Saat ancaman cyber terus berkembang, para peretas sedang menyempurnakan taktik serangan mereka dan meningkatkan frekuensi serangan. Selama beberapa tahun terakhir, 63% analis Pusat Operasi Keamanan (SOC) melaporkan bahwa ukuran permukaan serangan mereka meningkat, menurut Security Magazine. Demikian juga, penelitian Threat Roundup kami tahun 2023 menemukan bahwa perusahaan mengalami 13 serangan setiap detik. Para penyerang memanfaatkan celah visibilitas – titik buta – antara alat-alat keamanan cyber, teknologi, dan proses operasi keamanan. Meskipun beberapa organisasi percaya bahwa merekrut lebih banyak personel dan membeli lebih banyak alat adalah jawaban, pendekatan ini tidak mencukupi. Perangkat dan perangkat yang tidak dikelola adalah celah visibilitas besar. Alat-alat sering tidak terintegrasi atau tidak berkomunikasi dengan baik satu sama lain, sehingga data di satu alat tidak terlihat oleh alat lainnya. Agregasi dan korelasi data yang menciptakan konteks adalah yang dibutuhkan organisasi untuk menutup celah-celah visibilitas tersebut. Untuk mengelola ancaman, perusahaan memerlukan pendekatan terintegrasi yang mengonsolidasikan semua data yang relevan dan memberikan visibilitas mendalam di seluruh lanskap ancaman. Untuk mempertahankan diri dari ancaman yang terus berkembang, organisasi harus membangun pertahanan yang terpadu dengan mengintegrasikan orang, proses, dan teknologi di dalam SOC untuk meningkatkan posisi keamanan mereka. Analis SOC membutuhkan: – Visibilitas jaringan penuh – termasuk semua perangkat yang terhubung – Konteks ancaman siber dan jaringan yang cepat dan akurat dengan data yang tepat – Kesadaran situasional untuk mengidentifikasi dan mengisolasi ancaman nyata dari yang tidak berarti Mengapa Integrasi SOC Penting Integrasi SOC menghubungkan alat, teknologi, dan proses keamanan bersama-sama untuk menciptakan posisi pertahanan yang terpadu. Pandangan holistik memberdayakan analis SOC untuk mendeteksi pola, tren, dan anomali yang menandakan risiko keamanan. Tujuannya? Deteksi dini untuk langkah-langkah pencegahan proaktif yang cepat. Namun tanpa pendekatan terintegrasi, ini bisa sulit untuk mengelola volume serangan dan memisahkan kebisingan serangan dari ancaman nyata. Integrasi SOC memudahkan kolaborasi melalui otomatisasi dengan alur kerja yang disempurnakan sehingga waktu deteksi dan respons lebih cepat. Dengan mengintegrasikan alat keamanan dan sumber data, seperti solusi deteksi dan respons endpoint (EDR), sistem deteksi intrusi jaringan (NIDS), dan platform manajemen log, SOC dapat mengonsolidasikan data keamanan untuk analisis. Selain visibilitas, integrasi SOC dapat mengotomatisasi dan mengorchestrasi proses keamanan yang mengurangi kelelahan dari alert dan tugas manajemen kasus yang seringkali manual dan repetitif. SOC dapat merespons insiden keamanan lebih cepat dan lebih efektif dengan menggunakan playbook dan alur kerja untuk mengotomatisasi proses triase, pengayaan, dan respons insiden. Otomatisasi juga mengurangi potensi kesalahan manusia dan membebaskan analis untuk fokus pada tugas-tugas yang lebih strategis, seperti perburuan ancaman dan penilaian risiko. Kurangnya Integrasi SOC Berakibat pada Postur Pertahanan yang Tidak Efektif Sebuah kumpulan alat keamanan mandiri yang terfragmentasi sering kali mengakibatkan tanggapan yang terpecah belah terhadap serangan cyber. Meskipun alat-alat individual ini mungkin memberikan tingkat perlindungan tertentu, kurangnya integrasi di antara mereka menciptakan silo informasi. Hal ini menghambat kemampuan untuk mendeteksi, merespons, dan mengurangi insiden keamanan secara efektif. Ketidakintegrasian tidak hanya berlaku pada teknologi. Manusia (tim) dan proses juga menderita. Tanpa kolaborasi dan keselarasan yang kohesif dalam tim dan proses, organisasi dapat kesulitan untuk mempertahankan posisi pertahanan yang terpadu. Pendekatan yang terpecah belah ini seringkali menyebabkan stres pada analis SOC juga. Analis SOC terlalu sering harus berurusan dengan data yang tidak lengkap, proses manual, dan waktu respons yang terlambat. Hal ini menyebabkan kelelahan di kalangan mereka, yang pada akhirnya berujung pada pergantian personel dan kekurangan keterampilan. Sebuah studi kinerja SOC pada tahun 2022 menemukan bahwa 71% responden menilai tingkat kesulitan staf SOC mereka berkisar antara 6 hingga 9 dari skala 10, menurut SANS Institute. “Ini mengkonfirmasi bahwa sebagian besar manajer SOC dan pemimpin perusahaan perlu melakukan penyesuaian signifikan dalam cara mereka beroperasi dan mengelola orang-orang mereka untuk membuat pekerjaan SOC menjadi kurang menyakitkan,” tulis SANS Institute. Pendekatan SOC yang terintegrasi akan meringankan beban pada analis karena akan secara otomatis membantu mengidentifikasi dan memisahkan ancaman nyata dari yang dirancang untuk mengalihkan dan menghancurkan tim SOC. Manfaat Sebenarnya dari Integrasi SOC Manfaat dari integrasi SOC melampaui efisiensi dan efektivitas operasional. Dengan mengintegrasikan alat keamanan, sumber data, dan proses di dalam SOC, organisasi dapat mencapai manajemen risiko keamanan siber yang holistik dan proaktif. Pemanfaatan sumber daya yang dioptimalkan. Kolaborasi yang lebih baik antara tim keamanan, risiko, dan kepatuhan. Alur kerja yang disederhanakan untuk respons yang lebih cepat dan mengurangi kebisingan. Pandangan keamanan organisasi yang bersatu dan lengkap memberdayakan analis SOC untuk membuat keputusan yang terinformasi. Integrasi SOC meningkatkan ketahanan dan fleksibilitas keseluruhan menghadapi tantangan keamanan yang terus berkembang. Tim SOC memperoleh: – Posisi keamanan yang lebih kuat – Memberikan pendekatan yang lebih proaktif dalam deteksi ancaman dan respons terhadap insiden. – Deteksi dan respons ancaman yang efisien – Meminimalkan waktu tinggal (dwell time) dan membantu mengurangi dampak insiden keamanan. – Kolaborasi dan komunikasi yang lebih baik – Menghasilkan pengambilan keputusan yang lebih cepat dan respons insiden yang lebih efektif. – Pemanfaatan sumber daya yang dioptimalkan – Memungkinkan organisasi untuk mengalokasikan sumber daya berdasarkan tingkat keparahan dan prioritas insiden keamanan. “Dengan menyelaraskan SOC dalam proses bisnis dan mengelola risiko siber secara proaktif, organisasi dapat mengurangi biaya operasional sambil memperkuat pertahanan terhadap ancaman,” tulis Jason Hart, CTO dari Rapid7, di Forbes. “Perubahan ini membutuhkan komitmen, investasi, dan perubahan budaya, namun manfaatnya dapat signifikan.” Integrasi SOC adalah Imperatif Strategis Integrasi SOC tidak hanya tentang efisiensi dan efektivitas operasional. Ini adalah kebutuhan strategis bagi organisasi yang bertahan dari lanskap ancaman yang terus berkembang. Dengan menghubungkan orang, proses, dan teknologi, organisasi dapat membentuk posisi pertahanan yang bersatu dan terpadu. Pendekatan ini, ditambah dengan visibilitas komprehensif dan integrasi yang lancar yang ditawarkan oleh Forescout Threat Detection and Response (TDR), memungkinkan deteksi, respons, dan mitigasi yang efektif terhadap ancaman siber. Seiring dengan meningkatnya kompleksitas ancaman siber, integrasi SOC menjadi semakin penting bagi organisasi yang bertujuan untuk tetap proaktif dan melindungi data sensitif, aset, dan reputasi mereka dari ancaman siber. Cari tau dan konsultasikan dengan kami, hubungi forescout@ilogoindonesia.id
Category: blog
Mengelola Peringatan Keamanan Siber yang Berisik di Pusat Operasi Keamanan (SOC)
Inovasi terobosan biasanya muncul sebagai respons terhadap dua kondisi utama. Pertama, ketika teknologi baru menciptakan permintaan dengan memenuhi kebutuhan yang sebelumnya tidak disadari oleh pelanggan. Contohnya adalah smartphone—dulu, orang tidak menyadari kebutuhan akan perangkat kecil yang juga berfungsi sebagai kamera, bank, ensiklopedia, dan pusat perbelanjaan. Kedua, inovasi muncul untuk mengatasi tantangan baru. Misalnya, mobil listrik dan energi terbarukan yang diperlukan untuk menghadapi perubahan iklim. Sebelum kemunculan kecerdasan buatan (AI) dan pembelajaran mesin (ML), inovasi dalam keamanan siber umumnya bersifat inkremental. Kini, pelaku kejahatan siber menggunakan AI dan ML untuk melancarkan serangan yang semakin canggih, memanfaatkan permukaan serangan yang luas, dan menciptakan kebisingan serta alarm palsu di pusat operasi keamanan (SOC). Oleh karena itu, organisasi perlu mengadopsi pertahanan siber otomatis berbasis data yang dapat mendeteksi dan mengatasi ancaman sebelum menimbulkan kerusakan. Pada konferensi RSA tahun ini, FBI memperingatkan tentang ancaman yang dibawa oleh AI dan kenyataannya saat ini. “Penyerang memanfaatkan AI untuk membuat pesan suara atau video serta email yang sangat meyakinkan guna melancarkan skema penipuan terhadap individu dan bisnis,” kata Agen Khusus FBI Robert Tripp. “Taktik canggih ini dapat mengakibatkan kerugian finansial yang besar, kerusakan reputasi, dan kompromi data sensitif.” Selama beberapa tahun terakhir, hampir dua pertiga (63%) analis SOC melaporkan bahwa ukuran permukaan serangan mereka telah meningkat, menurut Security Magazine. Selain itu, penelitian Forescout’s 2023 Threat Roundup mengungkapkan bahwa perusahaan mengalami 13 serangan setiap detiknya. Meskipun tidak semua serangan memiliki tingkat keparahan tinggi atau kritis, semuanya perlu dikelola dengan hati-hati. Efisiensi dalam deteksi ancaman dan respons insiden siber sangat penting. Kemampuan untuk mendeteksi dan merespons ancaman dengan cepat dan akurat membantu mengurangi risiko serta biaya keamanan perusahaan. Orang-oranglah yang harus menghadapi semua alarm yang berbunyi. Jika Anda ingin menghindari kelelahan pada analis SOC dan perputaran karyawan yang disebabkan olehnya, Anda memerlukan alat yang tepat untuk menangani masalah ini. Berikut adalah salah satu tantangan paling umum dan tidak efisien dalam SOC serta bagaimana Anda dapat membantu analis SOC Anda mengatasi perasaan kewalahan. Tingkatkan Efektivitas Pusat Operasi Keamanan Anda di Tengah Banyaknya Peringatan Keamanan Siber Deteksi dan respons terhadap ancaman siber kini menjadi semakin krusial. Dampak finansial dari pelanggaran data semakin meningkat, dan semakin lama waktu yang dibutuhkan untuk mendeteksi atau menemukan pelanggaran, semakin tinggi biayanya. Menurut IBM, biaya rata-rata pelanggaran data pada tahun 2024 mencapai $4,88 juta, meningkat 10% dibandingkan tahun 2023. Biaya ini juga lebih tinggi di industri tertentu, dengan sektor kesehatan menjadi yang paling mahal, sementara layanan keuangan mencatatkan biaya sebesar $6,08 juta—22% lebih tinggi dari rata-rata global. Dengan alasan ini, keamanan siber kini menjadi fokus utama di tingkat eksekutif dan dewan direksi. Pusat Operasi Keamanan (SOC) berada di garis depan dalam mengatasi masalah ini dan kini menghadapi lebih banyak peringatan daripada sebelumnya: Permukaan Serangan yang Meningkat: Permukaan serangan telah berkembang pesat dalam beberapa tahun terakhir. Kini, ancaman tidak hanya berasal dari lingkungan TI tradisional, tetapi juga dari perangkat OT, IoT, dan IoMT yang memiliki kerentanan masing-masing. Ditambah lagi, banyak orang yang bekerja dari lokasi yang berbeda, penggunaan cloud, aplikasi SaaS yang melimpah, serta rantai pasokan global yang semakin terhubung. Data yang Melimpah: Modernisasi aplikasi telah menyebabkan lonjakan volume dan kecepatan data yang dihasilkan. Cloud, kontainer, aplikasi serverless—semua ini menghasilkan data dalam jumlah besar yang dapat memberikan sinyal adanya serangan serta konteks penting untuk investigasi. Meskipun sebagian data mungkin hanya berupa noise, semuanya perlu dipertimbangkan dan dikelola untuk alasan keamanan. Ancaman yang Semakin Kompleks: Lanskap ancaman telah berkembang pesat dan terus berubah. Pelaku ancaman kini menggunakan teknik yang lebih canggih, meluncurkan serangan kompleks, otomatis, dan multi-tahap dengan cepat dan akurat, serta mampu beradaptasi dengan cepat. Kompleksitas Alat: Tim SOC harus mengelola berbagai alat kompleks yang sering kali tidak terintegrasi atau otomatis. Alat penting SOC meliputi sistem manajemen informasi dan acara keamanan (SIEM), sistem orkestrasi keamanan, otomatisasi, dan respons (SOAR), serta analitik perilaku pengguna dan entitas (UEBA). Untuk menyelesaikan investigasi, analis sering harus berpindah dari satu aplikasi ke aplikasi lain, yang dapat mengakibatkan kehilangan konteks dan pemborosan waktu. Semua faktor ini berkontribusi pada tingginya volume peringatan dan kebisingan berlebih di SOC. Mengapa Kelelahan Akibat Peringatan Keamanan Siber Menjadi Kenyataan di SOC Saat Ini Berdasarkan studi Forrester tahun 2020 yang melibatkan lebih dari 300 Security Operations Centers (SOC), rata-rata tim SecOps harus menangani sekitar 450 peringatan per jam, atau 11.000 peringatan per hari. Dengan keterbatasan staf dan alat, lebih dari seperempat peringatan tersebut tidak pernah ditangani. Sekitar setengah dari peringatan tersebut kemungkinan besar merupakan false positive, sehingga mungkin tidak terlalu merugikan jika tidak ditangani. Namun, masalahnya adalah Anda tidak bisa langsung mengetahui peringatan mana yang bisa diabaikan. Ini adalah tantangan besar, karena perusahaan sering kali menghabiskan lebih banyak waktu untuk menangani false positive daripada mengatasi serangan yang sebenarnya. Empat tahun telah berlalu sejak studi tersebut. Saat ini, anggaran keamanan sering dibagi antara aktivitas reaktif (respon insiden) dan aktivitas proaktif (pencarian ancaman, manajemen risiko, dan kepatuhan). Jika sebagian besar waktu dihabiskan untuk merespons peringatan yang belum diverifikasi, dampaknya adalah pengurangan waktu dan anggaran yang tersedia untuk langkah-langkah proaktif serta aspek-aspek penting seperti tata kelola, risiko, dan kepatuhan. Mengapa Pendekatan Deteksi dan Respons Ancaman yang Ada Saat Ini Tidak Memadai Ada empat pendekatan dasar untuk deteksi dan respons ancaman: Banyak SIEM yang Berisik atau Memerlukan Banyak Pembuatan Aturan Anda bisa menjalankan SOC internal dengan tumpukan teknologi yang berfokus pada SIEM tradisional. Namun, banyak SIEM dirancang terutama untuk penyimpanan dan pencarian log; mesin ancaman baru ditambahkan kemudian. Kadang-kadang, SIEM datang tanpa aturan bawaan, sehingga Anda harus mencarikannya sendiri. Ini memerlukan pembentukan tim dengan keahlian khusus dalam pembuatan dan penyesuaian aturan serta integrasi log. Meskipun begitu, SIEM sering kali menghasilkan terlalu banyak peringatan dengan akurasi rendah karena model pembelajarannya yang satu tahap. Danau Data Kustom Itu Kompleks Anda mungkin memilih untuk membangun danau data kustom di SOC internal Anda. Meskipun ini memberikan kontrol dan kepemilikan yang lebih besar karena penyesuaian sesuai kebutuhan spesifik, danau data sendiri tidak memberikan nilai secara langsung. Memiliki danau data memerlukan keahlian khusus tambahan, serta proses yang memakan waktu, tenaga, dan biaya yang signifikan. Untuk mendapatkan manfaat dari danau data, Anda tetap memerlukan mesin deteksi ancaman dan aturan yang…
11 Pertanyaan yang Perlu Diajukan Saat Mengubah Strategi SOC Anda
Tidak ada yang merasakan dampak dari serangan ransomware dan ancaman digital lainnya lebih berat daripada mereka yang mengelola operasional sehari-hari di SOC (Security Operations Center) Anda. Dengan frekuensi serangan mencapai 13 kali per detik pada tahun 2023, para penjahat siber, penipu, dan hacktivist dari negara-negara besar membanjiri para analis SOC. Hampir dua pertiga (63%) analis SOC melaporkan bahwa ukuran permukaan serangan telah meningkat. Pada saat yang sama, CISO dan manajer SOC menghadapi tantangan dalam menangani kelelahan dan perputaran staf analis. Semakin banyak serangan berarti semakin banyak peringatan dari SIEM dan volume ‘kejadian’ yang harus dikelola oleh para analis. Menurut analisis data kinerja SOC oleh SANS Institute, “Pekerja SOC melaporkan beberapa faktor yang berkontribusi terhadap ketidakpuasan mereka. Faktor-faktor tersebut meliputi informasi yang berlebihan, beban kerja yang melebihi kapasitas, kesulitan dalam menemukan dan mempertahankan ahli SOC, waktu istirahat yang tidak memadai, terlalu banyak alat (dan kurangnya integrasi antar alat), serta jumlah peringatan yang terlalu banyak.” CISO menghadapi tantangan signifikan dalam hal ini. Mereka harus mencegah kelelahan dan perputaran staf analis sambil mencari efisiensi dalam penggunaan alat keamanan siber. Selain itu, mereka perlu mengurangi kebisingan dan kelelahan akibat peringatan yang tinggi sambil mengelola serangan yang kompleks dan sulit diprediksi. Apakah saatnya untuk merombak strategi SOC Anda? Pertanyaan Utama untuk Meningkatkan Strategi SOC Anda Menambah jumlah staf bukanlah solusi untuk mengatasi masalah ganda yang disebabkan oleh meningkatnya serangan dan kelelahan analis keamanan. Anda memerlukan pendekatan strategis untuk mengelola tim dan teknologi SOC Anda. Memiliki alat yang tepat dengan integrasi yang mulus sangat penting, namun itu saja tidak cukup untuk menghadapi peretas masa kini. Tim yang tepat dan proses yang efisien juga merupakan aspek yang tidak kalah penting. Menangani masalah sumber daya dengan efektif adalah salah satu tantangan terbesar. Gunakan 11 pertanyaan berikut untuk mengevaluasi strategi SOC Anda secara menyeluruh: Apakah Anda memiliki personel yang tepat? Evaluasi apakah tim Anda memiliki keterampilan dan keahlian yang diperlukan. Bisakah tim Anda menangani volume ancaman saat ini? Pastikan tim Anda mampu mengelola lanskap ancaman yang ada. Apakah tim Anda mendapatkan pelatihan yang memadai? Pelatihan berkelanjutan sangat penting untuk menghadapi ancaman yang terus berkembang. Apakah proses yang Anda terapkan sudah memadai? Tetapkan protokol yang jelas untuk deteksi dan respons terhadap insiden. Apakah tim Anda tahu apa yang harus dilakukan jika terjadi pelanggaran? Pastikan setiap anggota tim memahami peran dan tanggung jawab mereka. Apa saja kesepakatan tingkat layanan (SLA) yang Anda miliki? Definisikan harapan untuk waktu respons insiden dan kinerja yang diinginkan. Apa rencana respons insiden Anda? Buatlah rencana komprehensif yang menguraikan langkah-langkah yang harus diambil selama insiden keamanan. Bisakah Anda memperbesar tim jika diperlukan? Siapkan strategi untuk memperluas tim Anda guna menghadapi tuntutan yang berkembang. Apakah Anda memiliki akses ke umpan intelijen ancaman? Umpan intelijen dari pihak ketiga dapat membantu Anda mengantisipasi ancaman baru dan yang sedang berkembang. Apakah Anda perlu melibatkan bantuan eksternal? Pertimbangkan apakah keahlian tambahan dari luar dapat memperkuat kemampuan SOC Anda. Apakah Anda perlu mengalihdayakan SOC Anda? Beberapa organisasi menemukan bahwa mengalihdayakan SOC memungkinkan mereka untuk fokus pada inisiatif strategis dan fungsi bisnis inti. Menjawab pertanyaan-pertanyaan ini sangat penting untuk menentukan pendekatan terbaik bagi organisasi Anda berdasarkan kebutuhan bisnis, anggaran, dan tujuan keamanan. Setiap organisasi perlu menilai situasi uniknya untuk memutuskan apakah akan mempertahankan SOC internal, mengalihdayakan, atau mengadopsi pendekatan hibrid. Misalnya, mengalihdayakan SOC dapat membebaskan sumber daya internal, memungkinkan tim Anda untuk fokus pada tugas-tugas strategis dan pertumbuhan bisnis secara keseluruhan. Bagaimana Kami Mengurangi Beban Kerja SOC Kami Hingga 75% Selama evolusi Forescout, perusahaan telah memanfaatkan produk-produk mereka sendiri untuk menyediakan manajemen aset dan kontrol akses jaringan yang otomatis dan berkelanjutan di seluruh lingkungan mereka, serta untuk mengorkestrasi remediasi aset dan respons insiden di antara produk keamanan multi-vendor. Dahulu, proses deteksi dan respons ancaman sebagian besar dilakukan secara manual—menghadapi banyak kendala. Sistem SIEM yang digunakan tim selama hampir dua tahun cukup baik untuk penyimpanan log, tetapi kurang dalam hal informasi yang dapat ditindaklanjuti. Produk SIEM menghasilkan terlalu banyak gangguan dan positif palsu—sehingga analis tidak bisa fokus pada peristiwa prioritas tinggi. Tim kami sebelumnya menerima antara 100 hingga 300 peringatan setiap hari. Selain itu, alat tersebut memerlukan keterampilan khusus untuk membuat kueri, peringatan, dan laporan. SIEM pihak ketiga hampir sepenuhnya tidak berguna. CISO kami harus mendedikasikan hampir dua FTE untuk merawatnya, termasuk dalam respons insiden, konfigurasi, dan pemeliharaan. Selain itu, tim SecOps harus terus-menerus mempekerjakan insinyur dari vendor untuk menangani masalah kecil. Metrik Utama yang Diperoleh dengan Forescout Threat Detection and Response: – 316 deteksi dari 10 miliar log per bulan – 17 eskalasi dari 254 kasus per bulan – 0,5 FTE untuk respons terhadap ancaman nyata dibandingkan dengan 2 FTE Strategi SOC yang efektif memerlukan pemilihan kombinasi teknologi, tim, dan proses yang tepat. Teknologi Anda harus mendukung deteksi ancaman secara real-time, respons insiden yang cepat, visibilitas menyeluruh, skalabilitas, serta otomatisasi dan integrasi yang mulus. Dengan memahami kebutuhan dasar ini dan menilai teknologi yang relevan secara hati-hati, organisasi dapat membangun SecOps yang tangguh untuk menghadapi ancaman siber modern yang semakin canggih. Ingin tahu lebih banyak mengenai forescout, silahkan hubungi forescout@ilogoindonesia.id