Bagaimana membangun pusat operasi keamanan dari bawah ke atas

Bagaimana membangun pusat operasi keamanan dari bawah ke atas

Gembok keamanan merah dan biru

Membangun pusat operasi keamanan (SOC) adalah prestasi yang tinggi. Dengan kekurangan bakat teknologi global yang diperkirakan mencapai 85 juta pekerja pada tahun 2030, jelas bahwa bakat akan sulit ditemukan.

Organisasi harus belajar membuat SOC dengan cara yang dapat disesuaikan yang membuat penskalaan untuk memenuhi berbagai permintaan klien menjadi mudah sambil mengatasi kekurangan bakat keamanan siber. Pertimbangan khusus harus dibuat mengenai pemilihan alat, penempatan staf yang tepat, kebutuhan organisasi dan melakukan analisis kesenjangan/risiko dengan memanfaatkan konsultasi dari luar jika berlaku. Mari jelajahi beberapa praktik terbaik.

Membangun Fondasi yang Kokoh

Mengetahui apa yang Anda lindungi dan mengapa merupakan langkah penting pertama dalam membangun SOC. Karena sebagian besar unit bisnis tidak akan tahu persis apa yang mereka inginkan dari SOC, arsitek dan insinyur keamanan harus menyesuaikan diri dengan mereka sebelum membangun mulai memahami bagaimana mereka berinteraksi dengan TI dan sistem apa yang berada di bawah pengawasan mereka. Struktur SOC harus diselaraskan dengan kebutuhan organisasi secara keseluruhan dan tujuan bisnis agar dapat bekerja dengan baik dan berhasil. Setelah penyelarasan ini selesai, tim keamanan dapat bekerja mundur dengan mengetahui hasil yang diinginkan, sasaran pengalaman pengguna, tindakan respons, dan pohon pemberitahuan, yang pada akhirnya memutuskan bagaimana mereka ingin berinteraksi dan berkomunikasi dengan tim operasi keamanan.

Memprioritaskan respons insiden dan aktivitas remediasi terkait sangat penting untuk keberhasilan SOC. Penilaian maturitas eksternal dari program Tanggap Insiden dan Remediasi harus dilakukan dan diprioritaskan dibandingkan hanya berfokus pada asal sinyal. Hal ini memungkinkan input dan output dinormalisasi dengan hati-hati dan dipetakan ke playbook saat diimplementasikan, menghabiskan lebih sedikit waktu untuk memutuskan apa yang harus dilakukan berdasarkan penelitian ke mana harus mengirim lalu lintas.

Perusahaan juga harus mempertimbangkan taksonomi dan ontologi, memutuskan Model Data Umum untuk digunakan, dan menyediakan kerangka kerja yang mempercepat integrasi alat dan menyederhanakan pemetaan informasi. Model data harus top-of-mind, dan semua jalur pipa terkait, alur kerja, dan umpan data yang diserap ke dalam SOC harus secara otomatis dinormalisasi dan diperkaya, seperti sistem dan titik akhir, perangkat seluler, jaringan (IDS/IPS/WAF/VPN/ Jejak Audit API), server dan aplikasi (SaaS + on-prem), cloud dan infrastruktur fisik (beban kerja dan postur/kepatuhan), kerentanan, manajemen identitas dan akses, serta jejak audit.

Terakhir, penting bagi organisasi untuk memanfaatkan alat yang mendukung alur kerja analis dalam SOC. Ini termasuk manajemen kerentanan, deteksi dan respons titik akhir (EDR), analitik perilaku pengguna dan entitas (UEBA), otomatisasi keamanan, pengumpulan dan manajemen log, informasi keamanan dan manajemen peristiwa (SIEM), dan intelijen ancaman secara keseluruhan.

Mengutamakan Talent, Technology dan Data Feed

Organisasi yang lebih kecil juga harus mempertimbangkan kemitraan untuk membantu mengatasi banyak tantangan dalam menyesuaikan ukuran SOC mereka dan menghilangkan kebutuhan untuk “menyelesaikan staf” selama fase pembangunan. Salah satu dari banyak kemitraan untuk dijajaki adalah hubungan yang kuat dengan MDR/MSSP yang menyediakan cakupan sambil membangun SOC internal. Hubungan ini nantinya dapat berlapis atau dihentikan tergantung pada kebutuhan organisasi setelah SOC beroperasi.

Platform alat otomatisasi keamanan modern dapat membantu organisasi dalam menyatukan SOC dengan mengalihdayakan beban kerja tertentu, bahkan saat memiliki SOC dengan staf penuh atau MSSP untuk cakupan tambahan. Perusahaan harus mencari solusi yang dapat membantu mereka menangani volume peringatan dan insiden yang dilayani oleh tim keamanan, serta memfasilitasi proses di mana pengelolaan tiket biasa, kueri, pencarian, pengayaan, dan tindakan dilakukan secara otomatis, dan dilakukan dengan kecepatan mesin . Beberapa organisasi beralih secara khusus ke penawaran otomatisasi keamanan full-code, low-code, dan no-code yang memberi tim keamanan cara standar untuk menggunakan informasi dari berbagai sumber untuk membatasi peralihan konteks. Karena sebagian besar organisasi tidak diperlengkapi untuk staf SOC 24/7, tim keamanan dari semua ukuran akan mendapat manfaat dari solusi yang dapat diskalakan dan dapat diadaptasi yang memungkinkan dan meningkatkan beban kerja SOC mereka. Setelah dibuat, pengujian, pemantauan, penyetelan, dan pemeliharaan berkelanjutan sangat penting untuk memvalidasi bahwa SOC bekerja dengan benar.

Mengembangkan strategi SOC yang kuat, menyiapkan lingkungan Anda dengan benar, menerapkan kasus penggunaan end-to-end, dan memelihara serta mengembangkan solusi Anda secara konsisten sangat penting untuk keberhasilan pusat operasi keamanan. Terus mengukur kinerja untuk berkembang dan meningkatkan, memperluas fungsionalitas keseluruhan di luar SOC, sambil berkomunikasi dengan jelas dengan tim keamanan Anda tentang persyaratan akan memastikan bahwa program Anda tepercaya dan diperlengkapi dengan baik untuk mencegah, mendeteksi, menyelidiki, dan merespons setiap ancaman yang muncul.

Kredit gambar: deepadesigns / Shutterstock

Michael Lyborg adalah Wakil Presiden Senior Keamanan Global dan TI Perusahaan di Swimlane.

Author: Kenneth Henderson