Di sebuah bisnis pasti ada sistem yang bekerja tanpa henti, hal ini memang ada, dan sangat normal. Namun tanpa kita sadari ada juga yang berusaha mencoba menyusup ke sistem kita tanpa disadari. Untuk itu dibutuhkan sebuah sistem lagi yang disebut Security Information and Event Management dan disingkat dengan SIEM. Fungsinya adalah untuk melawan penyusup yang ada di sistem bisnis Anda.
Sistem ini tidak hanya mencatat log aktivitas saja, tetapi bisa menjadi “indra keenam” bagi tim siber security Anda, SIEM dapat mengetahui jika ada yang tidak beres dari semua aktivitas pada IT bisnis Anda, jadi akan langsung mengetahui jika ada jejak serangan siber dalam beberapa detik saja.
Pengertian SIEM (Security Information and Event Management)
SIEM (Security Information and Event Management) adalah sistem yang memang dibuat oleh tim siber security untuk mengelola informasi dan peristiwa yang terjadi pada sistem yang nantinya akan dibuat analisa statistik.
Fungsi SIEM
Fungsi SIEM untuk mengubah data log peristiwa menjadi informasi yang dapat ditindaklanjuti oleh tim siber security. Dari Informasi yang sudah terkumpul sehingga tim siber Anda bisa melakukan tindakan berikut ini:
- Mendeteksi jika ancaman
- Menindaklanjuti jika ada insiden serangan
- Bisa investigasi serangan dengan sistem forensik
- Memenuhi kepatuhan regulasi
Sejarah SIEM
Konsep SIEM pertama kali dijelaskan oleh Mark Nicolett dan Amrit Williams melalui press release di Gartner dengan judul “Improve IT Security with Vulnerability Management”.
Dalam artikelnya mereka dapat menggabungkan dua teknologi yang sudah sering dilakukan perusahaan yaitu Security Information Management (SIM) dan Security Event Management (SEM). Dengan penggabungan dari kedua sistem ternyata Mark dan Amrit menjelaskan di dalam artikelnya bahwa kemampuan SIEM bisa mengelola keamanan siber yang lebih luas cakupannya.
Namun, jika dilihat dari sejarah SIEM, Anda bisa mengetahui mulai awalnya dari log dan audit, lalu generasi pertama hingga next generation SIEM. Berikut adalah sejarahnya secara detail.
Awal Mula Log & Audit (1980-an hingga 1990-an)
Pada tahun 1980-an hingga 1990-an tim keamanan siber di beberapa perusahaan mulai menggunakan log aktivitas dan audit trail di sistem sebagai bagian dari aturan kepatuhan.
Karena jaringan, sistem operasi, dan internet semakin bertumbuh dengan cepat, maka jumlah log juga meningkat, sehingga tim keamanan siber berfikir untuk mengelola dan memusatkan log dari semua sistem IT.
SIEM Generasi Pertama (2000-an)
Pada tahun 2005, analis dari Gartner bernama Mark Nicolett dan Amrit Williams memperkenalkan istilah “SIEM” yang dibuat dari gabungan SIM + SEM (Security Information Management dan Security Event Management).
Pada generasi pertama SIEM yang disebut SIEM 1.0 memiliki proses sebagai berikut
- pengumpulan log
- korelasi dasar
- dashboard dan pelaporan kepatuhan
Namun masih ada keterbatasan ketika ada log dalam skala besar maka peringatan kadang terlewat dan ketika ada ancaman siber kompleks SIEM generasi pertama belum bisa menangani.
Generasi Kedua (2010-an)
Tahun 2010 mulai terjadi era ledakan data, oleh sebab itu munculah SIEM generasi kedua yang lebih canggih, sistem yang sebelumnya tidak bisa mengatasi log aktivitas besar sekarang mampu mengolah data historis yang lebih kompleks.
Selanjutnya banyak bisnis pindah dari arsitektur konvensional ke arsitektur cloud, sehingga bisa mengetahui log dari analisis yang bersumber dari berbagai sistem arsitektur hybrid cloud.
Next-Gen SIEM (2020-sekarang)
Di akhir dibuatlah SIEM dengan menggabungkan analisa canggih dengan bantuan machine learning (ML), dan mining data dari user atau disebut juga entity behavior analytics (UEBA).
Fokusnya saat ini tidak hanya pada apa yang sedang terjadi, tetapi bisa menelisik ke arah apa yang mungkin terjadi ke depannya.
Pada next-gen SIEM sudah bisa proaktif dalam mendeteksi pola keanehan yang tidak biasa pada sistem Anda, sehingga dapat juga diintegrasikan layanan Security Operations Center (SOC) karena sudah bisa merespon secara otomatis jika ada serangan siber.
Next generation SIEM lebih siap menghadapi ancaman siber yang sulit dideteksi jika dibanding dengan SIEM generasi sebelumnya.
Tiga konsep penting yang sering muncul di next generation adalah UEBA dan APT. Keduanya berguna untuk mendeteksi dan merespons serangan siber dengan lebih efektif.
SIEM saja tidak cukup untuk mencegah serangan siber terbaru karena sangat sulit dikenali jika menggunakan SIEM tanpa UEBA. Maka dari itu, dibuatlah UEBA (User and Entity Behavior Analytics) yang berperan sebagai mesin berbasis algoritma machine learning untuk mengetahui perilaku normal pengguna.
UEBA berfungsi ketika ada keanehan pada sistem maka akan memberikan peringatan dini, deteksinya sangat sensitif, sehingga jika ada keanehan sedikit saja akan langsung otomatis memberikan peringatan.
UEB bisa mendeteksi APT (Advanced Persistent Threat) yaitu jenis serangan siber canggih, terencana, dan berlangsung dalam waktu yang lama.
Mengadopsi SIEM dan UEBA bisa menjadi solusi bagi sistem yang sedang diserang oleh APT.
Kenapa Perusahaan Anda Butuh Fitur dari SIEM?
Berikut ini sudah kami buatkan poin poin alasan jika SIEM tidak cuma “nice-to-have” tapi sudah menjadi bagian penting sistem keamanan di bisnis Anda.
1. Dashboard Terpusat
Menyatukan data log dan semua event dari berbagai sumber dalam sebuah aplikasi yang terpusat, data yang dikumpulkan dari server, firewall, aplikasi, cloud service akan di tampilkan dalam satu layar, jadi akan sangat memudahkan tim siber memantau jika ada serangan di semua infrastruktur TI.
2. Mendeteksi Ancaman yang Lebih Cepat
Tim siber tidak akan cukup jika hanya mengumpulkan log aktivitas saja, sehingga SIEM harus melakukan analisa dan mengetahui pola behaviour pengguna sistem agar bisa menemukan kejanggalan yang mungkin awal mula serangan siber.
3. Bisa Merespons Insiden yang Lebih Cepat
Dengan sistem ini, tim siber akan memiliki akses ke sumber serangan secara cepat, sehingga bisa mempercepat mitigasi. Karena waktu respons bisa diperpendek, maka risiko kebocoran data bisa dikurangi.
4. Kepatuhan dan Audit yang Lebih Mudah
Saat ini di Indonesia menggunakan SEM sebagai syarat untuk mendapatkan sertifikasi GDPR, HIPAA, PCI-DSS, karena dengan adanya SIEM maka perusahaan Anda tentu sudah memenuhi informasi log aktivitas yang lengkap.
Dengan mengadopsi sistem ini, tidak cuma bisa menghemat waktu, tetapi juga bisa mengurangi risiko denda akibat ketidakpatuhan.
5. Operasional Lebih Efisien
Jika tim keamanan harus menyaring ribuan alert secara manual tentu akan membuang buang banyak waktu, sehingga jika ada SIEM di perusahaan Anda, maka pengolahan bisa dilakukan secara terpusat. Hasilnya tim siber bisa mengalihkan tugas yang bisa digantikan dengan SIEM ke tugas keamanan yang lebih prioritas.
Perbedaan SIEM dan SOAR?
Perbedaan SIEM dan SOAR (Security Orchestration, Automation and Response) bisa dilihat dari fungsinya, SIEM fokus pada pengumpulan dan analisis log dari semua sistem yang bisa memberikan data log, setelah memiliki cukup data maka tim bisa mendeteksi serangan siber.
Sebaliknya, SOAR digunakan untuk membuat otomatisasi respon, keduanya saling melengkapi untuk menjaga keamanan siber, contohnya ketika SIEM mendeteksi ada log mencurigakan, maka SOAR akan langsung bekerja otomatis memberikan tindakan memblokir IP dan bisa mengirim notifikasi ke tim siber. SOAR fungsinya membuat otomatisasi hal hal yang bisa dibuat otomatis untuk meringankan pekerjaan tim siber.
Perbedaan XDR dan SIEM?
SIEM dan XDR memiliki perbedaan, meskipun keduanya bertujuan sama yaitu menjaga keamanan sistem, namun dibedakan karena fungsi, cakupan, dan kemampuannya.
SIEM bekerja berdasarkan aktivitas log dari perangkat, di sisi lain XDR (Extended Detection and Response) bekerja tidak hanya mengumpulkan data saja, tetapi secara otomatis menghubungkan semua endpoint.
XDR menggunakan analisis kecerdasan buatan berbasis untuk menghindari false positive, bisa membuat skala prioritas dari sebuah ancaman siber, serta memberikan rekomendasi tindakan yang harus di ambil dalam waktu singkat.
Penyedia Layanan SIEM Indonesia
Wowrack sudah banyak melayani perusahaan yang ingin meningkatkan keamanan sibernya sekaligus memiliki reputasi sebagai penyedia solusi infrastruktur TI, layanan cloud, dan keamanan siber di Indonesia dengan pengalaman lebih dari 20 tahun.
Kenapa Wowrack untuk implementasi SIEM bisnis Anda?
- Pengalaman & Reputasi
Sampai hari ini Wowrack sudah membantu lebih dari 5.000 klien global dan 1.000+ klien di Indonesia. Wowrack dipercaya perusahaan besar karena memiliki layanan managed security yang lengkap dengan kapasitas mampu mengamankan cloud dan data center dari serangan siber.
- Kepatuhan Internasional
Layanan siber Wowrack dapat membantu bisnis Anda menjaga keamanan bisnis Anda selama 24jam non stop dengan layanan SOC (Security Operation Center) dengan memonitoring insiden keamanan secara terus menerus tanpa henti.
Wowrack juga sudah memiliki sertifikasi internasional ISO 27001, SOC 2 Type II, dan OSCP, OSWE
Jika Anda tertarik dengan layanan SIEM dari Wowrack, Anda bisa menghubungi kami melalui form di bawah ini.
Kesimpulan
Jika ingin perusahaan Anda bebas dari ancaman siber, SIEM (Security Information and Event Management) adalah solusinya. Dengan fitur yang bisa mengkorelasikan log dari berbagai sistem secara real-time, tentu akan membantu tim siber security mendeteksi serangan.
Namun, keberhasilan SIEM juga harus didukung dengan infrastruktur yang andal. Karena itu, bekerja sama dengan penyedia SIEM bisa menjadi keputusan terbaik.
Singkatnya, SIEM merupakan salah satu alat untuk menjaga keamanan siber modern yang bisa Anda aplikasikan di perusahaan Anda untuk mencegah serangan siber.
