Di sebuah bisnis pasti ada sistem yang bekerja 24 jam non stop, hal ini memang ada, dan memang sangat normal. Apalagi jika terkait dengan cyber security untuk keamanan sistem, untuk itu dibutuhkan sistem yang disebut SIEM.
Sistem ini tidak hanya mencatat log aktivitas, fungsi dari SIEM adalah untuk mengetahui penyusup yang ada di sistem bisnis Anda. Tak cuma itu saja, sistem ini bisa mendeteksi jika ada yang tidak beres pada bisnis Anda.
Apa itu SIEM
Manajemen informasi dan kejadian keamanan atau SIEM adalah sistem yang dibuat oleh tim siber security untuk mengelola informasi dan peristiwa yang terjadi pada sistem yang nantinya akan dibuat analisa statistik yang dapat diakses oleh tim cyber security.
Fungsi
Fungsi SIEM adalah mengubah data log peristiwa menjadi informasi yang dapat dikelola oleh tim keamanan siber. Dari Informasi log yang sudah terkumpul tim keamanan siber Anda bisa melakukan tindakan sebagai berikut
- Mendeteksi jika ada ancaman
- Menindaklanjuti jika ada insiden serangan
- Menginvestigasi serangan dengan sistem forensik
- Memenuhi kepatuhan regulasi
Sejarah
Sejarah manajemen informasi dan kejadian keamanan dimulai dari tahun 1980 hingga sampai saat ini, berikut ini adalah bagaimana sistem ini bisa ditemukan.
Awal Mula Log & Audit (1980-an hingga 1990-an)
Pada tahun 1980-an hingga 1990-an tim keamanan siber di beberapa perusahaan di dunia mulai menggunakan log aktivitas sebagai bagian dari aturan kepatuhan.
Dampak dari jaringan internet yang lebih cepat dan sistem operasi yang lebih canggih maka jumlah log aktivitas juga meningkat, sehingga tim keamanan siber berpikir bagaimana jika mengelola semua log yang ada di semua sistem.
SIEM Generasi Pertama (2000-an)
Pada tahun 2005, SIEM pertama kali dijelaskan oleh Mark Nicolett dan Amrit Williams melalui press release di Gartner dengan judul “Improve IT Security with Vulnerability Management”.
Dalam artikel tersebut mereka menggabungkan dua teknologi yang sudah umum dilakukan perusahaan, yaitu Security Information Management atau disebut dengan SIM dan Security Event Management yang disebut SEM.
Lalu Mark Nicolett dan Amrit Williams menggabungkan kedua sistem menjadi SIEM yang fungsinya lebih baik yaitu bisa mengelola keamanan siber yang lebih luas cakupannya.
Pada generasi pertama SIEM yang disebut SIEM 1.0 memiliki proses sebagai berikut
- pengumpulan log
- korelasi dasar
- dashboard dan pelaporan kepatuhan
Namun masih ada kekurangan ketika ada log dalam skala besar maka peringatan kadang terlewat dan ketika ada ancaman siber kompleks SIEM generasi pertama belum bisa menangani dengan baik.
Generasi Kedua (2010-an)
Tahun 2010 mulai lah terjadi ledakan data, oleh sebab itu munculah kebutuhan terkait sistem keamanan siber yang lebih canggih, maka hadirlah SIEM generasi kedua yang lebih canggih, sistem yang sebelumnya tidak bisa mengatasi log aktivitas besar maka dibutuhkan update dari sistem ini.
Pada generasi kedua memiliki kemampuan untuk mengurangi false alert yang sering membebani tim keamanan. Dengan generasi kedua, proses korelasi data jadi lebih cepat, sehingga tim keamanan sibeb bisa fokus pada insiden yang benar-benar berisiko.
Pada generasi kedua sudah menerapkan behavioral analytics serta machine learning. Data tidak hanya dianalisis sebagai event tunggal, tetapi sebagai rangkaian aktivitas berbentuk pola.
Next-Gen SIEM (2020-sekarang)
Di akhir 2020 dibuatlah manajemen informasi dan kejadian keamanan yang bisa menganalisa dengan sistem machine learning (ML), dan data mining dari user atau disebut UEBA.
Fokusnya generasi terakhir tidak hanya proses yang sedang terjadi, tetapi bisa mengetahui kejadian serangan di masa depan.
Sistem generasi terakhir bisa diintegrasikan layanan Security Operations Center (SOC) karena sudah bisa merespon secara otomatis jika ada serangan.
Next generation SIEM lebih siap menghadapi ancaman siber yang sulit dideteksi jika. Kalau disimpulkan berikut adalah fitur-fitur next generation SIEM
Fitur Next Generation SIEM
Security Orchestration and Automation Response (SOAR)
Salah satu kemampuan revolusioner yang dimiliki oleh Next-Gen SIEM adalah integrasi dengan SOAR (Security Orchestration, Automation, and Response).
Teknologi ini lebih canggih karena memiliki respons otomatis jika ada insiden peretasan. SOAR dapat mengetahui jika ada ancaman dan langsung melakukan tindakan mitigasi.
Hal ini sangat membantu tim keamanan untuk mengatasi ancaman yang lebih kompleks.
User and Entity Behavior Analytics (UEBA)
Teknologi UEBA sudah menggunakan kecerdasan buatan (AI) untuk mencari tahu jika ada aktivitas mencurigakan di jaringan.
Dengan analisa yang lebih mendalam UEBA bisa mengetahui ancaman yang tidak terlihat di awal, seperti insider threat dan serangan lainya.
Karena dengan menganalisa pola pengguna sebelumnya SIEM dapat langsung mendeteksi keanehan dan melaporkan ke tim Anda.
Analisis Pergerakan Lateral
Fitur ini sangat bermanfaat untuk tim karena bisa mengetahui pergerakan penyerang yang masuk ke dalam jaringan sistem. Dengan mendeteksi perpindahan dari satu sistem ke sistem lain, sehingga tim Anda bisa langsung menghentikan serangan sebelum eskalasi lebih lanjut terjadi.
Mitigasi Otomatis
Fitur mitigasi otomatis sangat berguna untuk tim cyber security, karena bisa langsung mengambil tindakan untuk menghentikan ancaman yang terdeteksi.
Jika sewaktu-waktu ada pola serangan yang diketahui, Sistem dapat segera memutuskan jaringan yang terinfeksi, lalu langsung membatasi akses pengguna yang mencurigakan.
Kenapa Perusahaan Anda Butuh Fitur dari SIEM?
Berikut ini sudah kami buatkan poin poin alasan jika SIEM tidak cuma “nice-to-have” tapi sudah menjadi bagian penting sistem keamanan di bisnis Anda.
1. Dashboard Terpusat
Menyatukan data log dan semua event dari berbagai sumber dalam sebuah aplikasi yang terpusat, data yang dikumpulkan dari server, firewall, aplikasi, cloud service akan ditampilkan dalam satu layar, jadi akan sangat memudahkan tim siber memantau jika ada serangan di semua infrastruktur TI.
2. Mendeteksi Ancaman yang Lebih Cepat
Tim siber tidak akan cukup jika hanya mengumpulkan log aktivitas saja, sehingga manajemen informasi dan kejadian keamanan harus melakukan analisa dan mengetahui pola behaviour pengguna sistem agar bisa menemukan kejanggalan yang mungkin awal mula serangan siber.
3. Bisa Merespons Insiden yang Lebih Cepat
Dengan sistem ini, tim siber akan memiliki akses ke sumber serangan secara cepat, sehingga bisa mempercepat mitigasi. Karena waktu respons bisa diperpendek, maka risiko kebocoran data bisa dikurangi.
4. Kepatuhan dan Audit yang Lebih Mudah
Saat ini di Indonesia menggunakan SEM sebagai syarat untuk mendapatkan sertifikasi GDPR, HIPAA, PCI-DSS, karena dengan adanya sistem ini maka perusahaan Anda tentu sudah memenuhi informasi log aktivitas yang lengkap.
Dengan mengadopsi sistem ini, tidak cuma bisa menghemat waktu, tetapi juga bisa mengurangi risiko denda akibat ketidakpatuhan.
5. Operasional Lebih Efisien
Jika tim keamanan harus menyaring ribuan alert secara manual tentu akan membuang buang banyak waktu, sehingga jika ada SIEM di perusahaan Anda, maka pengolahan bisa dilakukan secara terpusat. Hasilnya tim siber bisa mengalihkan tugas yang bisa digantikan dengan SIEM ke tugas keamanan yang lebih prioritas.
Perbedaan SIEM dan SOAR?
Perbedaan SIEM dan SOAR (Security Orchestration, Automation and Response) bisa dilihat dari fungsinya, SIEM fokus pada pengumpulan dan analisis log dari semua sistem yang bisa memberikan data log, setelah memiliki cukup data maka tim bisa mendeteksi serangan siber.
Sebaliknya, SOAR digunakan untuk membuat otomatisasi respon, keduanya saling melengkapi untuk menjaga keamanan siber, contohnya ketika SIEM mendeteksi ada log mencurigakan, maka SOAR akan langsung bekerja otomatis memberikan tindakan memblokir IP dan bisa mengirim notifikasi ke tim siber. SOAR fungsinya membuat otomatisasi hal hal yang bisa dibuat otomatis untuk meringankan pekerjaan tim siber.
Perbedaan XDR dan SIEM?
SIEM dan XDR memiliki perbedaan, meskipun keduanya bertujuan sama yaitu menjaga keamanan sistem, namun dibedakan karena fungsi, cakupan, dan kemampuannya.
SIEM bekerja berdasarkan aktivitas log dari perangkat, di sisi lain XDR (Extended Detection and Response) bekerja tidak hanya mengumpulkan data saja, tetapi secara otomatis menghubungkan semua endpoint.
XDR menggunakan analisis kecerdasan buatan berbasis untuk menghindari false positive, bisa membuat skala prioritas dari sebuah ancaman siber, serta memberikan rekomendasi tindakan yang harus di ambil dalam waktu singkat.
Penyedia Layanan SIEM Indonesia
Wowrack sudah banyak melayani perusahaan yang ingin meningkatkan keamanan sibernya sekaligus memiliki reputasi sebagai penyedia solusi infrastruktur TI, layanan cloud, dan keamanan siber di Indonesia dengan pengalaman lebih dari 20 tahun.
Kenapa Wowrack untuk implementasi Security Information and Event Management di bisnis Anda?
- Pengalaman & Reputasi
Sampai hari ini Wowrack sudah membantu lebih dari 5.000 klien global dan 1.000+ klien di Indonesia. Wowrack dipercaya perusahaan besar karena memiliki layanan managed security yang lengkap dengan kapasitas mampu mengamankan cloud dan data center dari serangan siber.
- Kepatuhan Internasional
Layanan siber Wowrack dapat membantu bisnis Anda menjaga keamanan bisnis Anda selama 24jam non stop dengan layanan SOC (Security Operation Center) dengan memonitoring insiden keamanan secara terus menerus tanpa henti.
Wowrack juga sudah memiliki sertifikasi internasional ISO 27001, SOC 2 Type II, dan OSCP, OSWE
Jika Anda tertarik dengan layanan SIEM dari Wowrack, Anda bisa menghubungi kami melalui form di bawah ini.
Kesimpulan
Jika ingin perusahaan Anda bebas dari ancaman siber, SIEM (Security Information and Event Management) adalah solusinya. Dengan fitur yang bisa mengkorelasikan log dari berbagai sistem secara real-time, tentu akan membantu tim siber security mendeteksi serangan.
Namun, keberhasilan SIEM juga harus didukung dengan infrastruktur yang andal. Karena itu, bekerja sama dengan penyedia SIEM bisa menjadi keputusan terbaik.
Singkatnya, SIEM merupakan salah satu alat untuk menjaga keamanan siber modern yang bisa Anda aplikasikan di perusahaan Anda untuk mencegah serangan siber.
