img

Kriteria Memilih Provider MDR dengan Standar MITRE ATT&CK


2026-07-02 - Arfadia


MDR (Managed Detection and Response) adalah layanan keamanan siber terkelola yang menggabungkan teknologi pemantauan ancaman, tim analis ahli beroperasi 24/7, serta proses respons insiden terstruktur untuk mendeteksi, menyelidiki, dan menetralisir serangan secara aktif. 

Dalam lanskap ancaman siber Indonesia yang terus berkembang, BSSN mencatat 330,5 juta anomali trafik sepanjang 2024, dengan lebih dari 514 ribu aktivitas ransomware dan 2,4 juta aktivitas APT, layanan ini bukan lagi opsi, melainkan kebutuhan strategis.

Ancaman modern tidak datang dalam bentuk virus sederhana yang mudah dikenali. Ransomware, credential theft, dan advanced persistent threat (APT) kini dirancang untuk bergerak diam-diam di dalam sistem berbulan-bulan sebelum terdeteksi. 

IBM Cost of a Data Breach 2025 mencatat rata-rata waktu untuk mengidentifikasi dan menahan pelanggaran data masih mencapai 241 hari, meskipun angka ini merupakan yang terendah dalam sembilan tahun terakhir. 

Organisasi yang belum menerapkan AI-powered detection masih jauh lebih lambat dari itu. Rata-rata biaya per insiden secara global mencapai USD 4,44 juta di 2025, setelah sempat melonjak ke rekor USD 4,88 juta di 2024.

Di sinilah standar MITRE ATT&CK menjadi pembeda kritis, dan menjadi acuan yang diterapkan Sysware dalam mengevaluasi serta menghadirkan layanan MDR di Indonesia. 

Framework ini memungkinkan evaluasi objektif terhadap kemampuan deteksi provider berdasarkan teknik serangan nyata, bukan sekadar klaim marketing.

Memilih provider MDR tanpa memahami standar ini sama dengan membeli sistem alarm tanpa tahu seberapa banyak pintu dan jendela yang benar-benar dilindunginya.


Poin Utama Artikel

  • MDR adalah layanan SOC modern yang human-led, berfokus pada deteksi, investigasi, dan respons ancaman secara berkelanjutan, melampaui kemampuan antivirus konvensional.

  • 241 hari adalah rata-rata lifecycle pelanggaran data global (IBM Security, 2025); provider MDR berkelas dapat menekan MTTD di bawah 15 menit untuk insiden kritis.

  • MITRE ATT&CK mendokumentasikan 14 taktik dan ratusan teknik serangan berdasarkan observasi dunia nyata, menjadi tolok ukur coverage deteksi paling kredibel untuk evaluasi provider MDR enterprise.

  • Tim IT/Security perlu memvalidasi seberapa luas ATT&CK coverage provider, kualitas threat hunting proaktif, serta kemampuan containment aktif bukan sekadar pengiriman alert.

  • Pendekatan seleksi MDR yang optimal menggabungkan tiga dimensi: kedalaman teknis (coverage ATT&CK, MTTD/MTTR), kematangan layanan (SOC 24/7, SLA, incident response), dan kecocokan bisnis (integrasi, pelaporan, kepatuhan regulasi).


Apa Itu MITRE ATT&CK dan Mengapa Relevan untuk Evaluasi Provider MDR?


MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) adalah basis pengetahuan global yang dikembangkan oleh MITRE Corporation untuk mendokumentasikan taktik dan teknik pelaku ancaman siber berdasarkan observasi serangan nyata di seluruh dunia. 

Framework ini digunakan secara luas oleh vendor keamanan, peneliti, lembaga pemerintahan, hingga perusahaan untuk memetakan kemampuan deteksi dan membangun threat model yang berbasis realitas lapangan.

Dalam konteks MDR, MITRE ATT&CK membagi perilaku penyerang ke dalam 14 taktik, mulai dari Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, hingga Exfiltration dan Impact. 

Di bawah setiap taktik terdapat ratusan teknik dan sub-teknik spesifik. Taktik menjelaskan mengapa penyerang melakukan tindakan tertentu; teknik menjelaskan bagaimana mereka melakukannya.

Provider MDR yang menggunakan MITRE ATT&CK secara serius mampu menjawab pertanyaan kritis seperti: "Teknik apa yang dipakai kelompok APT ini?", "Apakah sistem kita bisa mendeteksi lateral movement sebelum terlambat?", dan "Di mana gap terbesar dalam pertahanan kita saat ini?" .

Ini bukan pertanyaan retoris, ini adalah pertanyaan yang harus bisa dijawab secara konkret oleh tim teknis provider sebelum kontrak ditandatangani.

Lebih jauh, MITRE secara rutin menyelenggarakan evaluasi independen terhadap vendor dan layanan keamanan, termasuk MDR, untuk mengukur kemampuan deteksi pada skenario serangan nyata. 

Vendor yang berpartisipasi dan memiliki hasil kuat dalam evaluasi ini menunjukkan komitmen terhadap transparansi dan standar internasional, bukan sekadar janji di brosur pemasaran.


7 Kriteria Teknis Memilih Provider MDR Berbasis MITRE ATT&CK

  1. Cakupan (Coverage) terhadap MITRE ATT&CK Matrix

Kriteria paling fundamental adalah seberapa luas provider dapat mendeteksi teknik yang terdokumentasi dalam ATT&CK Matrix. 

Provider MDR berkualitas harus mampu mendeteksi ancaman dari minimal 70–80% teknik yang tercatat, dan harus dapat menunjukkan coverage map secara transparan, dokumen visual yang memperlihatkan teknik mana yang dapat mereka deteksi dan mana yang belum. 

Jika mereka ragu menunjukkan ini, itu adalah tanda merah besar.

Tanyakan pula apakah mereka aktif memperbarui coverage saat MITRE ATT&CK merilis versi baru. Framework ini diperbarui secara berkala, dan provider yang tidak mengikuti pembaruan berarti pertahanan mereka semakin tertinggal. 

Apa itu mitre att&ck?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) adalah basis pengetahuan global yang berisi daftar taktik dan teknik yang digunakan oleh peretas atau penjahat siber berdasarkan insiden di dunia nyata

Vendor serius biasanya dapat menunjukkan mapping antara use case deteksi mereka dengan teknik ATT&CK spesifik, bukan hanya klaim generik "kami menggunakan MITRE ATT&CK."

  1. Kualitas Deteksi: Analytic Coverage, Bukan Sekadar Volume Alert

MITRE ATT&CK evaluations menyoroti bukan hanya jumlah deteksi, tetapi kualitas konteks analitik yang disertakan. 

Provider yang baik harus mampu memberikan penjelasan: siapa yang masuk, lewat pintu mana, mau ke ruangan mana, dan seberapa berbahaya, bukan sekadar sirene yang berbunyi tanpa keterangan.

XDR adalah komponen kunci dalam arsitektur deteksi modern yang digunakan provider MDR terbaik. 

XDR adalah platform yang menyatukan telemetri dari endpoint, jaringan, email, cloud, dan identitas dalam satu lapisan analitik terpadu memungkinkan deteksi serangan multi-stage yang tidak akan terlihat jika setiap lapisan dipantau secara terpisah. 

Kemampuan deteksi berbasis perilaku (behavior-based) yang dipetakan ke teknik ATT&CK menjadi pembeda utama provider MDR yang matang, sebab pendekatan ini menangkap aktivitas mencurigakan yang lolos dari signature atau pattern sederhana, sekaligus menjaga tingkat false positive tetap terkendali agar tim tidak kewalahan. 

Yang tak kalah penting, pastikan provider mampu mendeteksi teknik living-off-the-land yang memanfaatkan alat bawaan sistem seperti PowerShell, WMI, atau Remote Desktop Protocol  teknik yang secara konsisten masuk daftar teratas dalam laporan Verizon DBIR.

  1. Kemampuan Threat Hunting Proaktif

MDR terbaik tidak hanya merespons serangan yang sudah terjadi mereka secara aktif berburu ancaman yang tersembunyi bahkan sebelum alarm berbunyi. 

Dalam konteks MITRE ATT&CK, ini berarti tim analis harus mampu berburu berdasarkan Tactics, Techniques, and Procedures (TTP) dari kelompok ancaman yang diketahui, seperti APT29, Lazarus Group, atau kelompok yang secara historis menargetkan kawasan atau industri tertentu.

Provider MDR yang matang memiliki hunting playbook yang terstruktur: mereka tahu teknik serangan apa yang sedang banyak digunakan di dunia nyata, lalu menyesuaikan pencarian terhadap lingkungan klien. 

Tanyakan secara langsung: "Bagaimana tim Anda melakukan threat hunting berdasarkan MITRE ATT&CK? Berapa frekuensinya? Apakah ada laporan hasil hunting yang bisa dibagikan?"

  1. SOC 24/7 dengan Analis Manusia yang Aktif

Banyak vendor menjual dashboard yang terlihat canggih, tetapi pertanyaan krusialnya tetap sama: siapa yang membaca semua alert itu pada pukul 02.00 dini hari? MDR yang baik harus memiliki Security Operations Center (SOC) beroperasi 24/7 dengan analis manusia yang aktif melakukan triage, investigasi, eskalasi, dan respons bukan sekadar platform otomatis.

Gartner mendefinisikan MDR sebagai layanan SOC modern yang human-led: menggabungkan teknologi dengan keahlian manusia dalam analisis dan respons. 

Carilah provider yang memiliki analis bersertifikasi (GIAC, CISSP, CEH), mampu menjelaskan insiden dalam bahasa non-teknis, dan memiliki pemahaman konteks regional karena karakteristik nasing - masing seperti Asia, berbeda dengan Eropa atau Amerika.

  1. Incident Response yang Jelas dan Terukur: MTTD & MTTR

Dua metrik ini adalah tolok ukur performa MDR yang paling jujur:

  • MTTD (Mean Time to Detect): rata-rata waktu dari saat serangan dimulai hingga terdeteksi. Provider kelas dunia memiliki MTTD di bawah 15 menit untuk insiden kritis.

  • MTTR (Mean Time to Respond): rata-rata waktu dari deteksi hingga ancaman dinetralkan. Provider terbaik menargetkan MTTR di bawah 1 jam  bandingkan dengan rata-rata lifecycle breach tanpa MDR yang masih ratusan hari.

Minta provider untuk menunjukkan data historis metrik ini dari klien nyata, bukan angka dari brosur pemasaran. 

Pastikan juga bahwa layanan mereka mencakup containment aktif kemampuan mengisolasi endpoint terinfeksi bukan sekadar mengirimkan notifikasi dan menyerahkan penanganan ke tim internal.

  1. Integrasi dengan Ekosistem Keamanan yang Ada

Memahami bahwa EDR adalah lapisan telemetri endpoint yang menjadi input utama bagi platform MDR membantu organisasi melihat bagaimana Bitdefender menggabungkan layanan MDR dengan GravityZone Business Security Enterprise untuk menghadirkan perlindungan yang lebih terintegrasi.

Provider MDR terbaik harus mampu berintegrasi mulus dengan infrastruktur yang sudah dimiliki: EDR, network, cloud environment (AWS, Azure, GCP), aplikasi SaaS seperti Microsoft 365 atau Google Workspace, hingga active directory.

Semakin luas visibility-nya, semakin baik kemampuan MDR dalam mendeteksi pola serangan yang bergerak lateral lintas sistem.

Tanyakan dengan jelas: "Berapa banyak integrasi yang Anda dukung? Apakah ada biaya tambahan per integrasi? Apakah platform Anda agnostic atau mengunci kami ke stack tertentu?" .

Provider yang fleksibel dapat beradaptasi dengan infrastruktur yang sudah ada tanpa memaksa penggantian investasi teknologi sebelumnya.

  1. Kepatuhan Regulasi dan Transparansi Pelaporan

Untuk bisnis yang beroperasi di Indonesia sekaligus memiliki jejak internasional, kepatuhan regulasi adalah hal yang tidak dapat dikompromikan. 

Provider MDR pilihan harus familiar dengan ISO/IEC 27001, NIST Cybersecurity Framework, GDPR (jika memproses data warga Eropa).

Laporan yang dihasilkan harus tersedia dalam dua level: laporan teknis untuk tim IT/Security, dan laporan eksekutif yang dapat dibaca manajemen tanpa latar belakang teknis. 

Yang terpenting: laporan harus memetakan temuan kembali ke MITRE ATT&CK Matrix, sehingga organisasi dapat memahami di mana gap pertahanan mereka secara strategis bukan sekadar daftar insiden tanpa konteks.


Matriks Evaluasi Provider MDR Berbasis Standar MITRE ATT&CK

Perbandingan Tier Provider MDR Berdasarkan Standar MITRE ATT&CK dan Praktik Terbaik Industri

Kriteria EvaluasiProvider Tier 1 (Kelas Dunia)Provider Tier 2 (Memadai)Provider Tier 3 (Tidak Disarankan)Referensi Standar
ATT&CK Coverage>80% teknik ter-cover, mapping transparan, diperbarui setiap rilis baru50–79%, mapping tersedia atas permintaan<50%, tidak bisa menjelaskan coverageMITRE ATT&CK Framework
MTTD (Deteksi)<15 menit untuk insiden kritis15–60 menit>1 jam atau tidak ada SLAIBM Security 2025, Gartner
MTTR (Respons)<1 jam, termasuk containment aktif1–4 jam, notifikasi + panduan>4 jam atau hanya notifikasi emailNIST SP 800-61 Rev.3
SOC & Analis24/7, analis senior bersertifikasi, multi-shift24/7 namun tanpa jenjang seniority jelasJam kantor atau bergantung otomasi penuhGartner MDR Market Guide 2024
Threat HuntingProaktif berbasis TTP ATT&CK, hunting playbook terdokumentasiReaktif + hunting ad-hoc berkalaTidak ada threat hunting terstrukturMITRE ATT&CK, SANS
Integrasi>50 integrasi (EDR, network, Cloud, SaaS, active directory no vendor lock-in20–50 integrasi, beberapa add-on berbayar<20 integrasi, atau vendor lock-in ketatGartner, IDC
PelaporanLaporan teknis + eksekutif, dipetakan ke ATT&CK, real-time dashboardLaporan bulanan standar, kurang konteks bisnisLaporan ad-hoc, tidak ada mapping ATT&CKBest practice industri
Kepatuhan RegulasiISO 27001, NIST, GDPR,  siap auditISO 27001 saja atau parsialTidak ada dukungan compliance formalISO/IEC 27001

Sumber: Disusun berdasarkan MITRE ATT&CK Framework, Gartner MDR Market Guide 2024, IBM Cost of a Data Breach 2025, NIST SP 800-61 Rev.3, dan praktik industri.


5 Tanda Provider MDR yang Harus Dihindari

Mengetahui apa yang harus dicari sama pentingnya dengan mengenali tanda-tanda provider yang sebaiknya dihindari. Lima sinyal berikut layak menjadi peringatan saat mengevaluasi calon mitra MDR.

  1. Tidak Dapat Menjelaskan MITRE ATT&CK Secara Substantif

Jika tim teknis apalagi tim sales bingung saat Anda menyebut ATT&CK Matrix atau tidak bisa menunjukkan coverage map yang konkret, itu mencerminkan kematangan operasional yang rendah. Ini bukan soal jargon, melainkan soal apakah mereka benar-benar memahami cara penyerang bekerja.

  1. Harga "Terlalu Murah" Tanpa Justifikasi yang Jelas

MDR yang kredibel menuntut investasi signifikan pada teknologi, analis senior, dan infrastruktur SOC 24/7. Harga yang jauh di bawah pasar hampir selalu berarti cakupan sangat terbatas, ketergantungan berlebihan pada otomasi, atau penggunaan analis junior tanpa pengawasan memadai.

Salah satu pola yang sering ditemukan pada penawaran "MDR murah" adalah bahwa layanan yang ditawarkan sebenarnya tidak lebih dari antivirus software yang dibundel dengan dashboard monitoring sederhana.

Antivirus software memang memiliki peran dalam ekosistem keamanan, tetapi menjualnya sebagai MDR tanpa kapabilitas threat hunting, containment aktif, dan analis manusia adalah penyesatan yang berpotensi merugikan organisasi secara besar ketika insiden nyata terjadi.

  1. Tidak Ada SLA yang Tertulis dan Terukur

SLA bukan sekadar formalitas kontrak, melainkan bukti komitmen provider. Pastikan ada komitmen tertulis yang mencakup waktu validasi alert, waktu eskalasi insiden kritis, metode komunikasi darurat, dan prosedur saat kontak utama tidak merespons.

  1. Tidak Transparan soal Sub-kontrak SOC

Sebagian provider MDR mensubkontrakkan operasi SOC mereka ke pihak ketiga. Pastikan Anda tahu persis siapa yang mengawasi sistem Anda, di mana data Anda diproses, dan bagaimana rantai tanggung jawab keamanan dikelola.

  1. Menolak Memberikan Proof of Concept atau Periode Trial

Provider yang percaya diri dengan kualitas layanannya tidak akan ragu memberikan demonstrasi nyata misalnya simulasi respons insiden atau contoh laporan yang telah di-redact. 

Penolakan semacam ini kerap menandakan kesenjangan antara klaim pemasaran dan kapabilitas aktual.


Checklist Praktis Sebelum Menandatangani Kontrak MDR

Gunakan daftar pertanyaan ini sebagai panduan evaluasi akhir sebelum berkomitmen dengan provider manapun.

Aspek Teknis:

  • Berapa persentase coverage terhadap MITRE ATT&CK Matrix versi terbaru, dan bisakah ditunjukkan dalam bentuk visual mapping?

  • Teknik ATT&CK spesifik apa yang dapat dideteksi termasuk credential dumping, suspicious PowerShell execution, lateral movement, dan ransomware behavior?

  • Berapa MTTD dan MTTR rata-rata berdasarkan data klien nyata, bukan proyeksi marketing?

  • Apakah layanan mencakup containment aktif (isolasi endpoint) atau hanya deteksi dan notifikasi?

Aspek Operasional:

  • Bagaimana proses eskalasi jika terjadi insiden kritis pukul 02.00 dini hari pada hari libur nasional?

  • Berapa rasio analis senior per klien di SOC?

  • Apakah ada hunting playbook yang dapat dibagikan sebagai referensi?

Aspek Bisnis & Kepatuhan:

  • Apakah model harga all-in atau ada biaya tambahan tersembunyi per integrasi, per insiden, atau per laporan?

  • Bagaimana data klien dilindungi dan apakah ada jaminan bahwa data tidak digunakan untuk keperluan lain?

  • Apakah provider dapat mendukung kepatuhan terhadap regulasi ISO 27001, dan/atau GDPR sesuai kebutuhan?


MDR sebagai Investasi Perlindungan, Bukan Sekadar Pengeluaran IT

Memilih provider MDR yang tepat bukan soal menemukan layanan termurah atau yang paling banyak menggunakan istilah teknis. 

Ini soal menemukan partner keamanan yang benar-benar memahami cara penyerang bekerja, mampu mendeteksi ancaman sebelum berdampak besar, dan dapat menjelaskan risiko dalam bahasa yang relevan bagi pengambil keputusan bisnis.

Dengan rata-rata biaya pelanggaran data global yang mencapai USD 4,44 juta per insiden di 2025 belum termasuk kerugian reputasi, gangguan operasional, dan sanksi regulasi investasi pada MDR berkualitas memiliki return yang nyata dan terukur. 

MITRE ATT&CK memberikan kerangka yang objektif untuk mengevaluasi provider secara adil: bukan berdasarkan klaim pemasaran, melainkan berdasarkan kemampuan nyata dalam mendeteksi dan merespons teknik serangan yang digunakan penyerang modern.


Peran Sysware dalam Implementasi MDR Berstandar MITRE ATT&CK di Indonesia

Salah satu tantangan nyata yang dihadapi organisasi Indonesia dalam memilih MDR adalah kesenjangan antara standar global dan konteks lokal. 

Framework MITRE ATT&CK bersifat universal, tetapi implementasinya tetap perlu disesuaikan dengan karakteristik ancaman regional, kerangka regulasi BSSN, dan infrastruktur yang umum digunakan di sektor publik maupun swasta Indonesia.

Di sinilah peran integrator dan konsultan keamanan siber berpengalaman seperti Sysware menjadi relevan. 

Sebagai distributor Bitdefender Indonesia resmi, Sysware membawa keunggulan tambahan yang signifikan dalam konteks pemilihan MDR: akses langsung ke teknologi GravityZone yang mendasari layanan MDR Bitdefender, jalur dukungan teknis prioritas ke tim global, serta pemahaman mendalam terhadap roadmap produk yang membantu klien membuat keputusan jangka panjang yang tepat. 

Peran sebagai distributor Bitdefender Indonesia bukan sekadar label distribusi, melainkan cerminan kapabilitas teknis dan kepercayaan yang dibangun melalui pengalaman implementasi nyata di berbagai sektor industri di Indonesia.

Sysware telah berpengalaman dalam implementasi solusi keamanan siber berbasis standar internasional untuk organisasi di Indonesia, termasuk pendampingan dalam pemilihan dan evaluasi layanan MDR yang sesuai dengan kebutuhan spesifik klien. 

Dalam praktiknya, banyak organisasi tidak cukup hanya memilih provider MDR global, mereka membutuhkan pihak yang memahami konteks operasional lokal sekaligus mampu menerjemahkan standar teknis seperti MITRE ATT&CK ke dalam keputusan bisnis yang dapat dipertanggungjawabkan.

Jika organisasi Anda sedang menimbang adopsi atau evaluasi ulang layanan MDR, tim Sysware siap membantu memetakan kebutuhan Anda sebelum berkomitmen pada kontrak jangka panjang. 

Mulailah dari percakapan singkat bersama kami untuk memahami posisi keamanan Anda saat ini terhadap standar MITRE ATT&CK.

FAQ

  1. Apa kriteria utama memilih provider MDR dengan standar MITRE ATT&CK?

Coverage minimal 70–80% terhadap MITRE ATT&CK Matrix, SOC 24/7 dengan analis bersertifikasi, threat hunting proaktif berbasis TTP, MTTD di bawah 15 menit untuk insiden kritis, dan pelaporan yang dipetakan ke ATT&CK. 

  1. Apa perbedaan MDR dengan antivirus atau SIEM biasa dalam konteks keamanan enterprise?

Antivirus hanya memblokir ancaman dikenal; SIEM mengumpulkan log tanpa respons aktif. MDR menggabungkan pemantauan perilaku, threat hunting proaktif, dan containment langsung, termasuk untuk fileless malware, APT, dan teknik living-off-the-land.

  1. Bagaimana cara praktis mengevaluasi provider MDR tanpa latar belakang teknis mendalam?

Tiga langkah: minta penjelasan hasil MITRE ATT&CK evaluations dengan contoh konkret, minta contoh laporan insiden yang sudah disunting, dan tanyakan cara penanganan ransomware modern beserta pemetaannya ke ATT&CK. 

Sumber

  1. https://www.ibm.com/reports/data-breach 

  2. https://attack.mitre.org/matrices/enterprise/ 

  3. https://csrc.nist.gov/publications/detail/sp/800-61/rev-3/final 

  4. https://www.gartner.com/en/documents/managed-detection-response 

  5. https://www.bssn.go.id/laporan-tahunan/ 

  6. https://www.verizon.com/business/resources/reports/dbir/ 

  7. https://attackevals.mitre-engenuity.org/managed-services/ 

Back to all news