YosiaCyber-crime atau kejahatan siber bukanlah permasalahan baru di dunia teknologi, terutama di era yang serba digital ini. Seiring dengan meningkanya kemajuan teknologi angka serangan siber pun ikut meningkat.
Pada Agustus 2020 terdapat kurang lebih 63 juta serangan siber di Indonesia, di mana angka tersebut jauh lebih tinggi dari bulan Agustus 2019 yang hanya terjadi 5 juta serangan siber. Tidak berhenti di situ, angka tersebut diperkirakan akan terus meningkat di 2021 dan seterusnya.
Untuk mengatasinya perusahaan IT di seluruh dunia menawarkan berbagai solusi keamanan, mulai dari cyber security tools, sampai operasional service.
Saat ini, solusi keamanan cyber yang dianggap paling efektif adalah SOC atau Security Operations Center. Jika Anda belum mengetahui apa itu SOC, silahkan baca artikel kami sebelumnya.
Berniat untuk memiliki SOC? Mari simak bagaimana cara mengimplementasikan SOC secara khusus untuk perusahaan Anda.
Buatlah Goal dan Strategi
Sebelum mulai membentuk tim SOC, tentukan dulu goal dan strategi apa yang efektif untuk diterapkan pada perusahaan Anda. Bagaimanapun juga, setiap perusahaan mempunyai tujuan dan target yang berbeda-beda, begitu juga alasan mengapa harus mempunyai SOC.
Setelah mempunyai tujuan dan strategi yang jelas, sekarang saatnya untuk memenuhi beberapa komponen seperti, tenaga ahli, proses, dan teknologi.
Tenaga Ahli – Tim SOC
Tim SOC terbentuk dari beberapa ekpertis yang bekerjasama dalam satu tim. Umumnya tim SOC terdiri dari Security Analyst (Tier 1, Tier 2, and Tier 3), Security Engineers (Tier 4), SOC Managers (Tier 5). Setiap posisi mempunyai tanggung jawab yang berbeda-beda.
Security Analysts (Tier 1)
Security analyst Tier 1 bertanggung jawab pada stage pertama penganalisaan kejadian atau event. Untuk mendeteksi event biasanya Tier 1 menggunakan security tools yang mana report dari alat tersebut akan diverifikasi, analisa, dan diklasifikasikan menurut level ancamannya. Kemudian, Tier 1 akan meneruskannya kepada Tier 2.
Security Analysts (Tier 2)
Tier 2 bertugas menerima laporan atau ticket dari Tier 1 lalu menganalisa scope ancaman, sistem apa yang akan terkena dampak, dan merencanakan strategi pemulihan (recovery plans). Jika Anda berencana untuk membuat tim SOC dengan sekala lebih kecil, peran ini dapat dialihkan kepada Tier 1.
Expert Security Analysts (Tier 3)
Tim ini bertanggung jawab untuk melakukan review terhadap laporan yang diberikan Tier 1 dan Tier 2. Mereka akan menggunakan tools seperti data visualization dan threat intelligence tools untuk menganalisa situasi yang sebenarnya. Tim ini biasa disebut sebagai Threat Hunters atau CTI (Cyber Threat Intelligence).
SOC Engineers (Tier 4)
Tier 4 atau SOC Engineers bertanggung jawab untuk membangun, menjaga, dan merekomendasikan teknologi baru untuk tim SOC secara keseluruhan. Mereka akan memastikan bahwa tools yang digunakan setiap tim merupakan teknologi paling update dan efisien.
SOC Manager (Tier 5)
SOC Manager adalah orang yang akan memberi keputusan mengenai action apa yang akan diambil setelah mendapatkan report dari Tier 1 hingga Tier 4. Selain itu SOC Manager juga harus aktif mengarahkan tim SOC-nya dalam menerapkan strategi yang tepat. Untuk itu, SOC manager haruslah orang yang mempunyai rasa kepemimpinan yang kuat.
Bagaimana Proses Bekerja Tim SOC?
Setelah mengetahui komponen tenaga ahli tim SOC, Anda perlu juga mengetahui garis besar proses kerja tim SOC sebelum benar-benar memilikinya untuk perusahaan Anda. Agar mudah dipahami, proses bekerja tim SOC akan dibagi menjadi 4 stage di bawah ini.
Menganalisa Ancaman
Stage pertama adalah di mana analis dari Tier 1 atau Tier 2 melakukan klasifikasi aktivitas yang ada di jaringan atau network perusahaan. Stage ini sangatlah penting, dengan dilakukannya pengklasifikasian maka akan terlihat jika ada aktivitas pada network yang dapat membahayakan keamanan perusahaan. Baiasanya pengklasifikasian akan dibagi menjadi low, medium, high, atau bahkan critical.
Mengklasifikasikan Ancaman
Setelah mengklasifikasikan aktivitas, maka tugas analis adalah menginvestigasi aktivitas yang telah di klasifikasikan. Setelah itu Tier 1 akan mengirim ticket kepada Tier 2 untuk selanjutnya menganalisa lebih dalam apakah ancaman tersebut telah mempengaruhi sistem.
Merespon Ancaman
Berdasarkan laporan yang diberikan oleh Tier 1 dan 2, Tier 3 akan memikirkan cara menghadapi ancaman tersebut. Tier 3 akan menyarankan tindakan pencegahan agar ancaman siber tersebut tidak mempengaruhi atau merusak sistem.
Audit
Pada stage ini, semua tindakan yang telah dilakukan untuk mencari ancaman secara proaktif dan mencegah adanya kerusakan atau kerugian yang terjadi akan di-evaluasi. Biasanya Audit ini dilakukan oleh Tier 4 atau Tier 5.
Teknologi
Setiap tim SOC harus dilengkapi oleh tools-tools canggih yang akan membantu mereka melakukan analisa, monitoring, dan menghadapi ancaman siber. Meskipun setiap SOC akan membutuhkan teknologi yang berbeda-beda tergantung dengan goal perusahaan, namun ada beberapa teknologi mendasar yang harus dimiliki oleh tim SOC.
SIEM
SIEM atau Security Information and Event Management merupakan sebuah sistem informasi. SIEM bertugas mengumpulkan informasi (log) keamanan secara real-time termasuk informasi traffic pada keamanan network. Tools ini sangat membantu dalam aktivitas monitoring traffic yang dilakukan oleh tim SOC.
Ticketing
Sistem ticketing merupakan hal yang sangat penting dalam proses kerja SOC. Ticketing adalah cara para analis berkomunikasi seperti memberikan report atau alert kepada setiap divisi. Semua detail dapat disertakan pada ticket tersebut, sehingga Tier yang menerima ticket dapat langsung melakukan tindakan yang tepat.
IMS
Masih berhubungan dengan ticketing, IMS atau Incident Management System adalah tools yang menyediakan standard framewrork yang digunakan untuk merespon sebuah event atau kejadian. Sedikit mirip dengan sistem ticketing namun IMS menyediakan visualisasi data yang lebih lengkap dan jelas. Bahkan, IMS juga dapat menampilkan list kejadian yang sama sebelumnya dan memberikan saran langkah pencehagan yang harus dilakukan. Untuk itu, biasanya Tier 3 dan Tier 4 lebih memilih tools ini agar dapat melakukan performa perlindungan yang efisien.
Threat Intelligence
Threat Intelligent adalah tools yang menyediakan list berisikan informasi serangan yang pernah terjadi dari berbagai sources. Threat Intelligence atau TI dapat sangat membantu tim SOC untuk mempelajari serangan yang pernah, sedang atau akan terjadi. Dengan begitu tim SOC akan lebih source full dan siap untuk menghindari atau menghadapi serangan yang sama.
Itu lah beberapa point yang harus Anda perhatikan dan pahami sebelum memutuskan untuk memiliki tim SOC. Untuk penjelasan lebih detail dan terkhusus untuk kebutuhan perusahaan Anda, jangan ragu mengkomunkasikannya dengan kami. Tim expert Wowrack Indonesia akan dengan senang hati memberikan konsultasi untuk perusahaan Anda secara gratis.
