Apa itu Extended Detection and Response (XDR)?

Deteksi dan respons yang diperluas, atau XDR, adalah arsitektur keamanan siber terbuka yang mengintegrasikan alat keamanan dan menyatukan operasi keamanan di semua lapisan keamanan, pengguna, titik akhir, email, aplikasi, jaringan, beban kerja cloud, dan data. Dengan XDR, solusi keamanan yang tidak dirancang untuk bekerja sama dapat beroperasi dengan lancar dalam pencegahan, deteksi, investigasi, dan respons terhadap ancaman.

XDR menghilangkan kesenjangan visibilitas antara alat dan lapisan keamanan, memungkinkan tim keamanan yang terbebani untuk mendeteksi dan menyelesaikan ancaman dengan lebih cepat dan lebih efisien, dan untuk menangkap data kontekstual yang lebih lengkap untuk membuat keputusan keamanan yang lebih baik dan mencegah serangan siber di masa depan.

XDR pertama kali didefinisikan pada tahun 2018, tetapi cara para profesional keamanan dan analis industri berbicara tentang XDR telah berkembang pesat sejak saat itu. Sebagai contoh, banyak pakar keamanan yang pertama kali menggambarkan XDR sebagai deteksi dan respons titik akhir (EDR) pada steroid, yang diperluas untuk menjangkau semua lapisan keamanan perusahaan. Namun saat ini para pakar melihat potensi XDR lebih dari sekadar jumlah alat dan fungsionalitas yang diintegrasikan, menekankan manfaat seperti visibilitas ancaman menyeluruh, antarmuka terpadu, dan alur kerja yang dioptimalkan untuk deteksi, investigasi, dan respons ancaman.

Selain itu, analis dan vendor telah mengkategorikan solusi XDR sebagai XDR native, yang mengintegrasikan alat keamanan dari vendor solusi saja, atau XDR terbuka, yang mengintegrasikan semua alat keamanan dalam ekosistem keamanan organisasi tanpa memandang vendor. Tetapi menjadi semakin jelas bahwa tim keamanan perusahaan dan pusat operasi keamanan (SoC) mengharapkan bahkan solusi XDR asli terbuka, memberikan fleksibilitas untuk mengintegrasikan alat keamanan pihak ketiga yang mereka gunakan sekarang atau mungkin lebih suka gunakan di masa depan.

Saat ini organisasi dibombardir oleh ancaman lanjutan (juga disebut ancaman persisten lanjutan). Ancaman ini menyelinap melewati langkah-langkah pencegahan titik akhir dan mengintai di jaringan selama berminggu-minggu atau berbulan-bulan, berpindah-pindah, mendapatkan izin, mencuri data, dan mengumpulkan informasi dari berbagai lapisan infrastruktur IT sebagai persiapan untuk serangan berskala besar atau pelanggaran data. Banyak serangan siber serta pelanggaran data yang paling merusak dan merugikan, seperti seranganransomware, kompromi email bisnis (BEC), serangan denial-of-service terdistribusi (DDoS), espionase siber-merupakan contoh ancaman tingkat lanjut.

Organisasi telah mempersenjatai diri mereka dengan sejumlah alat dan teknologi keamanan siber untuk melawan ancaman ini dan menutup vektor serangan, atau metode, yang digunakan penjahat siber untuk meluncurkannya. Beberapa dari alat ini berfokus pada lapisan infrastruktur tertentu; yang lainnya mengumpulkan data log dan telemetri di berbagai lapisan.

Dalam sebagian besar kasus, alat-alat ini bersifat silo, mereka tidak berkomunikasi satu sama lain. Hal ini membuat tim keamanan harus mengkorelasikan peringatan secara manual untuk memisahkan insiden aktual dari positif palsu dan melakukan triase insiden berdasarkan tingkat keparahannya, dan mengoordinasikannya secara manual untuk memitigasi dan memulihkan ancaman. Menurut Studi Organisasi Ketahanan Siber IBM tahun 2021, 32% organisasi melaporkan menggunakan 21 hingga 30 alat keamanan individual sebagai respons terhadap setiap ancaman; 13% melaporkan menggunakan 31 alat atau lebih.

Akibatnya, ancaman tingkat lanjut membutuhkan waktu terlalu lama untuk diidentifikasi dan diatasi. Laporan Biaya Pelanggaran Data 2022 dari IBM mengungkapkan bahwa rata-rata pelanggaran data membutuhkan waktu 277 hari untuk dideteksi dan diselesaikan. Berdasarkan rata-rata ini, pelanggaran yang terjadi 1 Januari tidak akan diatasi sampai 4 Oktober.

Dengan memecah silo di antara solusi titik-titik khusus lapisan, XDR menjanjikan tim keamanan dan SOC visibilitas dan integrasi menyeluruh yang mereka butuhkan untuk mengidentifikasi ancaman lebih cepat, merespons ancaman lebih cepat, dan menyelesaikannya lebih cepat, serta meminimalkan kerusakan yang ditimbulkannya.

Dalam waktu yang relatif singkat sejak diperkenalkan, XDR telah membuat perbedaan. Menurut Biaya Pelanggaran Data 2022, organisasi yang menerapkan XDR memperpendek siklus hidup pelanggaran data mereka sebesar 29 dan menurunkan biaya pelanggaran rata-rata 9% dibandingkan dengan organisasi tanpa XDR.

XDR biasanya dikonsumsi sebagai solusi berbasis cloud atau perangkat lunak sebagai layanan (SaaS); salah satu analis industri, Gartner, mendefinisikan XDR sebagai ‘berbasis SaaS’. Teknologi ini juga dapat menjadi teknologi inti yang mendorong penawaran deteksi dan respons terkelola (managed detection and response/MDR) dari penyedia solusi cloud atau keamanan.

Solusi keamanan XDR dapat mengintegrasikan:

• Alat keamanan individual (atau solusi titik) seperti antivirus, analisis perilaku pengguna dan entitas (UEBA), atau firewall;
  
  
• Solusi keamanan khusus lapisan seperti EDR, platform perlindungan titik akhir (EPP), deteksi dan respons jaringan (NDR) atau analisis lalu lintas jaringan (NTA);
  
  
• Solusi yang mengumpulkan data atau mengoordinasikan alur kerja di seluruh lapisan keamanan, termasuk informasi keamanan dan manajemen peristiwa(SIEM) atau orkestrasi, otomatisasi, dan respons keamanan (SOAR).
   

Pengumpulan data berkelanjutan

XDR mengumpulkan data log dan telemetri dari semua alat keamanan terintegrasi, yang secara efektif membuat catatan yang terus diperbarui tentang segala sesuatu yang terjadi di infrastruktur, login (berhasil dan tidak berhasil), koneksi jaringan dan arus lalu lintas, pesan dan lampiran email, file yang dibuat dan disimpan, proses aplikasi dan perangkat, konfigurasi dan perubahan registri. XDR juga mengumpulkan peringatan khusus yang dihasilkan oleh berbagai produk keamanan. 

Solusi Open XDR biasanya mengumpulkan data ini menggunakan antarmuka pemrograman aplikasi terbuka, atau API. (Solusi XDR asli mungkin memerlukan alat pengumpul data yang ringan, atau agen, yang diinstal pada perangkat dan aplikasi). Semua data yang dikumpulkan dinormalisasi dan disimpan dalam database berbasis cloud pusat atau danau data. 

Analisis dan deteksi ancaman real-time

XDR menggunakan analisis canggih dan algoritme machine learning untuk mengidentifikasi pola yang menunjukkan ancaman yang diketahui atau aktivitas mencurigakan secara real-time, seiring perkembangannya.

Untuk melakukan ini, XDR mengkorelasikan data dan telemetri di berbagai lapisan infrastruktur dengan data dari layanan intelijen ancaman, yang memberikan informasi yang terus diperbarui, taktik ancaman siber baru dan terbaru, vektor, dan banyak lagi. Layanan intelijen ancaman dapat bersifat eksklusif (dioperasikan oleh penyedia XDR), pihak ketiga, atau berbasis komunitas. Sebagian besar solusi XDR juga memetakan data ke MITRE ATT&CK, basis pengetahuan global yang dapat diakses secara bebas tentang taktik dan teknik ancaman siber peretas.

Analisis XDR dan algoritme machine learning juga dapat melakukan penyelidikan sendiri, membandingkan data waktu nyata dengan data historis dan garis dasar yang telah ditetapkan untuk mengidentifikasi aktivitas yang mencurigakan, perilaku pengguna akhir yang menyimpang, dan apa pun yang mungkin mengindikasikan insiden atau ancaman keamanan siber. Mereka juga dapat memisahkan ‘sinyal’, atau ancaman yang sah, dari ‘kebisingan’ positif palsu, sehingga analis keamanan dapat fokus pada insiden yang penting. Mungkin yang paling penting, algoritme machine learning terus belajar dari data, untuk menjadi lebih baik dalam mendeteksi ancaman dari waktu ke waktu.

XDR merangkum data penting dan hasil analitik dalam konsol manajemen pusat yang juga berfungsi sebagai antarmuka pengguna (UI) solusi. Dari konsol tersebut, anggota tim keamanan bisa mendapatkan visibilitas penuh terhadap setiap masalah keamanan, di seluruh perusahaan, dan meluncurkan investigasi, respons terhadap ancaman, dan remediasi di mana pun dalam infrastruktur yang diperluas.
 

Kemampuan deteksi dan respons otomatis

Otomatisasi adalah hal yang membuat XDR memberikan respons cepat. Berdasarkan aturan yang telah ditetapkan sebelumnya yang ditetapkan oleh tim keamanan, atau ‘dipelajari’ dari waktu ke waktu oleh algoritme machine learning, XDR memungkinkan respons otomatis yang membantu mempercepat deteksi dan resolusi ancaman sekaligus membebaskan analis keamanan untuk fokus pada pekerjaan yang lebih penting. XDR dapat mengotomatiskan tugas-tugas seperti:

• Triase dan penentuan prioritas peringatan menurut tingkat keparahan;
  
  
• Memutuskan atau mematikan perangkat yang terkena dampak, mengeluarkan pengguna dari jaringan, menghentikan proses sistem/aplikasi/perangkat, dan membuat sumber data offline;
  
  
• Meluncurkan perangkat lunak antivirus/anti-malware untuk memindai titik akhir lain di jaringan dari ancaman yang sama;
  
  
• Memicu pedoman respon insiden SOAR yang relevan (alur kerja otomatis yang mengatur beberapa produk keamanan sebagai respons terhadap insiden keamanan tertentu).  

XDR juga dapat mengotomatiskan aktivitas investigasi dan remediasi ancaman (lihat bagian selanjutnya). Semua otomatisasi ini membantu tim keamanan merespons insiden dengan lebih cepat dan mencegah atau meminimalkan kerusakan yang ditimbulkannya.
 

Investigasi dan remediasi ancaman

Setelah ancaman keamanan diisolasi, platform XDR menyediakan kemampuan yang dapat digunakan analis keamanan untuk menyelidiki ancaman tersebut lebih lanjut. Misalnya, analisis forensik dan laporan ‘pelacakan kembali’ membantu analis keamanan menentukan akar penyebab ancaman, mengidentifikasi berbagai file yang terkena dampaknya, dan mengidentifikasi kerentanan atau kerentanan yang dieksploitasi penyerang untuk masuk dan bergerak di sekitar jaringan, mendapatkan akses ke kredensial otentikasi, atau melakukan aktivitas jahat lainnya.

Berbekal informasi ini, analis dapat mengoordinasikan alat remediasi untuk menghilangkan ancaman. Remediasi mungkin melibatkan:

• Menghancurkan file berbahaya dan menghapusnya dari titik akhir, server, dan perangkat jaringan;
  
  
• Memulihkan konfigurasi perangkat dan aplikasi yang rusak, pengaturan registri, data, dan file aplikasi;
  
  
• Menerapkan pembaruan atau tambalan untuk menghilangkan kerentanan yang menyebabkan insiden;
  
  
• Memperbarui aturan deteksi untuk mencegah terulangnya kembali.
   

Dukungan untuk perburuan ancaman

Perburuan ancaman (juga disebut perburuan ancaman siber) adalah latihan keamanan proaktif di mana analis keamanan mencari jaringan untuk menemukan ancaman yang belum diketahui, atau ancaman yang diketahui namun belum terdeteksi atau diatasi oleh alat keamanan siber otomatis organisasi.

Sekali lagi, ancaman tingkat lanjut dapat mengintai selama berbulan-bulan sebelum terdeteksi, mempersiapkan serangan atau pelanggaran skala besar. Perburuan ancaman yang efektif dan tepat waktu dapat mengurangi waktu yang diperlukan untuk menemukan dan memulihkan ancaman ini, yang dapat membatasi atau mencegah kerusakan akibat serangan.

Pemburu ancaman menggunakan berbagai taktik dan teknik yang mengandalkan sumber data, analisis, dan kemampuan otomatisasi yang sama dengan yang digunakan XDR untuk mendeteksi, merespons, dan remediasi ancaman. Misalnya, pemburu ancaman mungkin ingin mencari file tertentu, perubahan konfigurasi, atau artefak lain berdasarkan analisis forensik, atau data MITRE ATT&CK yang menjelaskan metode penyerang tertentu.

Untuk mendukung upaya ini, XDR menyediakan kemampuan analitik dan otomatisasinya bagi analis keamanan melalui cara berbasis UI atau terprogram, sehingga mereka dapat melakukan kueri data pencarian ad-hoc, korelasi dengan intelijen ancaman, dan investigasi lainnya. Beberapa solusi XDR mencakup alat yang dibuat khusus untuk berburu ancaman seperti bahasa scripting sederhana (untuk mengotomatisasi tugas umum) dan bahkan alat query bahasa alami.