logo
Teknologi

Pengantar SOAR

Gartner baru saja mengumumkan suatu model analisis teknologi cybersecurity baru mereka yang disebut sebagai Pelaksanaan, Analisis, dan Pelaporan Keamanan (Security Operations, Analytics, and Reporting).

|
Jul 10, 2023
Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda.

APA PERBEDAAN ANTARA SOAR VS SIEM?

SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif cybersecurity. Evolusi alat yang kami gunakan merupakan suatu proses yang berkelanjutan dan meskipun peringatan tentang perilaku mencurigakan diperlukan, namun tujuan utamanya adalah bertindak secepat dan seefektif mungkin terhadap peringatan tersebut. SIEM tradisional akan memberi tahu Anda bahwa ada yang menurun pada jaringan Anda, sementara platform SOAR memungkinkan Anda untuk bertindak berdasarkan informasi itu. SOAR mengumpulkan dan mengkonsolidasikan semua data dari aplikasi keamanan dan umpan atau feed intelijen ancaman (threat intelligence) Anda, namun kemampuannya dapat melampaui SIEM dengan memungkinkan pengotomatisan respons Anda serta mengoordinasikan tugas keamanan secara otomatis di seluruh aplikasi dan proses yang terhubung. SOAR memungkinkan Anda untuk menggabungkan threat intelligence pihak ketiga dari berbagai sumber dan secara bersamaan memberikan Anda kemampuan untuk mengembangkan buku pedoman yang terdiri dari kegiatan yang berkualitas serta dapat ditindaklanjuti dalam merespons segala ancaman.

BAGAIMANA SOAR DAPAT MEMBANTU ANALIS CYBERSECURITY?

Fisikawan William Pollard pernah berkata bahwa "Informasi adalah sumber pembelajaran. Namun jika tidak diorganisasikan, diproses, dan tersedia dalam bentuk pengambilan keputusan bagi orang yang tepat, maka informasi tersebut merupakan beban, bukan manfaat" dan hal ini berlaku ganda dalam ruang cybersecurity. Hal yang sangat luar biasa dari kutipan abad ke-19 ini adalah ia menggambarkan dengan ringkas masalah yang dihadapi sebagian besar tim CSOC modern pada beberapa kasus tertentu. Seringkali analis CSOC menjadi kewalahan oleh banyaknya peringatan dan informasi yang tersedia untuk mereka kerap tersebar luas di berbagai sistem. Sebagian besar waktu analis CSOC pada umumnya dihabiskan untuk menyaring informasi agar teratur dan tersajikan dengan cara yang kondusif untuk pengambilan keputusan. Di sinilah SOAR hadir dan berupaya melepaskan beban analis CSOC dari tugas-tugas tersebut, membantu mereka agar dapat fokus pada pekerjaan yang berprioritas lebih tinggi dan menghasilkan return on investment (ROI) yang terukur dalam waktu yang relatif singkat. Patut disebut bahwa platform SOAR terbaik adalah yang dapat menunjukkan bukti bahwa mereka menghasilkan ROI dan biasanya Anda akan melihat dengan jelas penghematan 15%+ pada waktu tim cybersecurity Anda.

KEMAMPUAN APA SAJA YANG HARUS DIMILIKI PLATFORM SOAR MODERN?

Deteksi dan Respons Endpoint – Setelah memprioritaskan peringatan keamanan, maka para analis keamanan juga ingin menggali lebih dalam insiden melalui penyelidikan dan pemonitoran perilaku endpoint (titik akhir), maka hal ini membuat kemampuan deteksi dan respons endpoint (endpoint detection and response/EDR) sebagai bagian penting dari setiap platform SOAR.

Manajemen Vulnerability – Bagian dari pekerjaan analis SOC adalah mengetahui jenis peringatan yang perlu diprioritaskan dan dikelola, keputusan ini biasanya didorong oleh kemampuan pengelolaan kerentanan (vulnerability management) pada platform SOAR dan berdasarkan pada data langsung.

Intelijen Ancaman – Mengintegrasikan SOAR ke dalam sejumlah platform dan sumber intelijen ancaman (threat intelligence) guna memudahkan dan mempercepat analis dalam membandingkan potensi ancaman terhadap ancaman yang telah dikenal.

Respons Insiden Berbasis Manajemen Kasus – Analis akan mengumpulkan, memproses dan menganalisis data keamanan, namun mereka juga harus dapat memanfaatkannya untuk memprioritaskan peringatan dan merespons ancaman secepat mungkin. Dengan demikian, kapabilitas respons insiden penting dimiliki platform SOAR untuk hal tersebut.

Manajemen Playbook – Oleh karena platform SOAR diarahkan pada respons insiden, maka bagian terpenting SOAR adalah kemampuan untuk menciptakan dan mengelola playbook yang selaras dengan kebijakan respons insiden Anda, serta mampu merampingkan proses respons insiden Anda.

SOAR MERUPAKAN BAGIAN TERPENTING DALAM UPAYA CYBERSECURITY

Ancaman serangan cyberattack yang terus tumbuh, serta beban administrasi yang terlibat dalam manajemen keamanan data, memberi tekanan pada SOC yang tidak mengizinkan pelanggaran data atau pun yang terkait dengan gangguan operasional serta kerusakan reputasi. SOAR memberikan pendekatan yang berbeda dalam pembekalan keamanan tim cybersecurity, yaitu suatu pedekatan yang tidak dibatasi oleh proses manual serta memanfaatkan otomatisasi, analitik yang prediktif, dan AI (yang semakin meningkat) untuk membantu mengidentifikasi dan merespons penyusup yang tidak sah sebelum mereka berhasil mendapat pijakan di dalam jaringan. SOAR berjanji memberikan cara dalam mengurangi dwell time penyerang (lamanya waktu untuk mendeteksi ancaman setelah kompromi pertama) serta waktu deteksi maupun remediasi (yang berisi ancaman setelah diidentifikasi). Dengan mengintegrasikan otomatisasi, manajemen insiden, proses orkestrasi, bersama visualisasi dan pelaporan dalam satu panel kaca, SOAR menyediakan cara yang cepat dan akurat untuk memproses data peringatan dan log, membantu analis mengidentifikasi dan merespons serangan yang mungkin sudah berlangsung, meningkatkan kekuatan tim SOC dan menjadikan mereka berkali-kali lebih efisien dalam menangani alur kerjanya.

Share this post

You may also like

Sejarah Singkat Internet
Teknologi

Sejarah Singkat Internet

Saya ketagihan pada komputer sejak Oregan Trail pertama kali dirilis, saat itu Anda harus mengodekan semua aplikasi Anda secara manual di BASIC jika benar-benar ingin komputer Anda menjadi berguna atau bahkan melakukan hal-hal yang membosankan seperti bersuara “blip” pada Anda. Satu-satunya alternatif untuk mengetik ratusan baris kode yaitu dengan memuat kaset yang telah direkam sebelumnya dengan serangkaian bunyi “biip”, peluit, dan memberitahu komputer Anda apa yang harus dilakukannya ketika diputar ulang. Anda tahu, suara-suara pra-rekaman yang berbunyi “biip” itu PERSIS seperti apa yang terdengar di internet saat pertama kali saya mendengarnya. Tidak, itu bukanlah kesalahan ketik, saya telah mendengar internet sebelum saya benar-benar melihatnya, begitu banyak sehingga saya masih percaya bahwa internet kabel saya adalah internet palsu karena setiap waktu sangat sepi Tidak, saya tidak mendengar internet karena saya adalah semacam seorang whisperer (pembisik) internet, kita SEMUA telah mendengar internet sebelum kita benar-benar menggunakannya saat itu, kedatangannya disinyalkan oleh serangkaian pekikan bernada tinggi dan dengungan digital yang datang kepada Anda dari saluran telepon. Begitulah cara kita mengetahui internet akan datang. Di masa

AdministratorAdministrator
|
Jul 09, 2023 10 minutes read
Mengapa Anda Perlu Serius Menginventarisasi Aset
Teknologi

Mengapa Anda Perlu Serius Menginventarisasi Aset

Jika Anda bekerja di cybersecurity, pepatah tersebut menjadi tidak berlaku dan suatu saat akan membuat Anda dalam masalah. Tidak ada yang mengharapkan Anda untuk mengetahui segalanya, tetapi mereka mengharapkan Anda mengetahui aset apa yang Anda miliki di jaringan perusahaan yang terhubung ke infrastruktur TI Anda. Hal inilah yang pertama saya cari ketika berbicara dengan sebuah organisasi untuk pertama kalinya. Secara umum, semakin banyak yang dapat diceritakan oleh organisasi tentang inventaris PC, tablet, smartphone, server, dan wireless access points (titik akses nirkabel) mereka, maka semakin baik keamanan cybersecurity mereka. Anda mungkin terkejut setelah mengetahui bahwa sebagian besar organisasi tidak memiliki panduan yang jelas pada inventaris aset mereka. Ketiadaan daftar terbaru mengenai apa yang Anda pertahankan adalah suatu kejutan sendiri, karena diskoveri/penemuan aset merupakan standar dasar dalam keamanan TI. Tanpanya, Anda tidak mungkin mempertahankan infrastruktur TI Anda. Ketika Anda mengetahui bahwa sebagian besar perusahaan yang tidak memiliki daftar aktif tentang aset mereka mengalami atau mendapat pelanggaran (breach), maka hal ini tidak mengejutkan sama sekali. Ketika saya berbincang dengan organisasi tentang cybersecurity, saya mengajukan pertanyaan kepada

|
Jul 09, 2023 5 minutes read
Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots
Teknologi

Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots

Bagaimana caranya kami dapat mengetahui hal ini? Sama halnya seperti cara kami dapat mengetahui sebagian besar cyber threat global, teknik yang digunakan, pemilihan waktu, dan tools yang digunakan, bahkan gagasan tentang siapa mereka - Honeypots. Honeypot merupakan sumber daya sistem informasi yang nilainya terletak pada penggunaan ilegal atau tanpa otorisasi atas sumber daya tersebut, artinya ia akan terbukti bernilai ketika seorang hacker mencoba berinteraksi dengannya. Sumber daya honeypot biasa disamarkan sebagai server jaringan, ia terlihat dan terasa seperti server tetapi sebenarnya merupakan perangkap yang digunakan untuk memancing penyusup yang tidak memiliki otorisasi. Bagaimana analis menemukan EternalRocks? Hal tersebut bisa terjadi karena adanya honeypot. Sebuah permainan kreatif “kucing dan tikus” yang meletakkan perangkap cerdik. Musuh yang datang mencoba mengelabui perangkap atau mengenali sesuatu yang mencurigakan dan menghindarinya, atau dalam beberapa kasus, merusaknya. Hal ini ditanggapi oleh seorang peneliti dengan menulis tweet untuk menghibur banyak orang, "Bagi Anda yang mengetahui honeypot saya adalah sebuah ‘honeypot’ (wadah madu), bisakah Anda berhenti menaruh gambar beruang (madu) Pooh di atasnya?. Silakan mengecek sumber daya HoneyDB untuk mengetahui analisis

|
Jul 09, 2023 6 minutes read

Receive weekly
updates on new posts

Subscribe