Dengan semakin kompleksnya ancaman siber, keamanan informasi menjadi hal yang sangat penting. Oleh sebab itu, perusahaan dan organisasi perlu mencari solusi untuk mengatasi masalah keamanan siber. Salah satu solusi yang saat ini menjadi sangat populer dalam industri ini adalah Security Orchestration, Automation, and Response (SOAR).
Dalam artikel ini, kita akan membahas apa itu SOAR, masalah yang dapat diatasi oleh SOAR, dan bagaimana SOAR dapat membantu meningkatkan efisiensi tim keamanan siber.
Apa Itu SOAR?
SOAR adalah singkatan dari Security Orchestration, Automation, and Response. Ini adalah konsep yang menghubungkan semua alat keamanan siber yang ada dalam infrastruktur perusahaan, dengan alur kerja yang terdefinisi dan dapat dijalankan secara otomatis. Dengan kata lain, SOAR memungkinkan Anda meningkatkan efisiensi tim keamanan dengan mengotomatisasi proses manual yang repetitif.
Mengapa Automasi Penting?
Automasi sangat penting dalam dunia keamanan saat ini, karena tim keamanan siber sering kali menjadi kewalahan. Dengan munculnya alat-alat baru untuk menghadapi ancaman yang terus berkembang, para analis harus mempergunakan alat-alat yang banyak tersebut untuk menyelesaikan tugas sehari-hari mereka.
Salah satu tugas sehari-hari yang umum adalah merespons peringatan atau alert. Semakin banyak alat keamanan yang digunakan, semakin banyak alert yang muncul, dan analis harus melakukan serangkaian proses manual dan perubahan konteks untuk menanganinya. Semakin banyak alert yang harus direspons setiap hari, berarti waktu yang lebih sedikit untuk setiap alert, yang meningkatkan kemungkinan terjadinya kesalahan. Penurunan kinerja dalam menghadapi banjir alert ini disebut “alert fatigue.”
Cara yang jelas untuk mengatasi alert fatigue adalah dengan hanya mempekerjakan lebih banyak analis. Namun, karena kekurangan keahlian dalam keamanan siber, seringkali tidak cukup analis yang berkualifikasi untuk dipekerjakan. Jadi, jika mempekerjakan lebih banyak analis bukanlah pilihan, bagaimana kita dapat mengatasi alert fatigue? Jawabannya sederhana, dengan SOAR.
Manfaat Utama SOAR
Seperti yang telah disebutkan, SOAR menghubungkan alat-alat dalam tumpukan tools keamanan siber Anda. Dengan menggabungkan data dari semua sumber ini, SOAR mengurangi perubahan konteks yang harus dihadapi oleh analis. Analis dapat melakukan semua proses investigasi secara langsung dari antarmuka sumber data tersebut.
Selain itu, proses tersebut dapat diterjemahkan secara manual atau otomatis ke dalam bentuk playbook, yang merupakan serangkaian langkah seperti flowchart yang dapat diulang kapan saja. Dengan menggunakan playbook, Anda dapat memastikan setiap langkah dalam SOP yang Anda diikuti. Anda juga memiliki data tentang apa yang dilakukan, kapan, dan oleh siapa. Kemampuan ini disebut orchestration dan automation.
Investigasi adalah salah satu kemampuan SOAR yang juga sangat penting. Ketika alert mencurigakan muncul, tim keamanan dapat melakukan tugas investigasi, seperti memeriksa sumber threat atau menggali sistem manajemen informasi keamanan (SIM) untuk peristiwa terkait, langsung dari dalam platform SOAR. Informasi yang didapatkan dari investigasi ini akan menentukan langkah mitigasi yang diperlukan.
Kemudian, karena SOAR adalah workbench yang terpadu dari semua alat keamanan Anda, Anda dapat mengambil langkah-langkah mitigasi tersebut langsung dari SOAR. Misalnya, dari dalam SOAR, Anda dapat memblokir lalu lintas dari alamat IP berbahaya di firewall Anda atau menghapus email phishing dari server email Anda. Dengan memasukkan proses standar Anda ke dalam playbook, Anda dapat menggantikan proses manual yang berulang dan memakan waktu dengan otomatisasi dengan kecepatan yang jauh lebih baik. Automasi memungkinkan analis untuk lebih banyak waktu hanya untuk menyelidiki alert yang kritis.
Optimisasi Operasi Keamanan
Mengimplementasikan SOAR ke dalam ekosistem tidak hanya memusatkan proses respons insiden, tetapi juga mengoptimalkan seluruh operasi. Optimisasi menghasilkan respons yang lebih efisien dengan kecepatan mesin, yang memungkinkan tim untuk meningkatkan kolaborasi dan mengelola gelombang alert yang tidak pernah berakhir.
Hal ini karena SOAR memungkinkan pengguna untuk menugaskan alert kepada analis atau tim yang berbeda pada berbagai tahap proses respons, dan pengguna yang ditugaskan dapat menambahkan informasi ke alert saat mereka bekerja, sehingga orang lain yang merujuk ke alert tersebut nantinya akan memiliki konteks tambahan dalam penyelidikan.
Mengenal Lebih Jauh Playbook
Tim keamanan siber bisa menggunakan playbook sebagai cara untuk merespons alert atau insiden dengan cara yang seragam atau terpola. Playbook bekerja sama dengan tim keamanan dengan mengambil langkah-langkah yang biasanya akan diimplementasikan oleh seorang analis saat merespons insiden.
Playbook melakukan tugas yang repetitif, seperti mengumpulkan data menjadi laporan atau mengirim email, dan dapat dihentikan ketika pengawasan manusia diperlukan, seperti untuk mengimplementasikan block firewall. Playbook adalah kunci dari kemampuan otomatisasi SOAR, yang memungkinkan tim untuk meningkatkan kecepatan dan konsistensi respons, sambil tetap mempertahankan otoritas manusia dalam proses tersebut. Sehingga dengan menggunakan playbook dapat mengurangi beban kerja analis keamanan dan juga mengurangi peluang kesalahan.
Kasus Penggunaan Umum: Investigasi Phishing
Investigasi phishing adalah salah satu kasus penggunaan SOAR yang paling umum diimplementasikan. Tanpa SOAR, seorang analis akan menghabiskan waktu untuk menyelidiki pengirim email phishing dan indikator kunci yang ada dalam header atau badan email. Melakukan investigasi ini biasanya berarti menghabiskan waktu untuk memasukkan domain dan URL ke dalam platform threat intelligence.
Jika analis menentukan bahwa email tersebut berbahaya, mereka perlu menghabiskan waktu tambahan untuk menyelidiki server email dan SIM mereka, menentukan siapa yang menerima email, siapa yang mengkliknya, menghapusnya, dan sebagainya. Dengan playbook, langkah-langkah awal investigasi diambil secara otomatis begitu email phishing dilaporkan. Dengan cara ini, para analis hanya akan diingatkan kepada email yang playbook tentukan sebagai email yang mencurigakan.
Setelah analis mengkonfirmasi bahwa email yang dilaporkan memerlukan tindakan lebih lanjut, playbook dapat membuat query SIM tambahan, menghapus email dari semua kotak surat pengguna, mengirim email kepada semua penerima yang memberi tahu mereka tindakan yang perlu diambil, dan memberikan tips berguna tentang apa yang harus dilakukan jika mereka menerima pesan phishing serupa di masa depan.
Kesimpulan
Dalam dunia keamanan siber yang terus berubah, SOAR adalah alat yang sangat diperlukan untuk membantu melindungi informasi berharga dan krusial. Dengan mengotomatisasi proses-proses rutin, maka analis bisa fokus pada penyelidikan yang kritis. Dengan kata lain, keberadaan SOAR dapat membantu perusahaan dan organisasi untuk tetap aman di era digital yang penuh dengan tantangan. (JB)