Apa itu pusat operasi keamanan (SOC)?
Pelajari bagaimana tim pusat operasi keamanan mendeteksi, memprioritaskan, dan melakukan triase terhadap potensi serangan cyber dengan cepat.
Apa itu SOC?
SOC merupakan fungsi atau tim terpusat yang bertanggung jawab untuk meningkatkan postur keamanan cyber organisasi serta mencegah, mendeteksi, dan merespons ancaman. Tim SOC, yang mungkin merupakan staf organisasi atau pegawai alih daya, memantau identitas, titik akhir, server, database, aplikasi jaringan, situs web, dan sistem lain untuk menemukan potensi serangan cyber secara real time. SOC juga melakukan pekerjaan keamanan proaktif menggunakan inteligensi ancaman terbaru untuk selalu memantau perkembangan grup dan infrastruktur ancaman, serta mengidentifikasi dan mengatasi kerentanan sistem atau proses sebelum penyerang memanfaatkannya. Sebagian besar SOC beroperasi sepanjang waktu, tujuh hari seminggu, dan organisasi besar yang menjangkau beberapa negara juga mungkin bergantung pada pusat operasi keamanan global (GSOC) untuk selalu memantau ancaman keamanan di seluruh dunia dan mengoordinasikan deteksi dan respons di antara beberapa SOC lokal.
Fungsi SOC
Anggota tim SOC menjalankan fungsi berikut untuk membantu mencegah, merespons, dan memulihkan dari serangan.
Inventaris aset dan alat
Untuk menyingkirkan titik buta dan kesenjangan dalam cakupan, SOC memerlukan visibilitas ke aset yang dilindunginya dan wawasan mengenai alat yang digunakan untuk melindungi organisasi. Ini berarti termasuk semua database, layanan cloud, identitas, aplikasi, dan titik akhir di seluruh cloud lokal dan multi-cloud. Tim juga melacak semua solusi keamanan yang digunakan dalam organisasi, seperti firewall, anti-program jahat, anti-ransomware, dan perangkat lunak pemantauan.
Mengurangi permukaan serangan
Tanggung jawab utama SOC adalah mengurangi permukaan serangan organisasi. SOC melakukan hal ini dengan memelihara inventaris seluruh beban kerja dan aset, menerapkan penambal keamanan pada perangkat lunak dan firewall, mengidentifikasi kesalahan konfigurasi, dan menambahkan aset baru saat online. Anggota tim juga bertanggung jawab untuk meneliti ancaman yang muncul dan menganalisis paparan, agar selalu siaga saat menghadapi ancaman terbaru.
Pemantauan berkelanjutan
Dengan menggunakan solusi analitik keamanan seperti security information enterprise management (SIEM), solusi orkestrasi, otomatisasi, dan respons keamanan (SOAR), atau solusi deteksi dan respons yang diperluas (XDR), tim SOC memantau seluruh lingkungan (lokal, cloud, aplikasi, jaringan, dan perangkat) sepanjang hari, setiap hari, untuk menemukan perilaku yang tidak normal atau mencurigakan. Alat-alat ini mengumpulkan telemetri, mengagregasi data, dan dalam beberapa kasus, mengotomatiskan respons insiden.
Inteligensi ancaman
SOC juga menggunakan analitik data, feed eksternal, dan laporan ancaman produk untuk mendapatkan wawasan tentang perilaku, infrastruktur, dan motif penyerang. Inteligensi ini memberikan gambaran besar tentang apa yang terjadi di internet dan membantu tim memahami cara kerja grup. Dengan informasi ini, SOC dapat dengan cepat menemukan ancaman dan memperkuat organisasi dalam menghadapi risiko yang muncul.
Deteksi ancaman
Tim SOC menggunakan data yang dihasilkan oleh solusi SIEM dan XDR untuk mengidentifikasi ancaman. Tindakan ini dimulai dengan memfilter positif palsu dari masalah sebenarnya. Kemudian ancaman diprioritaskan berdasarkan tingkat keparahan dan potensi dampak terhadap bisnis.
Manajemen log
SOC juga bertanggung jawab untuk mengumpulkan, memelihara, dan menganalisis data log yang dihasilkan oleh setiap titik akhir, sistem operasi, mesin virtual, aplikasi lokal, dan peristiwa jaringan. Analisis membantu menetapkan acuan dasar untuk aktivitas normal dan mengungkap anomali yang mungkin mengindikasikan program jahat, ransomware, atau virus.
Respons insiden
Setelah serangan cyber teridentifikasi, SOC akan segera mengambil tindakan untuk membatasi dampak buruk terhadap organisasi dengan sesedikit mungkin gangguan terhadap bisnis. Langkah-langkah ini mungkin termasuk mematikan atau mengisolasi titik akhir dan aplikasi yang terpengaruh, menangguhkan akun yang disusupi, menghapus file yang terinfeksi, serta menjalankan perangkat lunak anti-virus dan anti-program jahat.
Pemulihan dan remediasi
Setelah serangan diatasi, SOC bertanggung jawab untuk memulihkan perusahaan ke keadaan semula. Tim akan menghapus dan menyambungkan kembali disk, identitas, email, dan titik akhir, memulai ulang aplikasi, beralih ke sistem cadangan, serta memulihkan data.
Penyelidikan akar masalah
Untuk mencegah serangan serupa terjadi lagi, SOC melakukan penyelidikan menyeluruh untuk mengidentifikasi kerentanan, proses keamanan yang buruk, dan pembelajaran lain yang berkontribusi terhadap insiden tersebut.
Penyempurnaan keamanan
SOC menggunakan inteligensi apa pun yang dikumpulkan selama insiden untuk mengatasi kerentanan, meningkatkan proses dan kebijakan, serta memperbarui peta strategi keamanan.
Manajemen kepatuhan
Bagian penting dari tanggung jawab SOC adalah memastikan bahwa aplikasi, alat keamanan, dan proses yang ada mematuhi peraturan privasi seperti Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Privasi Konsumen California (CCPA), dan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPA). Tim secara berkala mengaudit sistem untuk memastikan kepatuhan dan memastikan bahwa regulator, penegak hukum, dan pelanggan mendapatkan pemberitahuan setelah terjadi pelanggaran data.
Peran utama dalam SOC
Bergantung pada skala organisasi, SOC pada umumnya mencakup peran berikut:
Director of Incidence Response
Peran ini, yang biasanya hanya terdapat dalam organisasi yang sangat besar, bertanggung jawab untuk mengoordinasikan deteksi, analisis, pembatasan, dan pemulihan selama insiden keamanan. Peran ini juga mengelola komunikasi dengan pemangku kepentingan yang sesuai.
SOC Manager
SOC biasanya diawasi oleh Manajer, yang biasanya melapor kepada Chief Information Security Officer (CISO). Tugasnya meliputi mengawasi personel, menjalankan operasi, melatih karyawan baru, dan mengelola keuangan.
Security Engineer
Security Engineer menjaga agar sistem keamanan organisasi tetap berjalan. Hal ini termasuk merancang arsitektur keamanan serta meneliti, menerapkan, dan memelihara solusi keamanan.
Security Analyst
Sebagai penanggap pertama dalam insiden keamanan, peran ini mengidentifikasi ancaman, memprioritaskannya, kemudian mengambil tindakan untuk mengatasi kerusakan yang terjadi. Selama serangan cyber, mereka mungkin perlu mengisolasi host, titik akhir, atau pengguna yang telah terinfeksi. Di beberapa organisasi, peran ini dikelompokkan berdasarkan tingkat keparahan ancaman yang menjadi tanggung jawab setiap kelompok.
Threat Hunter
Di beberapa organisasi, Security Analyst yang paling berpengalaman disebut Threat Hunter. Orang-orang ini mengidentifikasi dan merespons ancaman tingkat lanjut yang tidak terdeteksi oleh alat otomatis. Ini adalah peran proaktif yang dirancang untuk memperdalam pemahaman organisasi mengenai ancaman yang diketahui dan mengungkap ancaman yang tidak diketahui sebelum serangan terjadi.
Forensic Analyst
Organisasi yang lebih besar juga dapat mempekerjakan Forensic Analyst, yang mengumpulkan informasi intelijen setelah pelanggaran terjadi untuk menentukan akar permasalahannya. Mereka mencari kerentanan sistem, pelanggaran kebijakan keamanan, dan pola serangan cyber yang mungkin berguna dalam mencegah hal serupa di masa mendatang.
Tipe SOC
Ada beberapa cara berbeda yang dilakukan organisasi dalam menyiapkan SOC. Beberapa memilih untuk membangun SOC khusus dengan staf purnawaktu. Tipe SOC ini dapat bersifat internal dengan lokasi fisik lokal, atau dapat bersifat virtual dengan staf yang berkoordinasi dari jarak jauh menggunakan alat digital. Banyak SOC virtual yang menggunakan kombinasi staf kontrak dan purnawaktu. SOC alih daya, yang juga dapat disebut sebagai SOC terkelola atau pusat operasi keamanan sebagai layanan, dijalankan oleh penyedia layanan keamanan terkelola, yang bertanggung jawab untuk mencegah, mendeteksi, menyelidiki, dan merespons ancaman. Anda juga dapat menggunakan kombinasi staf internal dan penyedia layanan keamanan terkelola. Versi ini disebut SOC yang dikelola bersama atau hibrid. Organisasi menggunakan pendekatan ini untuk menambah staf mereka sendiri. Misalnya, jika organisasi tidak memiliki penyelidik ancaman, akan lebih mudah untuk mempekerjakan pihak ketiga daripada mencoba merekrutnya secara internal.
Pentingnya tim SOC
SOC yang tangguh membantu dunia usaha, pemerintah, dan organisasi lain untuk mempersiapkan diri dalam menghadapi lanskap ancaman cyber yang terus berkembang. Ini bukanlah tugas yang mudah. Baik komunitas penyerang maupun komunitas pertahanan sering kali mengembangkan teknologi dan strategi baru, dan dibutuhkan waktu serta fokus untuk mengelola semua perubahan ini. Dengan menggunakan pengetahuan tentang lingkungan keamanan cyber yang lebih luas serta pemahaman tentang kelemahan internal dan prioritas bisnis, SOC membantu organisasi mengembangkan peta strategi keamanan yang selaras dengan kebutuhan bisnis jangka panjang. SOC juga dapat meminimalkan dampak bisnis saat terjadi serangan. Karena terus memantau jaringan dan menganalisis data peringatan, SOC lebih mungkin mendeteksi ancaman lebih awal dibandingkan tim yang tersebar di beberapa prioritas lainnya. Dengan pelatihan rutin dan proses yang terdokumentasi dengan baik, SOC dapat mengatasi insiden terkini dengan cepat, bahkan di bawah tekanan ekstrem. Hal ini mungkin sulit dilakukan bagi tim yang tidak dapat berfokus pada operasi keamanan yang dilakukan sepanjang hari, setiap hari.
Manfaat SOC
Dengan menyatukan sumber daya manusia, alat, dan proses yang digunakan untuk melindungi organisasi dari ancaman, SOC membantu organisasi bertahan secara lebih efisien dan efektif dari serangan dan pelanggaran.
Postur keamanan yang tangguh
Meningkatkan keamanan organisasi adalah tugas yang tidak ada akhirnya. Diperlukan pemantauan, analisis, dan perencanaan berkelanjutan untuk menemukan kerentanan dan tetap mengikuti perkembangan teknologi. Saat prioritas tidak terukur dengan baik, pekerjaan ini akan mudah diabaikan demi tugas-tugas yang dirasa lebih mendesak.
SOC terpusat membantu memastikan proses dan teknologi terus ditingkatkan sehingga mengurangi risiko serangan.
Kepatuhan terhadap peraturan privasi
Industri, negara bagian, negara, dan daerah memiliki berbagai peraturan yang mengatur pengumpulan, penyimpanan, dan penggunaan data. Banyak yang mewajibkan organisasi untuk melaporkan pelanggaran data dan menghapus data pribadi atas permintaan konsumen. Memiliki proses dan prosedur yang tepat sama pentingnya dengan memiliki teknologi yang tepat. Anggota SOC membantu organisasi mematuhi peraturan tersebut dengan mengambil bertanggung jawab dalam menjaga teknologi dan proses data tetap mutakhir.
Respons insiden cepat
Makin cepat serangan cyber ditemukan dan dihentikan akan makin baik. Dengan alat, sumber daya manusia, dan inteligensi yang tepat, banyak pelanggaran dapat dihentikan sebelum menimbulkan kerusakan. Namun pelaku kejahatan juga pandai dalam bersembunyi, mencuri data dalam jumlah besar, dan meningkatkan hak istimewa mereka sebelum ada yang menyadarinya. Insiden keamanan juga merupakan peristiwa yang sangat menegangkan, terutama bagi orang yang tidak berpengalaman dalam respons insiden.
Dengan menggunakan inteligensi ancaman terpadu dan prosedur yang terdokumentasi dengan baik, tim SOC dapat mendeteksi, merespons, dan memulihkan serangan dengan cepat.
Menurunkan biaya pelanggaran
Kerugian yang dialami perusahaan dalam suatu pelanggaran bisa sangat besar. Pemulihan sering kali menyebabkan waktu henti yang signifikan, dan banyak bisnis kehilangan pelanggan atau kesulitan mendapatkan akun baru segera setelah kejadian. Dengan mempersiapkan diri dalam menghadapi penyerang dan merespons dengan cepat, SOC membantu organisasi menghemat waktu dan biaya untuk kembali beroperasi dengan normal.
Praktik terbaik untuk tim SOC
Dengan banyaknya tanggung jawab, SOC harus diatur dan dikelola secara efektif untuk mencapai hasil. Organisasi dengan SOC yang tangguh menerapkan praktik terbaik berikut:
Strategi penyelarasan bisnis
SOC yang memiliki pendanaan besar pun harus membuat keputusan tentang di mana waktu dan dananya harus difokuskan. Organisasi biasanya memulai dengan penilaian risiko untuk mengidentifikasi area dengan risiko terbesar dan peluang terbesar bagi bisnis. Hal ini membantu mengidentifikasi apa saja yang perlu dilindungi. SOC juga perlu memahami lingkungan tempat aset tersebut berada. Banyak bisnis memiliki lingkungan yang kompleks dengan beberapa data dan aplikasi di lokasi lokal dan beberapa di cloud. Strategi membantu menentukan apakah profesional keamanan perlu tersedia setiap hari, setiap waktu, dan apakah lebih baik menempatkan SOC rekrutan internal atau menggunakan layanan profesional.
Staf yang terampil dan terlatih
Kunci dari SOC yang efektif adalah staf yang terampil dan terus berkembang. Hal ini dapat dimulai dengan menemukan bakat terbaik, tetapi ini bisa menjadi rumit karena pasar untuk staf keamanan sangatlah kompetitif. Untuk menghindari kesenjangan keterampilan, banyak organisasi mencoba mencari orang-orang dengan berbagai keahlian, seperti pemantauan sistem dan intelijen, manajemen peringatan, deteksi dan analisis insiden, perburuan ancaman, peretasan etis, forensik cyber, dan rekayasa balik. Mereka juga menyebarkan teknologi yang mengotomatiskan tugas untuk memungkinkan tim yang lebih kecil melakukan tugas dengan lebih efektif dan meningkatkan output analis junior. Berinvestasi dalam pelatihan reguler membantu organisasi mempertahankan staf penting, mengisi kesenjangan keterampilan, dan mengembangkan karier mereka.
Visibilitas menyeluruh
Karena serangan dapat dimulai dari satu titik akhir, SOC harus memiliki visibilitas di seluruh lingkungan organisasi, termasuk apa pun yang dikelola oleh pihak ketiga.
Alat yang tepat
Ada begitu banyak peristiwa keamanan yang membuat tim menjadi mudah kewalahan. SOC yang efektif berinvestasi pada alat keamanan yang dapat bekerja sama dengan baik dan menggunakan AI serta otomatisasi untuk meningkatkan risiko yang signifikan. Interoperabilitas adalah kunci untuk menghindari kesenjangan dalam cakupan.
Alat dan teknologi SOC
Security information and event management (SIEM)
Salah satu alat terpenting dalam SOC adalah solusi SIEM berbasis cloud, yang mengagregasi data dari berbagai solusi keamanan dan file log. Dengan menggunakan inteligensi ancaman dan AI, alat-alat ini membantu SOC mendeteksi ancaman yang terus berkembang, mempercepat respons insiden, dan mempersiapkan diri menghadapi penyerang.
Orkestrasi, otomatisasi, dan respons keamanan (SOAR)
SOAR mengotomatiskan tugas pengayaan, respons, dan remediasi yang berulang serta dapat diprediksi sehingga menghemat waktu dan sumber daya untuk penyelidikan serta perburuan yang lebih mendalam.
Deteksi dan respons yang diperluas (XDR)
XDR merupakan alat perangkat lunak sebagai layanan yang menawarkan keamanan holistik dan optimal dengan mengintegrasikan produk keamanan dan data ke dalam solusi yang disederhanakan. Organisasi menggunakan solusi ini untuk mengatasi lanskap ancaman yang terus berkembang dan tantangan keamanan yang kompleks di lingkungan hibrid multicloud secara proaktif dan efisien. Berbeda dengan sistem seperti deteksi dan respons titik akhir (EDR), XDR memperluas cakupan keamanan, kemudian mengintegrasikan perlindungan di berbagai produk, termasuk titik akhir organisasi, server, aplikasi cloud, email, dan lainnya. XDR menggabungkan pencegahan, deteksi, penyelidikan, dan respons untuk memberikan visibilitas, analitik, peringatan insiden yang berkorelasi, dan respons otomatis untuk meningkatkan keamanan data serta memerangi ancaman.
Firewall
Firewall memantau lalu lintas dari dan menuju jaringan, mengizinkan atau memblokir lalu lintas berdasarkan aturan keamanan yang ditentukan oleh SOC.
Manajemen log
Sering kali disertakan sebagai bagian dari SIEM, solusi manajemen log mencatat semua peringatan yang datang dari setiap perangkat lunak, perangkat keras, dan titik akhir yang berjalan di organisasi. Log ini menyediakan informasi tentang aktivitas jaringan.
Alat-alat ini memindai jaringan untuk membantu mengidentifikasi kelemahan apa pun yang dapat dimanfaatkan oleh penyerang.
Analitik perilaku pengguna dan entitas
Dibuat dalam banyak alat keamanan modern, analitik perilaku pengguna dan entitas menggunakan AI untuk menganalisis data yang dikumpulkan dari berbagai perangkat guna menetapkan acuan dasar aktivitas normal untuk setiap pengguna dan entitas. Saat suatu kejadian menyimpang dari acuan dasar, kejadian tersebut ditandai untuk analisis lebih lanjut.
SOC dan SIEM
Tanpa SIEM, akan sangat sulit bagi SOC untuk mencapai misi ini. SIEM modern menawarkan:
- Agregasi log: SIEM mengumpulkan data log dan menghubungkan peringatan, yang digunakan analis untuk mendeteksi dan memburu ancaman.
- Konteks: Karena SIEM mengumpulkan data di seluruh teknologi dalam organisasi, SIEM membantu menghubungkan titik-titik di antara setiap insiden untuk mengidentifikasi serangan mutakhir.
- Lebih sedikit peringatan: Dengan menggunakan analitik dan AI untuk menghubungkan peringatan dan mengidentifikasi peristiwa paling serius, SIEM mengurangi jumlah insiden yang perlu ditinjau dan dianalisis.
- Respons otomatis: Aturan bawaan memungkinkan SIEM mengidentifikasi kemungkinan ancaman dan memblokirnya tanpa memerlukan interaksi manusia.
Penting juga untuk dicatat bahwa SIEM saja tidak cukup untuk melindungi suatu organisasi. Sumber daya manusia dibutuhkan untuk mengintegrasikan SIEM dengan sistem lain, menentukan parameter untuk deteksi berbasis aturan, dan mengevaluasi peringatan. Inilah sebabnya menentukan strategi SOC dan merekrut staf yang tepat sangatlah penting.
Solusi SOC
Ada beragam solusi yang tersedia untuk membantu SOC melindungi organisasi. Solusi terbaik bekerja sama untuk memberikan cakupan penuh di seluruh cloud lokal dan multi-cloud. Microsoft Security memberikan solusi yang komprehensif untuk membantu SOC menyingkirkan kesenjangan dalam cakupan dan mendapatkan pandangan menyeluruh terhadap lingkungannya. Microsoft Sentinel adalah SIEM berbasis cloud yang terintegrasi dengan solusi deteksi dan respons yang diperluas Microsoft Defender untuk memberikan data yang dibutuhkan analis dan threat hunter guna menemukan dan menghentikan serangan cyber.
Pelajari selengkapnya tentang Microsoft Security
Microsoft SIEM dan XDR
Dapatkan perlindungan terhadap ancaman yang terintegrasi di seluruh perangkat, identitas, aplikasi, email, data, dan beban kerja cloud.
Microsoft Defender XDR
Hentikan serangan dengan perlindungan terhadap ancaman lintas domain yang didukung oleh Microsoft XDR.
Microsoft Sentinel
Temukan ancaman mutakhir dan respons secara tegas dengan solusi SIEM yang mudah dan andal, yang didukung oleh cloud dan AI.
Inteligensi Ancaman Microsoft Defender
Bantu identifikasi serta singkirkan penyerang dan alat yang mereka gunakan dengan tampilan tak tertandingi ke lanskap ancaman yang terus berkembang.
Manajemen Permukaan Serangan Eksternal Microsoft Defender
Dapatkan visibilitas berkelanjutan di luar firewall untuk membantu menemukan sumber daya tak terkelola dan menemukan kelemahan di lingkungan multicloud Anda.
Tanya jawab umum
-
Pusat operasi jaringan (NOC) berfokus pada kinerja dan kecepatan jaringan. Ini tidak hanya merespons pemadaman, tetapi juga memantau jaringan secara proaktif untuk mengidentifikasi masalah yang dapat memperlambat lalu lintas. Selain memantau jaringan dan lingkungan lainnya, SOC juga mencari bukti adanya serangan cyber. Karena insiden keamanan dapat mengganggu kinerja jaringan, NOC dan SOC perlu mengoordinasikan aktivitas. Beberapa organisasi menempatkan SOC di dalam NOC untuk mendorong kolaborasi.
-
Tim SOC memantau server, perangkat, database, aplikasi jaringan, situs web, dan sistem lainnya untuk mengungkap potensi ancaman secara real time. Mereka juga melakukan pekerjaan keamanan proaktif dengan terus mengikuti perkembangan ancaman terbaru dan mengidentifikasi serta mengatasi kerentanan sistem atau proses sebelum penyerang mengeksploitasinya. Jika organisasi mengalami serangan yang berhasil, tim SOC bertanggung jawab untuk menghapus ancaman dan memulihkan sistem dan pencadangan jika diperlukan.
-
SOC terdiri dari orang, alat, dan proses yang membantu melindungi organisasi dari serangan cyber. Untuk mencapai tujuannya, ia menjalankan fungsi berikut: inventarisasi semua aset dan teknologi, pemeliharaan dan kesiapan rutin, pemantauan berkelanjutan, deteksi ancaman, intelijen ancaman, manajemen log, respons insiden, pemulihan dan remediasi, investigasi akar penyebab, penyempurnaan keamanan, dan manajemen kepatuhan.
-
SOC yang kuat membantu organisasi mengelola keamanan secara lebih efisien dan efektif dengan menyatukan pertahanan, alat deteksi ancaman, dan proses keamanan. Organisasi dengan SOC dapat meningkatkan proses keamanan, merespons ancaman dengan lebih cepat, dan mengelola kepatuhan dengan lebih baik daripada perusahaan tanpa SOC.
-
SOC adalah orang, proses, dan alat yang bertanggung jawab untuk melindungi organisasi dari serangan cyber. SIEM adalah salah satu dari banyak alat yang digunakan SOC untuk mempertahankan visibilitas dan merespons serangan. SIEM mengumpulkan file log serta menggunakan analitik dan otomatisasi untuk memunculkan ancaman yang kredibel kepada anggota SOC yang memutuskan cara merespons ancaman.
Ikuti Microsoft