YosiaCyber-crime atau
kejahatan siber bukanlah permasalahan baru di dunia teknologi, terutama di era
yang serba digital ini. Seiring dengan meningkanya kemajuan teknologi angka
serangan siber pun ikut meningkat.
Pada Agustus 2020 terdapat kurang lebih 63 juta serangan siber di Indonesia, di mana angka tersebut jauh lebih tinggi dari bulan Agustus 2019
yang hanya terjadi 5 juta serangan siber. Tidak berhenti di situ, angka
tersebut diperkirakan akan terus meningkat di 2021 dan seterusnya.
Untuk mengatasinya perusahaan IT di seluruh dunia menawarkan
berbagai solusi keamanan, mulai dari cyber
security tools, sampai operasional service.
Saat ini, solusi keamanan cyber yang dianggap paling efektif adalah SOC atau Security Operations Center. Jika Anda
belum mengetahui apa itu SOC, silahkan baca artikel kami sebelumnya.
Berniat untuk memiliki SOC? Mari simak bagaimana cara
mengimplementasikan SOC secara khusus untuk perusahaan Anda.
Buatlah Goal dan Strategi
Sebelum mulai membentuk tim SOC, tentukan dulu goal dan strategi apa yang efektif untuk
diterapkan pada perusahaan Anda. Bagaimanapun juga, setiap perusahaan mempunyai
tujuan dan target yang berbeda-beda, begitu juga alasan mengapa harus mempunyai
SOC.
Setelah mempunyai tujuan dan strategi yang jelas, sekarang
saatnya untuk memenuhi beberapa komponen seperti, tenaga ahli, proses, dan
teknologi.
Tenaga Ahli
– Tim SOC
Tim SOC terbentuk dari beberapa ekpertis yang bekerjasama dalam
satu tim. Umumnya tim SOC terdiri dari Security
Analyst (Tier 1, Tier 2, and Tier 3), Security Engineers (Tier 4),
SOC Managers (Tier 5). Setiap
posisi mempunyai tanggung jawab yang berbeda-beda.
Security Analysts (Tier 1)
Security analyst Tier
1 bertanggung jawab pada stage
pertama penganalisaan kejadian atau event.
Untuk mendeteksi event biasanya Tier 1 menggunakan security tools yang mana report dari alat tersebut akan
diverifikasi, analisa, dan diklasifikasikan menurut level ancamannya. Kemudian,
Tier 1 akan meneruskannya kepada Tier 2.
Security Analysts (Tier 2)
Tier 2 bertugas
menerima laporan atau ticket dari Tier 1 lalu menganalisa scope ancaman, sistem apa yang akan
terkena dampak, dan merencanakan strategi pemulihan (recovery plans). Jika Anda berencana untuk membuat tim SOC dengan
sekala lebih kecil, peran ini dapat dialihkan kepada Tier 1.
Expert Security Analysts (Tier 3)
Tim ini bertanggung jawab untuk melakukan review terhadap
laporan yang diberikan Tier 1 dan Tier 2. Mereka akan menggunakan tools
seperti data visualization dan threat intelligence tools untuk
menganalisa situasi yang sebenarnya. Tim ini biasa disebut sebagai Threat Hunters atau CTI (Cyber Threat Intelligence).
SOC Engineers (Tier 4)
Tier 4 atau SOC Engineers bertanggung jawab untuk
membangun, menjaga, dan merekomendasikan teknologi baru untuk tim SOC secara
keseluruhan. Mereka akan memastikan bahwa tools
yang digunakan setiap tim merupakan teknologi paling update dan efisien.
SOC Manager (Tier 5)
SOC Manager adalah
orang yang akan memberi keputusan mengenai action apa yang akan diambil setelah
mendapatkan report dari Tier 1 hingga
Tier 4. Selain itu SOC Manager juga harus aktif mengarahkan tim
SOC-nya dalam menerapkan strategi yang tepat. Untuk itu, SOC manager haruslah orang yang mempunyai
rasa kepemimpinan yang kuat.
Bagaimana
Proses Bekerja Tim SOC?
Setelah mengetahui komponen tenaga ahli tim SOC, Anda perlu
juga mengetahui garis besar proses kerja tim SOC sebelum benar-benar
memilikinya untuk perusahaan Anda. Agar mudah dipahami, proses bekerja tim SOC
akan dibagi menjadi 4 stage di bawah
ini.
Menganalisa Ancaman
Stage pertama
adalah di mana analis dari Tier 1
atau Tier 2 melakukan klasifikasi
aktivitas yang ada di jaringan atau network perusahaan. Stage ini sangatlah penting, dengan dilakukannya pengklasifikasian
maka akan terlihat jika ada aktivitas pada network yang dapat membahayakan
keamanan perusahaan. Baiasanya pengklasifikasian akan dibagi menjadi low, medium, high, atau bahkan critical.
Mengklasifikasikan
Ancaman
Setelah mengklasifikasikan aktivitas, maka tugas analis
adalah menginvestigasi aktivitas yang telah di klasifikasikan. Setelah itu Tier 1 akan mengirim ticket kepada Tier 2 untuk selanjutnya menganalisa lebih dalam apakah ancaman
tersebut telah mempengaruhi sistem.
Merespon Ancaman
Berdasarkan laporan yang diberikan oleh Tier 1 dan 2, Tier 3 akan
memikirkan cara menghadapi ancaman tersebut. Tier 3 akan menyarankan tindakan pencegahan agar ancaman siber
tersebut tidak mempengaruhi atau merusak sistem.
Audit
Pada stage ini,
semua tindakan yang telah dilakukan untuk mencari ancaman secara proaktif dan
mencegah adanya kerusakan atau kerugian yang terjadi akan di-evaluasi. Biasanya
Audit ini dilakukan oleh Tier 4 atau Tier
5.
Â
Teknologi
Setiap tim SOC harus dilengkapi oleh tools-tools canggih yang akan membantu mereka melakukan analisa, monitoring, dan menghadapi ancaman
siber. Meskipun setiap SOC akan membutuhkan teknologi yang berbeda-beda
tergantung dengan goal perusahaan,
namun ada beberapa teknologi mendasar yang harus dimiliki oleh tim SOC.
SIEM
SIEM atau Security Information
and Event Management merupakan sebuah sistem informasi. SIEM bertugas
mengumpulkan informasi (log) keaman
secara real-time termasuk informasi traffic
pada keamanan network. Tools ini sangat membantu dalam aktivitas monitoring traffic yang dilakukan oleh
tim SOC.
Ticketing
Sistem ticketing
merupakan hal yang sangat penting dalam proses kerja SOC. Ticketing adalah cara para analis berkomunikasi seperti memberikan report atau alert kepada setiap divisi. Semua detail dapat disertakan pada ticket tersebut, sehingga Tier yang menerima ticket dapat langsung melakukan tindakan yang tepat.
IMS
Masih berhubungan dengan ticketing,
IMS atau Incident Management System
adalah tools yang menyediakan standard
framewrork yang digunakan untuk merespon sebuah event atau kejadian. Sedikit mirip dengan sistem ticketing namun
IMS menyediakan visualisasi data yang lebih lengkap dan jelas. Bahkan, IMS juga
dapat menampilkan list kejadian yang sama sebelumnya dan memberikan saran
langkah pencehagan yang harus dilakukan. Untuk itu, biasanya Tier 3 dan Tier 4 lebih memilih tools
ini agar dapat melakukan performa perlindungan yang efisien.
Threat Intelligence
Threat Intelligent
adalah tools yang menyediakan list
berisikan informasi serangan yang pernah terjadi dari berbagai sources. Threat Intelligence atau TI
dapat sangat membantu tim SOC untuk mempelajari serangan yang pernah, sedang
atau akan terjadi. Dengan begitu tim SOC akan lebih source full dan siap untuk menghindari atau menghadapi serangan
yang sama.
Itu lah beberapa point yang harus Anda perhatikan dan pahami
sebelum memutuskan untuk memiliki tim SOC. Untuk penjelasan lebih detail dan
terkhusus untuk kebutuhan perusahaan Anda, jangan ragu mengkomunkasikannya
dengan kami. Tim expert Wowrack Indonesia akan
dengan senang hati memberikan konsultasi untuk perusahaan Anda secara gratis.
