logo
Teknologi

Pengantar SOAR

Gartner baru saja mengumumkan suatu model analisis teknologi cybersecurity baru mereka yang disebut sebagai Pelaksanaan, Analisis, dan Pelaporan Keamanan (Security Operations, Analytics, and Reporting).

|
Jul 10, 2023
Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda.

APA PERBEDAAN ANTARA SOAR VS SIEM?

SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif cybersecurity. Evolusi alat yang kami gunakan merupakan suatu proses yang berkelanjutan dan meskipun peringatan tentang perilaku mencurigakan diperlukan, namun tujuan utamanya adalah bertindak secepat dan seefektif mungkin terhadap peringatan tersebut. SIEM tradisional akan memberi tahu Anda bahwa ada yang menurun pada jaringan Anda, sementara platform SOAR memungkinkan Anda untuk bertindak berdasarkan informasi itu. SOAR mengumpulkan dan mengkonsolidasikan semua data dari aplikasi keamanan dan umpan atau feed intelijen ancaman (threat intelligence) Anda, namun kemampuannya dapat melampaui SIEM dengan memungkinkan pengotomatisan respons Anda serta mengoordinasikan tugas keamanan secara otomatis di seluruh aplikasi dan proses yang terhubung. SOAR memungkinkan Anda untuk menggabungkan threat intelligence pihak ketiga dari berbagai sumber dan secara bersamaan memberikan Anda kemampuan untuk mengembangkan buku pedoman yang terdiri dari kegiatan yang berkualitas serta dapat ditindaklanjuti dalam merespons segala ancaman.

BAGAIMANA SOAR DAPAT MEMBANTU ANALIS CYBERSECURITY?

Fisikawan William Pollard pernah berkata bahwa "Informasi adalah sumber pembelajaran. Namun jika tidak diorganisasikan, diproses, dan tersedia dalam bentuk pengambilan keputusan bagi orang yang tepat, maka informasi tersebut merupakan beban, bukan manfaat" dan hal ini berlaku ganda dalam ruang cybersecurity. Hal yang sangat luar biasa dari kutipan abad ke-19 ini adalah ia menggambarkan dengan ringkas masalah yang dihadapi sebagian besar tim CSOC modern pada beberapa kasus tertentu. Seringkali analis CSOC menjadi kewalahan oleh banyaknya peringatan dan informasi yang tersedia untuk mereka kerap tersebar luas di berbagai sistem. Sebagian besar waktu analis CSOC pada umumnya dihabiskan untuk menyaring informasi agar teratur dan tersajikan dengan cara yang kondusif untuk pengambilan keputusan. Di sinilah SOAR hadir dan berupaya melepaskan beban analis CSOC dari tugas-tugas tersebut, membantu mereka agar dapat fokus pada pekerjaan yang berprioritas lebih tinggi dan menghasilkan return on investment (ROI) yang terukur dalam waktu yang relatif singkat. Patut disebut bahwa platform SOAR terbaik adalah yang dapat menunjukkan bukti bahwa mereka menghasilkan ROI dan biasanya Anda akan melihat dengan jelas penghematan 15%+ pada waktu tim cybersecurity Anda.

KEMAMPUAN APA SAJA YANG HARUS DIMILIKI PLATFORM SOAR MODERN?

Deteksi dan Respons Endpoint – Setelah memprioritaskan peringatan keamanan, maka para analis keamanan juga ingin menggali lebih dalam insiden melalui penyelidikan dan pemonitoran perilaku endpoint (titik akhir), maka hal ini membuat kemampuan deteksi dan respons endpoint (endpoint detection and response/EDR) sebagai bagian penting dari setiap platform SOAR.

Manajemen Vulnerability – Bagian dari pekerjaan analis SOC adalah mengetahui jenis peringatan yang perlu diprioritaskan dan dikelola, keputusan ini biasanya didorong oleh kemampuan pengelolaan kerentanan (vulnerability management) pada platform SOAR dan berdasarkan pada data langsung.

Intelijen Ancaman – Mengintegrasikan SOAR ke dalam sejumlah platform dan sumber intelijen ancaman (threat intelligence) guna memudahkan dan mempercepat analis dalam membandingkan potensi ancaman terhadap ancaman yang telah dikenal.

Respons Insiden Berbasis Manajemen Kasus – Analis akan mengumpulkan, memproses dan menganalisis data keamanan, namun mereka juga harus dapat memanfaatkannya untuk memprioritaskan peringatan dan merespons ancaman secepat mungkin. Dengan demikian, kapabilitas respons insiden penting dimiliki platform SOAR untuk hal tersebut.

Manajemen Playbook – Oleh karena platform SOAR diarahkan pada respons insiden, maka bagian terpenting SOAR adalah kemampuan untuk menciptakan dan mengelola playbook yang selaras dengan kebijakan respons insiden Anda, serta mampu merampingkan proses respons insiden Anda.

SOAR MERUPAKAN BAGIAN TERPENTING DALAM UPAYA CYBERSECURITY

Ancaman serangan cyberattack yang terus tumbuh, serta beban administrasi yang terlibat dalam manajemen keamanan data, memberi tekanan pada SOC yang tidak mengizinkan pelanggaran data atau pun yang terkait dengan gangguan operasional serta kerusakan reputasi. SOAR memberikan pendekatan yang berbeda dalam pembekalan keamanan tim cybersecurity, yaitu suatu pedekatan yang tidak dibatasi oleh proses manual serta memanfaatkan otomatisasi, analitik yang prediktif, dan AI (yang semakin meningkat) untuk membantu mengidentifikasi dan merespons penyusup yang tidak sah sebelum mereka berhasil mendapat pijakan di dalam jaringan. SOAR berjanji memberikan cara dalam mengurangi dwell time penyerang (lamanya waktu untuk mendeteksi ancaman setelah kompromi pertama) serta waktu deteksi maupun remediasi (yang berisi ancaman setelah diidentifikasi). Dengan mengintegrasikan otomatisasi, manajemen insiden, proses orkestrasi, bersama visualisasi dan pelaporan dalam satu panel kaca, SOAR menyediakan cara yang cepat dan akurat untuk memproses data peringatan dan log, membantu analis mengidentifikasi dan merespons serangan yang mungkin sudah berlangsung, meningkatkan kekuatan tim SOC dan menjadikan mereka berkali-kali lebih efisien dalam menangani alur kerjanya.

Share this post

You may also like

Panduan ITSEC Mengenai DevSecOps
Teknologi

Panduan ITSEC Mengenai DevSecOps

Tips
Hacks

Setiap tim teknis yang saat ini menggunakan kerangka kerja DevOps harus mencari cara untuk bergerak ke arah pola pikir DevSecOps dengan cara meningkatkan keahlian security yang dimiliki oleh masing-masing anggota tim yang berasal dari berbagai latar belakang teknologi. Dari membangun layanan cybersecurity yang berfokus pada bisnis hingga pengujian potensi eksploitasi cybersecurity, kerangka kerja DevSecOps memastikan bahwa cybersecurity dibangun dengan cara ditanamkan ke dalam aplikasi dan tidak hanya menjadi sebuah tempelan yang baru ditambahkan belakangan. Dengan memastikan pertimbangan keamanan ada di setiap tahap pengiriman perangkat lunak (software delivery), Anda secara terus-menerus melakukan integrasi keamanan sehingga dapat mengurangi biaya compliance (kepatuhan) dan perangkat lunak dapat dikirimkan dengan cepat dan aman. DEVSECOPS DALAM PRAKTEK Keuntungan DevSecOps sederhana, yaitu bahwa Anda dapat melihat peningkatan otomatisasi di sepanjang jalur pengiriman perangkat lunak. Otomatisasi ini berguna untuk jangka panjang karena dapat menghapuskan kesalahan, mengurangi cyberattack dan mengurangi downtime. Organisasi yang ingin mengintegrasikan keamanan ke dalam kerangka DevOps mereka mendapati bahwa proses ini bisa menjadi relatif mulus jika Anda menggunakan alat DevSecOps yang tepat. Alur kerja DevOps dan DevSecOps terlihat

AdministratorAdministrator
|
Jul 10, 2023 4 minutes read
Mengapa Anda Perlu Serius Menginventarisasi Aset
Teknologi

Mengapa Anda Perlu Serius Menginventarisasi Aset

Jika Anda bekerja di cybersecurity, pepatah tersebut menjadi tidak berlaku dan suatu saat akan membuat Anda dalam masalah. Tidak ada yang mengharapkan Anda untuk mengetahui segalanya, tetapi mereka mengharapkan Anda mengetahui aset apa yang Anda miliki di jaringan perusahaan yang terhubung ke infrastruktur TI Anda. Hal inilah yang pertama saya cari ketika berbicara dengan sebuah organisasi untuk pertama kalinya. Secara umum, semakin banyak yang dapat diceritakan oleh organisasi tentang inventaris PC, tablet, smartphone, server, dan wireless access points (titik akses nirkabel) mereka, maka semakin baik keamanan cybersecurity mereka. Anda mungkin terkejut setelah mengetahui bahwa sebagian besar organisasi tidak memiliki panduan yang jelas pada inventaris aset mereka. Ketiadaan daftar terbaru mengenai apa yang Anda pertahankan adalah suatu kejutan sendiri, karena diskoveri/penemuan aset merupakan standar dasar dalam keamanan TI. Tanpanya, Anda tidak mungkin mempertahankan infrastruktur TI Anda. Ketika Anda mengetahui bahwa sebagian besar perusahaan yang tidak memiliki daftar aktif tentang aset mereka mengalami atau mendapat pelanggaran (breach), maka hal ini tidak mengejutkan sama sekali. Ketika saya berbincang dengan organisasi tentang cybersecurity, saya mengajukan pertanyaan kepada

|
Jul 09, 2023 5 minutes read
Sejarah Singkat Internet
Teknologi

Sejarah Singkat Internet

Saya ketagihan pada komputer sejak Oregan Trail pertama kali dirilis, saat itu Anda harus mengodekan semua aplikasi Anda secara manual di BASIC jika benar-benar ingin komputer Anda menjadi berguna atau bahkan melakukan hal-hal yang membosankan seperti bersuara “blip” pada Anda. Satu-satunya alternatif untuk mengetik ratusan baris kode yaitu dengan memuat kaset yang telah direkam sebelumnya dengan serangkaian bunyi “biip”, peluit, dan memberitahu komputer Anda apa yang harus dilakukannya ketika diputar ulang. Anda tahu, suara-suara pra-rekaman yang berbunyi “biip” itu PERSIS seperti apa yang terdengar di internet saat pertama kali saya mendengarnya. Tidak, itu bukanlah kesalahan ketik, saya telah mendengar internet sebelum saya benar-benar melihatnya, begitu banyak sehingga saya masih percaya bahwa internet kabel saya adalah internet palsu karena setiap waktu sangat sepi Tidak, saya tidak mendengar internet karena saya adalah semacam seorang whisperer (pembisik) internet, kita SEMUA telah mendengar internet sebelum kita benar-benar menggunakannya saat itu, kedatangannya disinyalkan oleh serangkaian pekikan bernada tinggi dan dengungan digital yang datang kepada Anda dari saluran telepon. Begitulah cara kita mengetahui internet akan datang. Di masa

AdministratorAdministrator
|
Jul 09, 2023 10 minutes read

Receive weekly
updates on new posts

Subscribe