Di era sebelumnya, sebuah bisnis atau perusahaan mungkin dapat lolos dari para pelaku kejahatan siber hanya dengan firewall dan software antivirus sebagai pertahanan utama. Namun, hal itu sebenarnya sudah lama berlalu. Bertahan melawan ancaman siber seperti saat ini membutuhkan pendekatan yang lebih aktif yang mampu berkembang bersama penyerang dan taktik mereka yang selalu berubah. Alat keamanan dengan format “Atur lalu lupakan” takkan lagi menjadi opsi yang baik. Saat ini, sebuah Organisasi harus selalu mengevaluasi efektivitas dari kontrol keamanan mereka. Lalu kemudian mengidentifikasi potensi kelemahan, kerentanan, masalah kepatuhan, dan masalah lainnya . Namun, menentukan keefektifan perangkat ini tidak selalu mudah. Terlebih lagi, para pemimpin perusahaan umumnya tertarik untuk mengetahui lebih dari sekadar bagaimana solusi keamanan menghadapi ancaman. Mereka ingin memahami nilai yang diberikan dan apakah perangkat tersebut menghasilkan ROI yang cukup untuk pengunaan berkelanjutan. Berikut adalah beberapa langkah yang dapat dilakukan untuk melakukan pengukuran kontrol keamanan. 1. Mengukur Kesadaran Permukaan Serangan Membangun firewall untuk mencegah serangan siber tentunya tidak cukup. Pada akhirnya, satu atau lebih serangan akan masuk. Tidak mungkin menghentikan 100% ancaman, artinya keamanan harus beralih dari fokus pada perlindungan perimeter ke sebuah deteksi dalam jaringan. Agar hal ini efektif, tentunya memerlukan kesadaran akan hal-hal seperti kredensial yang terbuka, kesalahan konfigurasi, jalur serangan potensial, dan kerentanan lain yang kemungkinan besar akan dieksploitasi oleh penyerang . Ada berbagai macam alat yang tersedia yang dapat membantu. Alat Endpoint Detection and Response (EDR) memberikan visibilitas ke dalam serangan pada titik akhir, sementara alat Extended Detection and Response (XDR) memperluas kemampuan tersebut dengan mengintegrasikan dengan solusi lain. Penyerang hampir selalu mencari cara untuk mengkompromikan Active Directory (layanan yang menangani autentikasi di seluruh perusahaan), yang terkenal sulit untuk diamankan. Alat deteksi yang mampu mengidentifikasi kueri AD yang mencurigakan dan aktivitas serangan potensial lainnya dapat membantu mencegah skenario mimpi buruk dari AD yang disusupi. Organisasi dapat menilai tingkat kesadaran yang mereka miliki dalam jaringan. Kontrol identitas tanpa perlindungan titik akhir dapat membuat jaringan mereka sangat rentan, seperti halnya perlindungan titik akhir dengan keamanan AD. Dan karena semakin banyak organisasi yang menggunakan cloud, lingkungan cloud baru akan semakin memperluas permukaan serangan. Tentunya upayan paling pertama adalah memastikan visibilitas yang memadai di seluruh jaringan merupakan langkah penting pertama dalam menilai efektivitas alat organisasi. 2. Menyelidiki Izin dan Kepemilikan Overprovisioning adalah masalah yang tidak bisa dianggap remeh. Tim TI umumnya tidak ingin mengganggu operasi bisnis, yang berarti lebih mudah untuk memberikan lebih banyak izin kepada pengguna dan identitas lain daripada yang mereka butuhkan daripada risiko menghambat fungsi pekerjaan seseorang. Sayangnya, identitas seringkali berakhir dengan hak yang jauh melebihi apa yang sebenarnya mereka butuhkan untuk melakukan pekerjaan mereka. Akibatnya, ketika penyerang mengkompromikan identitas tersebut, mereka juga memiliki akses ke lebih banyak data daripada yang seharusnya mereka miliki. Menerapkan Zero Trust Architecture (ZTA) adalah salah satu cara untuk mengatasi tantangan ini, memberikan identitas hanya dengan tingkat akses minimum yang mereka butuhkan untuk berfungsi dan terus memvalidasi bahwa mereka adalah siapa atau apa yang mereka katakan. Untuk itu, organisasi memerlukan alat untuk mengidentifikasi izin yang berlebihan dan potensi kerentanan lainnya di seluruh jaringan. Organisasi harus secara teratur mengaudit dan memperbarui izin ini untuk memastikannya tetap sesuai, dan bahwa seseorang dapat memeriksa audit tersebut. 3. Mengukur dan Meningkatkan Akurasi Deteksi Review keamanan yang baik, terkadang menunjukkan bahwa alat keamanan berfungsi dengan benar dan mendeteksi ancaman. Sayangnya, hal itu seringkali tidak selalu terjadi. Aktivitas yang tampak mencurigakan seringkali ternyata tidak berbahaya, menghasilkan alarm palsu yang membuang waktu tim keamanan dengan penyelidikan yang tidak berguna. False Alarm ini dapat menyebabkan kejenuhan peringatan , dengan alarm palsu yang berlebihan menghilangkan ancaman sebenarnya yang membutuhkan perbaikan. Melacak tingkat pelaporan positif palsu (FPRR) dapat membantu petugas keamanan memahami kualitas peringatan mereka. Jika FPRR terlalu tinggi, mungkin sudah waktunya untuk mencari alat yang lebih baru dan lebih akurat. Teknologi pendeteksian saat ini sering dilengkapi dengan kemampuan kecerdasan buatan dan pembelajaran mesin (AI dan ML) yang memungkinkan mereka untuk belajar dari waktu ke waktu dan memperkuat peringatan sebelum meneruskannya ke tim keamanan. Lansiran fidelitas tinggi ini mengurangi keseluruhan volume lansiran dan memungkinkan pembela jaringan untuk fokus pada ancaman aktual daripada mengejar hantu. 4. Memahami Efektivitas Otomasi Otomasi berguna lebih dari sekadar mengurangi alarm palsu . Tidak selalu layak untuk memulihkan semua ancaman secara manual pada volume serangan saat ini. Untungnya, alat saat ini dapat secara otomatis mengkorelasikan informasi serangan dari berbagai sumber dan menampilkannya di satu dasbor untuk penilaian. Dengan membuat pedoman untuk jenis aktivitas serangan tertentu, alat ini dapat secara otomatis memulihkan ancaman tertentu bahkan sebelum membawanya ke perhatian pembela. Otomatisasi ini mempercepat dan menyederhanakan respons insiden, menangani ancaman segera setelah terdeteksi dan menghentikannya. Volume respons insiden adalah cara yang baik untuk mengukur seberapa efektif kontrol ini. Jumlah insiden yang dilaporkan terbuka, tertutup, atau tertunda dapat memberikan wawasan tentang seberapa baik alat otomatis menangani ancaman. Terlalu banyak insiden terbuka atau tertunda bukan pertanda baik, tetapi sejumlah besar kasus yang dapat diverifikasi dan ditutup berarti sistem melakukan tugasnya. Kesimpulan Ancaman saat ini begitu luas, dan para penjahat siber yang modern tidak hanya berfokus pada organisasi besar. Setiap orang berisiko, dan organisasi besar dan kecil perlu memiliki perlindungan yang sesuai dan pengetahuan serta sumber daya yang diperlukan untuk mengukur keefektifannya. Untungnya, menilai hal-hal seperti visibilitas jaringan, manajemen hak, dan pelaporan insiden dan alarm palsu dapat membantu organisasi menentukan kesehatan jaringan mereka secara keseluruhan dan seberapa baik kinerja pertahanan mereka. Artikel ini dilansir dari website sentinel One
