Mengenal Security Operations Center (SOC)

Serangan siber yang semakin menggila memaksa suatu organisasi untuk memantau seluruh aktifitas, dan anomali pada jaringan korporat mereka yang dilansir membahayakan, dan mengambil tindakan mitigasi bila diperlukan. Dewasa ini fungsi tersebut di dalam organisasi sering disebut dengan nama Security Operations Center (SOC) atau Pusat Operasi Keamanan. Bayangan dalam benak anda benar, biasanya SOC berbentuk suatu ruangan dengan banyak layar yang memantau event-event keamanan dari perangkat kerja, dan jaringan pada suatu korporat 24 Jam sehari 7 Hari seminggu tanpa libur. Bagi anda yang sedang atau ingin membangun SOC mungkin artikel ini tepat untuk anda mengenal apa yang dimaksud dengan SOC, software yang diperlukan, dan kapabilitas orang.

Baca Juga: Istilah-Istilah dalam Cybersecurity Part 2

Pentingnya SOC dalam Memerangi Serangan Siber

SOC berfungsi sebagai pusat komando bagi semua aktivitas keamanan informasi di dalam organisasi. Dengan adanya SOC, suatu organisasi atau perusahaan, dapat dengan cepat mendeteksi, menganalisis, dan merespons berbagai ancaman siber.

1. SIEM: Jantung dari SOC

Anda mungkin mengenal Anti-Virus (AV), Endpoint Detect & Response (EDR), Web Application Firewall (WAF), Mobile Device Management (MDM), dan beragam solusi keamanan lain. Namun tidak banyak yang mengetahui SIEM SIEM (Security Information and Event Management). SIEM adalah komponen kunci atau bahkan “jantung” dari SOC. Fungsi utama dari SIEM adalah korelasi, yakni mengumpulkan dan menganalisis log-log dari perangkat keamanan, dan jaringan baik AV, EDR, WAF, Firewall, MDM, VAPT, dll untuk dibuatkan suatu peringatan keamanan (alarm). Alert ini yang kemudian perlu di-follow up dengan aksi-aksi mitigasi.

2. Bisikan Cyber Threat Intelligence

Cyber Threat Intelligence (CTI) adalah suatu solusi yang memberikan informasi akan malware, IP Address penyerang, dan domain yang tidak dipercaya. Dalam SOC, CTI adalah pembisik eksternal yang kaya akan informasi-informasi berbahaya. Sehingga, jika sebelumnya SIEM membuat alarm berdasarkan aktifitas perangkat-perangkat yang berada di dalam kepemilikan perusahaan, dengan adanya CTI, SIEM menjadi lebih awas terkait aktifitas dari info-info CTI. Beberapa CTI bahkan dapat memberikan informasi akan kebocoran password, dan profil penyerang.

Baca Juga: STRIDE Threat Modelling dalam Generative AI

3. Otomasi dengan SOAR

Saat perusahaan anda hanya memiliki sepuluh hingga seratus alarm sehari, mitigasi cukup dengan manusia, namun saat organisasi anda mengelola puluhan ribu perangkat, jutaan pelanggan, maka alarm sehari dapat menembus angka jutaan. Di sinilah SOAR (Security Orchestration, Automation, and Response) berperan. SOAR dapat mengotomasi berbagai proses, termasuk pengelolaan perangkat firewall, IPS, dan EDR. Misalnya, SOAR dapat mengatur isolasi otomatis pada endpoint yang terinfeksi atau menerapkan aturan firewall yang lebih ketat secara real-time. Dengan otomasi ini, tim SOC dapat lebih fokus pada analisis dan strategi keamanan jangka panjang.

4. Integrasi Ticketing ITSM

Meskipun anda sudah memiliki SOAR untuk otomasi mitigasi perangkat jaringan, dan perangkat keamanan untuk mengetatkan kebijakan keamanan untuk blokir, dan isolasi, masih banyak hal yang tidak dapat dilakukan secara otomatis. Contohnya kerentanan aplikasi yang perlu diperbaiki oleh tim pengembang aplikasi, kebocoran password yang perlu diganti oleh pemilik password, hingga mungkin pemasangan software anti-virus. Oleh karena itu, penting untuk menghubungkan SOC dengan IT Service Management (ITSM), sehingga ketika ditemukan alarm yang tidak dapat diotomasi tim SOC dapat langsung membuat tiket perbaikan dalam ITSM, sehingga proses mitigasi dapat dilakukan dengan cepat dan terorganisir.

Peran Manusia dalam SOC

Satu aspek yang tidak boleh diabaikan adalah peran manusia dalam pengelolaan SOC. Meskipun anda sudah investasi secara besar-besaran pada teknologi-teknologi pendukung SOC seperti SIEM, SOAR, dan CTI, namun hal tersebut menjadi sia-sia jika tidak ada orang yang mumpuni dalam mengelola SOC anda. Pada praktik-nya tim SOC dikenal dengan sebutan Security Analyst, atau SOC analyst, yang secara global dibagi menjadi tiga layer L-1, L-2, dan L-3 dengan semakin tinggi angkanya, semakin senior pula orangnya.

1. Layer 1 (L-1): Analis di layer ini bertugas memantau dan menangani alarm dasar. Mereka melakukan analisis awal dan menentukan apakah alarm tersebut membutuhkan perhatian lebih lanjut. Analis L-1 ini juga yang membuat tiket ITSM untuk dimitigasi oleh divisi, atau bagian lain. Seringnya L-1 bekerja secara rotasi shift 1, 2, atau 3 dalam waktu 8 jam setiap shift-nya untuk memenuhi pemantauan 24 jam sehari.
2. Layer 2 (L-2): Analis di layer ini melakukan investigasi lebih mendalam terhadap ancaman yang telah teridentifikasi. Analis L-2 menganalisis pola serangan dan melakukan penyelidikan untuk menentukan dampak dan cara mitigasi. Beberapa bank besar juga menerapkan rotasi shift bagi analis L-2 sebagai supervisor dari analis-analis L-1 di tim SOC.
3. Layer 3 (L-3): Analis pada layer ini bertanggung jawab untuk merespons insiden yang serius. Analis L-3 mengembangkan strategi mitigasi, mengoordinasikan respons tim, dan berkomunikasi dengan pihak lain di organisasi untuk memastikan pemulihan yang cepat. Tidak semua SOC memiliki Analis L-3 karena harganya yang mahal sekaligus sedikit jumlahnya di Indonesia. Tidak jarang analis L-3 diintegrasikan dengan Principal dari masing-masing vendor.