Mengenal Cyber Security Operation Center (SOC), Pertahanan Utama Serangan Siber

Security Operation Center (SOC), yang sering dibaca “SOK”, adalah lapisan pertahanan utama keamanan siber pada organisasi atau perusahaan. SOC merupakan layanan yang bersifat luas dengan memberikan fitur-fitur berupa event monitoring, event management, dan solusi ancaman siber. Prioritas dari SOC adalah sebagai berikut.

1. Mengidentifikasi ancaman siber yang ada
2. Menangani isu-isu berkaitan dengan keamanan
3. Mencegah penyerang siber dapat merusak proses bisnis atau reputasi organisasi/perusahaan.

Tanpa adanya SOC, organisasi/perusahaan kekurangan transparansi terhadap ancaman-ancaman siber secara real-time. Hal tersebut menghalangi kemampuan organisasi/perusahaan untuk melindungi keamanan informasi dari risiko serangan siber.

Photo by Luke Chesser on Unsplash

Implementasi SOC

Terdapat tiga opsi implementasi SOC, yaitu:

1. Full outsource. Day-to-day job dari SOC bisa jadi sangat berat bagi organisasi/perusahaan kecil dan menengah, terutama dari sisi biaya dan kompleksitasnya. Full outsource adalah model implementasi SOC dengan menyerahkan seluruh tugas dan tanggung jawab kepada Managed Security Service Provider (MSSP) selaku pihak yang menyediakan layanan.
2. Hybrid. Model full outsource memiliki kekurangan di mana organisasi/perusahaan tidak memiliki tim internal security sama sekali. Akibatnya, organisasi/perusahaan akan memiliki pengalaman yang minim untuk menangani insiden siber. Hybrid adalah model implementasi SOC dengan membagi tugas antara tim internal security dan MSSP. Model ini membuat perusahaan juga mendapatkan feedback yang cukup dari insiden serangan siber.
3. Full in-house. Model ini cocok apabila organisasi/perusahaan memiliki dana dan kapabilitas yang cukup untuk menangani kompleksitas dari security operation center. Perlu diperhatikan bahwa SOC yang efektif adalah SOC yang beroperasi secara penuh 24/7. Apabila kebutuhan tersebut tidak dapat terpenuhi, ada baiknya untuk menggunakan model Hybrid.

Elemen pada SOC

Security operation center sendiri memiliki tiga elemen utama yang tidak dapat dipisahkan satu dengan lainnya. Ketiga elemen tersebut adalah people (orang), process (proses), dan technology (teknologi).

SOC Lifecycle

People

People berkaitan dengan peran dan tanggung jawab orang terhadap keberlangsungan SOC. Peran dan tanggung jawab secara struktural pada SOC biasa dibagi menjadi 4, yaitu:

1. Tier 1: security analyst merupakan garda terdepan dari security operation center. Security analyst bertugas melakukan monitoring terhadap alert (notifikasi) security yang terdeteksi oleh sistem. Para analyst juga bertugas untuk memastikan keaslian dari alert tersebut. Apabila dibutuhkan, mereka akan mengoper insiden kepada Tier 2. Security analyst ini merupakan job role yang cocok untuk entry level cyber security.
2. Tier 2: incident responder merupakan orang-orang yang memiliki keahlian teknis dalam investigasi serangan siber. Incident responder menindaklanjuti tiket yang dihasilkan oleh tier 1 dan melakukan forensik digital untuk menentukan aset mana saja yang terdampak oleh serangan siber. Kemudian, incident responder juga melakukan remidiasi terhadap dampak teknis serangan siber.
3. Tier 3: threat hunter merupakan tim yang sangat kompeten dalam melakukan malware reverse engineering dan threat intelligence. Selain itu, mereka juga secara proaktif melakukan langkah pencegahan, contohnya membuat metode deteksi malware dan phishing, serta melakukan investigasi ke dalam dark web untuk mencari potensi ancaman yang dapat terjadi pada organisasi/perusahaan.
4. SOC manager bertanggung jawab terhadap keberlanjutan dan ketersediaan resource bagi security operation center. SOC manager juga berperan menjadi contact person organisasi atau pelanggan (jika menggunakan model outsource.

Process

Security operation center juga melibatkan proses yang terdokumentasi dengan baik untuk merespons ancaman yang datang. Untuk mencapai process yang efektif, SOC dapat memanfaatkan framework dan security requirement, seperti ISO, NIST, PCI, HIPAA, dan sebagainya.

Berikut ini adalah empat proses kritikal pada SOC.

1. Alert triage. SOC melakukan koleksi, korelasi, dan analisis data log. Analyst juga harus memiliki cara yang efisien untuk menghilangkan noise dan mengidentifikasi insiden siber yang berpotensi merugikan.
2. Prioritization. Pada dunia keamanan siber modern, serangan siber terjadi dalam skala yang sangat besar, resiko serangan juga semakin meningkat, dan serangan siber menjadi semakin canggih. Prioritisasi insiden menjadi hal yang sangat krusial untuk diimplemantasikan.
3. Remidiation and recovery. Terkadang, eksploitasi yang dilakukan oleh penyerang berdampak permanen terhadap kinerja sistem. Tier 2 dan Tier 3 bertugas mengidentifikasi hal dampak eksploitasi tersebut dan melakukan perbaikan terhadap sistem.
4. Post activity and reporting. Proses dokumentasi secara detail terhadap insiden yang terjadi. Reporting juga mengidentifikasi bagian dari pertahanan yang bisa dilalui oleh penyerang. Sehingga, jika terdapat insiden serupa, SOC dapat mengurangi dampak serangan dengan penanganan secara lebih optimal.

Technology

Kunci teknologi pada SOC modern meliputi intrusion detection/prevention, Security Information and Event Management Systems (SIEM), Data Loss Prevention (DLP) software, serta threat intelligence and vulnerability management platforms.

1. Intrusion detection/prevention. Next-gen firewall bukan hanya bekerja untuk memblokir koneksi saja, melainkan menjadi alat yang secara proaktif mendeteksi dan mencegah serangan siber.
2. SIEM. Proteksi dari firewall bisa saja gagal, oleh karena itu perlu adanya sistem deteksi yang baik. Sistem deteksi ini juga menjadi enabler bagi incident responder untuk melakukan investigasi insiden serangan siber. Namun, log (record) serangan siber tersimpan dalam beberapa tempat berbeda, contohnya firewall, server log, client log, serta log pada perangkat jaringan. SIEM berfungsi sebagai kolektor dan korelator event, sehingga jejak serangan siber dapat diakses dan dianalisis secara terpusat.
3. DLP. Untuk mencegah data sensitif terambil alih oleh penyerang, organisasi sering mengimplementasikan Data Loss Prevention (DLP). Fungsinya adalah memberikan alert dan memblokir informasi apabila terdapat percobaan pencurian data, baik melalui email, chat, USB, atau pengiriman melalui web. DLP dapat memitigasi ancaman internal (dari karyawan sendiri) atau penyerang yang sudah berhasil masuk ke dalam jaringan.
4. Threat intelligence and vulnerability management platform. Ancaman pada dunia siber terus berkembang, oleh karena itu perlu adanya teknologi untuk mendapatkan data secara real-time berkaitan dengan ancaman dan celah baru yang teridentifikasi. Celah yang teridentifikasi dapat diberikan label berupa nilai bahaya sehingga tim SOC melakukan mitigasi berdasarkan skala prioritas.

Dalam implementasinya, teknologi pada SOC dapat di-automasi untuk mendapatkan kinerja yang makin efisien. Security Orchestration Automation and Response (SOAR) merupakan teknologi untuk melakukan integrasi antara detection, threat intelligence, dan response dengan cara berikut ini.

• Mengkoleksi data alarm dari berbagai komponen sistem.
• Menyediakan tools untuk mengevaluasi dan menginvestigasi kasus.
• Meng-automasi workflow deteksi dan respons, sehingga proses SOC menjadi semakin efisien dan dapat mengimplementasikan sistem adaptive defense.
• Menyediakan pre-defined playbooks untuk meng-automasi proses respons insiden.

Kedepannya, teknologi pada SOC akan terintegrasi dengan artificial intelligence dan machine learning untuk melindungi aset kritikal. Namun teknologi seharusnya tidak digunakan sebagai pengganti tim security engineer, melainkan dimanfaatkan sebagai enabler supaya orang-orang pada SOC dapat bekerja semakin efektif dan efisien.

Referensi

• Cisco CyberOps Associate Reading Material.
• https://www.darkreading.com/edge-articles/modern-day-socs-people-process-technology
• https://www.avertium.com/blog/in-house-soc-mssp
• https://www.exabeam.com/security-operations-center/soc-processes-and-best-practices-in-a-devsecops-world/