Apa itu Managed Detection and Response (MDR)?
Managed detection and response, atau MDR, adalah solusi keamanan siber terkelola sepenuhnya yang menggabungkan pakar keamanan, intelijen ancaman, dan peralatan canggih untuk menyediakan perlindungan ancaman 24/7 bagi organisasi.
Meningkatnya ancaman yang ditimbulkan keamanan siber terhadap individu dan pelaku bisnis di seluruh dunia telah terdokumentasikan dengan baik, tetapi mungkin yang kurang diketahui adalah seberapa besar beberapa organisasi berjuang untuk mengelola pertahanan dan mekanisme respons yang kuat.
Menurut penelitian Kaspersky, 41% profesional InfoSec mengatakan tim keamanan siber organisasi mereka “sedikit” atau “sangat kekurangan staf”. Artinya, tenaga profesional di bidang keamanan sangat dibutuhkan, dan berbagai organisasi merasa makin sulit untuk menarik dan mempertahankan staf dengan keterampilan yang tepat. Hal ini memengaruhi setiap jenis bisnis: Forum Ekonomi Dunia menemukan bahwa kesenjangan keterampilan merupakan tantangan ketahanan siber terbesar bagi 52% organisasi publik. Pada saat yang sama, kurang dari separuh organisasi kecil mengatakan mereka memiliki keterampilan untuk menanggapi dan memulihkan diri dari serangan siber.
Karena alasan ini, banyak bisnis beralih ke layanan terkelola untuk mengakses solusi dan keahlian yang mereka butuhkan untuk menjaga keamanan data, sistem, aplikasi, dan pengguna. Salah satu cara paling efektif untuk mencapai hal ini adalah melalui Managed Detection and Response (MDR), tetapi baru sekarang organisasi secara bertahap menyadari betapa pentingnya keamanan MDR bagi bisnis mereka. Penelitian Gartner menemukan bahwa pada tahun 2023, hanya 30% organisasi yang secara aktif menggunakan kemampuan gangguan dan penahanan ancaman jarak jauh dari penyedia MDR - tetapi angka tersebut diperkirakan akan meningkat menjadi 50% pada tahun 2025. Dan tepat pada waktunya; Kaspersky MDR (Managed Detection and Response) memproses lebih dari 430 kejadian keamanan pada tahun 2023, dengan sebagian besar insiden kritis terdeteksi di lembaga pemerintahan, organisasi industri, dan keuangan. Lanskap ancaman dunia maya terus berkembang, dan sulit bagi banyak organisasi untuk mengimbanginya.
Bagaimana cara kerja managed detection response?
Jadi, bagaimana cara kerja MDR dalam praktiknya? MDR adalah bentuk keamanan siber yang disediakan sebagai layanan terkelola dan dirancang untuk mempercepat identifikasi dan pemulihan ancaman, serta meminimalkan skala dampak yang dapat ditimbulkannya pada bisnis. Keterampilan keamanan manusia dan teknologi canggih digabungkan dalam MDR yang berarti efisiensi biaya dan sumber daya substansial dapat dihasilkan.
Layanan MDR yang baik biasanya terdiri dari lima fungsi utama:
Penentuan prioritas peristiwa
Kombinasi inspeksi peristiwa keamanan oleh staf terampil, dan penilaian peristiwa sesuai dengan aturan otomatis yang telah ditetapkan sebelumnya, mengidentifikasi peristiwa mana yang lebih relevan atau berisiko daripada yang lain. Hasil positif palsu dan hal-hal yang tidak mungkin menjadi masalah dikesampingkan, sementara masalah terbesar didahulukan untuk ditangani oleh layanan MDR lainnya dan dinilai secara lebih terperinci.
Pencarian ancaman
Otomatisasi merupakan alat yang sangat ampuh untuk mengidentifikasi potensi ancaman, tetapi tidak dapat diandalkan sebagai solusi menyeluruh. ‘Pemburu ancaman’ yang sangat berpengalaman sangat ahli dalam mengenali aktivitas abnormal dan jenis perilaku yang dilakukan oleh pelaku kejahatan dunia maya saat menyiapkan potensi pelanggaran data atau serangan. Antara upaya manusia dan digital, ancaman dapat ditandai lebih cepat, sehingga memungkinkan perbaikan yang lebih cepat.
Investigasi ancaman
Setelah mengidentifikasi ancaman, tahap berikutnya adalah menyelidikinya secara mendalam dan mencari akar permasalahannya. Layanan investigasi terkelola mencari tahu apa, kapan, dan di mana terjadi suatu insiden, dan mengidentifikasi sistem, data, aplikasi, dan pengguna yang telah - atau akan - terpengaruh. Semua konteks ini penting untuk menginformasikan cara yang paling efektif dan tepat untuk menghentikan ancaman.
Bantuan respons
Bekerja sama dengan mitra untuk keamanan MDR memberikan akses terhadap saran serta solusi bagi organisasi. Para ahli dapat memanfaatkan pengalaman mereka serta informasi yang dikumpulkan melalui pencarian dan investigasi ancaman untuk memberi saran tentang cara terbaik mengatasi masalah tersebut. Saran ini bisa berupa menghilangkan ancaman yang mungkin akan terjadi, atau cara menanggapi dan memulihkan dari serangan yang telah terjadi.
Pemulihan terkelola
Proses pemulihan, jika diperlukan, bertujuan untuk menghilangkan semua jejak ancaman dan mengembalikan sistem, aplikasi, dan data ke keadaan sebelum serangan terjadi. Langkah ini meliputi berbagai proses, seperti penghapusan malware, pembersihan registri, penolakan akses tidak sah, pemulihan sistem, dan tindakan lainnya. Tindakan yang digunakan akan bervariasi bergantung pada sifat ancaman atau serangan dan dipilih setelah berkonsultasi dengan profesional keamanan MDR.
Apa yang membedakan MDR dengan perangkat lunak antivirus tradisional?
Perbedaan terbesar antara layanan MDR dan keamanan berbasis antivirus tradisional adalah bahwa MDR bersifat proaktif, sedangkan antivirus bersifat reaktif.
Secara umum, sistem antivirus mengandalkan deteksi tanda tangan, di mana berbagai varian malware memiliki sidik jarinya sendiri, yang kemudian dicari oleh sistem. Namun, semakin banyak pelaku kejahatan dunia maya yang mengembangkan varian malware unik yang tidak seperti malware lainnya, dan karenanya, tidak dapat dideteksi melalui sidik jari ini. Dan bagaimanapun juga, antivirus tidak dapat mendeteksi varian tersebut hingga varian tersebut sudah ada, dan pada saat itu sudah terlambat untuk mencegah dampaknya.
Sebaliknya, alat deteksi dan respons terkelola berupaya keras untuk secara proaktif mencari infeksi malware pada sistem 24 jam sehari, tujuh hari seminggu, dan mengurangi dampaknya.
Apa perbedaan antara MDR dan EDR?
EDR adalah singkatan dari Endpoint Detection and Response, dan bekerja dengan aturan otomatis yang digunakan pada tahap penentuan prioritas MDR. Penerapan EDR akan merekam peristiwa dan pola perilaku di semua titik akhir, yang kemudian dinilai berdasarkan aturan otomatis yang ditetapkan oleh tim keamanan. Setiap pola atau aktivitas mencurigakan yang terdeteksi kemudian ditandai agar tim keamanan dapat menyelidiki lebih lanjut.
Bagi banyak organisasi, EDR merupakan salah satu bagian penting dari MDR, yang bekerja bersama para ahli keamanan TI yang terampil serta proses dan metodologi yang mapan.
Apakah managed detection and response sama dengan XDR?
Tidak sepenuhnya. Cara paling sederhana untuk menjelaskannya adalah bahwa XDR - yang merupakan singkatan dari Extended Detection and Response - membawa prinsip MDR ke tingkat lebih lanjut. XDR mengintegrasikan sejumlah besar data yang dikumpulkan dari berbagai sumber berbeda untuk membuat perburuan dan investigasi ancaman lebih terinformasi dan proaktif. XDR juga memanfaatkan alat yang lebih canggih, termasuk pencegahan kehilangan data dan Identity and Access Management (IAM), untuk mendapatkan visibilitas penuh terhadap lanskap ancaman di seluruh bisnis.
Apa saja manfaat utama MDR?
Layanan managed detection and response dapat mengubah pendekatan keamanan suatu organisasi dengan beberapa cara berbeda, dan meningkatkan kinerja di hampir setiap area operasi keamanan. Manfaat keamanan MDR meliputi, dan tidak terbatas pada:
Waktu deteksi berkurang
Beberapa organisasi memerlukan waktu beberapa bulan untuk mendeteksi insiden keamanan, di mana selama waktu tersebut kerusakan yang tak terhitung mungkin telah terjadi pada sistem, aplikasi, dan data, terkadang tanpa diketahui oleh pelaku bisnis. MDR dapat mengurangi waktu deteksi ini tidak hanya dalam hitungan hari atau jam, tetapi juga menit sehingga potensi dampak serangan dapat dikurangi secara signifikan.
Peningkatan postur keamanan
Layanan MDR dapat membuat bisnis lebih kuat dan tangguh jika terjadi serangan, karena kemungkinan pelanggaran berdampak besar akan jauh lebih rendah. MDR juga membantu memastikan bahwa seluruh konfigurasi keamanan perusahaan lebih optimal dan tetap optimal bahkan ketika kebutuhan bisnis dan profil serangan berkembang.
Deteksi ancaman berkelanjutan
Kemampuan alat managed detection and response untuk mencari ancaman 24 jam sehari, tujuh hari seminggu, 365 hari setahun memastikan bahwa ancaman dan malware tidak dapat 'bersembunyi' dalam sistem, siap untuk diaktifkan di masa mendatang. Pola dan perilaku data dapat dianalisis secara konstan, sehingga aktivitas anomali dapat ditandai bahkan sebelum sesuatu yang berbahaya terjadi.
Respons dan pemulihan ancaman yang lebih cepat
Ketiga poin di atas berkontribusi terhadap respons dan pemulihan ancaman yang jauh lebih cepat dari yang mungkin terjadi jika tidak demikian. Mengetahui suatu masalah lebih awal memungkinkan respons terhadap ancaman dibentuk lebih cepat melalui MDR, artinya aktivitas pemulihan yang tepat dapat diterapkan ke area yang terdampak dan dalam waktu yang lebih cepat.
Beban staf keamanan lebih rendah
Jika terjadi kekurangan staf keamanan, membebani mereka dengan beberapa teknologi keamanan yang berbeda dapat menambah tekanan dan stres di waktu berharga mereka. Hal ini dapat mengakibatkan insiden yang tidak tertangani, serta kurangnya pemanfaatan alat yang tersedia karena mereka tidak punya waktu untuk melakukannya. Menyerahkan sebagian besar beban ini ke layanan terkelola dan para ahli pihak ketiga yang terampil dapat meringankan tekanan ini dan memaksimalkan efektivitas tim internal sehari-hari.
Meminimalkan risiko kelelahan karena peringatan
Penggunaan teknologi keamanan secara masif meningkatkan jumlah peringatan dan insiden yang diketahui dan harus ditangani oleh tim keamanan. Selain membosankan, berulang-ulang, dan rentan terhadap kesalahan manusia, hal ini juga menyulitkan staf keamanan untuk mengidentifikasi masalah mana yang paling mendesak dan perlu diselesaikan lebih dahulu. Proses penentuan prioritas dalam layanan MDR mengatasi masalah tersebut dengan menganalisis dan menandai masalah yang paling mendesak dan menangani pemilahan peristiwa atas nama tim keamanan.
Apa yang harus Anda cari dalam layanan managed detection and response?
Pasar layanan MDR sangat kuat: Riset Gartner menunjukkan bahwa pasar MDR tumbuh pada tingkat 48% dan diperkirakan akan mencapai $2,2 miliar pada tahun 2025. Artinya, ada banyak penyedia alat managed detection and response yang tersedia, yang dapat menyulitkan untuk mengidentifikasi penyedia yang tepat untuk kebutuhan dan persyaratan spesifik Anda. Sebagai bagian dari proses pemilihan ini, kami sarankan Anda memperhatikan empat atribut berikut:
Keterampilan tambahan MDR
Anda mungkin sudah memiliki basis keterampilan yang cukup dalam tim keamanan Anda, namun seperti yang ditunjukkan oleh kesenjangan keterampilan global, Anda mungkin juga memiliki beberapa area yang perlu diperkuat. Anda harus mengidentifikasi kesenjangan tersebut di awal proses pertimbangan vendor dan mencari vendor yang mengkhususkan diri dalam keterampilan dan kematangan tersebut sehingga mereka dapat menambah dan melengkapi tim Anda.
Pengetahuan dan kemampuan keamanan MDR
Layanan managed detection and response yang baik mempunyai pengetahuan terbaru tentang lanskap keamanan terkini. Mereka mengetahui berbagai ancaman terbaru yang perlu diwaspadai dan akan memahami berbagai faktor mendasar yang mendorong kejahatan dunia maya, termasuk keadaan geopolitik dan budaya apa pun yang terlibat. Pengetahuan ini - dipadukan dengan keterampilan dan kemampuan keamanan mereka - akan memberikan nilai tambah bagi sebagian besar tim keamanan internal.
Penyediaan dan kolaborasi layanan MDR
Anda mungkin senang dengan keahlian dan keterampilan yang dapat diberikan oleh calon penyedia layanan keamanan MDR, tetapi mereka tetap harus sesuai dengan tim, teknologi, dan organisasi Anda secara lebih luas. Mereka harus dapat menunjukkan komitmen yang kuat terhadap komunikasi yang jelas sehingga informasi dan wawasan dapat mengalir dengan mudah di antara kedua belah pihak. Ini akan membantu tim keamanan internal lebih cepat beradaptasi dengan pendekatan baru. Mereka juga harus mampu menunjukkan komitmen terhadap perlindungan 24/7, yang dapat membantu menjaga keamanan sistem di luar jam kerja normal tim keamanan.
Solusi komprehensif
Pada akhirnya, Anda harus mencari keamanan MDR yang mencakup semua dasar. Solusi seperti Kaspersky Managed Detection and Response menghadirkan teknologi perlindungan canggih, pencarian ancaman proaktif, respons otomatis dan terpandu, serta keahlian yang diakui secara global yang membuat Anda merasa nyaman memanfaatkannya. Hal ini dapat memastikan tidak hanya risiko ancaman dunia maya diminimalkan, tetapi investasi keamanan TI Anda dalam MDR juga dimaksimalkan.
Kaspersky Managed Detection and Response dan Kaspersky Incident Response dinobatkan sebagai pemimpin teknologi tahun 2023 oleh Quadrant Knowledge Solutions, sebuah bukti atas tingginya tingkat efektivitas solusi ini dalam melindungi perusahaan dari pelaku kejahatan dunia maya.
