Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda.

APA PERBEDAAN ANTARA SOAR VS SIEM?

SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif cybersecurity. Evolusi alat yang kami gunakan merupakan suatu proses yang berkelanjutan dan meskipun peringatan tentang perilaku mencurigakan diperlukan, namun tujuan utamanya adalah bertindak secepat dan seefektif mungkin terhadap peringatan tersebut. SIEM tradisional akan memberi tahu Anda bahwa ada yang menurun pada jaringan Anda, sementara platform SOAR memungkinkan Anda untuk bertindak berdasarkan informasi itu. SOAR mengumpulkan dan mengkonsolidasikan semua data dari aplikasi keamanan dan umpan atau feed intelijen ancaman (threat intelligence) Anda, namun kemampuannya dapat melampaui SIEM dengan memungkinkan pengotomatisan respons Anda serta mengoordinasikan tugas keamanan secara otomatis di seluruh aplikasi dan proses yang terhubung. SOAR memungkinkan Anda untuk menggabungkan threat intelligence pihak ketiga dari berbagai sumber dan secara bersamaan memberikan Anda kemampuan untuk mengembangkan buku pedoman yang terdiri dari kegiatan yang berkualitas serta dapat ditindaklanjuti dalam merespons segala ancaman.

BAGAIMANA SOAR DAPAT MEMBANTU ANALIS CYBERSECURITY?

Fisikawan William Pollard pernah berkata bahwa "Informasi adalah sumber pembelajaran. Namun jika tidak diorganisasikan, diproses, dan tersedia dalam bentuk pengambilan keputusan bagi orang yang tepat, maka informasi tersebut merupakan beban, bukan manfaat" dan hal ini berlaku ganda dalam ruang cybersecurity. Hal yang sangat luar biasa dari kutipan abad ke-19 ini adalah ia menggambarkan dengan ringkas masalah yang dihadapi sebagian besar tim CSOC modern pada beberapa kasus tertentu. Seringkali analis CSOC menjadi kewalahan oleh banyaknya peringatan dan informasi yang tersedia untuk mereka kerap tersebar luas di berbagai sistem. Sebagian besar waktu analis CSOC pada umumnya dihabiskan untuk menyaring informasi agar teratur dan tersajikan dengan cara yang kondusif untuk pengambilan keputusan. Di sinilah SOAR hadir dan berupaya melepaskan beban analis CSOC dari tugas-tugas tersebut, membantu mereka agar dapat fokus pada pekerjaan yang berprioritas lebih tinggi dan menghasilkan return on investment (ROI) yang terukur dalam waktu yang relatif singkat. Patut disebut bahwa platform SOAR terbaik adalah yang dapat menunjukkan bukti bahwa mereka menghasilkan ROI dan biasanya Anda akan melihat dengan jelas penghematan 15%+ pada waktu tim cybersecurity Anda.

KEMAMPUAN APA SAJA YANG HARUS DIMILIKI PLATFORM SOAR MODERN?

Deteksi dan Respons Endpoint – Setelah memprioritaskan peringatan keamanan, maka para analis keamanan juga ingin menggali lebih dalam insiden melalui penyelidikan dan pemonitoran perilaku endpoint (titik akhir), maka hal ini membuat kemampuan deteksi dan respons endpoint (endpoint detection and response/EDR) sebagai bagian penting dari setiap platform SOAR.

Manajemen Vulnerability – Bagian dari pekerjaan analis SOC adalah mengetahui jenis peringatan yang perlu diprioritaskan dan dikelola, keputusan ini biasanya didorong oleh kemampuan pengelolaan kerentanan (vulnerability management) pada platform SOAR dan berdasarkan pada data langsung.

Intelijen Ancaman – Mengintegrasikan SOAR ke dalam sejumlah platform dan sumber intelijen ancaman (threat intelligence) guna memudahkan dan mempercepat analis dalam membandingkan potensi ancaman terhadap ancaman yang telah dikenal.

Respons Insiden Berbasis Manajemen Kasus – Analis akan mengumpulkan, memproses dan menganalisis data keamanan, namun mereka juga harus dapat memanfaatkannya untuk memprioritaskan peringatan dan merespons ancaman secepat mungkin. Dengan demikian, kapabilitas respons insiden penting dimiliki platform SOAR untuk hal tersebut.

Manajemen Playbook – Oleh karena platform SOAR diarahkan pada respons insiden, maka bagian terpenting SOAR adalah kemampuan untuk menciptakan dan mengelola playbook yang selaras dengan kebijakan respons insiden Anda, serta mampu merampingkan proses respons insiden Anda.

SOAR MERUPAKAN BAGIAN TERPENTING DALAM UPAYA CYBERSECURITY

Ancaman serangan cyberattack yang terus tumbuh, serta beban administrasi yang terlibat dalam manajemen keamanan data, memberi tekanan pada SOC yang tidak mengizinkan pelanggaran data atau pun yang terkait dengan gangguan operasional serta kerusakan reputasi. SOAR memberikan pendekatan yang berbeda dalam pembekalan keamanan tim cybersecurity, yaitu suatu pedekatan yang tidak dibatasi oleh proses manual serta memanfaatkan otomatisasi, analitik yang prediktif, dan AI (yang semakin meningkat) untuk membantu mengidentifikasi dan merespons penyusup yang tidak sah sebelum mereka berhasil mendapat pijakan di dalam jaringan. SOAR berjanji memberikan cara dalam mengurangi dwell time penyerang (lamanya waktu untuk mendeteksi ancaman setelah kompromi pertama) serta waktu deteksi maupun remediasi (yang berisi ancaman setelah diidentifikasi). Dengan mengintegrasikan otomatisasi, manajemen insiden, proses orkestrasi, bersama visualisasi dan pelaporan dalam satu panel kaca, SOAR menyediakan cara yang cepat dan akurat untuk memproses data peringatan dan log, membantu analis mengidentifikasi dan merespons serangan yang mungkin sudah berlangsung, meningkatkan kekuatan tim SOC dan menjadikan mereka berkali-kali lebih efisien dalam menangani alur kerjanya.