ancaman
EDR memungkinkan deteksi dini ancaman siber sebelum mereka memiliki kesempatan untuk menyebabkan kerusakan yang signifikan. Hal ini memungkinkan respons yang lebih cepat dan efisien.
4.2. Respons Cepat
Sistem EDR merespons ancaman dalam waktu nyata. Hal ini membantu dalam mencegah serangan menyebar ke perangkat lain dan mengurangi dampak serangan.
4.3. Isolasi Perangkat
Jika perangkat terinfeksi, EDR dapat mengisolasi perangkat dari jaringan untuk mencegah penyebaran lebih lanjut. Ini membantu dalam mengendalikan dan membatasi serangan.
4.4. Pemulihan yang Cepat
Setelah serangan diatasi, EDR membantu dalam pemulihan sistem ke keadaan normal dengan cepat. Hal ini mengurangi waktu henti operasional yang disebabkan oleh serangan.
4.5. Analisis dan Investigasi
Sistem EDR menyimpan data yang dapat digunakan untuk penyelidikan lebih lanjut terhadap serangan. Hal ini membantu dalam memahami sumber ancaman dan mencegah serangan serupa di masa depan.
5. Contoh Penggunaan Aplikasi
Huntress adalah perangkat Endpoint Detection and Response (EDR) yang bertujuan untuk mengidentifikasi dan merespons ancaman keamanan pada endpoint (komputer dan perangkat akhir lainnya). Untuk memahami input, proses, dan output pada Huntress, berikut adalah penjelasannya:
5.1 Input (Masukan):
 Input utama untuk Huntress adalah data dan aktivitas yang diterima dari endpoint yang dimonitor. Ini mencakup informasi tentang proses, file, registri, jaringan, dan aktivitas lain pada perangkat tersebut.Huntress juga menerima informasi tentang perubahan sistem, aktivitas pengguna, dan aliran data lainnya dari endpoint yang diawasi. Data ini digunakan sebagai dasar untuk melakukan analisis keamanan.
5.2 Proses:
- Analisis Data: Huntress EDR menganalisis data yang diterima dari endpoint dengan menggunakan berbagai algoritma kecerdasan buatan dan tanda tangan ancaman. Analisis data ini mencakup mencari tanda-tanda perilaku mencurigakan yang mungkin merupakan ancaman keamanan.
- Deteksi Ancaman: Setelah menganalisis data, Huntress EDR mencoba mendeteksi ancaman keamanan yang potensial, seperti malware, peretasan, atau aktivitas jahat lainnya.
- Analisis Ancaman: Jika ancaman terdeteksi, Huntress EDR melakukan analisis lebih lanjut terhadap ancaman tersebut untuk memahami sifatnya, metode penyebarannya, dan potensi dampaknya. Ini melibatkan pelacakan aktivitas ancaman melalui endpoint dan jaringan.
- Tanggapan: Berdasarkan analisis, Huntress EDR dapat memberikan rekomendasi tindakan, memungkinkan administrator atau tim keamanan untuk mengambil langkah-langkah seperti mengisolasi endpoint, memblokir alamat IP jahat, menghapus malware, atau tindakan keamanan lainnya.
5.3 Output (Keluaran):
- Notifikasi: Jika Huntress EDR mendeteksi ancaman, itu akan menghasilkan notifikasi yang akan diberitahukan kepada administrator atau tim keamanan. Notifikasi ini berisi informasi tentang ancaman, tingkat keparahan, dan rekomendasi tindakan yang harus diambil.
- Laporan Keamanan: Huntress EDR sering menghasilkan laporan keamanan yang mencakup informasi tentang ancaman yang dideteksi, tindakan yang diambil, dan rekomendasi perbaikan. Laporan ini membantu organisasi dalam mengaudit dan meningkatkan strategi keamanan mereka.
- Tindakan: Tindakan yang diambil oleh administrator atau tim keamanan, seperti mengisolasi endpoint yang terinfeksi atau memblokir alamat IP jahat, juga merupakan keluaran dari sistem Huntress.
Berikut ini adalah beberapa contoh kasus penggunaan Huntress dalam mengatasi ancaman keamanan pada endpoint:
1. Deteksi Ransomware:Sebuah perusahaan menginstal Huntress EDR pada semua komputer karyawan mereka. Salah seorang karyawan mengklik lampiran e-mail yang berisi ransomware tanpa menyadari. Huntress mendeteksi perubahan yang tidak biasa pada beberapa file yang cepat dienkripsi oleh ransomware. Segera setelah ancaman terdeteksi, perangkat Huntress memberi notifikasi kepada administrator yang dapat segera mengisolasi komputer karyawan tersebut dan mencegah penyebaran ransomware ke endpoint lainnya.
2. Penghapusan Malware Persisten: Huntress EDR terus memonitor semua endpoint di sebuah perusahaan. Setelah beberapa minggu, sistem mendeteksi kehadiran malware yang berusaha menghindari deteksi dengan berubah secara teratur. Huntress mendeteksi pola aktivitas yang mencurigakan dan memberi tahu tim keamanan. Tim tersebut menggunakan rekomendasi Huntress untuk menemukan dan menghapus malware tersebut dari seluruh sistem.
3. Deteksi Aktivitas Peretasan:Sebuah organisasi memiliki server web yang menjadi sasaran serangan. Huntress EDR mengidentifikasi upaya peretasan yang berulang-ulang ke server tersebut. Administrator segera mendapatkan notifikasi dan dapat merespons dengan mengganti kata sandi, mengisolasi server, dan menganalisis potensi celah keamanan.
4. Monitor Perilaku Penggunaan Aplikasi:Â Huntress digunakan untuk memantau perilaku penggunaan aplikasi di sebuah organisasi. Perangkat ini mendeteksi pengguna yang mencoba menginstal atau menjalankan aplikasi yang tidak sah di komputer mereka. Tim keamanan dapat mengambil tindakan untuk mengisolasi atau menghapus aplikasi yang tidak sah dan memberikan pelatihan keamanan kepada pengguna yang terlibat.
5. Melacak Aktivitas Karyawan yang Mencurigakan: Sebuah perusahaan menggunakan Huntress untuk melacak aktivitas karyawan yang mencurigakan, seperti upaya akses yang tidak sah ke data sensitif atau percobaan mencuri informasi rahasia. Huntress membantu organisasi ini dalam melindungi data dan merespons potensi ancaman internal.
Berikut ini adalah langkah-langkah dalam menginstalasi aplikasi huntress sebagai berikut:
1. Buka situs https://www.g2.com/categories/endpoint-detection-response-edr/free dari sini tersedia berbagai EDR secara free trial atau berbayar, kemudian pilih huntress (free trial 14 hari), maka akan muncul tampilan sepertiÂ
2. Kemudian isi semua formulir yang diminta Nama lengkap, email, company name, Â password (10 digit)
3. Setelah berhasil, lalu mengkonfirmasi email yang terdaftar, kemudian login ke situs huntress dan lakukan scan barcode dengan google authenticator
4. Kemudian akan tampil dashbord seperti dibawah ini, lalu download agent
5. Setelah berhasil masukan salinan kode yang tertera pada saat di situs hauntress "e3ce0a475ffeb32e5da399fdfab5bd4b" (setiap user memiliki kode akses yang berbeda)
6.setelah berhasil terinstall maka perangkat akan masuk ke dashboard dengan tampilan sebagai berikut:
7. Setelah perangkat terdaftar sebagai agent maka admin dapat memonitor masalah keamanan yang terjadi pada perangkat tersebut atau memonitor aktivitas dari pengguna perangkat tersebut yang dapat menimbulkan masalah keamanan. Contohnya seperti antivirus yang terinstall pada perangkat tersebut dan apakah ada virus yang terdeteksi pada perangkat tersebut atau tidak, berikut hasil outpunya, bahwa pada LAPTOP-0v079TAP- Antivirus terdeteksi menggunakan Windows defender dengan security center status (enable) dan service (running)
8. Pada bagian reports & analytics dapat memuat hasil monitoring dan dapat mendownload (preview trial) dapat dilihat pada tampilan dibawah iniÂ
Pada systems protected (changes analyzed, potential threat indicators, indepth invegestigations, incidents reported) menghasilkan 0 (zero) case , dan  dalam incident Summary dilaporkan "there were  0 (zero) case incidents reported for your organization during the timeframe of this report."
9. Ransomware Canaries (Canary dalam konteks keamanan sistem) adalah alat atau teknik yang digunakan untuk mendeteksi atau mencegah serangan ransomware sebelum atau selama serangan tersebut terjadi.Â
Dalam reports Ransomware Canaries disajikan terdapat 0 active incidents (critical, high, low) dan 0 resolved incidents
6. Kesimpulan
EDR adalah komponen penting dalam strategi keamanan siber modern. Konsep dasar EDR melibatkan deteksi, respons, dan pemantauan keamanan pada level akhir sistem. Penggunaan EDR memberikan manfaat berupa deteksi dini ancaman, respons cepat, isolasi perangkat yang terinfeksi, pemulihan yang cepat, dan data untuk analisis dan investigasi.
Daftar Pustaka:
https://fajar.huntress.io/org/278865/reports/preview.pdf?organization=278865
https://www.huntress.com/platform/ransomware-canaries
https://www.huntress.com/platform/managed-edr
Sjarif, N. N. A., Chuprat, S., Mahrin, M. N. R., Ahmad, N. A., Ariffin, A., Senan, F. M., ... & Saupi, A. (2019, October). Endpoint detection and response: Why use machine learning?. In 2019 International Conference on Information and Communication Technology Convergence (ICTC) (pp. 283-288). IEEE.
