security operations center (SOC)

Apa itu Security Operations Center?

Security Operations Center (SOC) adalah pusat komando di mana tim profesional teknologi informasi (IT) yang ahli dalam keamanan informasi (infosec) memantau, menganalisis, dan melindungi organisasi dari serangan siber.

Di dalam SOC, lalu lintas internet, jaringan, desktop, server, perangkat endpoint, database, aplikasi, dan sistem lainnya terus dipantau serta dianalisis untuk mendeteksi tanda-tanda potensi atau kejadian insiden keamanan. Tim SOC dapat bekerja sama dengan tim dan departemen lain, tetapi umumnya bersifat mandiri dengan karyawan yang memiliki keahlian tinggi di bidang IT dan keamanan siber. Sebagian besar SOC beroperasi 24/7, dengan karyawan bekerja dalam shift menggunakan alat keamanan untuk mencatat aktivitas, menganalisis anomali, serta mengatasi dan menghilangkan ancaman siber dan malware.

SOC merupakan bagian integral dari strategi perlindungan data organisasi dan bertujuan untuk meminimalkan biaya akibat potensi pelanggaran data. SOC membantu organisasi merespons intrusi dengan cepat serta meningkatkan proses deteksi dan pencegahan.

Sebagian besar organisasi besar memiliki SOC internal di departemen IT atau organisasi lain seperti Network Operations Center (NOC). Perusahaan yang tidak memiliki staf atau sumber daya yang cukup untuk mengelola SOC sendiri dapat mengalihdayakan sebagian atau seluruh fungsi SOC ke penyedia layanan terkelola atau vendor cloud yang menawarkan SOC virtual.

SOC biasanya ditemukan di industri kesehatan, pendidikan, perbankan dan keuangan, asuransi, e-commerce, pemerintahan, operasi militer, serta teknologi canggih.

Siapa yang membutuhkan Security Operations Center?

Sebelum membangun SOC, sebuah organisasi harus menyelaraskan strategi keamanannya dengan tujuan bisnis dan program yang sedang berjalan. Tujuan utama SOC adalah melindungi postur keamanan organisasi dengan menerapkan sistem untuk mengidentifikasi ancaman keamanan potensial maupun secara real-time.

Saat menentukan kebutuhan akan SOC, pimpinan perusahaan dapat menganalisis data dari penilaian risiko berkala dan laporan lainnya yang berfokus pada kebutuhan inti, seperti:

  • Mengidentifikasi persyaratan untuk menjaga misi perusahaan jika terjadi serangan siber.
  • Mendefinisikan kebijakan dan prosedur dalam mengelola operasi keamanan siber dan pemulihan dari serangan siber.
  • Membentuk proses tanggap insiden untuk menangani kejadian siber.
  • Mendokumentasikan sumber daya infrastruktur, sistem, dan alat manajemen yang diperlukan untuk merespons serangan siber.
  • Mengidentifikasi dan melatih tim keamanan yang bertanggung jawab dalam mendeteksi dan merespons insiden siber.
  • Mendirikan fungsi keamanan siber formal dengan profesional keamanan untuk mempersiapkan dan mengelola serangan melalui SOC.

Apa yang dilakukan oleh pusat operasi keamanan?

Fokus utama SOC adalah pada deteksi, penilaian, dan pengelolaan ancaman. Pekerjaan ini mencakup pengumpulan data dan analisisnya untuk aktivitas mencurigakan. Tujuannya adalah untuk membuat seluruh organisasi lebih aman.

Data mentah yang berfokus pada keamanan yang dipantau oleh tim SOC dikumpulkan dari firewall, intelijen ancaman, sistem pencegahan dan deteksi intrusi, probe, serta sistem manajemen informasi dan peristiwa keamanan (SIEM). Peringatan dapat disetel untuk memberi tahu anggota tim jika data menunjukkan anomali atau indikator kompromi.

Berikut adalah tanggung jawab dasar dari tim SOC:

  • Penemuan dan manajemen aset melibatkan kesadaran tinggi terhadap semua alat, perangkat lunak, perangkat keras, dan teknologi yang digunakan organisasi. Fokusnya adalah memastikan semua aset berfungsi dengan baik serta diperbarui dan ditambal secara teratur. Tim SOC juga harus selalu mengikuti perkembangan teknologi keamanan siber, tanda tangan serangan, dan data relevan lainnya.
  • Pemantauan perilaku berkelanjutan mengharuskan pemeriksaan semua sistem selama 24/7. Pemantauan berkelanjutan memungkinkan SOC untuk menyeimbangkan tindakan reaktif dan proaktif, sehingga setiap ketidakwajaran dapat terdeteksi dengan cepat. Model perilaku melatih sistem pengumpulan data untuk mengenali aktivitas mencurigakan dan mengurangi kemungkinan positif palsu.
  • Catatan aktivitas mencatat semua komunikasi dan aktivitas dalam organisasi. Ini memungkinkan tim SOC untuk mengidentifikasi tindakan sebelumnya yang mungkin telah memfasilitasi pelanggaran keamanan.
  • Peringkat keparahan peringatan membantu tim memprioritaskan peringatan. Tim harus secara rutin memberi peringkat ancaman keamanan siber berdasarkan kemungkinan kejadian dan potensi kerugian untuk membantu upaya triase saat insiden terjadi.
  • Pengembangan dan evolusi pertahanan mengharuskan tim untuk tetap mengikuti ancaman dan strategi terbaru. Ini mencakup pembuatan rencana respons insiden untuk mempertahankan sistem terhadap serangan baru atau yang sedang berlangsung. Tim mungkin perlu menyesuaikan rencana mereka seiring munculnya informasi baru.
  • Pemulihan insiden mencakup konfigurasi ulang, pembaruan, atau pencadangan sistem dan data penting.
  • Pengujian dan latihan langkah-langkah keamanan siber memastikan bahwa semua sumber daya yang dialokasikan untuk keamanan siber sesuai dengan tugasnya. Ini juga memastikan bahwa anggota tim keamanan mengetahui peran dan tanggung jawab mereka dalam menghadapi pelanggaran.
  • Manajemen kepatuhan memastikan bahwa semua aktivitas keamanan siber mematuhi standar peraturan dan keamanan siber yang berlaku. Biasanya, satu anggota tim bertanggung jawab atas tugas kepatuhan.
  • Dokumentasi dan pelaporan insiden siber sangat penting untuk tinjauan selanjutnya, pelatihan, dan audit.
  • Pengumpulan bukti untuk audit TI membutuhkan repositori utama data yang terkait dengan aktivitas siber, serangan siber, dan pelaporan pasca-insiden.

Kemampuan tambahan SOC meliputi rekayasa balik, analisis forensik, telemetri jaringan, dan kriptanalisis berdasarkan kebutuhan spesifik organisasi.

Membangun Tim SOC yang Unggul

SOC terdiri dari berbagai individu dengan peran penting dalam mengelola operasi keamanan. Jabatan dan tanggung jawab yang umum ditemukan dalam SOC meliputi:

  • Manajer SOC. Orang ini mengarahkan operasi harian SOC dan tim keamanan sibernya. Mereka juga memberikan pembaruan kepada staf eksekutif organisasi.
  • Penanggap Insiden. Seorang penanggap insiden menangani serangan atau pelanggaran yang berhasil, melakukan langkah-langkah yang diperlukan untuk mengurangi dan menghilangkan ancaman.
  • Penyelidik Forensik. Individu atau kelompok ini mengidentifikasi penyebab utama suatu masalah, menemukan sumber serangan, dan mengumpulkan bukti pendukung.
  • Analis Kepatuhan. Orang ini memastikan semua proses SOC dan tindakan karyawan mematuhi persyaratan kepatuhan.
  • Analis Keamanan SOC. Orang atau tim yang meninjau dan mengorganisir peringatan keamanan berdasarkan urgensi dan tingkat keparahan, serta menjalankan penilaian kerentanan secara rutin. Analis SOC memiliki keahlian dalam bahasa pemrograman, sistem keamanan siber, sistem ransomware, kemampuan administratif, dan praktik keamanan.
  • Pemburu Ancaman. Juga dikenal sebagai analis ancaman, individu ini meninjau data yang dikumpulkan oleh SOC untuk mengidentifikasi ancaman yang sulit dideteksi. Ketahanan dan pengujian penetrasi mungkin menjadi bagian dari rutinitas pemburuan ancaman.
  • Insinyur Keamanan. Staf ini mengembangkan dan merancang sistem atau alat yang penting untuk deteksi dan pencegahan intrusi, penilaian kerentanan, dan manajemen respons terhadap kejadian.

Jenis Pusat Operasi Keamanan

Organisasi yang menerapkan SOC dapat memilih dari beberapa model berikut:

  • SOC Khusus atau Dikelola Sendiri. Model ini memiliki fasilitas di lokasi dengan staf internal.
  • SOC Terdistribusi. Dikenal juga sebagai SOC yang dikelola bersama. Memiliki anggota tim penuh atau paruh waktu yang dipekerjakan secara internal untuk bekerja bersama penyedia layanan keamanan terkelola (MSSP).
  • SOC Terkelola. Model ini menggunakan MSSP untuk menyediakan semua layanan SOC. Managed detection and response adalah jenis lain dari SOC terkelola.
  • Command SOC. Model ini memberikan wawasan intelijen ancaman dan keahlian keamanan kepada SOC lain yang biasanya berdedikasi. Command SOC tidak terlibat dalam operasi atau proses keamanan, hanya intelijen.
  • Pusat Fusi. Model ini mengawasi fasilitas atau inisiatif yang berfokus pada keamanan, termasuk jenis SOC lainnya dan departemen TI. Pusat fusi dianggap sebagai SOC tingkat lanjut dan bekerja dengan tim perusahaan lainnya seperti operasi TI, DevOps, dan pengembangan produk.
  • SOC Multifungsi. Model ini memiliki fasilitas khusus dan staf internal, tetapi tanggung jawabnya mencakup area kritis lain dari manajemen TI, seperti NOC.
  • SOC Virtual. Model ini tidak memiliki fasilitas di lokasi dan dapat dijalankan oleh perusahaan atau sepenuhnya dikelola. SOC yang dijalankan oleh perusahaan biasanya terdiri dari karyawan internal atau campuran karyawan internal, on-demand, dan berbasis cloud. SOC virtual yang sepenuhnya dikelola, juga dikenal sebagai outsourced SOC atau SOC as a Service, tidak memiliki staf internal.
  • SOCaaS. Model berbasis langganan atau perangkat lunak ini mengalihdayakan beberapa atau semua fungsi SOC ke penyedia cloud.

Praktik Terbaik Pusat Operasi Keamanan (SOC)

Ada beberapa praktik terbaik untuk menjalankan SOC. Keberhasilan dimulai dengan memilih model yang optimal untuk organisasi, menempatkan spesialis keamanan terbaik dalam tim, dan mengadopsi alat serta teknologi yang tepat.

Selanjutnya, tetapkan kebijakan dan prosedur untuk SOC, pastikan mendapatkan persetujuan manajemen senior dan mematuhi standar serta regulasi organisasi. SOC dapat menyediakan data penting yang diperlukan saat mengevaluasi asuransi keamanan siber.

Terapkan proses orkestrasi keamanan, otomatisasi, dan respons (SOAR) kapan pun memungkinkan. Menggabungkan produktivitas alat otomatisasi dengan keterampilan teknis analis membantu meningkatkan efisiensi dan waktu respons. Hal ini juga menjaga fungsi SOC tetap berjalan tanpa gangguan.

SOC sangat bergantung pada pengetahuan anggota tim keamanan siber. Manajer harus memberikan pelatihan berkelanjutan untuk tetap mengikuti ancaman yang muncul, laporan insiden keamanan siber, dan kerentanan. Alat pemantauan SOC harus diperbarui dan ditambal secara teratur untuk mencerminkan perubahan yang terjadi.

SOC hanya seefektif strategi yang diterapkan. Manajer harus menerapkan protokol operasional yang ditetapkan dalam kebijakan SOC. Protokol ini harus cukup kuat untuk memastikan respons yang konsisten, cepat, dan efektif.

Praktik terbaik SOC lainnya meliputi:

  • Pengujian berkala terhadap sistem dan aktivitas respons insiden.
  • Mendapatkan visibilitas risiko keamanan di seluruh bisnis.
  • Mengumpulkan sebanyak mungkin data relevan secara berkala.
  • Memanfaatkan analitik data.
  • Mengembangkan proses yang dapat diskalakan.

Fungsi kecerdasan buatan (AI) dan pembelajaran mesin semakin menjadi bagian dari sistem manajemen keamanan siber. Adopsi AI dalam SOC kemungkinan akan meningkatkan kemampuannya dalam mengidentifikasi calon penyerang dan menghentikan mereka sebelum dapat menyerang.

Manfaat Pusat Operasi Keamanan

Jika diterapkan dengan benar, SOC dapat memberikan berbagai manfaat bagi organisasi, seperti:

  • Pemantauan keamanan berkelanjutan dan analisis aktivitas mencurigakan.
  • Peningkatan waktu dan praktik respons insiden.
  • Pengurangan waktu antara kompromi sistem dan waktu rata-rata deteksi.
  • Sentralisasi aset perangkat lunak dan perangkat keras untuk pendekatan keamanan yang lebih holistik.
  • Komunikasi dan kolaborasi yang lebih efektif.
  • Pengurangan biaya yang terkait dengan insiden keamanan siber.
  • Peningkatan kenyamanan pelanggan dan karyawan dalam berbagi informasi sensitif.
  • Transparansi dan kontrol lebih besar atas operasi keamanan.
  • Rantai kendali yang ditetapkan untuk data yang diperlukan jika organisasi berencana untuk menuntut pelaku kejahatan siber.
  • Peningkatan reputasi organisasi.

Pusat Operasi Jaringan vs. Pusat Operasi Keamanan

NOC mirip dengan SOC dalam hal tanggung jawab dasarnya untuk mengidentifikasi, menyelidiki, mengurutkan, dan memperbaiki masalah. Manajer NOC atau pemimpin tim mengawasi semua karyawan dan proses di pusat. Sebagian besar staf adalah insinyur jaringan dan lalu lintas, beberapa di antaranya memiliki latar belakang teknis yang lebih khusus untuk menangani berbagai insiden.

Berbeda dengan SOC, tim NOC terutama menangani masalah yang berkaitan dengan kinerja jaringan, keandalan, dan ketersediaan. Ini mencakup penerapan proses pemantauan jaringan, malfungsi perangkat, dan konfigurasi jaringan. NOC juga bertanggung jawab untuk memastikan jaringan memenuhi persyaratan perjanjian tingkat layanan (SLA), seperti waktu henti minimum dan latensi jaringan.

SOC dan NOC merespons jenis insiden yang sangat berbeda. Masalah jaringan biasanya berupa peristiwa operasional, seperti malfungsi sistem switching, kemacetan lalu lintas, dan kehilangan fasilitas transmisi.

Sebaliknya, kejadian keamanan siber bisa berasal dari dalam maupun luar kendali organisasi. Para pelaku memanfaatkan jaringan yang sudah ada untuk mendapatkan akses tanpa izin ke sumber daya perusahaan. Serangan ini juga bisa melibatkan social engineering, yaitu dengan cara manipulasi atau trik untuk membuat orang membocorkan informasi rahasia. Karyawan nakal yang punya risiko keamanan tinggi, terutama jika mereka mengetahui kode akses keamanan, juga menjadi perhatian utama SOC.

NOC biasanya menangani perbaikan perangkat keras dan peralatan fisik, manajemen perangkat lunak, koordinasi dengan penyedia jaringan, penyedia layanan internet, dan perusahaan utilitas.

NOC sangat berguna bagi organisasi yang mengandalkan akses situs web dan koneksi internet yang stabil, seperti bisnis e-commerce. Karena itu, bisa jadi menguntungkan jika SOC ditempatkan berdekatan dengan NOC.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *