Keamanan merupakan faktor penting yang perlu diperhatikan perusahaan di era digital. Apalagi di tengah pandemi, ancaman keamanan semakin rentan karena penerapan kebijakan bekerja dari rumah yang memberikan tantangan tersendiri bagi keamanan perusahaan. Belum lagi dorongan transformasi digital yang perlu dipercepat dalam menghadapi pandemi dan mengharuskan perusahaan memerhatikan keamanan siber. Di antara metode keamanan yang dapat diterapkan perusahaan adalah SOAR dan SIEM dalam Managed Security Operation Center (SOC). Berikut penjelasan apa itu SIEM, apa itu SOAR serta perbedaan SOAR dan SIEM.
Apa itu SIEM?
SIEM adalah singkatan dari Security Information and Event Management. Sistem SIEM umumnya memberikan dua hasil utama yaitu laporan dan peringatan. Fitur laporan SIEM akan mengumpulkan dan menampilkan insiden terkait keamanan, seperti aktivitas berbahaya hingga upaya log-in yang gagal. Fitur peringatan akan berjalan ketika mesin analisis mendeteksi aktivitas mencurigakan. Dengan SIEM, perusahaan dapat meningkatkan waktu identifikasi dan respons melalui agregasi dan normalisasi data. Selain itu, SIEM juga mempercepat deteksi ancaman hingga peringatan keamanan. Bagi tim keamanan dan DevOps, SIEM menawarkan kemampuan untuk melihat aplikasi, infrastuktur dan data log jaringan yang dihimpun dari semua host sistem dalam satu antarmuka. Hal ini memungkinkan tim IT dan keamanan untuk mengidentifikasi serangan dan melacak upaya penyerangan melalui komponen jaringan. Data log yang terpusat juga membantu identifikasi host mana yang terdampak serangan. Perangkat SIEM biasanya dilengkapi dengan mekanisme otomatis untuk memberikan notifikasi tentang kemungkinan pelanggaran. SIEM dapat secara otomatis merespons bahkan menghentikan serangan saat masih berproses. Misalnya, memutuskan host yang mungkin disusupi, sehingga meminimalisir dampak pelanggaran.
Baca juga: Potensi Ancaman Keamanan dari Adopsi Teknologi AI
Apa itu SOAR?
SOAR adalah singkatan dari Security Orchestration Automation and Response. Secara umum, SOAR merupakan pendekatan baru untuk operasi keamanan, khususnya dalam hal merespons insiden. SOAR memiliki keunggulan utama dalam hal meningkatkan efisiensi, kecepatan, ketersediaan dan stabilitas operasi keamanan. Tool SOAR dapat mengintegrasikan semua alat dan aplikasi yang ada dalam sistem keamanan perusahaan, sehingga memungkinkan tim keamanan mengotomatisasi alur kerja respons ketika ada insiden pelanggaran keamanan. Dengan demikian, SOAR dapat memangkas waktu mulai dari identifikasi pelanggaran hingga proses penyelesaiannya. SOAR terdiri dari tiga pilar yaitu orkestrasi, otomatisasi dan respons. Setiap pilar tersebut menangani tantangan keamanan yang berbeda yang dihadapi oleh tim terkait. Mirip dengan SIEM, SOAR menghimpun dan memusatkan data sehingga semua informasi yang diperlukan untuk mengidentifikasi dan merespons insiden tersedia dan dapat diakses dengan mudah di satu lokasi. Berkat kemampuan orkestrasi SOAR, semua teknologi yang diperlukan untuk merespons insiden keamanan dapat berkolaborasi dengan lancar. Dalam hal otomatisasi, pendekatan SOAR akan menjalankan langkah dan respons yang paling tepat sesuai informasi yang telah dihimpun, untuk mengatasi ancaman serangan yang terdeteksi. Dengan SOAR, perusahaan dapat mengategorikan respons ke dalam beberapa area termasuk tindakan dari sisi infrastruktur, aktivitas penguatan keamanan hingga operasi yang terkait dengan bisnis.
Baca juga: Pentingnya Menjaga Perusahaan di Sektor Perbankan dari Serangan DDoS
Perbedaan SIEM dan SOAR
Meski tampak serupa, terdapat perbedaan SIEM dan SOAR dalam beberapa hal. Berikut perbandingan SIEM dan SOAR.
- Fungsi dan kemampuan inti
SIEM lebih ditujukan untuk penyimpanan data, intelijen keamanan, dan kebutuhan analisis. Secara paralel SIEM memanfaatkan agregasi data, deteksi ancaman, identifikasi dan notifikasi. Namun, proses ini mengharuskan keterlibatan manusia dalam tahap akhir karena tidak dibuat otomatis.
SIEM hanya meningkatkan peringatan ketika aktivitas mencurigakan terdeteksi. Analis keamanan selanjutnya harus terlibat secara manual untuk memutuskan apakah diperlukan penyelidikan lebih lanjut atau tidak, serta menyatakan temuan itu sebagai insiden. Sementara itu, SOAR menjalankan semua proses secara otomatis. SOAR memiliki kemampuan untuk menyatakan suatu peristiwa sebagai insiden keamanan atau hanya peristiwa biasa yang tidak berbahaya.
- Intervensi manusia
Perbedaan utama SIEM dan SOAR adalah jumlah intervensi manusia yang diperlukan untuk mengoperasikan setiap jenis alat atau perangkat. SIEM memerlukan penyempurnaan dan pengembangan yang konstan agar tim keamanan dapat memaksimalkan fungsinya. Meski SIEM dirancang untuk menghemat waktu, sistem ini sering kali menguras waktu karena diperlukan tim untuk mengelola, memelihara operasional hingga membedakan jenis peringatan.
Sebaliknya, SOAR membantu meminimalisir campur tangan manusia karena otomatisasi menjadi tujuan utamanya. Mengingat SOAR dapat menyaring serangan “palsu”, sistem ini menghasilkan sedikit peringatan sehingga memungkinkan analis keamanan untuk fokus dalam meningkatkan dan mengotomatiskan lebih banyak rencana merespons insiden. Meskipun demikian, untuk mengatasi mission critical system masih diperlukan persetujuan dari ahli atau teknisi (manusia).
- Sumber data
SIEM dan SOAR menggunakan jenis data yang sama yaitu data log dan peristiwa di semua komponen aplikasi dan jaringan. Namun, keragaman sumber data dan jumlah yang dikumpulkan keduanya berbeda signifikan.
SIEM biasanya mengumpulkan data log dan peristiwa dari host dan sumber infrastruktur seperti firewall, tool Data loss prevention (DLP), serta sistem deteksi dan pencegahan malware. Di sisi lain SOAR dapat mengintegrasikan berbagai macam sumber data termasuk aplikasi eksternal untuk mengumpulkan berbagai jenis data lebih banyak. Namun mengingat SOAR didasarkan pada tujuan otomatisasi, sistemnya harus memiliki pengetahuan sebanyak mungkin terkait tindakan dan konfigurasi jaringan untuk mengidentifikasi anomali.
Baca juga: Ancaman Siber: Kendala dalam Transformasi Digital di Pemerintahan
Meskipun SIEM dan SOAR memiliki keunggulan dan perbedaan, tetapi akan lebih baik jika keduanya dikolaborasikan ke dalam satu sistem, yaitu Managed Operation Center. Dengan demikian, deteksi dan respons akan lebih unggul dalam mencegah serangan siber. Singkatnya, SIEM dapat digunakan untuk mendeteksi dan merespons, sedangkan SOAR meningkatkan kemampuan SIEM agar dapat melakukan respons secara semi atau otomatis berdasarkan batasan variabel yang sudah ditentukan sebelumnya. Untuk mengetahui lebih lanjut terkait bagaimana perusahaan harus merespons setiap ancaman keamanan, Anda dapat mengikuti webinar Lintasarta. Bersama sejumlah pakar teknologi, Lintasarta akan berbagi pengetahuan terkait upaya keamanan yang perlu dijalankan perusahaan dalam menjalankan transformasi di tengah pandemi pada Jum’at, 11 Desember 2020 pukul 14.00 WIB, klik di sini untuk daftar. Anda juga dapat menggunakan solusi Lintasarta Managed Security Operation Center untuk memperkuat keamanan perusahaan. Hubungi kami untuk informasi lebih lanjut terkait Lintasarta Managed Security.