Sebuah studi State of Security Operations 2020 dari Forrester Consulting mengungkapkan bahwa tim keamanan perusahaan di seluruh dunia mengalami kesulitan menjalankan SOC untuk mengatasi ancaman serangan siber. Serangan ini terus meningkat dalam hal kecepatan, volume, dan kecanggihannya.
Baca juga: 3 Elemen Penting dalam Cyber Threat Intelligence
Hal ini semakin dirasakan saat pandemi COVID-19 dan sejumlah perusahaan global terkemuka di berbagai industri menjadi korban serangan siber tingkat tinggi pada tahun 2020, meski perusahaan-perusahaan tersebut telah memiliki sumber daya yang baik dalam hal keamanan. Survei Forrester bahkan mencatat 79% perusahaan telah mengalami ancaman keamanan di dunia maya sepanjang tahun 2020 dan hampir 50% dalam enam bulan terakhir.
Hal tersebut bisa terjadi karena kurangnya sistem yang canggih pada SOC. Misalnya, hanya 13% perusahaan yang menggunakan otomatisasi dan machine learning untuk mendeteksi, menganalisis, dan merespons ancaman. Berbagai survei atau studi bahkan sangat menyarankan setiap perusahaan untuk memiliki SOC karena telah terbukti memberikan dorongan signifikan bagi inisiatif keamanan siber organisasi, yang menjadikan SOC sebagai landasan inisiatif keamanan siber perusahaan yang efektif.
Baca juga: SIEM: Cara untuk Memaksimalkan SOC Agar Lebih Terpusat
Penelitian menunjukkan bahwa 52% lebih dari sistem keamanan siber perusahaan yang sangat sukses pasti menjalankan SOC di dalam praktik keamanannya. Lalu apa saja praktik terbaik dalam menjalankan SOC dalam sistem keamanan siber perusahaan?
Praktik Terbaik untuk Menjalankan SOC
- SOC Harus Mengaktifkan Kontrol Jaringan End-to-End
SOC bertugas melindungi perusahaan dari ancaman jaringan, tetapi Anda perlu menentukan batas jaringan perusahaan secara tepat untuk mencapainya. Sering terjadi kesalahpahaman bahwa jaringan eksternal identik dengan Internet publik, dan apa pun yang bukan bagian dari Internet publik itu aman.
Padahal jaringan pihak ketiga mana pun (termasuk dan di luar Internet) dapat menjadi vektor ancaman. Untuk organisasi atau perusahaan modern, integrasi aplikasi berbasis API, koneksi perangkat eksternal melalui WiFi atau Bluetooth, dan sumber daya bersama Cloud juga harus termasuk dalam definisi jaringan eksternal.
Dalam hal jaringan internal, akses hak istimewa paling rendah harus menjadi aturan praktis Anda, dan tidak ada satu pengguna pun yang boleh memiliki akses penuh ke informasi sensitif/berharga. Pisahkan jaringan internal Anda menjadi beberapa tingkatan akses (berdasarkan konten asetnya), dibantu oleh solusi firewall yang kuat. - Perhatikan Penemuan Shadow App
Shadow app (bagian dari Shadow IT) merupakan ancaman nyata bagi perusahaan. Biasanya, SOC telah membatasi penginstalan perangkat lunak pada sistem perusahaan, bahkan jika aplikasi tersebut berasal dari sumber tepercaya.
Namun, di dunia remote working, hal ini menjadi masalah besar. Pengguna yang sedang melakukan remote working dapat dengan sengaja atau tidak sengaja mengunduh aplikasi berbahaya dari Internet, yang akhirnya menyebar ke seluruh jaringan internal.
Selain firewall, lakukan latihan penemuan aplikasi secara rutin untuk membuat inventaris perangkat lunak lengkap di ratusan dan ribuan komputer di jaringan Anda. Klasifikasikan aplikasi ini sesuai dengan risiko keamanannya dan ambil tindakan. - Awasi Perkembangan Hardware, Meski di Lingkungan yang Mengutamakan Cloud
Mitos lain seputar pemeliharaan SOC adalah bahwa hardware tidak termasuk dalam cakupannya. Karena sebagian besar vektor keamanan cenderung terkait dengan software (menyebar melalui Cloud atau jaringan publik/swasta), SOC sering melupakan hardware dan hanya fokus pada software saja.
Pada kenyataannya, perluasan hardware, seperti menambahkan perangkat tambahan seperti printer, router, repeater WiFi, titik akhir penyimpanan, dan komponen tidak sah lainnya merupakan risiko bagi setiap perusahaan. Segera lakukan pencegahan konektivitas hardware yang tidak sah sebagai prioritas untuk SOC Anda. Selain itu, terapkan proses yang membatasi karyawan untuk menyalin data untuk penggunaan di rumah atau di luar kantor. - Lindungi Log SOC untuk Membantu Penyelidikan
Log akses adalah salah satu alat Anda yang paling berguna saat melakukan analisis forensik pasca-serangan. Namun, log itu sendiri bisa rentan, dan komprominya akan melumpuhkan kemampuan Anda untuk menilai dan merespons ancaman keamanan apa pun.
Salah satu hal pertama yang akan dilakukan aplikasi jahat setelah memasuki sistem Anda adalah menghapus bukti serangan dengan menulis ulang log perangkat. Itulah sebabnya Anda disarankan untuk menyimpan log akses di zona terpisah dengan keamanan tinggi yang tidak terhubung ke perangkat itu sendiri.
Selanjutnya, pastikan untuk menyinkronkan stempel waktu di semua perangkat perusahaan yang menghasilkan log secara teratur. Kunci tunggal yang disinkronkan akan memastikan bahwa semua perangkat mengikuti sumber waktu pusat, memungkinkan peristiwa akses diplot dengan lebih mudah. Jika terjadi pelanggaran, Anda dapat merekonstruksi insiden tersebut dengan menyatukan log di berbagai perangkat. - Siapkan Rencana Darurat
Mengingat sifat ancaman keamanan yang tidak dapat diprediksi dan terus berkembang pesat, ada baiknya tim SOC memiliki rencana darurat. Rencana darurat ini salah satunya adalah berinvestasi dalam sistem cadangan yang dapat membantu memulihkan aset digital Anda setelah serangan, meskipun itu tidak dapat mencegah pihak jahat mengambilnya.
Sistem pencadangan berbasis Cloud dapat mempercepat pemulihan data, terutama jika pihak jahat mengincar layanan pencadangan internal Anda. Meskipun tidak ada strategi pencadangan yang 100% tahan peretas, ingat aturan 3-2-1, yaitu tiga salinan informasi, termasuk data primer/dinamis/produksi dan dua cadangan.
Dalam skema ini, satu harus disimpan di luar lokasi–misalnya, di Cloud. Pastikan data produksi Anda dilindungi oleh tindakan autentikasi yang kuat, dan cadangan Cloud Anda hanya dapat diakses oleh sekelompok pengguna tertentu saat terjadi serangan siber.
Baca juga: 3 Alasan Utama Kenapa SOC Harus Menerapkan Kebijakan Terkait Standar Keamanan
Lintasarta Managed Security yang kini berubah nama menjadi SQURA menawarkan Layanan Managed SOC yang disebut SQURA SOC. Perusahaan bisa mendapatkan manfaat deteksi dan respons terhadap ancaman keamanan tanpa harus berurusan dengan sumber daya manusia, teknologi, proses, dan anggaran. Hubungi kami untuk mengetahui lebih lanjut.