SOAR, untuk orkestrasi, otomatisasi, dan respons keamanan, adalah solusi perangkat lunak yang memungkinkan tim keamanan mengintegrasikan dan mengoordinasikan alat keamanan terpisah, mengotomatiskan tugas berulang, dan menyederhanakan alur kerja respons insiden dan ancaman.
Dalam organisasi besar, pusat operasi keamanan (SOC) mengandalkan banyak alat untuk melacak dan menanggapi ancaman siber, seringkali secara manual. Investigasi ancaman manual ini menghasilkan waktu respons ancaman keseluruhan yang lebih lambat.
Platform SOAR memberikan konsol pusat kepada SOC tempat mereka dapat mengintegrasikan alat ini ke dalam alur kerja respons ancaman yang dioptimalkan dan mengotomatiskan tugas-tugas tingkat rendah dan berulang dalam alur kerja tersebut. Konsol ini juga memungkinkan SOC untuk mengelola semua peringatan keamanan yang dihasilkan oleh alat ini di satu tempat pusat.
Dengan merampingkan triase peringatan dan memastikan bahwa alat keamanan yang berbeda bekerja bersama, SOAR membantu SOC mengurangi waktu rata-rata untuk mendeteksi (MTTD) dan waktu rata-rata untuk merespons (MTTR), sehingga meningkatkan postur keamanan secara keseluruhan. Mendeteksi dan menanggapi ancaman keamanan dengan lebih cepat dapat mengurangi dampak serangan siber. Menurut laporan Biaya Pelanggaran Data terbaru IBM, siklus hidup pelanggaran data yang lebih pendek dikaitkan dengan biaya pelanggaran yang lebih rendah. Pelanggaran yang diselesaikan dalam waktu kurang dari 200 hari merugikan perusahaan rata-rata sebesar USD 1,02 juta lebih sedikit, yang mencerminkan selisih sebesar 23%.
Teknologi SOAR muncul sebagai konsolidasi dari tiga alat keamanan sebelumnya. Menurut Gartner, yang pertama kali menciptakan istilah "SOAR" pada tahun 2015, platform SOAR menggabungkan fungsi platform respons insiden keamanan, platform orkestrasi dan otomatisasi keamanan, serta platform intelijen ancaman dalam satu penawaran.
Memahami cara kerja solusi SOAR modern akan lebih mudah dengan memecahnya ke fitur-fitur intinya: orkestrasi keamanan, otomatisasi keamanan, dan respons insiden.
"Orkestrasi keamanan" mengacu pada bagaimana platform SOAR menghubungkan dan mengoordinasikan perangkat keras dan perangkat lunak dalam sistem keamanan perusahaan.
SOC menggunakan berbagai solusi untuk memantau dan merespons ancaman, seperti firewall, info intelijen ancaman, dan alat perlindungan titik akhir. Bahkan proses keamanan sederhana pun dapat melibatkan banyak alat. Misalnya, seorang analis keamanan yang menyelidiki email phishing mungkin memerlukan gateway email yang aman, platform intelijen ancaman, dan perangkat lunak antivirus untuk mengidentifikasi, memahami, dan menyelesaikan ancaman. Alat-alat ini sering kali berasal dari vendor yang berbeda dan mungkin tidak mudah diintegrasikan, sehingga analis harus berpindah secara manual di antara alat-alat tersebut saat bekerja.
Dengan SOAR, SOC dapat menyatukan alat-alat ini dalam alur kerja operasi keamanan yang koheren dan berulang (SecOps). SOAR menggunakan antarmuka pemrograman aplikasi (API), plugin bawaan, dan integrasi khusus untuk menghubungkan alat keamanan (dan beberapa alat non-keamanan). Setelah alat-alat ini terintegrasi, SOC dapat mengoordinasikan tindakan mereka dengan buku pedoman.
Buku pedoman adalah peta proses yang dapat digunakan analis keamanan untuk menguraikan langkah-langkah proses keamanan standar seperti deteksi ancaman, investigasi, dan respons. Buku pedoman dapat mencakup beberapa alat dan aplikasi. Mereka dapat sepenuhnya otomatis, sepenuhnya manual, atau kombinasi tugas otomatis dan manual.
Solusi keamanan SOAR dapat mengotomatiskan tugas-tugas tingkat rendah, memakan waktu, dan berulang seperti membuka dan menutup tiket dukungan, pengayaan acara, dan penentuan prioritas peringatan. SOAR juga dapat memicu tindakan otomatis alat keamanan terintegrasi. Itu berarti analis keamanan dapat menggunakan alur kerja buku pedoman untuk merangkai beberapa alat dan melakukan otomatisasi operasi keamanan yang lebih kompleks.
Misalnya, pertimbangkan bagaimana platform SOAR dapat mengotomatiskan penyelidikan laptop yang disusupi. Indikasi pertama bahwa ada sesuatu yang salah berasal dari solusi deteksi dan respons titik akhir (EDR), yang mendeteksi aktivitas mencurigakan pada laptop. EDR mengirimkan peringatan ke SOAR, yang memicu SOAR untuk mengeksekusi buku pedoman yang telah ditentukan. Pertama, SOAR membuka tiket untuk insiden tersebut. Ini memperkaya peringatan dengan data dari umpan intelijen ancaman terintegrasi dan alat keamanan lainnya. Kemudian, SOAR menjalankan respons otomatis, seperti memicu alat deteksi dan respons jaringan (NDR) untuk mengkarantina titik akhir atau mendorong perangkat lunak antivirus untuk menemukan dan meledakkan malware. Akhirnya, SOAR memberikan tiket kepada analis keamanan, yang menentukan apakah insiden tersebut telah diselesaikan atau intervensi manusia diperlukan.
Beberapa SOAR mencakup kecerdasan buatan (AI) dan machine learning yang menganalisis data dari alat keamanan dan merekomendasikan cara-cara untuk menangani ancaman di masa depan.
Kemampuan orkestrasi dan otomatisasi SOAR memungkinkannya berfungsi sebagai konsol pusat untuk respons insiden keamanan (IR). Laporan Biaya Pelanggaran Data dari IBM menemukan bahwa organisasi yang memiliki tim IR dan pengujian rencana IR mengidentifikasi pelanggaran 54 hari lebih cepat dibandingkan organisasi yang tidak memiliki keduanya.
Analis keamanan dapat menggunakan SOAR untuk menyelidiki dan menyelesaikan insiden tanpa berpindah di antara beberapa alat. Seperti platform intelijen ancaman, SOAR mengumpulkan metrik dan peringatan dari umpan eksternal dan alat keamanan terintegrasi di dasbor pusat. Analis dapat menghubungkan data dari berbagai sumber, menyaring positif palsu, memprioritaskan peringatan, dan mengidentifikasi ancaman spesifik yang mereka hadapi. Kemudian, analis dapat merespons dengan memicu pedoman yang sesuai.
SOC juga dapat menggunakan alat SOAR untuk audit pasca-insiden dan proses keamanan yang lebih proaktif. Dasbor SOAR dapat membantu tim keamanan memahami bagaimana ancaman tertentu menerobos jaringan dan cara mencegah ancaman serupa di masa mendatang. Demikian pula, tim keamanan dapat menggunakan data SOAR untuk mengidentifikasi ancaman yang sedang terjadi tanpa disadari dan memfokuskan upaya perburuan ancaman mereka di tempat yang tepat.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Dengan mengintegrasikan alat keamanan dan mengotomatiskan tugas, platform SOAR dapat merampingkan alur kerja keamanan umum seperti manajemen kasus, manajemen kerentanan, dan respons insiden. Manfaat perampingan ini meliputi:
SOC mungkin harus berurusan dengan ratusan atau ribuan peringatan keamanan setiap hari. Hal ini dapat menyebabkan kelelahan peringatan, dan analis mungkin melewatkan tanda-tanda penting dari aktivitas ancaman. SOAR dapat membuat peringatan lebih mudah dikelola dengan memusatkan data keamanan, memperkaya peristiwa, dan mengotomatiskan respons. Akibatnya, SOC dapat memproses lebih banyak peringatan sambil mengurangi waktu respons.
SOC dapat menggunakan buku pedoman SOAR untuk menentukan alur kerja respons insiden standar yang dapat diskalakan untuk ancaman umum. Daripada menangani ancaman berdasarkan kasus per kasus, analis keamanan dapat memicu buku pedoman yang tepat untuk remediasi yang efektif.
SOC dapat menggunakan dasbor SOAR untuk mendapatkan insight tentang jaringan mereka dan ancaman yang mereka hadapi. Informasi ini dapat membantu SOC mengenali positif palsu, memprioritaskan peringatan dengan lebih baik, dan memilih proses respons yang benar.
SOAR memusatkan data keamanan dan proses respons insiden sehingga analis dapat bekerja sama dalam penyelidikan. SOAR juga dapat memungkinkan SOC untuk berbagi metrik keamanan dengan pihak luar, seperti SDM, hukum, dan penegakan hukum.
Alat SOAR, SIEM, dan XDR berbagi beberapa fungsi inti, tetapi masing-masing memiliki fitur unik dan contoh penggunaan.
Manajemen informasi dan peristiwa keamanan (SIEM) mengumpulkan informasi dari alat keamanan internal, menggabungkannya dalam log pusat, dan menandai anomali. SIEM terutama digunakan untuk merekam dan mengelola data peristiwa keamanan dalam jumlah besar.
Teknologi SIEM pertama kali muncul sebagai alat pelaporan kepatuhan. SOC mengadopsi SIEM ketika mereka menyadari data SIEM dapat menginformasikan operasi keamanan siber. Solusi SOAR muncul untuk menambahkan fitur-fitur yang berfokus pada keamanan yang tidak dimiliki oleh sebagian besar SIEM standar, seperti orkestrasi, otomatisasi, dan fungsi konsol.
Solusi deteksi dan respons yang diperluas (XDR) mengumpulkan dan menganalisis data keamanan dari titik akhir, jaringan, dan cloud. Seperti SOAR, mereka dapat secara otomatis menanggapi insiden keamanan. Namun, XDR mampu melakukan otomatisasi respons insiden yang lebih kompleks dan komprehensif daripada SOAR. XDR juga dapat menyederhanakan integrasi keamanan, seringkali membutuhkan lebih sedikit keahlian atau biaya daripada integrasi SOAR. Beberapa XDR adalah solusi vendor tunggal pra-integrasi, sementara yang lain dapat menghubungkan alat keamanan dari beberapa vendor. XDR sering digunakan untuk deteksi ancaman real-time, triase insiden, dan perburuan ancaman otomatis.
Tim SecOps di perusahaan besar sering menggunakan semua alat ini bersama-sama. Namun, penyedia layanan mengaburkan batas di antara keduanya, dengan meluncurkan solusi SIEM yang dapat merespons ancaman dan XDR dengan pencatatan data seperti SIEM. Beberapa ahli keamanan percaya bahwa XDR suatu hari nanti dapat menyerap alat lain, mirip dengan bagaimana SOAR pernah mengkonsolidasikan pendahulunya.