Menghentikan ancaman baru adalah salah satu tantangan terbesar dalam keamanan siber. Ini adalah salah satu alasan terbesar mengapa serangan kembali meningkat secara dramatis dalam satu tahun terakhir, meskipun diperkirakan $172 miliar dihabiskan untuk keamanan siber global pada tahun 2022.
Dipersenjatai dengan alat berbasis cloud dan didukung oleh jaringan afiliasi yang canggih, pelaku dapat mengembangkan malware baru dan lebih cepat daripada kemampuan suatu organisasi anti malware/antivirus untuk memperbarui perlindungan mereka.
Hanya mengandalkan signature malware dan blocklists terhadap serangan yang berubah dengan cepat ini menjadi sia-sia. Akibatnya, toolkit SOC sekarang sebagian besar berkisar pada deteksi dan investigasi. Jika penyerang dapat melewati tembok pertama, Kita mengharapkan tools antivirus/antimalware mampu mencegah di beberapa titik dalam rantai serangan. Arsitektur digital setiap organisasi sekarang diunggulkan dengan kontrol keamanan yang mencatat segala sesuatu yang berpotensi berbahaya. Analis keamanan mempelajari log ini dan menentukan apa yang harus diselidiki lebih lanjut.
Apakah ini berhasil? Mari kita lihat angkanya:
76% tim keamanan mengatakan bahwa mereka tidak dapat mencapai sasaran karena kekurangan staf
56% serangan membutuhkan waktu berbulan-bulan—atau lebih lama—untuk ditemukan
Serangan terus meningkat: kerugian global cyber crime diperkirakan mencapai $10,5 triliun pada tahun 2025
Jelas, sesuatu perlu diubah. Teknologi deteksi malware melayani tujuan yang penting dan berinvestasi pada teknologi tersebut juga tidak salah, tetapi ini sudah terlalu ditekankan.
Organisasi harus kembali memprioritaskan pencegahan ancaman terlebih dahulu dan yang terutama—ini datang dari pemimpin dengan zero trust, sebuah model yang pada dasarnya mengasumsikan kontrol pencegahan malware kita telah gagal dan keamanan kita sudah dibobol pada setiap waktu.
Meskipun banyak teknologi keamanan dengan strategi keamanan yang mengutamakan deteksi, mari kita lihat satu yang populer khususnya: Endpoint Detection and Response (EDR).
Adopsi EDR telah berkembang pesat. Sudah menjadi teknologi industri senilai $2 miliar, bertumbuh dengan CAGR 25,3%. Yang membuat masuk akal: sebagian besar serangan dimulai dari titik akhir, dan jika kita mendeteksinya di awal rantai serangan, kita bisa meminimalkan dampaknya. Solusi EDR yang baik juga menyediakan telemetri titik akhir untuk membantu penyelidikan, compliance, serta menemukan dan mematikan kerentanan.
Endpoint security ini suatu bidang yang valuable untuk diinvestasikan—dan komponen penting dari zero trust—namun itu bukan gambaran keseluruhannya. Terlepas dari klaim vendor tentang “extended” detection and response yang menyatukan data di seluruh perusahaan, solusi XDR tidak menyediakan pertahanan mendalam sendiri. EDR memiliki antivirus untuk menghentikan malware yang dikenal, tetapi mereka biasanya mengizinkan semua lalu lintas lain untuk melewatinya, mengandalkan analitik untuk akhirnya mendeteksi apa yang terlewatkan oleh AV.
Semua alat memiliki kekurangan, tidak terkecuali EDR, karena:
- Tidak semua serangan dimulai dari endpoint. Internet itu sebuah jaringan baru, dan sebagian besar organisasi memiliki beragam data dan aplikasi yang disimpan di berbagai cloud. Mereka juga sering menggunakan perangkat seperti VPN dan firewall yang dapat dirutekan dari internet. Apa pun yang terexposed akan terkena serangan. Zscaler ThreatLabz menemukan bahwa 30% serangan berbasis SSL bersembunyi di layanan berbagi file berbasis cloud seperti AWS, Google Drive, OneDrive, dan Dropbox.
- Tidak semua endpoint dikelola. EDR bergantung pada agen yang dipasang di setiap perangkat yang dikelola IT, tetapi itu tidak memperhitungkan banyak sekali skenario di mana endpoint yang tidak dikelola dapat menyentuh data atau jaringan Anda: perangkat IoT dan OT, personal (BYOD) endpoint yang digunakan untuk bekerja, aplikasi third-party yang dapat mengakses seluruh data, merger atau akuisisi, bahkan tamu yang datang ke kantor kita yang menggunakan Wi-Fi.
- EDR dapat dibypassed. Semua alat keamanan memiliki kelemahannya masing-masing, dan EDR telah terbukti cukup mudah untuk dihindari menggunakan beberapa teknik umum, seperti mengeksploitasi panggilan sistem. Attacker menggunakan teknik enkripsi dan obfuscation untuk membuat PDF baru, dokumen Microsoft 365, dan file lain secara otomatis yang dapat mengubah fingerprint malware dan melewati model keamanan siber standar tanpa terdeteksi.
- Ancaman modern bergerak sangat cepat. Ransomware saat ini, hampir semuanya tersedia untuk dibeli di dark-web untuk setiap pelaku cyber-crime, yang dapat mengenkripsi data dengan cepat sehingga teknologi berbasis deteksi dirasa tidak berguna. LockBit v3.0 dapat mengenkripsi 25.000 file dalam satu menit, dan itu bahkan bukan ransomware tercepat. Sebaliknya, waktu rata-rata untuk mendeteksi dan memitigasi kerentanan ini butuh waktu 280 hari. Itu waktu yang cukup bagi LockBit untuk mengenkripsi lebih dari 10 miliar file.
Sungguh benar bahwa teknologi antivirus berbasis signature tidak lagi cukup untuk menghentikan serangan canggih. Namun pernyataan ini juga benar bahwa analitik bertenaga AI di balik teknologi deteksi dapat (dan harus!) digunakan untuk pencegahan, bukan hanya deteksi, jika didelivered secara inline. Strategi pencegahan ini perlu memperhitungkan seluruh infrastruktur, bukan hanya pada endpoint atau bagian lain dari arsitektur.
Sandbox adalah contoh alat keamanan yang dapat digunakan dengan cara ini. Sanbox memberikan perlindungan waktu nyata terhadap ancaman canggih dan tidak dikenal dengan menganalisis file dan URL yang mencurigakan di lingkungan yang aman dan terisolasi. Menyebarkannya secara inline (bukan sebagai passthrough) yang berarti file tidak diizinkan untuk melanjutkan sampai setelah ada tindakan.
Platform Zscaler Zero Trust Exchange menyertakan proxy cloud-native yang memeriksa semua lalu lintas, terenkripsi atau tidak, untuk mengaktifkan akses yang aman. Sebagai proxy, platform kontrol berlapis—termasuk advanced Sandbox terintegrasi—semuanya disampaikan sejalan dengan pendekatan pencegahan pertama.
