Mata Kuliah : Audit Sistem Informasi
Dosen       :  Prof. Dr. Apollo, M.Si., Ak.
Kuis Ke-7 ini bertema Cyber Security khususnya untuk Cyber Security Endpoint Detection and Response (EDR) dalam Audit. Tahapan pertama, saya akan membahas tentang aplikasi Cyber Security terlebih dahulu. Â Jaringan modern memiliki banyak titik akhir, termasuk workstation, server, dan instance mesin cloud. Setiap titik akhir rentan terhadap serangan, tetapi tim keamanan tidak dapat mengakses titik akhir, tidak dapat melihat aktivitas berbahaya yang terjadi di titik akhir, dan tidak dapat pergi ke titik akhir untuk menyelidiki dan menahan serangan. Banyak perusahaan telah beralih ke Endpoint Protection Platform (EPP) yang lebih lengkap untuk mengamankan endpoint mereka dalam beberapa tahun terakhir. Pendekatan penting untuk keamanan titik akhir adalah Endpoint Detection and Response (EDR), yang melacak insiden keamanan di titik akhir untuk mencegah kerusakan dan mencegah serangan.
Apa itu EDR?
Endpoint Detection and Response (EDR) mengacu pada praktik dan teknologi yang digunakan untuk memantau aktivitas titik akhir, mengidentifikasi ancaman, dan merespons serangan dengan memicu tindakan otomatis pada perangkat titik akhir. Perangkat lunak EDR dirancang untuk secara otomatis melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber yang dapat melewati perangkat lunak antivirus. Solusi EDR bekerja dengan mengidentifikasi insiden keamanan dan membantu tim keamanan memitigasinya. Anton Chuvakin dari Gartner menciptakan istilah ini pada tahun 2013, dengan penekanan pada penyediaan visibilitas terhadap insiden keamanan yang terjadi di titik akhir. Tujuan utama dari solusi EDR adalah untuk memperingatkan tim keamanan akan aktivitas berbahaya dan memungkinkan penyelidikan dan penahanan yang cepat terhadap serangan endpoint.
Platform Perlindungan Titik Akhir dan Kebutuhan akan EDR
Platform Perlindungan Titik Akhir (EPP) menyediakan antivirus lama (AV) dan Antivirus Generasi Berikutnya (NGAV). Teknik serangan modern dapat menghindari antivirus lawas, dan NGAV menyediakan perlindungan tambahan, termasuk langkah-langkah berbasis non-signature seperti analisis perilaku, AI, dan modul deterministik. Namun, jika serangan terjadi pada titik akhir, dan AV dan NGAV lama tidak dapat memblokirnya, tim keamanan akan mengalami kesulitan untuk mengatasi situasi tersebut. Mereka mungkin tidak mengetahui bahwa insiden keamanan terjadi pada titik akhir, dan tidak akan memiliki informasi forensik yang diperlukan untuk menyelidiki dan menanggapi serangan tersebut.
Bahkan dengan tindakan yang paling canggih sekalipun, beberapa serangan akan berhasil mengkompromikan titik akhir. EDR dikembangkan dengan kesadaran ini, untuk membantu tim keamanan dengan cepat mendeteksi serangan terhadap endpoint, dan mengumpulkan data secara real time untuk memfasilitasi respon. EDR juga memungkinkan kontrol jarak jauh terhadap endpoint untuk menahan serangan dan mencegahnya menyebar lebih jauh.
Saat ini EDR dianggap sebagai bagian yang tidak terpisahkan dari perlindungan titik akhir, dan banyak solusi EPP hadir dengan komponen EDR terintegrasi. Solusi EDR dapat mengurangi waktu respons insiden dalam hal serangan yang ditargetkan pada titik akhir, dan meningkatkan peluang untuk mendeteksi serangan dan menghentikannya lebih awal sebelum menyebar dan menyebabkan kerusakan.
Solusi EDRÂ
Solusi EDR terdiri dari tiga mekanisme utama:
- Pengumpulan data titik akhir yang berkelanjutan-mengumpulkan data tentang peristiwa seperti eksekusi proses, komunikasi, dan login pengguna yang terjadi di titik akhir.
- Mesin deteksi-melakukan analisis data untuk menemukan anomali dan mendeteksi aktivitas berbahaya pada titik akhir.
- Perekaman data-memberi tim keamanan data waktu nyata tentang insiden keamanan di titik akhir, yang kemudian dapat digunakan untuk tujuan investigasi.
Jenis AncamanÂ
Jenis ancaman apakah yang terdeteksi oleh EDR? Dengan memberikan visibilitas ke titik akhir Anda, solusi EDR dapat membantu Anda mendeteksi ancaman yang mungkin terlewatkan oleh tindakan keamanan titik akhir lainnya. Ini termasuk:
- Malware yang dapat menghindari penyerang AV atau NGAV lama terus mengembangkan teknik serangan baru. Jika AV atau NGAV pada perangkat tidak mendeteksi untaian malware baru, EDR dapat mendeteksi tanda-tanda bahwa perangkat terinfeksi.
- Serangan tanpa berkas - eksploitasi tanpa berkas tidak menulis file ke disk, sehingga dapat menghindari AV dan, dalam beberapa kasus, NGAV juga. Meskipun EDR tidak dapat memblokir serangan tanpa berkas, EDR dapat membantu mendeteksi bahwa serangan telah terjadi dan membantu analis keamanan untuk menyelidiki dan menanggulanginya.
- Ancaman orang dalam dan akun yang disusupi-orang dalam yang jahat atau penyerang eksternal dapat menggunakan akun pengguna yang ada untuk menyebabkan kerusakan. EDR dapat mengidentifikasi bahwa pengguna yang seharusnya sah berperilaku dengan cara yang tidak biasa, yang mengindikasikan bahwa akun tersebut mungkin telah disusupi.
Bagaimana EDR Bekerja
Solusi EDR bekerja dengan mengidentifikasi insiden keamanan dan membantu tim keamanan untuk memitigasinya. Proses ini biasanya melibatkan langkah-langkah berikut:
- Memantau titik akhir- pemantauan berkelanjutan terhadap semua perangkat titik akhir.
- Gunakan analisis perilaku untuk mendeteksi anomali - menetapkan garis dasar perilaku untuk setiap perangkat, mendeteksi aktivitas yang menyimpang dari pola normal, dan mendeteksi ketika aktivitas tersebut melebihi ambang batas yang dapat diterima dan mungkin berbahaya.
- Karantina titik akhir dan proses yang terpengaruh- segera setelah insiden keamanan ditemukan, secara otomatis mengisolasi perangkat titik akhir dan menghentikan proses yang mencurigakan yang berjalan di dalamnya.
- Melacak kembali ke titik masuk asli penyerang- mengumpulkan data tentang titik masuk potensial untuk serangan, memberikan lebih banyak konteks di luar aktivitas di titik akhir saat ini.
- Memberikan informasi tentang anomali dan dugaan pelanggaran- memberikan semua yang dibutuhkan analis untuk menyelidiki insiden tersebut.
Bagaimana hubungan EDR dengan Audit?
Endpoint Detection and Response (EDR) dapat digunakan untuk tujuan audit guna mengumpulkan dan menganalisis data endpoint untuk mengidentifikasi potensi insiden keamanan. Hubungan antara audit dan EDR dapat dijelaskan sebagai berikut:
- Audit internal dan EDR: Audit internal bertanggung jawab untuk memastikan bahwa semua risiko yang dihadapi perusahaan telah ditangani secara optimal, sedangkan EDR bertanggung jawab untuk mengidentifikasi dan merespon ancaman di tingkat endpoint. EDR dapat digunakan oleh audit internal untuk mengumpulkan data endpoint dan mengidentifikasi potensi insiden keamanan yang mungkin terlewatkan oleh metode audit tradisional.
- Audit eksternal dan EDR: Audit eksternal adalah pihak independen yang memberikan layanan profesional kepada klien, termasuk audit. EDR dapat digunakan oleh audit eksternal untuk mengumpulkan data endpoint dan mengidentifikasi potensi insiden keamanan yang mungkin terlewatkan oleh metode audit tradisional. EDR juga dapat digunakan untuk memvalidasi efektivitas kontrol internal klien dan mengidentifikasi area yang perlu ditingkatkan.
- Persyaratan audit dan kepatuhan: Solusi EDR menggunakan analitik canggih untuk menganalisis data titik akhir, yang memungkinkan tim keamanan siber mengidentifikasi pola, anomali, dan tren. Laporan dan visualisasi yang komprehensif membantu dalam memahami postur keamanan, mengidentifikasi risiko, dan menerapkan persyaratan kepatuhan. Audit dapat menggunakan laporan EDR untuk menilai efektivitas postur keamanan klien dan kepatuhan terhadap peraturan dan standar industri.
Singkatnya, EDR dapat digunakan sebagai alat audit untuk mengumpulkan dan menganalisis data titik akhir untuk mengidentifikasi potensi insiden keamanan yang mungkin terlewatkan oleh metode audit tradisional. EDR juga dapat digunakan untuk memvalidasi efektivitas kontrol internal dan mengidentifikasi area yang perlu ditingkatkan. Laporan EDR dapat digunakan oleh audit untuk menilai efektivitas postur keamanan klien dan kepatuhan terhadap peraturan dan standar industri.
Download aplikasi Endpoint Detection and Response (EDR)
Hal pertama yang harus kita lakukan adalah mendonlod aplikasi Cyber Security yang disesuaikan dengan budget, skala /lingkup perusahaan anda. Dalam aplikasi Acronis ini saya mencoba start free atau mencoba gratis
Kemudian mengisi semua data yang diperlukan , tetapi di sini ada bayaran untuk bulan berikutnya, tapi saya mencoba mengisi apa yang diminta dalam form tersebut.
Karena ada sedikit kekhawatiran saya terhadap pembayaran aplikasi ini, akhirnya saya keluar dari website tersebut,mencoba aplikasi CVyber Security lain
Gambar tersebut adalah aplikasi CrowdStrike , setelah saya mencoba "try for free", hampir sama dengan aplikasi sebelumnya,akhirya saya tidak menggunakan aplikasi tersebut
Aplikasi ke-3 yang saya mencoba gunakan adalah Sophos, bisa dilihat ratingnya, cukup memuaskan. Namun, aplikasi ini tidak didonlod melainkan menggunakan sistem cloud.
Setelah mengklik "try for free", akan masuk melalui link yang terdapat dalam tautan balasan email pribadi yang kita masukkan untuk menggunakan aplikasi ini.
jika sudah berhasil mengisi form dalan tautan balasan email, akan muncul seperti gambar di atas, dan isi semua data yang diperlukan, lalu centang dalam box yang kita inginkan kemudian "SUBMIT"
Dalam gambar di atas, aplikasi Sophos siap digunakan untuk Audit dalam Keunggulan Sophos XG Firewall adalah memberikan visibilitas yang luar biasa kepada aplikasi, pengguna, dan jaringan Anda. XG Firewall memberikan perlindungan terbaik terhadap ancaman terbaru seperti ransomware, cryptomining, bot, worm, retas, pelanggaran, dan APT. Sophos XG Firewall adalah satu-satunya solusi keamanan jaringan yang secara otomatis mengidentifikasi sumber infeksi jaringan dan membatasi akses ke sumber daya jaringan lain sebagai reaksi.
Gambar tersebut menggambarkan Platform Manajemen Pusat Sophos adalah cherry on the cake, karena memungkinkan Anda untuk mengawasi semua kebutuhan keamanan Anda. Perlindungan titik akhir dan firewall berkomunikasi satu sama lain melalui Sophos Central. Ini adalah sistem yang harus dilihat untuk dipercaya karena merupakan konsep sederhana namun efektif yang memungkinkan perusahaan Anda dilindungi dengan lebih baik dari ancaman tingkat lanjut. Berbagai cara Sophos dapat membantu bisnis Anda disebutkan di atas. Kunjungi situs web mereka atau hubungi kami untuk informasi lebih lanjut.
Berikut ini adalah input, proses, dan output dari aplikasi EDR:
Input
- Perangkat titik akhir: EDR mengumpulkan data dengan memasang alat pengumpul data yang ringan, atau agen, pada setiap perangkat titik akhir
- Layanan intelijen ancaman: EDR mengkorelasikan data titik akhir miliknya secara real-time dengan data dari layanan intelijen ancaman, yang memberikan informasi yang terus diperbarui mengenai ancaman siber yang baru dan terkini
- Aktivitas titik akhir: EDR mencatat aktivitas dan peristiwa yang terjadi di titik akhir dan semua beban kerja, memberikan tim keamanan visibilitas yang mereka butuhkan untuk mengungkap insiden yang seharusnya tidak terlihat.
Proses
- Deteksi ancaman: EDR menggunakan analitik canggih dan algoritme pembelajaran mesin untuk mengidentifikasi pola yang mengindikasikan ancaman yang diketahui atau aktivitas mencurigakan secara real-time, saat terjadi
- Investigasi insiden: EDR menawarkan kemampuan deteksi, investigasi, dan respons ancaman tingkat lanjut, termasuk pencarian data insiden dan triase peringatan investigasi, validasi aktivitas mencurigakan, perburuan ancaman, serta deteksi dan penahanan aktivitas berbahaya
- Otomatisasi: EDR menyediakan kemampuan respons otomatis yang dapat mengidentifikasi dan menahan potensi ancaman yang menembus perimeter jaringan, seringkali tanpa campur tangan manusia
Keluaran
- Tanggapan insiden: EDR membantu tim keamanan dengan cepat mendeteksi serangan pada titik akhir dan mengumpulkan data secara real-time untuk memfasilitasi respons
- Pencegahan ancaman: EDR dapat mencegah kerusakan dan mencegah serangan di masa depan dengan memberikan visibilitas ke dalam insiden keamanan yang terjadi pada titik akhir
- Persyaratan kepatuhan: Solusi EDR memanfaatkan analitik canggih untuk menganalisis data titik akhir, yang memungkinkan tim keamanan siber mengidentifikasi pola, anomali, dan tren. Laporan dan visualisasi yang komprehensif membantu dalam memahami postur keamanan, mengidentifikasi risiko, dan menerapkan persyaratan kepatuhan
Contoh nyata dari EDR yang sedang bekerja adalah ketika pengguna mengklik email phishing dan tanpa sadar mengunduh malware ke perangkat endpoint mereka. Perangkat lunak EDR yang diinstal pada perangkat mendeteksi aktivitas mencurigakan dan mengirimkan peringatan kepada tim keamanan. Solusi EDR kemudian secara otomatis mengisolasi perangkat endpoint dari jaringan dan mulai mengumpulkan data tentang insiden tersebut. Tim keamanan kemudian dapat menggunakan solusi EDR untuk menyelidiki insiden tersebut, mengidentifikasi sumber serangan, dan mengambil tindakan yang tepat untuk mencegah kerusakan lebih lanjut.
Kualitas audit adalah kemungkinan seorang auditor atau akuntan pemeriksa menemukan kesalahan dalam sistem akuntansi suatu organisasi dan melaporkannya dalam laporan audit. Kemungkinan menemukan kesalahan tergantung pada kemampuan teknikal auditor, yang dapat dilihat pada pengalaman, pendidikan, profesionalisme, dan struktur audit perusahaan. Sementara kemungkinan melaporkan kesalahan tersebut dalam laporan audit tergantung pada kemampuan teknikal auditor tersebut.
REFRENSI:
Boynton, Johnson, dan Kell.2003. Modern Auditing Jilid 1 Edisi Ketujuh (Alih Bahasa Rajoe, P.A., Gania, G., Budi, I. S.). Jakarta : Erlangga.
https://www.crowdstrike.com/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/
https://www.forbes.com/advisor/business/what-is-edr/
https://www.ibm.com/topics/edr
https://www.jabetto.com/news/sophos-melindungi-bisnis-dari-ancaman-cyber/#post/0
Nency Lisbeth, Yanuar Ramadhan. (2022). PENGARUH HUBUNGAN DEKAT AUDITOR DAN KLIEN TERHADAP INDEPENDENSI AUDITOR. Universitas Esa Unggul, Volume 7 No. 1 edisi Februari.
