Find Us On Social Media :

Lima Pertanyaan Penting Saat CISO Memilih Solusi Keamanan Endpoint

By Liana Threestayanti, Kamis, 22 Oktober 2020 | 21:30 WIB

Ilustrasi endpoint security

Penulis: Evan Dumas, Regional Director, Southeast Asia, Check Point Software Technologies

Pandemi COVID-19 dan transformasi yang cukup drastis ke cara kerja jarak jauh telah membawa dunia digital ke babak baru. Keamanan endpoint menjadi jauh lebih penting dari sebelumnya. Dengan banyaknya pilihan solusi saat ini, apa hal-hal yang harus ada di daftar para CISO?  

Check Point Software Technologies menyarankan agar para CISO mengajukan lima pertanyaan ini ketika mereka memilih solusi endpoint yang cocok dengan kebutuhan mereka. Lima pertanyaan ini membantu para CISO menghindarkan perusahaan dari peretasan keamanan dan pencurian data tanpa membahayakan kelangsungan bisnis.  

  1. Apakah solusi endpoint security yang digunakan dapat melindungi organisasi dari serangan phishing?

Dewasa ini, e-mail bermuatan phishing melibatkan teknik social engineering yang sangat canggih. Teknik-teknik ini dirancang untuk mengeksploitasi kelemahan manusia. Teknik ini mencakup teknik spoofing yang membuat e-mail terlihat sah di mata pengguna yang tak curiga. Selangkah di depan para penjahat kriminal dan mengurangi beban pengguna dalam proses deteksi adalah hal kritis dalam mencegah serangan-serangan semacam ini.  

Pilih solusi endpoint yang tak hanya mendeteksi dan memblokir akses ke situs web phishing yang sudah diketahui, tapi juga secara aktif mencegah serangan-serangan yang kompleks dan canggih, seperti Zero-day phishing, Impersonation, Spear-phishing, dan Business Email Compromise (BEC). Artinya, solusi tersebut harus dapat melakukan scanning terhadap situs web dan halaman web yang berisi formulir, termasuk situs gambar, juga mampu melakukan deep heuristic analysis, dan reputation scans yang mencakup algoritme kesamaan visual dan teks dari situs-situs web terkenal. 

  1. Apakah organisasi terlindung dari serangan ransomware zero-day canggih?

Di 2019 saja, biaya menanggulangi ransomware diperkirakan telah melampaui angka US$7,5 miliar. Masalah dalam zero-day ransomware adalah Anda bahkan tidak tahu kalau ransomware itu ada, sampai ketika semuanya sudah terlambat, dan tim keamanan informasi kelabakan mencari solusi. Kondisi ini makin buruk ketika ransomware dapat masuk ke lingkungan organisasi melalui berbagai titik, seperti situs web, e-mail, dan removable media device. Parahnya, produk sekuriti tradisional tidak mampu menangani hal ini. 

Solusinya, para CISO perlu mencari anti-ransomware engine yang memantau perubahan file pada drive milik user dan mengidentifikasi perilaku ransomware seperti enkripsi file yang tidak sah. Ketika mendeteksi aktivitas yang ridak biasa, engine akan mengambil snapshot dari sistem yang terinfeksi. Engine juga tidak hanya memblokir serangan tapi juga secara otomatis memulihkan file yang dienkripsi oleh ransomware.

  1. Dapatkah kita memastikan keamanan semua file yang masuk tanpa mengganggu produktivitas karyawan?

Di dunia yang bergerak cepat ini, organisasi tidak boleh membuang waktu untuk memeriksa tiap file yang masuk ke jaringan, misalnya memeriksa lampiran e-mail atau dari situs web dan media removable seperti USB. Namun kita juga tidak bisa mengambil risiko dengan mengijinkan file apapun diunduh tanpa pemeriksaan, karena sebuah file bisa saja memanfaatkan satu pintu masuk untuk merusak jaringan seantero perusahaan. 

Oleh karena itu, para CISO harus mencakupkan fungsi sanitasi file otomatis, yang dikenal dengan Content Disarm and Reconstruction (CDR). Kemampuan ini memungkinkan pencegahan serangan secara preventif dengan menyaring (filtering) dokumen yang masuk, menyingkirkan content yang bisa dieksploitasi, dan elemen berbahaya. Proses sanitasi file ini juga harus cepat, waktu tunggu minimum, dan tidak mengganggu produktivitas karyawan. 

  1. Dapatkah kita secara otomatis mendeteksi dan membatasi infeksi berbasis bot sebelum data sensitif terpapar?  

Bot kerap dimanfaatkan oleh hacker ketika mereka menyasar individu atau organisasi tertentu dalam ancaman yang dikenal sebagai Advanced Persistent Threat (APT). Bot ini bekerja dengan mengkoneksikan Command dan Control, dan memungkinkan hacker mengontrol bot untuk mengeksekusi serangan, umumnya berupa pencurian data pribadi, organisasi, dan intellectual property. Dalam beberapa kasus, penjahat kriminal mengirimkan e-mail spam untuk menyerang sumber daya dan mengeksekusi serangan yang akan mengkonsumsi bandwidth dan pada gilirannya akan berdampak pada produktivitas. Serangan ini akan menyembunyikan log penting dari pantauan tim SOC, bahkan melakukan whaling attack terhadap karyawan senior. Dan serangan ini dapat dilakukan tanpa disadari oleh korbannya. 

Serangan ini dapat dicegah dengan memasang solusi anti-bot pada endpoint security. Solusi ini akan memantau outgoing traffic secara terus menerus dan mengidentifikasi komunikasi dengan server command & control. Ketika mesin yang terinfeksi itu terdeteksi, anti-bot akan memblokir traffic dan mengatasi serangan, serta mengisolasi mesin yang diretas agar infeksi tidak menyebar. 

  1. Dapatkah solusi endpoint security saya dapat memvisualisasikan dan menganalisis insiden, membuatkan konteks, dan mengatasinya?

Meskipun solusi Endpoint Detection and Response (EDR) tradisional mampu mendeteksi perilaku yang mencurigakan, solusi ini umumnya hanya memiliki sedikit rule yang out of the box dan tidak memiliki kemampuan automatic remediation. Ketika remediation manual dilakukan, mungkin ada sisa-sisa serangan yang tidak dibersihkan. Proses ini juga memakan waktu dan membutuhkan analis yang sangat terlatih. 

Solusi endpoint yang ideal harus mampu secara otomatis dan sepenuhnya mengatasi rantai kejahatan siber ini. Solusi ini harus menawarkan kemampuan forensik yang secara otomatis memantau dan merekam endpoint event, termasuk file terinfeksi, proses yang diluncurkan, perubahan pada system registry dan aktivitas jaringan. Solusi pemulihan yang efektif akan secara otomatis mengkarantina perangkat yang terinfeksi untuk mencegah penyebaran infeksi secara lateral dan mengembalikan endpoint ke status yang aman ketika serangan terdeteksi. Hal ini juga akan mengurangi waktu yang dihabiskan oleh tim keamanan dan tim TI untuk menganalisis insiden dan mereka pun dapat lebih memfokuskan diri pada tugas-tugas yang lebih penting.  

Tidak akan ada yang memberi tahu Anda saat penjahat maya mengincar organisasi Anda dan sistem juga tidak bisa100% aman. Namun terus menyesuaikan strategi keamanan dengan lansekap yang ada dapat meminimalkan terpapar dan risiko. Selalu satu langkah di depan dalam hal pertahanan adalah hal yang penting.