Nilai Deteksi dan Respons yang Diperluas

(Untuk Marco Rottigni)
05/01/22

In Keamanan cyber, apa artinya Deteksi dan Respons yang Diperluas (XDR)? Fitur apa yang dimiliki sistem XDR? Bagaimana itu bisa membantu seseorang yang terkena serangan?

La Keamanan cyber itu membutuhkan holisme

Salah satu keyakinan saya tentang masalah Keamanan cyber adalah bahwa serangan dilakukan pada endpoint; atau, setidaknya, bahwa titik kontak antara dunia digital dan pengguna sangat penting dan mendasar untuk terjadinya serangan.

Ini sebenarnya adalahendpoint tempat di mana pengguna - yang selalu menjadi mata rantai terlemah dalam rantai pertahanan - berinteraksi dengan dunia maya, diekspos secara online, yang dikompromikan oleh upaya serangan.

Di era modernisasi digital dan penggunaan cloud yang masif ini, penyebaran efek serangan dicirikan oleh viralitas dan penyebaran yang mengesankan.

Semua ini memberikan ujian berat pada kemampuan perusahaan untuk mendeteksi dan merespons dalam waktu yang memadai untuk mengurangi dampak, serta konsekuensi yang sangat merusak dalam hal reputasi, keuangan, dan kelangsungan bisnis.

Selain contoh yang paling langsung, kebenaran dari apa yang dinyatakan tetap ada bahkan dalam skenario yang paling kompleks: pengguna mengakses lingkungan pengembangan dengan bentuk autentikasi yang kuat, bertanggung jawab atas konfigurasi sistem sumber daya cloud; selama proses terraforming (istilah yang biasanya digunakan untuk mendefinisikan fase konfigurasi) lupa instruksi untuk mengurangi daftar IP yang dapat mengakses instans penyimpanan yang dikonfigurasi. Di sini dibuat - sekali lagi berkat interaksi antara pengguna dan dunia maya melalui a endpoint - kondisi ideal untuk serangan kebocoran data in awan.

Contoh kasus lain bisa jadi arsitektur Active Directory dikonfigurasi dengan buruk, dengan sistem milik domain tidak standar dan banyak dari mereka tidak mendukung. Jika terjadi serangan, menjadi penting untuk mendukung ketahanan ekosistem, yang postur keamanannya jelas tidak optimal, menghubungkan indikator anomali dengan informasi dari manajemen aset.

Oleh karena itu muncul dua pertanyaan penting:

  1. Bagaimana mendeteksi peristiwa anomali ini dengan cara yang paling holistik, menghubungkan semua titik untuk meningkatkan pemahaman konteks dan urgensi untuk memprioritaskan intervensi?
  2. Bagaimana melakukan deteksi ini secepat mungkin, untuk mempercepat respon dan remediasi?

Il waktu tinggal

Secara lebih umum, masalah lama adalah meminimalkan waktu tinggal: ini adalah nama waktu yang berlalu antara kompromi ekosistem dan saat kompromi terdeteksi.

Menurut laporan oleh mandiant pada tahun 2021, jumlah rata-rata hari waktu tinggal pada tahun 2020 di EMEA meningkat menjadi 66 hari, dari 54 pada tahun 2019. Angka ini tidak hanya merupakan tanda rata-rata memburuk, tetapi memperluas angka rata-rata kami menemukan situasi yang sangat mengkhawatirkan1, yang saya laporkan dalam ilustrasi berikut - diambil dari laporan.

Data yang seharusnya membuat kita berpikir menyangkut waktu tinggal berkaitan dengan serangan eksternal, yaitu di mana organisasi menerima pemberitahuan tentang kompromi dari luar karena tidak dapat mendeteksi kompromi tepat waktu dengan sumber dayanya sendiri.

Dalam 225 hari, planet Venus menyelesaikan satu lingkaran penuh mengelilingi Matahari! Bayangkan tingkat kerusakan yang dapat dilakukan penyerang yang termotivasi terhadap organisasi yang dapat dikompromikannya. Untuk mendapatkan gambaran yang lebih tepat tentang kerusakan dan biaya yang berasal dari serangan ini, di mana keabadian menawarkan penyerang sepanjang waktu untuk melakukan semua jenis tindakan di ekosistem yang dikompromikan, adalah mungkin untuk merujuk ke Laporan Investigasi Pelanggaran Data oleh Verizon.

Memecahkan masalah: dari EDR ke XDR, melalui MDR

Untuk mengurangi masalah ini dengan meningkatkan kemampuan yang diperlukan, solusi dari: Deteksi dan Respons Endpoint.

Bantuan nyata dari EDR ada pada dua tingkat:

  1. deteksi dan pemblokiran preventif dari upaya kompromi, dengan tindakan aktif yang serupa dengan antivirus canggih.
  2. identifikasi konteks pasca-kompromi, untuk menyederhanakan deteksi anomali yang lolos dari pencegahan dan memungkinkan tindakan respons untuk mengurangi kerusakan: misalnya karantina file, penghentian proses yang berjalan, isolasi terkontrol dari mesin yang terinfeksi dalam jaringan.

Alat yang sangat kuat dan efektif ini sering kurang dimanfaatkan oleh perusahaan karena kelangkaan atau ketidakmampuan sumber daya internal. Situasi ini telah mendorong permintaan dan lahirnya layanan khusus yang akan membuat skala ekonomi dalam keterampilan dan sumber daya yang diperlukan untuk menjalankan sistem deteksi dan respons secara efektif atas nama pihak ketiga.

Layanan ini diberi nama Deteksi dan Respons Terkelola atau MDR.

Namun, dikatakan di awal bagaimana meningkatnya kompleksitas keanekaragaman hayati digital, yang menjadi ciri setiap organisasi modern, menimbulkan masalah visibilitas seluruh ekosistem TI. Visibilitas yang buruk yang merupakan batas besar untuk aktivitas deteksi dan respons yang sangat penting untuk postur tubuh yang benar keamanan cyber.

Kebutuhan holistik ini telah menentukan evolusi konsep EDR menuju deteksi dan respons yang diperluas untuk mencakup seluruh lanskap digital suatu organisasi: oleh karena itu akronim XDR, Deteksi dan Respons yang Diperluas.

Sistem XDR memungkinkan Anda untuk fokus pada perilaku anomali yang khas dari strategi serangan, dengan mempertimbangkan sinyal dari seluruh ekosistem yang cukup dinormalisasi dan berkorelasi untuk dapat dikonsumsi oleh manusia.

Oleh karena itu, tidak hanya telemetri yang terlihat diendpoint, terdiri dari file, proses, dan komunikasi jaringan yang diterima dan dimulai ke luar; tetapi informasi dari lingkungan sekitar tentang interaksi yangendpoint dia memiliki entitas yang sama dan serupa, oleh karena itu yang lain endpoint, atau perangkat IoT, router, firewall, proxy, sistem manajemen identitas, sumber daya cloud, dan banyak lagi.

Logika ini menjelaskan mengapa XDR dianggap oleh banyak CISO sebagai solusi untuk masalah lama yang masih mempengaruhi efektivitas dan efisiensi Keamanan cyber defensif.

XDR dicirikan oleh tiga fitur pembeda penting:

- kemampuan untuk berintegrasi dengan elemen sekitarnya dengan cara dua arah: yaitu, dengan menerima aliran informasi tentang peristiwa yang dilacak, tetapi juga dengan mengirimkan instruksi tentang reaksi yang hanya dapat dilakukan oleh elemen-elemen ini. Contoh dengan sistem proxy adalah memblokir navigasi ke situs web tertentu sebagai sumber unduhan berbahaya.

- kemampuan untuk menganalisis telemetri yang diterima dan terdeteksi: yaitu untuk menormalkan dan mengkorelasikan sejumlah besar data secara praktis dalam waktu nyata, menggunakan bentuk kecerdasan buatan (AI) yang memungkinkan untuk menemukan sinyal, jalur remah roti yang ditinggalkan oleh penyerang, di tengah pantai besar yang sangat mirip butiran pasir di antara mereka. Operasi ini tentu tidak akan berada dalam jangkauan tim operasi keamanan mana pun dan biasanya didelegasikan ke infrastruktur cloud karena komputasi dan kapasitas penyimpanan data yang tinggi yang dibutuhkannya.

Perhatikan bahwa kecerdasan buatan harus tipologi diawasi, yaitu, untuk mengambil manfaat dari pra-pendidikan yang memungkinkan untuk mengidentifikasi yang jahat dari yang anomali dan yang normal. Untuk mempelajari lebih lanjut tentang berbagai jenis AI, saya merujuk ke yang menarik artikel yang diterbitkan Orazio Danilo Russo Juli lalu.

- Kemampuan untuk merespon secara aktif, menggunakan antarmuka komunikasi yang disebut API (Application Programming Interface), melalui teknologi yang terintegrasi. Biasanya tindakan ini terjadi mengikuti prosedur yang telah dikodekan sebelumnya yang disebut Playbook, yang menjelaskan berbagai urutan operasi untuk mempercepat dan mengotomatiskan respons sebanyak mungkin.

Tak perlu dikatakan lagi bahwa kapasitas holistik yang digunakan oleh sistem XDR yang terintegrasi dengan baik dengan ekosistem TI-nya sangat meningkatkan sumber daya khusus, baik yang ada di dalam organisasi maupun yang akhirnya diaktifkan melalui layanan MDR.

Oleh karena itu, pertanyaan di akhir artikel ini adalah: bagaimana cara mengukur efektivitas sistem XDR?

Jawaban yang ingin saya usulkan disusun dalam dua bidang: evaluasi kualitatif dan metrik.

Dari sudut pandang kualitatif, XDR harus meningkatkan tiga bidang:

- Analisis Keamanan, yaitu, kumpulan data yang dikumpulkan, dikorelasikan, dan diproses yang mendukung proses pemantauan postur keamanan dan deteksi tepat waktu ancaman terhadap postur ini.

- Perburuan Ancaman Proaktif, yaitu, aktivitas mengidentifikasi ancaman secara proaktif mulai dari anomali atau dari sinyal lemah, yang secara efektif menyaring kebisingan latar belakang yang sangat besar. Seberapa mudah menghubungkan titik-titik untuk memahami - mungkin menggunakan pengenal unik untuk setiap insiden - apa yang terjadi secara retrospektif, untuk merencanakan kelanjutan operasi?

- Respons Insiden Otomatis, yaitu meningkatkan laju reaksi dalam menanggapi insiden hingga mitigasi atau pemulihan.

Dari sudut pandang kuantitatif, adopsi solusi XDR harus memungkinkan untuk mulai mengembangkan metrik pada waktu deteksi serangan rata-rata (MTD, dari Berarti Waktu untuk Mendeteksi) dan rata-rata waktu respon/remediasi (MTR, da Rata-Rata Waktu untuk Merespon / Memulihkan).

Atau perbaiki langkah-langkah yang telah diaktifkan berdasarkan kapabilitas baru, untuk memverifikasi kelayakan investasi dan menyeimbangkan model hibrida yang lebih baik yang melibatkan penggunaan layanan eksternal dan gabungan sumber daya internal.

1 Laporan Mandiant M-Trends 2021: https://www.mandiant.com/resources/m-trends-2021

Foto: web / Mandiant