Apa itu Deteksi Anomali dalam Keamanan Siber?
Diterbitkan: 2022-10-28Anomali mengacu pada perilaku, hasil, tindakan, atau urutan tindakan yang berbeda dari perilaku, hasil, atau pola normal atau yang diharapkan. Seseorang dapat menganggapnya sebagai ketidakteraturan atau penyimpangan dari praktik umum.
Identifikasi dan deteksi perilaku atau tindakan yang disebutkan di atas secara sederhana didefinisikan sebagai deteksi anomali. Oleh karena itu, menunjukkan aktivitas atau titik data yang tidak memenuhi pola yang diharapkan atau alami disebut deteksi anomali. Aset utama untuk mendeteksi anomali di lingkungan TI adalah kerangka keamanan Zero Trust , yang akan dibahas nanti di artikel.
Apa itu Deteksi Anomali dalam Keamanan Cyber?
Dalam keamanan siber, deteksi anomali membantu menemukan cacat struktural, kesalahan konfigurasi keamanan, dan potensi serangan digital. Ada tiga sub-bagian utama yang beroperasi di bawah panji deteksi anomali keamanan siber;
- Deteksi Anomali Tanpa Pengawasan: Ini adalah deteksi peristiwa atau aktivitas langka yang tidak diketahui sebelumnya.
- Deteksi Anomali Semi-Diawasi: Ini mendeteksi pengecualian dari perilaku normal menggunakan contoh berlabel.
- Supervised Anomaly Detection: Teknik ini mendeteksi anomali dengan menggunakan kumpulan data berlabel. Label membedakan perilaku abnormal dan normal.
Apa Jenis Anomali?
Ada tiga jenis anomali umum yang mengindikasikan ancaman keamanan siber:
1. Anomali Waktu
Setiap aktivitas yang terjadi pada waktu yang tidak terduga atau ganjil dianggap sebagai anomali waktu. Ini adalah praktik terbaik untuk menetapkan waktu tertentu untuk semua aktivitas di organisasi Anda untuk semua pengguna.
Dalam hal ini, itu akan diidentifikasi setiap kali suatu kegiatan terjadi pada waktu yang tidak dijadwalkan untuk melakukannya. Berikut adalah contoh nyata dari anomali waktu: Akun karyawan yang dijadwalkan aktif dari jam 9 pagi hingga jam 5 sore, tetapi akunnya masuk pada jam 10 malam.
2. Hitung Anomali
Ketika beberapa aktivitas dilakukan secara bersamaan atau dalam waktu singkat oleh tuan rumah atau karyawan, anomali hitungan diamati. Administrator harus menentukan jumlah kegiatan yang dapat dilakukan dalam jangka waktu tertentu.
Jika jumlah (garis dasar) aktivitas yang ditentukan terlampaui, sistem diperingatkan bahwa jumlah anomali diamati. Misalnya, jika Anda telah menetapkan jumlah maksimum perubahan konfigurasi untuk router menjadi 11, tetapi router mengalami 20+ perubahan konfigurasi.
3. Pola Anomali
Ketika urutan kejadian yang tidak terduga terjadi, pola anomali diamati. Jika peristiwa ini terjadi secara individual, mereka mungkin tidak dianggap sebagai aktivitas anomali, tetapi bersama-sama mereka menyimpang dari pola yang diharapkan; maka nama "Pola Anomali."
Garis dasar untuk pola aktivitas yang diharapkan harus dibuat dalam organisasi yang harus diikuti oleh semua pengguna dan host. Kemudian semua kegiatan yang terjadi dapat dibandingkan dengan pola dasar untuk menunjukkan jika ada perilaku anomali dalam pola tersebut.
Nol Kepercayaan
Dalam rutinitas kerja hybrid saat ini, kami melihat bahwa akses ke data dan aplikasi perusahaan perlu diberikan kepada pengguna seluler, kontraktor pihak ketiga, dan pengguna desktop secara bersamaan . Namun, risiko potensi serangan digital juga meningkat. Model Zero Trust memungkinkan hak istimewa paling sedikit yang diperlukan untuk menyelesaikan tugas dan menghasilkan peringatan jika aktivitas anomali dilakukan.
Pada dasarnya, model Zero Trust adalah kerangka kerja keamanan siber yang memperlakukan semua pengguna lingkungan siber secara setara. Ini menuntut agar semua pengguna diberi wewenang, terus divalidasi dan diverifikasi sebelum diberikan akses ke sumber daya dan data organisasi.
Kerangka kerja Zero Trust beroperasi di bawah prinsip-prinsip berikut:
1. Verifikasi Otomatis
Model Zero Trust memungkinkan organisasi untuk mengotomatisasi verifikasi identitas dan sistem pemantauan mereka. Ini memberi mereka fleksibilitas tinggi dalam tingkat keamanan. Kerangka kerja ini memungkinkan tim keamanan organisasi untuk menyiapkan respons bantalan terhadap aktivitas konsumen. Artinya, tindakan segera dapat dimulai setelah anomali terdeteksi.
2. Mengalokasikan Keistimewaan Terkecil
Pelanggan dan karyawan hanya mendapatkan akses yang paling sedikit diperlukan untuk menyelesaikan suatu tindakan. Hal ini memungkinkan tim keamanan untuk mengurangi ancaman secara tepat waktu dan meminimalkan paparan aplikasi dan data rahasia. Model Zero Trust memastikan bahwa setiap permintaan entri secara otomatis diperiksa secara menyeluruh sebelum diberikan persetujuan.
3. Pemantauan Tanpa henti
Tim keamanan terus memantau proses mengakses data dan sumber daya perusahaan yang diikuti oleh pengguna dan karyawan. Jika penyimpangan dari pola normal diamati, peringatan dikeluarkan, dan mitigasi ancaman dimulai. Pemantauan berkelanjutan membantu menunjukkan dan menghentikan ancaman siber masuk dan eksternal.
Tujuan dari model Zero Trust adalah untuk mencegah ancaman siber tingkat lanjut dari menyebabkan kerugian bagi organisasi. Kerangka kerja Zero Trust memastikan kepatuhan terhadap HIPAA, CCPA, FISMA, GDPR , dan undang-undang privasi data lainnya.
Area Bisnis Anda Apa yang Akan Amankan Zero Trust?
Bisnis didasarkan pada empat komponen utama: data, aset, aplikasi, dan pengguna akhir/pelanggan.
Data _
Strategi Zero Trust dapat mengelola deteksi anomali, akses, dan tingkat izin data perusahaan. Selain itu, setiap unduhan atau transfer informasi yang tidak sah dalam lingkungan bisnis Anda dapat diidentifikasi dengan mudah.
Aset _
Seiring dengan beban kerja berbasis cloud, penyerang digital juga menargetkan aset bisnis seperti mesin virtual, wadah, dan fungsi. Kerangka kerja Zero Trust menawarkan alat yang tepat untuk mengatasi situasi seperti itu. Bisnis memfokuskan upaya keamanan mereka dengan menunjukkan aset penting dan menggunakan akses berbasis peran untuk memverifikasi permintaan akses.
Aplikasi _
Penggunaan dan aksesibilitas aplikasi terus dipantau saat runtime. Hal ini memungkinkan tim keamanan untuk memahami perilaku pengguna dan mendeteksi penyimpangan dari pola yang ditetapkan. Zero Trust memperlakukan setiap perubahan dalam penggunaan sebagai aktivitas anomali.
Pelanggan _
Pelanggan atau pengguna akhir bisnis termasuk mitra, karyawan, dan kontraktor pihak ketiga juga. Mereka semua menggunakan hak akses dan identitas yang berbeda dan mengakses aplikasi dan data perusahaan dari perangkat yang dikelola dan tidak dikelola. Hal ini menimbulkan banyak tantangan manajemen dan keamanan yang dapat diatasi dengan model keamanan Zero Trust.
Kesimpulan
Di dunia siber, anomali menunjukkan potensi serangan, sehingga mendeteksi anomali menjadi sangat penting bagi keamanan siber. Meningkatnya ancaman keamanan digital menuntut infrastruktur keamanan yang diperbarui dan anti-bodoh. Oleh karena itu, keamanan Zero Trust adalah cara terbaik untuk mendeteksi dan mengurangi anomali pada infrastruktur TI Anda.