Diterbitkan: 15 Maret 2024
Kontributor: Mark Scapicchio, Amanda Downie, Matthew Finio
Pusat operasi keamanan (SOC) meningkatkan kemampuan deteksi ancaman, respons, dan pencegahan organisasi dengan menyatukan dan mengoordinasikan semua teknologi dan operasi keamanan siber.
SOC, yang biasanya dibaca “sock” dan kadang-kadang disebut pusat operasi keamanan informasi, atau ISOC, adalah tim profesional keamanan IT internal atau outsourcing yang didedikasikan untuk memantau seluruh infrastruktur IT organisasi 24x7. Misinya adalah mendeteksi, menganalisis, dan menanggapi insiden keamanan secara real-time. Orkestrasi fungsi keamanan siber ini memungkinkan tim SOC untuk menjaga kewaspadaan terhadap jaringan, sistem, dan aplikasi organisasi serta memastikan postur pertahanan yang proaktif terhadap ancaman siber.
SOC juga memilih, mengoperasikan, dan memelihara teknologi keamanan siber organisasi dan terus menganalisis data ancaman untuk menemukan cara untuk meningkatkan postur keamanan organisasi.
Ketika tidak on premises, SOC sering kali merupakan bagian dari layanan keamanan terkelola (MSS) outsource yang ditawarkan oleh penyedia layanan keamanan terkelola (MSSP). Manfaat utama dari mengoperasikan atau mengalihdayakan SOC adalah menyatukan dan mengoordinasikan sistem keamanan organisasi, termasuk alat keamanan, praktik, dan respons terhadap insiden keamanan. Hal ini biasanya menghasilkan tindakan pencegahan dan kebijakan keamanan yang lebih baik, deteksi ancaman yang lebih cepat, serta respons yang lebih cepat, lebih efektif, dan lebih hemat biaya terhadap ancaman keamanan. SOC juga dapat meningkatkan kepercayaan pelanggan, serta menyederhanakan dan memperkuat kepatuhan organisasi terhadap peraturan privasi industri, nasional, dan global.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force® Threat Intelligence Index
Tindakan dan tanggung jawab SOC terbagi dalam tiga kategori umum.
Inventaris aset: SOC perlu mempertahankan inventaris lengkap dari semua yang perlu dilindungi, di dalam atau di luar pusat data (misalnya aplikasi, database, server, layanan cloud, titik akhir, dll.) dan semua alat yang digunakan untuk melindunginya (firewall, alat antivirus/anti-malware/anti-ransomware , perangkat lunak pemantauan, dll.). Banyak SOC akan menggunakan solusi penemuan aset untuk tugas ini.
Pemeliharaan dan persiapan rutin: Untuk memaksimalkan efektivitas alat dan tindakan keamanan yang ada, SOC melakukan pemeliharaan preventif seperti menerapkan patch dan peningkatan perangkat lunak, dan terus memperbarui firewall, daftar yang diizinkan dan daftar blokir, serta kebijakan dan prosedur keamanan. SOC juga dapat membuat cadangan sistem, atau membantu membuat kebijakan atau prosedur cadangan, untuk memastikan kelangsungan bisnis jika terjadi pelanggaran data, serangan ransomware, atau insiden keamanan siber lainnya.
Perencanaan tanggap insiden: SOC bertanggung jawab untuk mengembangkan rencana tanggap insiden organisasi, yang mendefinisikan tindakan, peran dan tanggung jawab jika terjadi ancaman atau insiden, dan metrik yang digunakan untuk mengukur keberhasilan tanggap insiden.
Pengujian rutin: Tim SOC melakukan penilaian kerentanan, penilaian komprehensif yang mengidentifikasi kerentanan setiap sumber daya terhadap potensi atau ancaman yang muncul dan biaya terkait. Mereka juga melakukan uji penetrasi yang mensimulasikan serangan spesifik pada satu sistem atau lebih. Tim memulihkan atau melakukan fine tuning aplikasi, kebijakan keamanan, praktik terbaik, dan rencana respons insiden berdasarkan hasil pengujian ini.
Tetap up to date: SOC selalu mendapatkan informasi terbaru tentang solusi dan teknologi keamanan terbaru, serta intelijen ancaman terbaru, seperti berita dan informasi tentang serangan siber dan peretas yang melakukannya, yang dikumpulkan dari media sosial, sumber-sumber industri, dan dark web.
Pemantauan keamanan yang terus menerus sepanjang waktu: SOC memantau seluruh infrastruktur IT yang diperluas, aplikasi, server, perangkat lunak sistem, perangkat komputasi, beban kerja cloud, jaringan, 24/7/365 untuk tanda-tanda eksploitasi yang diketahui dan untuk aktivitas yang mencurigakan.
Bagi banyak SOC, teknologi pemantauan, deteksi, dan respons inti adalah informasi keamanan dan manajemen peristiwa, atau SIEM. SIEM memantau dan mengumpulkan peringatan dan telemetri dari perangkat lunak dan perangkat keras di jaringan secara real time, dan kemudian menganalisis data untuk mengidentifikasi potensi ancaman. Baru-baru ini, beberapa SOC juga telah mengadopsi teknologi deteksi dan respons yang diperluas (XDR), yang menyediakan telemetri dan pemantauan yang lebih terperinci, dan memungkinkan otomatisasi deteksi dan respons insiden.
Manajemen log: Manajemen log, pengumpulan dan analisis data log yang dihasilkan oleh setiap peristiwa jaringan, adalah bagian penting dari pemantauan. Meskipun sebagian besar departemen IT mengumpulkan data log, analisislah yang menentukan aktivitas normal atau dasar dan mengungkapkan anomali yang mengindikasikan aktivitas mencurigakan. Faktanya, banyak peretas mengandalkan fakta bahwa perusahaan tidak selalu menganalisis data log, yang memungkinkan virus dan malware mereka berjalan tanpa terdeteksi selama berminggu-minggu atau bahkan berbulan-bulan pada sistem korban. Sebagian besar solusi SIEM mencakup kemampuan manajemen log.
Deteksi ancaman: Tim SOC memilah sinyal dari kebisingan, indikasi ancaman siber yang sebenarnya dan penggunaan peretas dari positif palsu, dan kemudian mengelompokkan ancaman berdasarkan tingkat keparahannya. Solusi SIEM modern mencakup kecerdasan buatan (AI) yang mengotomatiskan proses-proses ini dan ‘belajar’ dari data untuk menjadi lebih baik dalam mendeteksi aktivitas yang mencurigakan dari waktu ke waktu.
Respons insiden: Menanggapi ancaman atau insiden aktual, SOC bergerak untuk membatasi kerusakan. Tindakan dapat mencakup:
- Investigasi akar masalah, untuk menentukan kerentanan teknis yang memberi peretas akses ke sistem, serta faktor-faktor lain (seperti kebersihan kata sandi yang buruk atau penegakan kebijakan yang buruk) yang berkontribusi pada insiden tersebut.
- Mematikan titik akhir yang terkompromi atau memutuskan sambungannya dari jaringan.
- Mengisolasi area jaringan yang disusupi atau mengubah rute lalu lintas jaringan.
- Menjeda atau menghentikan aplikasi atau proses yang dikompromikan.
- Menghapus file yang rusak atau terinfeksi.
- Menjalankan perangkat lunak antivirus atau anti-malware.
- Penonaktifan kata sandi untuk pengguna internal dan eksternal.
Banyak solusi XDR memungkinkan SOC untuk mengotomatiskan dan mempercepat ini dan respons insiden lainnya.
Pemulihan dan remediasi: Setelah insiden teratasi, SOC memberantas ancaman, kemudian bekerja untuk memulihkan aset yang terkena dampak ke keadaan mereka sebelum insiden (misalnya menghapus, memulihkan, dan menghubungkan kembali disk, perangkat pengguna, dan titik akhir lainnya; memulihkan lalu lintas jaringan; memulai ulang aplikasi dan proses). Jika terjadi pelanggaran data atau serangan ransomware, pemulihan mungkin juga melibatkan pemotongan ke sistem cadangan, dan mengatur ulang kata sandi dan kredensial otentikasi.
Post-mortem dan perbaikan: Untuk mencegah terulangnya kejadian, SOC menggunakan intelijen baru yang diperoleh dari insiden untuk mengatasi kerentanan dengan lebih baik, memperbarui proses dan kebijakan, memilih alat keamanan siber baru, atau merevisi rencana tanggap insiden. Pada tingkat yang lebih tinggi, tim SOC juga dapat mencoba menentukan apakah insiden tersebut mengungkapkan tren keamanan siber yang baru atau berubah yang perlu dipersiapkan oleh tim.
Manajemen kepatuhan: Tugas SOC adalah memastikan semua aplikasi, sistem, serta alat dan proses keamanan mematuhi peraturan privasi data seperti GDPR (Peraturan Perlindungan Data Global), CCPA (Undang-Undang Privasi Konsumen California), PCI DSS (Standar Keamanan Data Industri Kartu Pembayaran, dan HIPAA (Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan). Setelah insiden, SOC memastikan bahwa pengguna, regulator, penegak hukum, dan pihak lain diberi tahu sesuai dengan peraturan dan bahwa data insiden yang diperlukan disimpan untuk bukti dan audit.
SOC memberikan banyak manfaat bagi organisasi, termasuk:
Perlindungan aset: Pemantauan proaktif dan kemampuan respons cepat dari SOC membantu mencegah akses yang tidak sah dan meminimalkan risiko pelanggaran data. Ini akan melindungi sistem kritis, data sensitif dan kekayaan intelektual dari pelanggaran keamanan dan pencurian.
Keberlangsungan bisnis: Dengan mengurangi insiden keamanan dan meminimalkan dampaknya, SOC memastikan operasi bisnis tidak terganggu. Hal ini membantu menjaga produktivitas, aliran pendapatan, dan kepuasan pelanggan.
Kepatuhan peraturan: SOC membantu organisasi memenuhi persyaratan peraturan dan standar industri untuk keamanan siber dengan menerapkan langkah-langkah keamanan yang efektif dan menyimpan catatan rinci tentang insiden dan respons.
Penghematan: Berinvestasi dalam langkah-langkah keamanan proaktif melalui SOC dapat menghasilkan penghematan yang signifikan dengan mencegah pelanggaran data dan serangan siber yang mahal. Investasi di muka seringkali jauh lebih kecil daripada kerusakan finansial dan risiko terhadap reputasi yang disebabkan oleh insiden keamanan, dan, jika di-outsource, menggantikan kebutuhan akan staf profesional keamanan internal.
Kepercayaan pelanggan: Menunjukkan komitmen terhadap keamanan siber melalui pengoperasian SOC akan meningkatkan kepercayaan dan keyakinan di antara para pelanggan dan pemangku kepentingan.
Respons insiden yang ditingkatkan: Kemampuan respons cepat SOC mengurangi waktu henti dan kerugian finansial dengan mengatasi ancaman dan memulihkan operasi normal dengan cepat untuk meminimalkan gangguan.
Manajemen risiko yang lebih baik: Dengan menganalisis peristiwa dan tren keamanan, tim SOC dapat mengidentifikasi potensi kerentanan organisasi. Mereka kemudian dapat mengambil langkah-langkah proaktif untuk memitigasinya sebelum dieksploitasi.
Deteksi ancaman secara proaktif: Dengan terus memantau jaringan dan sistem, SOC bisa lebih cepat mengidentifikasi dan memitigasi ancaman keamanan. Ini meminimalkan potensi kerusakan dan pelanggaran data dan membantu organisasi tetap berada di depan lingkungan ancaman yang berkembang.
Secara umum, peran utama dalam tim SOC meliputi:
Manajer SOC: Manajer SOC menjalankan tim, mengawasi semua operasi keamanan, dan melapor kepada CISO (Chief Information Security Officer) organisasi.
Insinyur keamanan: Individu-individu ini membangun dan mengelola arsitektur keamanan organisasi. Sebagian besar pekerjaan ini melibatkan evaluasi, pengujian, rekomendasi, penerapan, dan pemeliharaan alat dan teknologi keamanan. Insinyur keamanan juga bekerja dengan tim pengembangan atau DevOps/DevSecOps untuk memastikan arsitektur keamanan organisasi disertakan dalam siklus pengembangan aplikasi.
Analis keamanan: Juga disebut penyelidik keamanan atau penanggap insiden, analis keamanan pada dasarnya adalah penanggap pertama terhadap ancaman atau insiden keamanan siber. Analis mendeteksi, menyelidiki, dan memprioritaskan ancaman; kemudian mengidentifikasi host, titik akhir, dan pengguna yang terkena dampak. Mereka kemudian mengambil tindakan yang tepat untuk mengurangi dan menahan dampak atau ancaman atau insiden. (Di beberapa organisasi, penyelidik dan penanggap insiden merupakan peran terpisah yang diklasifikasikan sebagai analis Tingkat 1 dan Tingkat 2).
Pemburu ancaman: Juga disebut analis keamanan pakar atau analis SOC, pemburu ancaman mengkhususkan diri dalam mendeteksi dan menangani ancaman tingkat lanjut,berburu ancaman untuk ancaman baru atau varian ancaman yang berhasil lolos dari pertahanan otomatis.
Tim SOC dapat mencakup spesialis lain, tergantung pada ukuran organisasi atau jenis industri. Perusahaan yang lebih besar dapat menyertakan Direktur Respons Insiden, yang bertanggung jawab untuk mengomunikasikan dan mengoordinasikan respons insiden. Dan beberapa SOC mencakup penyelidik forensik, yang berspesialisasi dalam mengambil data (petunjuk) dari perangkat yang rusak atau disusupi dalam insiden keamanan siber.
Apa itu DevOps?
Apa itu DevSecOps?
Belajar dari tantangan dan keberhasilan yang dialami tim keamanan di seluruh dunia.
Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
Lindungi dari ancaman siber dengan pencegahan 24/7 serta deteksi dan respons yang lebih cepat dan didukung AI.
IBM Security X-Force Cyber Ranges menguji tim Anda dan menunjukkan cara mempersiapkan hari terburuk organisasi Anda.
Pelajari tentang tim keamanan IT internal yang bertahan melawan serangan siber dan memperkuat postur keamanan Anda.
Baca hasil dari survei yang dilakukan terhadap lebih dari 1000 anggota tim SOC di seluruh dunia mengenai kecepatan, waktu respons, deteksi, dan otomatisasi.