This is the Trace Id: 8f682f9c2656ac5c1f4671126d6112af
Lompati ke konten utama
Microsoft Security

Apa yang dimaksud dengan Deteksi dan Respons Ancaman (TDR)?

Pelajari cara melindungi aset organisasi Anda dengan mengidentifikasi dan memitigasi risiko keamanan cyber secara proaktif dengan deteksi dan respons ancaman.

Temukan solusi Microsoft XDR

Deteksi dan respons ancaman (TDR) ditentukan

Deteksi dan respons ancaman adalah proses keamanan cyber untuk mengidentifikasi ancaman cyber ke aset digital organisasi dan mengambil langkah untuk memitigasinya secepat mungkin.

Bagaimana cara kerja deteksi dan respons ancaman?

Untuk mengatasi ancaman cyber dan masalah keamanan lainnya, banyak organisasi menyiapkan pusat operasi keamanan (SOC), yang merupakan fungsi terpusat atau tim yang bertanggung jawab untuk meningkatkan postur keamanan cyber organisasi serta mencegah, mendeteksi, dan merespons ancaman. Selain memantau dan merespons serangan cyber yang sedang berlangsung, SOC juga melakukan pekerjaan proaktif untuk mengidentifikasi ancaman cyber dan kerentanan organisasi yang muncul. Sebagian besar tim SOC, yang mungkin berada di lokasi atau dialihdayakan, beroperasi sepanjang waktu, tujuh hari seminggu.

SOC menggunakan inteligensi ancaman, dan teknologi untuk mengungkap upaya, keberhasilan, atau pelanggaran yang sedang berlangsung. Setelah ancaman cyber diidentifikasi, tim keamanan akan menggunakan alat deteksi dan respons ancaman untuk menghilangkan atau mengurangi masalah.

Deteksi dan respons ancaman biasanya mencakup tahapan berikut:

  • Deteksi. Alat keamanan yang memantau titik akhir, identitas, jaringan, aplikasi, dan cloud membantu memunculkan risiko dan potensi pelanggaran. Profesional keamanan juga menggunakan teknik perburuan ancaman cyber untuk mengungkap ancaman cyber canggih yang menghindari deteksi.
  • Penyelidikan. Setelah risiko diidentifikasi, SOC menggunakan AI dan alat lain untuk mengonfirmasi bahwa ancaman cyber nyata adanya, menentukan bagaimana ancaman cyber bisa terjadi, dan menilai aset perusahaan apa yang terpengaruh.
  • Penahanan. Untuk menghentikan penyebaran ancaman cyber, tim keamanan cyber dan alat otomatis mengisolasi perangkat, identitas, dan jaringan yang terinfeksi dari aset organisasi lainnya.
  • Pemberantasan. Tim menghilangkan akar penyebab insiden keamanan dengan tujuan untuk mengungkap pelaku kejahatan sepenuhnya dari lingkungan. Tim juga memitigasi kerentanan yang dapat menempatkan organisasi pada risiko serangan cyber serupa.
  • Pemulihan. Setelah tim yakin bahwa ancaman atau kerentanan cyber telah dihapus, mereka akan mengembalikan sistem yang terisolasi secara online.
  • Laporan. Tergantung pada tingkat keparahan insiden, tim keamanan akan mendokumentasikan dan memberi pengarahan kepada para pemimpin, eksekutif, dan/atau dewan mengenai apa yang terjadi dan bagaimana masalah tersebut diselesaikan.
  • Mitigasi risiko. Untuk mencegah pelanggaran serupa terjadi lagi dan untuk meningkatkan respons di masa mendatang, tim mempelajari insiden dan mengidentifikasi perubahan yang dibuat pada lingkungan dan proses.

Apa yang dimaksud dengan deteksi ancaman?

Mengidentifikasi ancaman cyber semakin sulit karena organisasi telah memperluas jejak cloud mereka, menghubungkan lebih banyak perangkat ke internet, dan beralih ke tempat kerja hybrid. Pelaku kejahatan memanfaatkan area permukaan yang diperluas ini dan fragmentasi dalam alat keamanan dengan jenis taktik berikut:

  • Kampanye pengelabuan. Salah satu cara paling umum yang digunakan pelaku kejahatan untuk menyusup ke perusahaan adalah dengan mengirimkan email yang menipu karyawan agar mengunduh kode berbahaya atau memberikan kredensial mereka.
  • Program jahat. Banyak penyerang cyber menyebarkan perangkat lunak yang dirancang untuk merusak komputer dan sistem atau mengumpulkan informasi sensitif.
  • Ransomware. Sejenis program jahat, penyerang ransomware menyandera sistem dan data penting, mengancam akan melepaskan data pribadi atau mencuri sumber daya cloud untuk menambang bitcoin hingga uang tebusan dibayarkan. Baru-baru ini, ransomware yang dioperasikan oleh manusia, yang memungkinkan sekelompok penyerang cyber mendapatkan akses ke seluruh jaringan organisasi, telah menjadi masalah yang semakin meningkat bagi tim keamanan.
  • Serangan penolakan layanan terdistribusi (DDoS). Dengan menggunakan serangkaian bot, pelaku kejahatan mengganggu situs web atau layanan dengan membanjirinya dengan lalu lintas.
  • Ancaman dari dalam. Tidak semua ancaman cyber berasal dari luar organisasi. Ada juga risiko bahwa orang tepercaya yang memiliki akses ke data sensitif dapat membahayakan organisasi secara tidak sengaja atau berbahaya.
  • Serangan berbasis identitas. Sebagian besar pelanggaran melibatkan identitas yang disusupi, yaitu ketika penyerang cyber mencuri atau menebak kredensial pengguna dan menggunakannya untuk mendapatkan akses ke sistem dan data organisasi.
  • Serangan Internet of Things (IoT). Perangkat IoT juga rentan terhadap serangan cyber, terutama perangkat warisan yang tidak memiliki kontrol keamanan bawaan yang dilakukan perangkat modern.
  • Serangan rantai pasokan. Terkadang, pelaku kejahatan menargetkan organisasi dengan merusak perangkat lunak atau perangkat keras yang disediakan oleh vendor pihak ketiga.
  • Injeksi kode. Dengan mengeksploitasi kerentanan dalam cara kode sumber menangani data eksternal, penjahat cyber menyuntikkan kode berbahaya ke dalam aplikasi.

Mendeteksi ancaman
Untuk mengantisipasi meningkatnya serangan keamanan cyber, organisasi menggunakan pemodelan ancaman untuk menentukan persyaratan keamanan, mengidentifikasi kerentanan dan risiko, serta memprioritaskan perbaikan. Dengan menggunakan skenario hipotetis, SOC mencoba memasuki pikiran penjahat cyber sehingga mereka dapat meningkatkan kemampuan organisasi untuk mencegah atau memitigasi insiden keamanan. Kerangka kerja MITRE ATT&CK® adalah model yang berguna untuk memahami teknik dan taktik serangan cyber umum.

Pertahanan multilapisan memerlukan alat yang menyediakan pemantauan lingkungan secara real time dan memunculkan potensi masalah keamanan secara terus-menerus. Solusi juga harus tumpang tindih, sehingga jika satu metode deteksi disusupi, metode kedua akan mendeteksi masalah dan memberi tahu tim keamanan. Solusi deteksi ancaman cyber menggunakan berbagai metode untuk mengidentifikasi ancaman, termasuk:

  • Deteksi berbasis tanda tangan. Banyak solusi keamanan memindai perangkat lunak dan lalu lintas untuk mengidentifikasi tanda tangan unik yang terkait dengan jenis program jahat tertentu.
  • Deteksi berbasis perilaku. Untuk membantu menangkap ancaman cyber baru dan yang muncul, solusi keamanan juga mencari tindakan dan perilaku yang umum terjadi dalam ancaman cyber.
  • Deteksi berbasis anomali. AI dan analitik membantu tim memahami perilaku umum pengguna, perangkat, dan perangkat lunak sehingga mereka dapat mengidentifikasi sesuatu yang tidak biasa yang dapat mengindikasikan ancaman cyber.

Meskipun perangkat lunak sangat penting, manusia juga memainkan peran yang sama pentingnya dalam mendeteksi ancaman cyber. Selain melakukan triase dan menyelidiki peringatan yang dihasilkan sistem, analis menggunakan teknik perburuan ancaman cyber untuk secara proaktif mencari indikasi penyusupan, atau mereka mencari taktik, teknik, dan prosedur yang menyarankan potensi ancaman. Pendekatan ini membantu SOC dengan cepat mengungkap dan menghentikan serangan yang canggih dan sulit dideteksi

Apa yang dimaksud dengan respons ancaman?

Setelah ancaman cyber yang dapat dipercaya teridentifikasi, respons ancaman mencakup tindakan apa pun yang dilakukan SOC untuk membendung dan menghilangkannya, memulihkan, dan mengurangi kemungkinan serangan serupa terulang kembali. Banyak perusahaan mengembangkan rencana respons insiden untuk membantu memandu mereka selama potensi pelanggaran saat ditata dan bergerak dengan cepat sangatlah penting. Rencana respons insiden yang baik mencakup playbook dengan panduan langkah demi langkah untuk jenis ancaman, peran dan tanggung jawab tertentu, serta rencana komunikasi.

Komponen deteksi dan respons ancaman

Organisasi menggunakan berbagai alat dan proses untuk mendeteksi dan merespons ancaman secara efektif.

Deteksi dan respons yang diperluas

Produk deteksi dan respons yang diperluas (XDR) membantu SOC menyederhanakan seluruh siklus hidup ancaman cyber pencegahan, deteksi, dan respons. Solusi ini memantau titik akhir, aplikasi cloud, email, dan identitas. Jika mendeteksi ancaman cyber, solusi XDR akan memperingatkan tim keamanan dan merespons secara otomatis insiden tertentu berdasarkan kriteria yang ditentukan SOC.

Deteksi dan respons ancaman identitas

Karena pelaku kejahatan sering menargetkan karyawan, penting untuk menempatkan alat dan proses guna mengidentifikasi dan merespons ancaman terhadap identitas organisasi. Solusi ini biasanya menggunakan analitik perilaku pengguna dan entitas (UEBA) untuk menentukan perilaku pengguna dasar dan mengungkap anomali yang mewakili potensi ancaman.

Security information and event management

Mendapatkan visibilitas ke seluruh lingkungan digital adalah langkah pertama dalam memahami lanskap ancaman. Sebagian besar tim SOC menggunakan solusi security information and event management (SIEM) yang menggabungkan dan menghubungkan data di seluruh titik akhir, cloud, email, aplikasi, dan identitas. Solusi ini menggunakan aturan deteksi dan playbook untuk memunculkan potensi ancaman cyber dengan menghubungkan log dan peringatan. SIEM modern juga menggunakan AI untuk mengungkap ancaman cyber secara lebih efektif, dan solusi ini menggabungkan umpan inteligensi ancaman eksternal, sehingga dapat mengidentifikasi ancaman cyber baru dan yang muncul.

Inteligensi ancaman

Untuk mendapatkan gambaran komprehensif tentang lanskap ancaman cyber, SOC menggunakan alat yang mensintesis dan menganalisis data dari berbagai sumber, termasuk titik akhir, email, aplikasi cloud, dan sumber intelijen ancaman eksternal. Wawasan dari data ini membantu tim keamanan bersiap untuk serangan cyber, mendeteksi ancaman cyber aktif, menyelidiki insiden keamanan yang sedang berlangsung, dan merespons secara efektif.

Deteksi dan respons titik akhir

Solusi deteksi dan respons titik akhir (EDR) adalah versi solusi XDR yang lebih lama, yang difokuskan hanya pada titik akhir, seperti komputer, server, perangkat seluler, IoT. Seperti solusi XDR, ketika potensi serangan ditemukan, solusi ini menghasilkan peringatan dan, untuk serangan tertentu yang dipahami dengan baik, merespons secara otomatis. Karena solusi EDR hanya difokuskan pada titik akhir, sebagian besar organisasi bermigrasi ke solusi XDR.

Pengelolaan kerentanan

Pengelolaan kerentanan adalah proses berkelanjutan, proaktif, dan sering kali otomatis yang memantau sistem komputer, jaringan, dan aplikasi perusahaan untuk mengetahui kelemahan keamanan. Solusi manajemen kerentanan menilai kerentanan untuk tingkat keparahan dan tingkat risiko serta memberikan pelaporan yang digunakan SOC untuk memulihkan masalah.

Orkestrasi, otomatisasi, dan respons keamanan

Solusi orkestrasi, otomatisasi, dan respons keamanan (SOAR) membantu menyederhanakan deteksi dan respons ancaman cyber dengan menyatukan data dan alat internal dan eksternal ke dalam satu tempat terpusat. Solusi ini juga mengotomatiskan respons ancaman cyber berdasarkan serangkaian aturan yang telah ditentukan sebelumnya.

Deteksi dan respons terkelola

Tidak semua organisasi memiliki sumber daya untuk mendeteksi dan merespons ancaman cyber secara efektif. Layanan deteksi dan respons terkelola membantu organisasi ini meningkatkan tim keamanan mereka dengan alat dan orang-orang yang diperlukan untuk berburu ancaman dan merespons dengan tepat.

Keuntungan utama deteksi dan respons ancaman

Ada beberapa cara agar deteksi dan respons ancaman yang efektif dapat membantu organisasi meningkatkan ketahanannya dan meminimalkan dampak pelanggaran.

Deteksi ancaman dini

Menghentikan ancaman cyber sebelum menjadi pelanggaran penuh merupakan cara penting untuk mengurangi dampak insiden secara dramatis. Dengan alat deteksi dan respons ancaman modern serta tim khusus, SOC meningkatkan peluang bahwa mereka akan mengungkap ancaman lebih awal ketika lebih mudah diatasi.

Kepatuhan terhadap peraturan

Negara dan wilayah terus menerapkan undang-undang privasi yang ketat yang mengharuskan organisasi menerapkan langkah keamanan data yang kuat dan proses detail untuk merespons insiden keamanan. Perusahaan yang tidak mematuhi aturan ini akan dikenakan denda yang besar. Program deteksi dan respons ancaman membantu organisasi memenuhi persyaratan undang-undang ini.

Mengurangi waktu tunggu

Biasanya, serangan cyber yang paling menimbulkan dampak buruk berasal dari insiden saat penyerang cyber menghabiskan sebagian besar waktunya tanpa terdeteksi di lingkungan digital. Mengurangi waktu yang tidak terdeteksi, atau waktu tunggu, sangat penting untuk membatasi kerusakan. Proses deteksi dan respons ancaman seperti berburu ancaman membantu SOC menangkap pelaku kejahatan ini dengan cepat dan membatasi dampaknya.

Peningkatan visibilitas

Alat deteksi dan respons ancaman, seperti SIEM dan XDR, membantu memberi tim operasi keamanan visibilitas yang lebih besar terhadap lingkungan mereka sehingga mereka tidak hanya mengidentifikasi ancaman dengan cepat tetapi juga mengungkap potensi kerentanan, seperti perangkat lunak usang, yang perlu diatasi.

Perlindungan data sensitif

Bagi banyak organisasi, data adalah salah satu aset terpenting mereka. Alat dan prosedur deteksi dan respons ancaman yang tepat membantu tim keamanan menangkap pelaku kejahatan sebelum mereka mendapatkan akses ke data sensitif, mengurangi kemungkinan bahwa informasi ini akan menjadi publik atau dijual di web gelap.

Postur keamanan proaktif

Deteksi dan respons terhadap ancaman juga menjelaskan ancaman yang muncul dan menjelaskan bagaimana pelaku kejahatan dapat memperoleh akses ke lingkungan digital perusahaan. Dengan informasi ini, SOC dapat membentengi organisasi dan mencegah serangan di masa mendatang.

Penghematan biaya

Serangan cyber yang berhasil bisa sangat merugikan suatu organisasi dalam hal jumlah uang yang dikeluarkan untuk uang tebusan, biaya peraturan, atau upaya pemulihan. Serangan cyber juga dapat menyebabkan hilangnya produktivitas dan penjualan. Dengan mendeteksi ancaman dengan cepat dan merespons pada tahap awal serangan cyber, organisasi dapat mengurangi biaya insiden keamanan.

Manajemen reputasi

Pelanggaran data profil tinggi dapat menyebabkan banyak kerusakan pada reputasi perusahaan atau pemerintah. Orang-orang kehilangan kepercayaan pada lembaga yang menurut mereka tidak melakukan pekerjaan yang baik untuk melindungi informasi pribadi. Deteksi dan respons ancaman dapat membantu mengurangi kemungkinan terjadinya insiden yang layak diberitakan dan meyakinkan pelanggan, warga negara, dan pemangku kepentingan lainnya bahwa informasi pribadi dilindungi.

Praktik terbaik deteksi dan respons ancaman

Organisasi yang efektif dalam mendeteksi dan merespons ancaman akan menerapkan praktik yang membantu tim bekerja sama dan meningkatkan pendekatan mereka, sehingga serangan cyber menjadi lebih sedikit dan lebih hemat biaya.

Mengadakan pelatihan rutin

Meskipun tim SOC memikul tanggung jawab terbesar untuk mengamankan sebuah organisasi, setiap orang di perusahaan memiliki peran yang harus dimainkan. Mayoritas insiden keamanan dimulai dengan seorang karyawan yang terjebak dalam kampanye pengelabuan atau menggunakan perangkat yang tidak disetujui. Pelatihan rutin membantu tenaga kerja tetap peka terhadap kemungkinan ancaman, sehingga mereka dapat memberi tahu tim keamanan. Program pelatihan yang baik juga memastikan bahwa para profesional keamanan selalu mengikuti perkembangan alat, kebijakan, dan prosedur respons ancaman terbaru.

Mengembangkan rencana respons insiden

Insiden keamanan biasanya merupakan peristiwa menegangkan yang menuntut orang-orang bergerak cepat, tidak hanya untuk mengatasi dan melakukan pemulihan, namun juga memberikan informasi terkini yang akurat kepada pemangku kepentingan terkait. Rencana respons insiden menghilangkan beberapa dugaan dengan menentukan langkah pengendalian, pemberantasan, dan pemulihan yang tepat. Rencana ini juga menyediakan panduan untuk sumber daya manusia, komunikasi perusahaan, hubungan publik, pengacara, dan pemimpin senior yang perlu memastikan karyawan dan pemangku kepentingan lainnya mengetahui apa yang terjadi dan bahwa organisasi mematuhi peraturan yang relevan.

Menumbuhkan kolaborasi yang kuat

Untuk selalu terdepan dalam menghadapi ancaman yang muncul dan mengoordinasikan respons yang efektif memerlukan kolaborasi dan komunikasi yang baik di antara anggota tim keamanan. Individu perlu memahami bagaimana orang lain dalam tim mengevaluasi ancaman, membandingkan catatan, dan bekerja sama pada potensi masalah. Kolaborasi juga diperluas ke departemen lain di perusahaan yang mungkin dapat membantu mendeteksi ancaman atau membantu respons.

Menyebarkan AI

AI untuk keamanan cyber  mensintesis data dari seluruh organisasi, memberikan wawasan yang membantu tim memfokuskan waktu mereka dan mengatasi insiden dengan cepat. Solusi SIEM dan XDR modern menggunakan AI untuk menghubungkan peringatan individu ke dalam insiden, membantu organisasi mendeteksi ancaman cyber lebih cepat. Beberapa solusi, seperti Microsoft Defender XDR, menggunakan AI untuk secara otomatis menghentikan serangan cyber yang sedang berlangsung. AI Generatif dalam solusi seperti Microsoft Security Copilot, membantu tim SOC menyelidiki dan merespons insiden dengan cepat.

Solusi deteksi dan respons ancaman

Deteksi dan respons ancaman adalah fungsi penting yang dapat digunakan semua organisasi untuk membantu mereka menemukan dan mengatasi ancaman cyber sebelum menimbulkan kerugian. Microsoft Security menawarkan beberapa solusi perlindungan ancaman untuk membantu tim keamanan memantau, mendeteksi, dan merespons ancaman cyber. Untuk organisasi dengan sumber daya terbatas, Microsoft Defender Experts menyediakan layanan terkelola untuk menambah staf dan alat yang ada.

Pelajari lebih lanjut tentang Microsoft Security

Platform operasi keamanan terpadu

Lindungi seluruh kawasan digital Anda dengan pengalaman deteksi, investigasi, dan respons terpadu.

Pelajari lebih lanjut

Microsoft Defender XDR

Percepat respons Anda dengan visibilitas tingkat insiden dan gangguan serangan otomatis.

Pelajari selengkapnya

Microsoft Sentinel

Gunakan analitik keamanan cerdas untuk menemukan dan menghentikan ancaman cyber di seluruh perusahaan Anda.

Pelajari lebih lanjut

Microsoft Defender Expert untuk XDR

Dapatkan bantuan dalam menghentikan penyerang dan mencegah penyusupan di masa mendatang dengan layanan XDR terkelola.

Pelajari lebih lanjut

Pengelolaan Kerentanan Microsoft Defender

Kurangi ancaman cyber dengan penilaian kerentanan yang berkelanjutan, pembuatan prioritas berbasis risiko, dan remediasi.

Pelajari lebih lanjut

Microsoft Defender untuk Bisnis

Lindungi bisnis kecil atau menengah Anda dari ancaman cyber, seperti program jahat dan ransomware.

Pelajari lebih lanjut

Tanya jawab umum

  • Deteksi ancaman tingkat lanjut mencakup teknik dan alat yang digunakan oleh profesional keamanan untuk mengungkap ancaman persisten tingkat lanjut, yang merupakan ancaman canggih yang dirancang untuk tetap tidak terdeteksi dalam jangka waktu lama. Ancaman ini sering kali lebih serius dan mungkin mencakup espionase atau pencurian data.

  • Metode utama deteksi ancaman adalah solusi keamanan, seperti SIEM atau XDR, yang menganalisis aktivitas di seluruh lingkungan untuk menemukan indikasi penyusupan atau perilaku yang menyimpang dari apa yang diharapkan. Orang-orang bekerja dengan alat ini untuk melakukan triase dan merespons potensi ancaman. Mereka juga menggunakan XDR dan SIEM untuk mencari penyerang canggih yang dapat menghindari deteksi.

  • Deteksi ancaman adalah proses mengungkap potensi risiko keamanan, termasuk aktivitas yang mungkin menunjukkan perangkat, perangkat lunak, jaringan, atau identitas telah disusupi. Respons insiden mencakup langkah yang dilakukan tim keamanan dan alat otomatis untuk memuat dan menghilangkan ancaman cyber.

  • Proses deteksi dan respons ancaman mencakup:

    • Deteksi. Alat keamanan yang memantau titik akhir, identitas, jaringan, aplikasi, dan cloud membantu memunculkan risiko dan potensi pelanggaran. Profesional keamanan juga menggunakan teknik perburuan ancaman cyber untuk mencoba mengungkap ancaman cyber yang muncul.
    • Penyelidikan. Setelah risiko diidentifikasi, orang-orang menggunakan AI dan alat lain untuk mengonfirmasi bahwa ancaman cyber nyata adanya, menentukan bagaimana ancaman cyber bisa terjadi, dan menilai aset perusahaan apa yang terpengaruh.
    • Penahanan. Untuk menghentikan penyebaran ancaman cyber, tim keamanan cyber mengisolasi perangkat, identitas, dan jaringan yang terinfeksi dari aset organisasi lainnya.
    • Pemberantasan. Tim menghilangkan akar penyebab insiden keamanan dengan tujuan mengusir musuh sepenuhnya dari lingkungan dan memitigasi kerentanan yang mungkin membuat organisasi berisiko terkena serangan cyber serupa.
    • Pemulihan. Setelah tim yakin bahwa ancaman atau kerentanan cyber telah dihapus, mereka akan mengembalikan sistem yang terisolasi secara online.
    • Laporan. Tergantung pada tingkat keparahan insiden, tim keamanan akan mendokumentasikan dan memberi pengarahan kepada para pemimpin, eksekutif, dan/atau dewan mengenai apa yang terjadi dan bagaimana masalah tersebut diselesaikan.
    • Mitigasi risiko. Untuk mencegah pelanggaran serupa terjadi lagi dan untuk meningkatkan respons di masa mendatang, tim mempelajari insiden dan mengidentifikasi perubahan yang dibuat pada lingkungan dan proses.

  • TDR adalah singkatan dari deteksi dan respons ancaman, yang merupakan proses mengidentifikasi ancaman keamanan cyber terhadap organisasi dan melakukan langkah untuk mengurangi ancaman tersebut sebelum ancaman cyber melakukan kerusakan nyata. EDR adalah singkatan dari deteksi dan respons titik akhir, yang merupakan kategori produk perangkat lunak yang memantau titik akhir organisasi terhadap potensi serangan cyber, memunculkan ancaman cyber tersebut kepada tim keamanan, dan secara otomatis merespons jenis serangan cyber tertentu.

Ikuti Microsoft 365