Panduan Mengenai CSOC
Pernah mendengar istilah CSOC dan bertanya-tanya mengenai hal baik cyber seperti apa yang terjadi di dalamnya? Baca terus artikel ini dan Anda tidak perlu bimbang lagi, karena hal tersebut akan dibahas dalam panduan mengenai CSOC bagi pemula yang saya buat untuk Anda.
CSOC adalah akronim untuk Cyber Security Operation Center (Pusat Operasi Keamanan Siber), tetapi hal ini sedikit membingungkan karena tim CSOC juga dapat disebut sebagai Computer Security Incident Response Team (CSIRT) atau Tim Respons Insiden Keamanan Komputer, Computer Incident Response Center (CIRC) atau Pusat Respons Insiden Komputer, Security Operations Center (SOC) atau Pusat Operasi Keamanan, serta disebut Computer Emergency Response Team (CERT) atau Tim Respons Gawat Darurat Komputer. Untuk kepentingan artikel ini, kita akan tetap menggunakan istilah CSOC. CSOC bekerja dalam urusan pertahanan untuk menghadapi aktivitas tidak sah yang terjadi pada jaringan strategis dan kegiatan yang termasuk di dalamnya adalah: pemantauan, deteksi, analisis, serta kegiatan respons dan restorasi. CSOC adalah tim yang terdiri dari analis keamanan jaringan yang diorganisir untuk pekerjaan mendeteksi, menganalisis, merespons, melaporkan, dan mencegah insiden keamanan jaringan selama 24 jam, 7 hari dalam seminggu, dan 365 hari dalam setahun. Terdapat berbagai jenis CSOC yang dikelompokkan berdasarkan model organisasional dan operasional mereka, bukan berdasarkan seperangkat kemampuan utama mereka, jadi mari kita dalami dan melihat lebih dekat berbagai jenis CSOC.
CSOC Virtual
Nama tersebut sudah menjelaskan semuanya, jenis operasi ini seringkali tidak memiliki fasilitas khusus, anggota tim yang bekerja secara berkala menggunakan pendekatan reaktif dalam menghadapi ancaman cyber, hal inilah yang benar-benar membedakan mereka dari jenis SOC lainnya. Saya berpendapat bahwa kapabilitas SOC virtual reaktif tidak dapat dilanjutkan untuk jangka panjang jika melihat kondisi lanskap ancaman saat ini dan tidak banyak yang tidak setuju dengan pendapat seperti itu.
CSOC Terdistribusi
Operasi semacam ini biasanya memiliki beberapa staf di lokasi selama 24 jam dan 7 hari dalam seminggu yang bertugas untuk mengelola operasi yang sedang berlangsung dan biasanya mengandalkan pekerja lepas, penyedia layanan keamanan dan anggota departemen lain untuk mendorong peningkatan kapabilitas mereka dengan pengetahuan spesialis hanya ketika diperlukan saja. Model CSOC terdistribusi (distributed CSOC) dapat menawarkan penghematan biaya yang signifikan jika dibanding dengan model CSOC khusus (dedicated CSOC), sehingga memungkinkan Anda untuk menjaga fungsi keamanan penting secara internal, tetapi dengan model ini Anda mengorbankan ketangkasan, kecepatan tanggapan dan kekompakan tim sehingga dapat berdampak pada efektivitas tim.
CSOC Khusus
Jenis CSOC terbaik, dengan fasilitas, infrastruktur, dan tim berdedikasi yang beroperasi sebagai unit mandiri, memberikan operasi keamanan yang berkesinambungan selama 24 jam, 7 hari dalam seminggu, dan 365 hari dalam setahun secara persisten. SOC khusus (dedicated SOC) biasanya digunakan oleh organisasi besar, perusahaan multi-nasional, dan Negara-bangsa. Jika Anda seorang hacker yang beroperasi di wilayah mereka, mereka mungkin akan menjadi mimpi terburuk Anda.
CSOC Komando
CSOC komando (command CSOC) adalah fasilitas, infrastruktur, dan tim khusus yang didedikasikan untuk beroperasi sebagai unit komando dan koordinasi untuk sejumlah CSOC berbasis regional lainnya. CSOC komando bekerja dengan tim CSOC pihak ketiga untuk mengoordinasikan respons insiden di tingkat nasional atau internasional. Mereka juga berkolaborasi dengan CSOC lain dalam hal pelatihan, pendidikan, berbagi pengetahuan dan proyek bersama. CSOC komando dioperasikan oleh kontraktor pertahanan, unit pemerintahan besar dan intelijen militer.
Apa yang Dilakukan oleh CSOC?
CSOC Anda umumnya melakukan serangkaian fungsi khusus dengan memanfaatkan teknologi, praktik dan proses terbaik, yang mungkin tidak spesifik untuk CSOC individual, tetapi digunakan untuk memberikan serangkaian layanan spesifik yang pasti melibatkan banyak meta domain dan meta disiplin yang berbeda. Biasanya, CSOC akan menyediakan fungsi-fungsi seperti pengawasan dan pengauditan keamanan, respons insiden, manajemen ancaman dan kerentanan (threat & vulnerability), pengawasan keamanan, audit dan pelatihan, serta manajemen perangkat dan kepatuhan keamanan. Mereka memberikan layanan seperti analisis malware, forensik, vulnerability, dan intelijen keamanan, mereka mengerjakan penetration testing, implementasi penanggulangan dan audit keamanan. CSOC yang sehat juga akan terlibat dalam aktivitas seperti pemodelan jalur serangan, pengumpulan intelijen keamanan, dan analitik risiko. Jenis bakat dan keterampilan masing-masing anggota CSOC sangat bervariasi, hingga pada akhirnya efektivitas CSOC ditopang oleh kualitas timnya dan bukan oleh kuantitas anggotanya.
Dimana CSOC Beroperasi dan Siapa yang Mengoperasikannya?
Karena sifat peran inti CSOC, environment alami untuk operasi CSOC yang sehat adalah environment di mana kesadaran konstan akan adanya threat atau ancaman telah menjadi norma, environment CSOC secara alami terdapat di sekitar perusahaan multinasional besar dan departemen pertahanan negara-bangsa, tetapi hal yang sama tidak banyak ditemukan di seluruh bagian threat space global. Masih sering ditemui bahwa negara-bangsa yang lebih kecil tidak memiliki kapabilitas CSOC yang cukup, juga sering ditemui bahwa organisasi besar yang beroperasi di sektor pertahanan, sektor keuangan, dan sektor utilitas tidak memiliki kapabilitas CSOC Khusus. Sikap yang biasanya diadopsi oleh mereka yang tidak memiliki kapabilitas CSOC adalah sikap reaktif yaitu dengan melakukan mitigasi dan memperbaiki kerusakan setelah terjadi cyber threat, dan tidak bersikap proaktif yaitu dengan cara mengelola atau merespon threat dan risiko. Masalahnya adalah, sikap mitigasi reaktif seperti itu sama sekali tidak efektif jika digunakan dalam jangka panjang untuk menghadapi segala jenis skenario defensif. Risiko harus dikelola secara proaktif agar dapat mengamankan aset strategis dan posisi harus terus dievaluasi ulang sesuai dengan keadaan. Pelaku kegiatan seperti ini yang tidak memiliki kapabilitas CSOC yang cukup dan menggunakan pendekatan mitigasi reaktif mendapati diri mereka berada pada posisi yang selalu dirugikan dalam threat environment saat ini.
Siapa yang Menyediakan Layanan CSOC?
Gartner memperkirakan bahwa sekitar 15% dari organisasi besar telah membentuk CSOC, yang didorong terutama oleh meningkatnya risiko insiden dan breach serta adanya peningkatan pemakaian managed security services. Persyaratan yang diminta dalam peraturan regulator, konsolidasi fungsi keamanan, dan pemusatan program keamanan informasi juga merupakan faktor pendorong. Faktor-faktor pendorong ini membuat Gartner yakin bahwa pada tahun 2019, sekitar 50% pekerjaan operasi security akan dilakukan dari CSOC melalui penyedia layanan, atau melalui layanan security yang digunakan bersama secara nasional, regional dan vertikal. Saat ini terdapat ribuan operasi CSOC virtual di tingkat internasional, ratusan operasi CSOC terdistribusi (distributed CSOC) dan CSOC khusus (dedicated CSOC) berukuran sedang yang beroperasi di tingkat global, dan puluhan CSOC besar yang dapat kami kategorikan secara kolektif sebagai CSOC Komando (Command CSOC), dioperasikan oleh kontraktor pertahanan, pemerintah dan unit intelijen militer. Meskipun banyak operasi CSOC yang lebih kecil menyediakan layanan untuk pihak ketiga, tetapi tidak banyak CSOC besar yang menyediakan keseluruhan fungsi penting CSOC dan yang menyediakan berbagai jenis spesialisasi layanan CSOC, beberapa penyedia utama diantaranya:
ITSEC Group – Penyedia cybersecurity yang berbasis di Singapura, ITSEC adalah perusahaan keamanan informasi terbesar kedua di kawasan Asia Pasifik yang memiliki pelanggan di industri jasa keuangan, perbankan, asuransi dan sumber daya alam. ITSEC terakreditasi penuh dan bersertifikat, mereka saat ini memegang sertifikasi ISO 9001 untuk Manajemen Kualitas dan sertifikasi ISO 27001 untuk Manajemen Keamanan Informasi, mereka juga merupakan penetration tester yang terdaftar di CREST. CREST adalah badan akreditasi global yang memberikan sertifikasi tingkat profesional untuk para tenaga profesional keamanan informasi yang memberikan layanan penetration testing, respons insiden cyber, threat intelligence dan Security Operations Centre (SOC) pada klien dan mitra mereka.
Raytheon – Kontraktor pertahanan utama A.S. dengan konsentrasi inti pada produksi alat-alat elektronik persenjataan, militer, dan komersial, dengan omset sebesar US$25 miliar dan 63.000 karyawan di seluruh dunia. Raytheon menawarkan ‘sistem perlindungan cyber’ untuk organisasi secara global serta menyediakan berbagai layanan lainnya, termasuk akademi cybersecurity.
BAE Systems – Sebuah perusahaan multinasional Inggris di bidang pertahanan, keamanan, dan kedirgantaraan multinasional yang berkantor pusat di London dan beroperasi secara global, yaitu perusahaan pertahanan terbesar ketiga dengan pendapatan sebesar £17,79 miliar dan 82.000 karyawan di seluruh dunia. BAE Systems menyediakan 'Operasi CSOC Tingkat Lanjut dan Tingkat Nasional' kepada negara-bangsa, lembaga pemerintahan, dan lembaga penegak hukum.
Thales Group – perusahaan multinasional Prancis yang menyediakan layanan untuk industri kedirgantaraan, pertahanan, transportasi dan keamanan, dengan pendapatan €14,9 miliar dan 64.000 karyawan di seluruh dunia. Thales menyediakan ‘managed security services’ untuk organisasi besar secara global yang mencakup layanan CSOC dengan fokus pada cyber defence.
Deloitte – Sebuah perusahaan jasa profesional multinasional dengan kantor pusat operasional di New York City AS, Deloitte adalah salah satu dari perusahaan akuntansi "empat besar", dengan pendapatan US$38,8 miliar lebih dari 263.900 karyawan dan jumlah klien terbesar di dalam 250 perusahaan FTSE. Mereka mengoperasikan jaringan global divisi CSOC dan menyediakan 'layanan risiko cyber' untuk meningkatkan keamanan, kewaspadaan, dan ketahanan. Kelima organisasi ini memiliki kesamaan dalam hal pendekatan yang mereka gunakan dalam mengoperasikan CSOC mereka, walaupun menggunakan istilah yang berbeda untuk jenis-jenis pekerjaan yang mereka lakukan, dengan tetap mengikuti praktik terbaik yang telah disepakati secara internasional untuk proses, operasi, dan keamanan.
Apa Saja Karakteristik CSOC yang Efektif?
Mereka Memiliki Otoritas – CSOC yang tidak memiliki kekuatan otoritas menghabiskan waktu lebih banyak untuk mengurus pertentangan politik daripada untuk menghasilkan dampak operasional yang efektif. Mereka memerlukan pernyataan otoritas yang tegas dari pimpinan eksekutif, kebijakan tertulis yang memberikan izin bagi keberadaannya dan menggunakan sumber daya, dengan kebijakan internal yang kuat agar dapat menjadi CSOC yang efektif.
Mereka Fokus pada Kualitas – Manusia merupakan elemen yang paling penting dari cybersecurity dan menentukan jumlah operator yang tepat untuk dipekerjakan mungkin sulit, tetapi berfokus pada kualitas operator merupakan hal yang penting, serta adanya kebijakan spesifik, skema kompensasi, dan mekanisme dukungan untuk karyawan perlu ditetapkan untuk memastikan bahwa Anda dapat memperoleh aset yang berkualitas, sebagai mitigasi proaktif untuk menghadapi tingkat perputaran karyawan yang biasa terjadi di industri cybersecurity.
Mereka Menjalankan Data Discretion – Ada keseimbangan yang harus dicapai ketika mengumpulkan data yang dapat membantu Anda mengidentifikasi tanda bahaya (red flag) yang penting, jika mengumpulkan terlalu sedikit data maka Anda tidak bisa melihat apa-apa, tetapi jika Anda mengumpulkan terlalu banyak data maka tanda bahaya tersebut bisa menghilang di antara kegaduhan. Oleh karena itu, penting bagi Anda untuk mengumpulkan data dalam jumlah yang tepat dan dari tempat yang tepat, serta pendekatan pragmatis yang didorong oleh pendekatan operasional dapat membantu Anda memprioritaskan sumber daya.
Mereka Melakukan Banyak Pekerjaan dengan Cerdas – CSOC yang baik perlu menentukan bagian yang menjadi prioritas dari sekian banyak tanggung jawab mereka dan memfokuskan pada pekerjaan penting secara efektif. Kadang-kadang sulit untuk menentukan tanggung jawab mana yang harus diambil dan sejauh apa, tetapi dengan berjalannya waktu CSOC bertumbuh dewasa sehingga mereka dapat belajar dari kegagalan dan keberhasilan yang telah terjadi dan kemudian mengambil peran baru dalam perjalanan mencapai operational excellence.
Mereka Memaksimalkan Nilai Teknologi – CSOC yang baru didirikan perlu mengusahakan relevansi pembelian teknologinya. Dalam hal hubungan antara konstituensi, umur panjang, dan umpan balik operator, dengan sumber daya yang didedikasikan untuk peningkatan alat berkelanjutan dan untuk mengintegrasikannya ke dalam arsitektur dan alur kerja yang koheren.
Mereka Adalah Konsumen Yang Canggih – CSOC yang baru didirikan harus terus-menerus menyesuaikan teknik, taktik, dan prosedur mereka untuk merespons threat environment yang terus berubah. Pendekatan proaktif ini melibatkan penggunaan cyber threat intelligence, didorong oleh pengamatan dan analisis cyber threat yang berfokus pada ancaman-ancaman yang bersifat spesifik, canggih, dan persisten.
Mereka Melindungi Misi Mereka – Operasi CSOC yang solid harus dapat berfungsi, bahkan di saat aset-aset konstituennya telah mengalami serangan. CSOC terbaik beroperasi dalam mode out-of-band yang mengisolasi sistem monitoring pasif, analitik, dan penyimpanan data sensitif dari keseluruhan perusahaan. Mereka juga harus dapat mencapai tingkat packet loss mendekati nol pada point-of-presence (PoP) monitoring yang telah ditentukan, dan dapat menghindari musuh (adversary) yang mendeteksi kapabilitas monitoring mereka, di saat bersamaan juga menyediakan tingkat transparansi dan laporan pada pelanggan mereka untuk menjaga kepercayaan dan memaksimalkan dampak.
Jika Anda perlu menggunakan layanan CSOC, silahkan datang dan berdiskusi dengan tim kami, kami mengoperasikan fasilitas CSOC canggih dari pusat komando kami di Jakarta, Indonesia yang dikelola selama 24 jam dan 7 hari dalam seminggu oleh tim cybersecurity profesional yang sangat berpengalaman dan mengawasi cybersecurity untuk beberapa organisasi terbesar di dunia.
