Keamanan siber saat ini hampir semua menggunakan pendekatan yang berpusat pada peringatan (alert-centric) yang tidak berkorelasi. Sebagian besar dari peringatan yang dihasilkan model ini merupakan false positives yang ketika dikombinasikan dengan peningkatan spesialisasi solusi dan tumpukan keamanan yang lebih kompleks, tim IT security akan kewalahan oleh banyaknya peringatan tanpa konteks yang masih harus mereka selidiki dan tanggapi secara manual. Dan proses tersebut tidak bisa secara efektif menjaga keamanan organisasi maupun klien mereka.
Serangan siber saat ini seringkali lebih kompleks daripada sekedar ledakan file jahat yang dapat dieksekusi atau eksploitasi kerentanan pada satu endpoint, sehingga ruang lingkup EDR (endpoint detection and response) masih terlalu rabun untuk secara efektif bertahan terhadap operasi berbahaya yang lebih luas yang mencakup tindakan dan aktivitas di luar endpoint.
Sebenernya sekarang sudah ada cara yang lebih baik, namun memerlukan perubahan mendasar dalam cara pendekatan keamanan yang semula alert-centric, menjadi berpusat pada operasi (operation-centric) yang mana lebih efektif dan efesien. Operation-centric ini berfokus pada mengganggu seluruh aktifitas serangan dibanding menanggapi peringatan yang tidak berhubungan yang gagal mengidentifikasi akar penyebab, mengganggu command and control (C2), mencegah terjadinya penarikan data secara diam-diam tanpa izin, menghilangkan mekanisme berkelanjutan, dan banyak lagi.
Keamanan dengan operation-centric ini dapat mendeteksi dan merespon secara otomatis dalam sekala besar karena memanfaatkan Indicators of Behavior (IOBs), dimana tanda-tanda serangan yang lebih halus dapat memunculkan seluruh malicious operation (operasi jahat) pada tahap paling awal, yang menginformasikan kemampuan respon prediktif untuk perbaikan komprehensif yang tidak akan pernah didapat jika menggunakan indikator kompromi retrospektif.
Seperti yang telah kita bahas diatas, operation-centric ini dapat mendorong deteksi lebih awal dengan menggunakan Indicators of Behavior (IOBs) yang memberdayakan operasi keamanan untuk lebih cepat mengidentifikasi dan memahami cakupan penuh ancaman dengan menghubungkan tindakan dan aktivitas yang dicurigai. Jumlah tindakan dan aktivitas yang dapat dilakukan penyerang di network itu terbatas, oleh karena itu penggunaan IOBs berarti sebenarnya penyerang itu sendiri yang bekerja untuk memunculkan operasi jahat mereka. Dan ini adalah kunci untuk akhirnya membalikkan keunggulan musuh dan menyerang kembali penyerang.
Memahami niat penyerang dan kemungkinan alur penyerangan berdasarkan tindakan dan aktivitas tahap awal memungkinkan tim IT security untuk secara proaktif memprediksi dan mengganggu tahap serangan berikutnya, serta jalan untuk mengembangkan operasi keamanan yang sepenuhnya otonom. Kita perlu beralih dari ketergantungan kita pada pendekatan kuno yang hanya menggambarkan apa yang sudah terjadi dan bergerak ke arah memanfaatkan IOBs yang mengungkapkan apa yang terjadi secara real-time untuk merespons secara prediktif untuk mencegah langkah selanjutnya dari perkembangan serangan jauh sebelum dapat meningkat ke peristiwa keamanan besar.
Jika kamu ingin lebih memahami pendekatan NGAV ini, kamu bisa menggikuti webinar Prima Cyber Solusi yang akan diadakan pada tanggal 31 Januari 2023 dengan cara klik link ini. Dan webinar ini dapat kamu ikuti secara GRATIS tanpa dipungut biaya apapun. Minpri tunggu ya Primo CS!
Sources :
Comments