Endpoint Detection and Response (EDR) telah menjadi teknologi dasar dari program deteksi dan tanggap yang efektif selama bertahun-tahun, memberikan tim keamanan dengan kemampuan visibilitas dan respons yang tak tertandingi di seluruh sistem pengguna akhir, beban kerja cloud, dan server. Meskipun hal ini tetap benar hingga saat ini, pusat operasi keamanan (SOC) dan tim respons insiden (IR) memerlukan kemampuan tambahan ‘di luar endpoint’ untuk melindungi lingkungan perusahaan modern. Dalam posting blog ini, pelajari bagaimana SentinelOne memperluas cakupan layanan MDR kami untuk menyediakan cakupan deteksi dan respons 24×7 melintasi endpoint, cloud, identitas, email, jaringan, dan lebih dari itu. Evolusi Deteksi Endpoint Di awal era pemantauan keamanan dan respons insiden, tim keamanan mengandalkan telemetri jaringan untuk mengidentifikasi dan menyelidiki serangan cyber. Visibilitas langsung terhadap aktivitas di endpoint dan server sangat terbatas, sehingga analis SOC dan responder insiden harus menyimpulkan apa yang terjadi dalam lingkungan mereka berdasarkan lalu lintas jaringan ke dan dari sistem-sistem tersebut. Pendekatan yang difokuskan pada jaringan ini cukup efektif pada waktu itu, terutama karena sebagian besar lalu lintas jaringan tidak dienkripsi, sehingga menambah jumlah ‘noise’ peringatan dan membuat ancaman nyata sulit terlewatkan. Namun, seiring ancaman terus berkembang dan lalu lintas jaringan yang dienkripsi menjadi norma, para pembela kesulitan mempertahankan visibilitas ke infrastruktur yang mereka tanggung jawab untuk melindungi. Perlindungan endpoint yang efektif dan deteksi dan respons endpoint (EPP/EDR) mengubah segalanya. Para pembela mendapatkan visibilitas penuh terhadap aktivitas di endpoint, seperti deteksi malware dan aktivitas berbahaya lainnya, eksekusi proses, akses sistem file, dan telemetri jaringan. Begitu ancaman teridentifikasi, para pembela dapat beralih cepat ke respons insiden, mengumpulkan artefak forensik tambahan, menghentikan proses berbahaya, dan mengisolasi sistem yang tercompromi dari jaringan untuk membatasi ruang lingkup dan dampak insiden lebih lanjut. Meskipun EPP/EDR menyediakan visibilitas yang sangat dibutuhkan, ini tidak memecahkan masalah lain – kurangnya ahli terampil untuk mengoperasikan dan memantau teknologi baru ini sepanjang waktu. Kemudian hadir Managed Detection and Response (MDR). Layanan-layanan ini mengambil tanggung jawab untuk mendeteksi, menyelidiki, dan merespons ancaman atas nama pelanggan. Sebagian besar layanan ini dibangun di atas teknologi deteksi dan respons endpoint. Layanan MDR dari SentinelOne tidak terkecuali. Analis MDR kami mengidentifikasi dan merespons aktivitas mencurigakan dengan memanfaatkan sepenuhnya teknologi endpoint dan beban kerja cloud kami. Kami memprioritaskan dan menyelidiki semua aktivitas mencurigakan di workstations, server, dan beban kerja cloud, mengambil tindakan containment dan remediasi segera untuk membatasi ruang lingkup dan dampak ancaman yang terkonfirmasi, bahkan sebelum pelanggan dihubungi dengan ringkasan insiden dan langkah-langkah selanjutnya yang direkomendasikan. Proses kami sangat efektif sehingga 99,6% ancaman dapat diselesaikan sepenuhnya tanpa perlu eskalasi kepada pelanggan kami. Baca lebih lanjut tentang bagaimana para ahli MDR kami mampu melindungi pelanggan kami dengan sinyal yang lebih banyak dan noise yang lebih sedikit dalam Evaluasi Layanan Terkelola MITRE yang terbaru. Argumen untuk Deteksi dan Respons di Luar Endpoint Deteksi dan respons endpoint tetap tak tergantikan. Bahkan, organisasi yang tidak memiliki solusi endpoint modern dan tim ahli 24×7 untuk menyelidiki dan merespons ancaman endpoint tidak siap untuk mendeteksi dan merespons pelanggaran sebelum kerusakan terjadi. Seiring dengan evolusi lanskap ancaman, para pembela membangun fondasi ini dengan kemampuan deteksi dan respons lebih lanjut ‘di luar endpoint’. Sebagai contoh: – Pertimbangkan identitas sebagai batas baru. Lebih dari sepertiga dari semua pelanggaran dimulai dengan penggunaan kredensial yang dikompromi untuk mendapatkan akses awal, menurut Laporan Investigasi Pelanggaran Data Verizon 2024. – Penyerang mengincar infrastruktur cloud termasuk sumber daya cloud tanpa server dan papan kontrol Cloud Service Provider (CSP). – Meskipun cakupan endpoint yang lengkap adalah tujuan, tidak memungkinkan untuk menyematkan agen EPP/EDR ke setiap sistem di lingkungan yang besar dan kompleks, terutama yang memiliki sistem warisan atau infrastruktur Teknologi Operasional (OT). Mengapa MDR? | Platform Teknologi Penting Mengapa MDR? | Platform Teknologi Sangat Penting Layanan MDR hanya sebaik teknologi yang digunakan untuk membangunnya. Banyak layanan terkelola disampaikan menggunakan teknologi SIEM dan keamanan endpoint warisan. Lebih buruk lagi, beberapa penyedia mengambil pendekatan ‘netral terhadap teknologi’, mengklaim dapat memberikan deteksi ancaman dan respons yang efektif menggunakan platform teknologi apa pun yang tersedia di lingkungan pelanggan mereka. Analis SOC mereka kesulitan memahami banjir peringatan dan telemetri yang bermacam-macam tanpa fondasi teknologi inti untuk mengembangkan keahlian dan memfokuskan waktu serta perhatian mereka yang terbatas. Pendekatan ini telah dicoba dan ternyata tidak berhasil. Itulah mengapa layanan MDR kami dibangun di atas fondasi terbuka dan dapat diperluas – Platform SentinelOne Singularity. Platform ini memberikan para analis MDR kami dengan: – Pencegahan, deteksi, dan respons beban kerja endpoint dan cloud yang terdepan di pasar. – Deteksi dan gangguan serangan identitas. – Danau data keamanan yang memberikan visibilitas end-to-end melintasi berbagai telemetri keamanan. – Hiper otomatisasi untuk mempercepat penyelidikan dan respons, memanfaatkan tindakan containment dan remediasi bawaan serta pihak ketiga untuk membatasi ruang lingkup dan dampak insiden. – Didukung oleh PurpleAI untuk memberdayakan analis dan pelanggan kami untuk merespons ancaman dengan lebih efektif dan efisien. Analis-analis kami bekerja bersama pelanggan di Singularity Operations Center, memberikan transparansi penuh terhadap catatan dan temuan analis. Selain itu, otomatisasi yang kuat serta EDR bawaan dan intelijen ancaman membantu mengoptimalkan analis kami untuk melakukan penyelidikan lebih cepat dan lebih terinformasi, menghasilkan lebih sedikit eskalasi dan rekomendasi remediasi yang lebih berdampak. Membangun Atas Fondasi Ini Layanan MDR kami bukanlah ‘netral terhadap teknologi’. Sebaliknya, para analis MDR kami adalah pengguna ahli dari Platform Singularity, dan fokus ini adalah yang menghasilkan hasil yang lebih efektif bagi pelanggan kami. Sebagai pelengkap proteksi Singularity Complete dan Singularity Cloud Workload yang sudah ada untuk mendeteksi dan merespons ancaman, kami memperluas cakupan layanan MDR kami ‘di luar endpoint’ dengan: – Penambahan Cakupan Deteksi – Para analis MDR kami akan melakukan triase dan menyelidiki peringatan ‘di luar endpoint’, dimulai dengan peringatan dari Singularity Identity dan kemudian diperluas ke teknologi keamanan pihak ketiga tertentu. – Penyelidikan yang Diperkaya – Analis-analis kami akan memanfaatkan telemetri tambahan di Singularity Data Lake dari integrasi jaringan, email, dan identitas tertentu. Konteks tambahan ini akan membantu analis kami membuat keputusan yang lebih terinformasi mengenai aktivitas mencurigakan atau berbahaya yang terdeteksi di lingkungan pelanggan kami. – Peningkatan Kemampuan Respons – Ketika sebuah insiden teridentifikasi, para analis kami akan mengambil tindakan respons tambahan ‘di luar endpoint’ untuk…
