Untuk memulainya, ingat apa itu triad nuklir. Istilah ini mengacu pada pasukan bersenjata strategis dari suatu negara yang dilengkapi dengan senjata nuklir. Triad ini mencakup tiga komponen: penerbangan strategis udara, rudal balistik darat antarbenua, pembawa rudal bawah laut atom-atom.
Gartner yang terhormat, membuat analogi tentang angkatan bersenjata strategis negara dengan pusat pemantauan dan respons operasional terhadap insiden (SOC), menyoroti elemen-elemen berikut dari triad SOC: Informasi keamanan dan manajemen acara (SIEM), Analisis Lalu Lintas Jaringan (NTA), Deteksi Titik Akhir dan Respons (EDR). Melihat analogi ini, menjadi jelas bahwa SOC hanya dapat secara maksimal efektif jika dilengkapi dengan semua komponen perlindungan: di "udara", di "darat" dan di "laut".
Sayangnya, saat ini sebagian besar organisasi hanya menggunakan "penerbangan strategis" - sistem SIEM. Jarang sekali, "rudal balistik antarbenua" - NTA, menggantikan analisis penuh lalu lintas jaringan hanya dengan mengumpulkan log dari alat keamanan jaringan standar. Dan sangat jarang adalah "pembawa rudal kapal selam nuklir" - EDR.
Dalam artikel saya hari ini, menurut warisan Gartner, saya ingin menyoroti alasan utama pentingnya menyertakan teknologi EDR sebagai salah satu elemen dari pusat modern untuk pemantauan dan respons cepat terhadap insiden.
Dalam dunia keamanan informasi, teknologi EDR jauh lebih dari sekadar perlindungan canggih terhadap workstation dan server dari ancaman kompleks. Dari tahun ke tahun, pekerjaan tetap menjadi tujuan utama penyerang dan titik masuk paling umum ke dalam infrastruktur organisasi, yang membutuhkan perhatian dan perlindungan yang sesuai. Dan telemetri adalah informasi berharga yang diperlukan untuk penyelidikan insiden berkualitas tinggi, pentingnya akses yang semakin meningkat dengan munculnya protokol enkripsi TLS 1.3 baru dan distribusi aktifnya.
EDR dengan cepat menjadi kekuatan pendorong di belakang peningkatan kematangan dan efektivitas SOC modern.
Mari kita lihat mengapa?
Visibilitas tambahan
Pertama-tama, teknologi EDR mampu memberikan visibilitas tim SOC di mana sebagian besar organisasi tetap buta saat ini, karena sebagian besar dari mereka berfokus pada kegiatan pemantauan di jaringan. Perusahaan semacam itu, dalam rangka berfungsinya pusat pemantauan dan respons operasional terhadap insiden, jarang atau hanya sebagian menghubungkan titik akhir sebagai sumber peristiwa dalam sistem SIEM. Hal ini disebabkan oleh tingginya biaya pengumpulan dan pemrosesan kayu bulat dari semua titik akhir, dan juga karena banyaknya peristiwa untuk dianalisis dengan tingkat positif palsu yang cukup tinggi, yang sering menyebabkan kelebihan beban spesialis dan tidak efisiennya penggunaan sumber daya yang mahal pada umumnya.
Alat khusus untuk mendeteksi ancaman kompleks pada host
Ancaman kompleks dan serangan bertarget menggunakan kode berbahaya yang tidak dikenal, akun yang disusupi, metode tanpa arsip, aplikasi yang sah, dan tindakan yang tidak membawa sesuatu yang mencurigakan memerlukan pendekatan deteksi multi-level menggunakan teknologi canggih. Tergantung pada satu vendor atau yang lain, EDR biasanya dapat mencakup berbagai teknologi deteksi yang bekerja dalam mode otomatis, semi-otomatis, dan alat bawaan yang memerlukan pengaturan tugas secara manual, yang melibatkan personel yang sangat berkualifikasi. Misalnya, dapat berupa: antivirus, mesin analisis perilaku, kotak pasir, cari indikator kompromi (IoC), bekerja dengan indikator serangan IoA, perbandingan dengan teknik ATT & CK MITER, serta interaksi otomatis dengan Threat Intelligence dan pertanyaan manual ke database ancaman global, analisis retrospektif, kemampuan untuk secara proaktif mencari ancaman (Perburuan Ancaman). EDR adalah alat tambahan untuk analitik SOC dengan antarmuka intuitif untuk kemampuan berburu ancaman secara real time, yang memungkinkan Anda untuk membuat permintaan kompleks untuk mencari kegiatan yang mencurigakan, tindakan jahat, dengan mempertimbangkan fitur infrastruktur yang dilindungi.
Semua hal di atas memungkinkan organisasi untuk mendeteksi ancaman kompleks yang ditujukan untuk mem-bypass alat perlindungan host tradisional, seperti antivirus konvensional, NGAV, atau solusi kelas EPP (Platform perlindungan titik akhir). Yang terakhir saat ini bekerja sangat erat dengan solusi EDR dan sebagian besar produsen dari kelas produk ini menyediakan fungsionalitas EPP dan EDR dalam satu agen, tanpa membebani alat berat dan pada saat yang sama memberikan pendekatan terpadu untuk melindungi titik akhir dari ancaman kompleks, dari secara otomatis memblokir yang lebih sederhana. ancaman, diakhiri dengan deteksi dan respons terhadap insiden yang lebih kompleks. Mekanisme deteksi lanjutan yang digunakan dalam EDR memungkinkan tim untuk dengan cepat mengidentifikasi ancaman dan merespons dengan cepat, mencegah kemungkinan kerusakan pada bisnis.
Konteks tambahan
Data acara host dengan EDR adalah tambahan yang signifikan untuk informasi yang dihasilkan oleh elemen keamanan lain dan aplikasi bisnis dari infrastruktur yang dilindungi, yang dibandingkan dengan sistem SIEM di pusat pemantauan dan respons cepat terhadap insiden. EDR menyediakan akses cepat ke data infrastruktur titik akhir yang telah diperkaya dalam konteks tambahan, yang memungkinkan, di satu sisi, untuk dengan cepat mengidentifikasi positif palsu, di sisi lain, untuk menggunakan data ini sebagai bahan pra-proses yang berharga dalam penyelidikan serangan kompleks, yaitu, EDR menyediakan log yang relevan untuk berkorelasi dengan peristiwa dari sumber lain, sehingga meningkatkan kualitas investigasi global dalam SOC.
Otomatisasi tambahan
Untuk organisasi yang tidak memiliki EDR, deteksi ancaman kompleks pada infrastruktur titik akhir, yang meliputi: mengumpulkan, menyimpan, dan menganalisis data, serta melakukan berbagai tindakan pada tahap investigasi dan respons terhadap insiden kompleks, tampaknya tugas yang agak melelahkan tanpa menggunakan alat otomatisasi.
Saat ini, banyak analis menghabiskan banyak waktu untuk operasi rutin yang perlu dan penting, tetapi dapat diotomatisasi. Mengotomatiskan tugas-tugas manual rutin ini akan memungkinkan organisasi tidak hanya menghemat waktu kerja analis yang mahal, tetapi juga untuk mengurangi beban kerja mereka dan memungkinkan mereka untuk fokus menganalisis dan merespons insiden yang benar-benar kompleks. EDR menyediakan alur kerja manajemen insiden yang sepenuhnya otomatis, dari deteksi ancaman hingga analisis dan respons. Hal ini memungkinkan tim SOC untuk melakukan tugas sehari-hari dengan lebih efisien tanpa membuang waktu untuk pekerjaan manual, sehingga mengurangi biaya menganalisis log yang tidak perlu.
Akses cepat ke data dan representasi visual informasi mereka
Organisasi mungkin menghadapi beberapa kesulitan untuk mendapatkan data yang diperlukan untuk penyelidikan, seperti ketidakmampuan untuk dengan cepat mengakses stasiun kerja dan server dengan infrastruktur terdistribusi atau ketidakmampuan untuk mendapatkan informasi kontekstual dari mesin tertentu karena penghancuran atau enkripsi data oleh penyusup. Ini, tentu saja, membuat tidak mungkin untuk mendapatkan data yang diperlukan untuk proses investigasi yang efektif dan tanggapan lebih lanjut terhadap insiden. Ketika insiden telah terjadi, penggunaan teknologi EDR, termasuk perekaman yang kontinu dan terpusat, menghilangkan perkiraan dan menghemat waktu analis.
Seorang penyerang sering menghancurkan jejak mereka, tetapi EDR, seperti yang telah disebutkan, mencatat setiap tindakan menyerang. Seluruh rangkaian peristiwa dicatat dan disimpan dengan aman untuk penggunaan di masa mendatang. Ketika peringatan dalam bentuk apa pun dipicu, EDR menyediakan alat praktis yang dengannya analis SOC dapat dengan cepat meminta informasi untuk memeriksa ancaman, menghilangkan positif palsu, dan membuat permintaan untuk memindai kembali data retrospektif untuk meningkatkan efektivitas penyelidikan dan tanggapan.
Semua tindakan pada host disajikan dalam antarmuka dalam bentuk pohon peristiwa, sehingga membantu analis untuk melihat seluruh gambar serangan, serta mencari informasi yang mereka butuhkan untuk menyelidiki dan mengambil langkah-langkah operasional untuk mencegah ancaman.
Penyimpanan terpusat dari telemetri, objek dan vonis yang dihasilkan sebelumnya memungkinkan analis untuk bekerja dengan data retrospektif sebagai bagian dari penyelidikan ancaman, termasuk serangan yang diperpanjang dari waktu ke waktu. EDR hari ini adalah sumber data berharga untuk SOC hari ini.
Respons terpusat
Ketika sebuah insiden terdeteksi, EDR menyediakan opsi lanjutan untuk mengambil tindakan pada berbagai tahap penyelidikan: misalnya, mengkarantina file, mengeksekusi perintah sewenang-wenang pada host, menghapus objek, isolasi jaringan host, dan tindakan lainnya. EDR memungkinkan Anda untuk segera menanggapi insiden melalui presentasi visual informasi dan pengaturan tugas terpusat, yang tidak memerlukan perjalanan ke TKP untuk menemukan bukti dan mengambil langkah-langkah respons. EDR adalah alat untuk mengoptimalkan biaya tenaga kerja spesialis SOC. Organisasi secara signifikan mengurangi jumlah operasi manual rutin, menghemat waktu analis SOC dan mengurangi waktu respons dari jam ke menit.
Kesimpulan
EDR adalah sumber data yang sangat berharga untuk SOC, memberikan kemampuan pencarian ancaman yang kuat dan respons insiden terpusat, sambil memaksimalkan otomatisasi proses untuk mengumpulkan, menganalisis, dan menanggapi ancaman yang terdeteksi.
Menggunakan EDR dalam SOC akan memungkinkan organisasi untuk:
- untuk meningkatkan efisiensi pemrosesan insiden kompleks karena visibilitas tambahan tingkat endpoint, kemungkinan pencarian proaktif untuk ancaman dan presentasi visual informasi tentang kejadian yang terdeteksi pada host;
- memperkaya SOC dengan data relevan yang sudah diproses sebelumnya dari workstation dan server, untuk perbandingan dengan log yang disediakan oleh sumber lain untuk investigasi yang efektif;
- secara signifikan mengurangi jumlah jam yang dihabiskan oleh analis pada tugas-tugas yang membosankan tetapi perlu terkait dengan menganalisis data dari workstation dan server, serta menanggapi insiden.