Mengapa SOC membutuhkan modernisasi yang mendesak [Q&A]

Pusat Operasi Keamanan (SOC) bertujuan untuk mendeteksi, menginvestigasi, memulihkan, dan memulihkan sistem organisasi ke keadaan yang berfungsi penuh dan aman, apakah itu bertahan dari ancaman orang dalam, upaya eksfiltrasi data, atau serangan malware.

Namun, memeriksa masalah sehari-hari yang dihadapi oleh banyak SOC mengungkapkan serangkaian tantangan yang semakin menekan pekerjaan SOC dan para profesional berdedikasi yang mengelolanya.

Kami berbicara dengan Richard Orange, wakil presiden EMEA di Exabeam, yang menjelaskan bagaimana tantangan ini menyoroti perlunya modernisasi SOC.

BN: Apa tantangan SOC saat ini?

RO: Ada tiga masalah utama yang muncul di benak Anda:

Mentalitas ‘catat semuanya’ — Kepatuhan adalah kontributor penting untuk peralihan ke pencatatan semua data, meskipun itu tidak berharga. Banyak organisasi berkolaborasi dengan hyperscaler untuk mencatat dan menyimpan data mereka tanpa memahami dengan jelas cara menarik wawasan darinya. Namun, mentalitas ‘simpan sekarang, gunakan nanti’, mengabaikan pertanyaan penting yang harus dipertimbangkan sebelumnya oleh tim keamanan – “Mengapa kami mencatat semuanya, dan bagaimana kami akan mengidentifikasi risiko secara waktu nyata?” Gagal menjawab pertanyaan ini akan menghasilkan pendekatan ‘catat semuanya’, secara tidak sengaja menciptakan tantangan penskalaan besar-besaran. Dipojokkan oleh kerumitan — Tim keamanan menggunakan serangkaian alat yang secara signifikan menambah tingkat kerumitan teknis dan operasional yang harus mereka hadapi setiap hari. Selain itu, banyak yang telah menerapkan SIEM secara berlapis atas SIEM karena warisan akuisisi atau dalam mengejar tujuan taktis seputar aplikasi tertentu. Akibatnya, melacak atau memperbarui setiap solusi SIEM menjadi terlalu rumit, dengan data akhir yang tidak terkonsolidasi. Pergeseran dalam pengambilan keputusan — Tanggung jawab untuk modernisasi keamanan yang ekstensif, termasuk SOC, semakin dibagikan ke seluruh organisasi. Eksekutif tingkat C yang tidak terlibat langsung dalam keamanan siber secara bertahap memasukkan risiko siber ke dalam KPI dan uraian tugas mereka. Visibilitas dunia maya yang meningkat di tingkat dewan ini menunjukkan perubahan positif, mengubah persepsi keamanan, dan meminta pertanggungjawaban organisasi yang lebih luas. Namun, pergeseran ini menghadirkan tantangan inheren bagi CISO dan tim keamanan untuk menavigasi lanskap politik baru untuk keamanan dalam organisasi sembari mencapai keseimbangan antara pengurangan risiko dan pengurangan biaya.

BN: Bagaimana seharusnya SOC beroperasi dari perspektif teknologi dan pola pikir?

RO: Dari perspektif pola pikir, dimulai dengan ‘mengapa’ adalah kunci untuk membuat keputusan yang tepat dan mencapai hasil yang dibutuhkan organisasi. Sayangnya, pembuat keputusan keamanan sering tidak memikirkan hal ini, melainkan hanya berfokus pada kebutuhan SIEM dan visualisasi. Alhasil, SIEM menjadi jawaban atas pertanyaan yang salah. Oleh karena itu, jika SOC adalah tentang bertanya dan menjawab pertanyaan, maka modernisasi SOC berarti mengajukan dan menjawab pertanyaan tersebut lebih cepat, bahkan pertanyaan yang tidak diketahui oleh para pemimpin SOC dan timnya.

Melihat perspektif teknologi, aspek fundamental dari modernisasi SOC terletak pada konsolidasi, terutama karena organisasi memerlukan elemen pemersatu untuk menghubungkan titik data dan solusi teknologi. Pada dasarnya, mereka membutuhkan sistem saraf pusat untuk SOC mereka yang bertindak sebagai lapisan presentasi, yang mencakup semua yang ada di bawahnya, terlepas dari keadaan masing-masing. Namun, kami menyadari bahwa, dalam skenario saat ini, tim SOC tidak dapat mencapai tingkat modernisasi ini tanpa bantuan. Akibatnya, mencapai tujuan ini memerlukan penggabungan pembelajaran mesin semi-diawasi atau tidak diawasi.

BN: Haruskah bisnis beralih ke cloud untuk memenuhi kebutuhan keamanan siber mereka, dan bagaimana mereka dapat menyertakan TI lokal dalam manajemen keamanan siber?

RO: Alat keamanan siber saat ini jauh lebih mudah digunakan sebagai layanan berbasis cloud. Ini berarti organisasi dengan perangkat cloud dapat beradaptasi jauh lebih cepat terhadap ancaman yang membayangi daripada organisasi lokal. Lewatlah sudah hari-hari ‘patch Tuesday’ dan ‘hack Wednesdays’. Pergeseran ke cloud terjadi dengan cepat, terlepas dari segmen dan ukuran bisnis atau persyaratan kepatuhan. Sementara beberapa bisnis enggan untuk meninggalkan solusi TI di tempat mereka karena uang yang telah dihabiskan untuk alat ini, perubahan harus terjadi agar organisasi dapat menghadapi ancaman dunia maya dengan cepat.

Banyak organisasi memiliki lingkungan yang terbelah di tengah, setengah di cloud dan setengah di tempat. Kedua lingkungan tersebut sangat berbeda, dengan banyak organisasi telah mengembangkan dua strategi keamanan yang berbeda dengan melihat beberapa alat. Masalahnya adalah sangat sedikit alat yang menjembatani kesenjangan infrastruktur ini. Oleh karena itu, tim keamanan memerlukan perspektif komprehensif dari seluruh domain mereka, yang mencakup lingkungan lokal dan cloud, dengan sudut pandang terpadu di semua aspek.

BN: Seperti apa modernisasi SOC bagi pemangku kepentingan utama?

RO: Di dalam beragam pemangku kepentingan SOC dan persona mereka, berbagai prioritas dan pertanyaan kritis mendikte fungsi SOC. Biasanya, setiap pemangku kepentingan menemukan jawaban atas pertanyaan mereka tanpa terlebih dahulu menentukan apakah mereka menjawab pertanyaan yang tepat, dan ada serangkaian pertanyaan unik ‘mengapa’ yang saat ini tidak mereka tanyakan. Misalnya:

CISO mengajukan pertanyaan tingkat bisnis tentang risiko. Mereka mungkin menjawab ini berdasarkan informasi yang diberikan oleh tim manajemen SOC melalui para analis. Namun, jika SOC tidak memiliki kemampuan untuk memahami konteks yang lebih luas, pertanyaan yang diajukan lebih jauh tidak akan memberikan jawaban yang akurat.

Manajemen SOC menanyakan apakah ada ancaman. Jika demikian, informasi ini diteruskan ke CISO untuk membantu menjawab pertanyaan tentang risiko bisnis.

Analis SOC menanggapi pertanyaan taktis dan mendetail tentang lingkungan mereka — ke mana malware menyebar, dan apakah data telah diekstraksi? Informasi ini berkontribusi pada penyelidikan manajemen SOC tentang penahanan ancaman. Namun, agar seorang analis menjadi efektif, mereka membutuhkan visibilitas di semua titik data. Sebaliknya, mereka mungkin menghabiskan 30 jam untuk menghapus malware tetapi gagal menahan ancaman yang telah menyebar ke bagian jaringan yang tidak terlihat.

BN: Apa saran Anda untuk dilakukan oleh bisnis saat ingin memodernisasi SOC mereka?

RO: Volume data yang ditangani perusahaan dibandingkan dengan 10-15 tahun yang lalu telah berubah secara dramatis. Meskipun meninjau semua data selama insiden bermanfaat, organisasi juga harus mempertimbangkan biaya penyimpanan data tersebut dan, yang lebih penting, kemampuan mereka untuk menganalisis dan memanfaatkannya secara efektif. Oleh karena itu, alat skala cloud diperlukan untuk memantau dan mengelola alat di tempat dengan cara yang memungkinkan organisasi menemukan dan mengatasi ancaman di lingkungan mereka dengan cepat.

Mengkonsolidasikan poin data dan solusi teknologi sangat penting, namun sebelum mencoba melakukannya, bisnis harus bertanya pada diri sendiri pertanyaan yang tepat. Dengan ‘mengapa’ menjadi inti dari setiap keputusan, modernisasi SOC benar-benar dapat membawa Pengembalian Investasi yang dicari setiap organisasi.

Kredit gambar: videoflow/depositphotos.com