Keamanan cyber (terbuka di tab baru) dan akronim cenderung berjalan beriringan. Yang terbaru adalah XDR, atau dikenal sebagai deteksi dan respons yang diperluas. Jika Anda belum pernah mendengarnya, Anda akan melakukannya, karena menjanjikan untuk membantu operasi keamanan meningkatkan kemampuan mereka untuk mendeteksi dan merespons ancaman di lingkungan TI yang semakin kompleks, beragam, dan berkembang.
Tentang Penulis
Tawnya Lancaster, Manajer Pemasaran Produk Utama, AT&T Cybersecurity (terbuka di tab baru).
Semua jenis vendor keamanan — mulai dari perlindungan titik akhir (terbuka di tab baru) ke SIEM dan seterusnya — melakukan akuisisi dan pemasaran (terbuka di tab baru) ke XDR. Faktanya, menurut 451 Research, antara Maret dan Agustus 2021, ada 17 kesepakatan yang didorong oleh vendor yang ingin mengembangkan kemampuan XDR mereka.
Definisi untuk XDR dapat sangat bervariasi, tergantung pada apa yang dijual vendor, dan ini menciptakan kebingungan bahkan di antara profesional keamanan yang paling berpengalaman sekalipun. Namun, pada intinya, XDR pada dasarnya adalah sebuah pendekatan yang menggabungkan beberapa alat keamanan yang digunakan dalam deteksi dan respons ancaman untuk memperluas dan meningkatkan pengumpulan data, korelasi, kontekstualisasi, dan analitik untuk tujuan meningkatkan dan mengoordinasikan respons dan perbaikan deteksi, serta perburuan ancaman.
XDR melakukan ini dalam tiga cara utama:
- Menyerap dan memusatkan lebih banyak data di seluruh lingkungan organisasi, lebih dari yang ada di premis dan multi-cloud hingga titik akhir dan bahkan IoT dan OT
- Menggunakan analitik lanjutan dan pembelajaran mesin untuk meningkatkan analisis, kontekstualisasi, dan korelasi data tersebut
- Mengkoordinasikan respons dan perbaikan di seluruh lingkungan tersebut menggunakan beberapa kontrol dan otomatisasi
XDR mewakili evolusi kemampuan saat ini dalam deteksi dan respons ancaman – sesuatu yang semakin dibutuhkan mengingat pesatnya peningkatan digitalisasi di kalangan bisnis dan perkiraan ledakan titik akhir dan IoT.
Misalnya, dalam 18 bulan terakhir, perusahaan dengan berbagai ukuran meningkatkan jejak digital mereka, sebagian berkat pandemi serta percepatan transformasi atau modernisasi digital. Hal ini menambah tekanan pada personel keamanan yang berjuang untuk menjaga keamanan sistem dengan sumber daya yang terbatas dan kekurangan keterampilan. Perubahan dalam bisnis menciptakan tantangan baru untuk operasi keamanan, terutama yang berkaitan dengan pemantauan lingkungan yang lebih kompleks yang timbul dari hal-hal seperti:
- Tenaga kerja yang ada di mana-mana
- Inovasi bisnis, terutama yang melibatkan edge computing
- Situs kantor baru, termasuk lokasi sementara atau jarak jauh
- Pemintalan ke atas (atau ke bawah) lingkungan cloud sesuai kebutuhan oleh perubahan tuntutan bisnis
- Meningkatnya adopsi SaaS (terbuka di tab baru) untuk aplikasi bisnis internal dan eksternal
Selain itu, peretas memiliki akses ke malware yang dikomersialkan (terbuka di tab baru), dan mereka dapat dengan cepat mengubah metode serangan mereka, seringkali dengan menekan sebuah tombol. Untuk mengimbanginya, profesional keamanan memerlukan akses yang lebih baik dan lebih cepat ke data yang tepat. Ini termasuk memiliki telemetri dan analitik yang diperlukan untuk mendeteksi ancaman di berbagai lingkungan dan membuat keputusan yang lebih cepat dan lebih tepat yang mengarah pada pengurangan ancaman sebelum berdampak pada keseluruhan sistem.
Pentingnya XDR untuk Analis Keamanan
Karena kemampuannya yang “diperluas”, XDR berjanji untuk menjadi alat penting bagi analis keamanan karena mereka ingin meningkatkan operasi keamanan, termasuk dengan cara berikut.
Peningkatan visibilitas dan konteks: Memiliki banyak visibilitas lingkungan organisasi, termasuk di mana informasi sensitif dan aset penting berada, sangat penting untuk mendeteksi dan merespons ancaman secara efektif. Platform pemantauan keamanan perlu menyerap data sebanyak mungkin, di seluruh lokal, multi-cloud, OT, dan semua titik akhir yang terhubung (termasuk IoT). Aliran data ini perlu terus diperbarui sehingga analis dapat menindaklanjutinya secara waktu nyata untuk mengatasi potensi insiden keamanan.
Intelijen ancaman yang diperbarui secara otomatis: Lanskap ancaman terus berubah, dengan musuh dengan cepat mengembangkan taktik, teknik, dan prosedur (TTP) mereka. Variasi baru malware mudah dibuat dan digunakan untuk menyerang organisasi berulang kali dan pelaku ancaman secara teratur memodifikasi infrastruktur yang digunakan dalam kampanye, misalnya. XDR memberi organisasi intelijen ancaman yang terus diperbarui secara otomatis dimasukkan ke dalam platform, dan konteks tambahan ini membantu kemampuan untuk dengan mudah mendeteksi penyimpangan dari aktivitas dasar yang diketahui dan menyelidiki peristiwa.
Analisis dan korelasi data untuk respon: Dengan meningkatnya jumlah data yang dikirim ke platform pemantauan ancaman, tim SOC saat ini harus memanfaatkan hal-hal seperti otomatisasi, analitik, dan pembelajaran mesin untuk analisis, korelasi, dan untuk mendukung respons. Misalnya, jika sistem atau perangkat telah terinfeksi, mereka dapat secara otomatis mengisolasinya sesuai kebutuhan, melanjutkan ke mitigasi atau perbaikan, lalu pemulihan (idealnya kembali ke keadaan normal) dalam satu dasbor.
Kemudahan pelaporan: Setelah insiden terjadi, memiliki laporan yang mendetail dan mudah dibaca adalah kunci untuk memahami apa yang terjadi, bagaimana tim merespons, dan hasil keseluruhan dari upaya tim. Laporan-laporan ini juga penting untuk mandat kepatuhan dan berkomunikasi dengan eksekutif. XDR memberi analis kemampuan pelaporan yang lebih baik karena informasinya dapat diakses dengan mudah, sudah dikontekstualisasikan dan diotomatisasi.
Intinya: Daya tarik XDR adalah dapat memberikan hasil yang lebih baik dalam operasi keamanan, termasuk menciptakan efisiensi yang lebih besar dan meningkatkan pemantauan keamanan, penyelidikan, tanggapan, dan perburuan ancaman secara proaktif. Selain itu, dengan menggabungkan beberapa kontrol keamanan yang ada, XDR dapat membantu menghilangkan kemampuan yang tumpang tindih dalam tumpukan keamanan, berpotensi menghemat uang yang dapat digunakan untuk mendorong efisiensi di tempat lain dalam bisnis. Jika Anda belum mempertimbangkan pendekatan ini, sekaranglah waktunya.