Itu adalah banyak yang harus dilakukan oleh organisasi dalam waktu singkat, dan bagi banyak organisasi, itu sangat sulit. Namun, ada data berharga yang dimiliki setiap organisasi yang dapat membantu, meskipun jarang dimanfaatkan sepenuhnya: jaringan.
Nilai Jaringan dalam Keamanan Siber
Biasanya, profesional keamanan lebih fokus pada tempat di mana penyerang akan berakhir, seperti perangkat akhir (endpoint), pengendali domain, basis data yang berisi informasi sensitif, dan sebagainya. Karena itu, alat deteksi dan respons titik akhir (EDR) serta SIEM adalah solusi keamanan yang paling umum digunakan. Namun, masalahnya adalah alat-alat ini hanya memberi tahu kita ketika penyerang sudah berada di dalam sistem, bukan dari mana mereka memulai, bagaimana mereka bergerak, atau sistem apa saja yang mereka sentuh dalam prosesnya.
Perangkat yang tidak terkelola, seperti perangkat IoT atau laptop milik tamu atau kontraktor, tidak bisa menjalankan agen keamanan (EDR), atau Anda tidak punya izin untuk menginstalnya. Selain itu, penyerang yang lebih canggih bisa menghindari EDR, bahkan menciptakan alat untuk menghancurkan EDR itu sendiri.
Meskipun log diperlukan untuk kepatuhan, SIEM yang mengumpulkannya seringkali lambat dalam menganalisis dan memprosesnya, serta sering menghasilkan banyak peringatan palsu. Penyerang juga sering menonaktifkan atau menghapus log untuk menyembunyikan aktivitas mereka.
Telemetri Jaringan—yaitu menggabungkan data jaringan dengan pemantauan dan analisis paket secara lengkap—mengisi kekurangan yang ditinggalkan oleh EDR dan SIEM. Semua aktivitas harus melewati jaringan, dan lalu lintas jaringan tidak bisa diubah. Jadi, jika Anda memantau jaringan, penyerang tidak bisa bersembunyi.
Mengatasi Hambatan dalam Penggunaan Data Jaringan
Dulu, data jaringan hanya memberikan sebagian informasi, dengan kenyataan yang tersembunyi di dalam paket-paket yang melintasi jaringan setiap hari, dan mencoba untuk melakukan pemantauan dan analisis paket penuh (PCAP) adalah hal yang sulit dilakukan oleh banyak organisasi. Data yang terlalu banyak, perangkat yang tidak mampu menangani volume lalu lintas jaringan, serta keterbatasan dalam penyimpanan dan komputasi membuatnya hampir mustahil dilakukan.
Namun, sekarang hal itu sudah tidak menjadi masalah lagi. Platform deteksi dan respons jaringan RevealX™ dari ExtraHop® membuka potensi telemetri jaringan, termasuk pemantauan paket jaringan penuh. Penyimpanan paket yang efisien mengurangi beban sumber daya, sementara algoritma AI dan pembelajaran mesin yang kuat dapat mendeteksi ancaman dan perilaku mencurigakan secara langsung—sesuatu yang tidak bisa dilakukan oleh SIEM tradisional.
RevealX memberikan konteks yang lebih lengkap yang tidak bisa diberikan oleh SIEM dan EDR, seperti kapan dan di mana serangan dimulai dan bagaimana perkembangannya. Konteks ini memberi penyelidik lebih banyak waktu untuk bertindak dan memungkinkan organisasi untuk mengambil langkah-langkah pencegahan yang lebih baik. RevealX juga dapat mendekripsi lebih dari 90 protokol jaringan, aplikasi, database, dan internet, yang berarti bahkan lalu lintas yang terenkripsi pun tidak dapat menyembunyikan jejak aktivitas penyerang.
Faktanya, PCAP penuh dan analisis yang diberikan oleh RevealX memungkinkan analis keamanan untuk tahu dengan pasti apakah suatu insiden perlu dilaporkan. Data yang terpecah dalam paket-paket dapat disusun kembali untuk mengungkapkan detail yang sangat mendalam. Analis dapat melihat tidak hanya bahwa suatu kueri SQL dijalankan di server tertentu, tetapi juga apakah kueri itu menghasilkan data, yang dapat menghemat banyak waktu dalam mencari tahu apakah data sensitif terpengaruh.
PCAP penuh juga membantu organisasi untuk tetap tangguh saat melakukan penyelidikan pelanggaran dan perbaikan, terutama jika terkena ransomware. Biasanya, ketika organisasi menemukan ransomware, langkah pertama yang sering diambil adalah mematikan seluruh sistem untuk mencegah ransomware menyebar. Ini bisa mengganggu operasional dan menyebabkan kerugian pendapatan serta hilangnya pelanggan. Namun, dengan kemampuan untuk menangkap dan menganalisis paket secara lengkap secara real-time, organisasi dapat mengetahui sistem mana yang benar-benar terpengaruh dan memutuskan sistem mana yang perlu dimatikan dan mana yang bisa tetap berjalan untuk meminimalkan gangguan.
Tidak semua solusi deteksi dan respons jaringan sama. Seperti halnya EDR hanya dapat menunjukkan apa yang terjadi di titik akhir, beberapa alat pemantauan jaringan hanya mengumpulkan metadata jaringan atau NetFlow. Data ini memang bisa membantu mendeteksi serangan, tetapi tetap saja itu belum menggambarkan keseluruhan masalah. Perbedaan antara hanya melihat metadata (seperti header paket) dan pemantauan paket penuh adalah perbedaan antara kamera lalu lintas yang hanya memberi tahu Anda bahwa mobil yang melaju kencang berwarna merah, dan kamera yang juga menangkap nomor pelat dan foto pengemudi. Metadata hanya memberi informasi sebagian yang bisa diinterpretasikan, sementara pemantauan paket penuh memberikan informasi yang pasti.
Tingkat visibilitas jaringan yang diberikan oleh RevealX memberikan banyak manfaat bagi organisasi. Forrester Consulting melakukan studi yang menunjukkan hasil besar dalam produktivitas, dengan pengurangan waktu perbaikan sebesar 86%, pengurangan waktu untuk menyelesaikan ancaman sebesar 87%, dan pengurangan waktu untuk mengatasi gangguan sebesar 92%.
Setiap menit sangat berharga saat terjadi serangan siber. Dengan RevealX di sisi Anda, Anda dapat memaksimalkan setiap menit dengan sebaik-baiknya.