SecOps, dibentuk dari kombinasi staf keamanan dan operasi TI, adalah tim yang sangat terampil yang berfokus pada pemantauan dan penilaian risiko serta melindungi aset perusahaan, sering kali beroperasi dari pusat operasi keamanan, atau SOC. Serangan keamanan siber sedang meningkat, dan tantangan baru untuk mendukung sebagian besar tenaga kerja jarak jauh di tengah pandemi dan seterusnya hanya membuat deteksi dan pencegahan ancaman menjadi lebih sulit. Tetap di depan penyerang adalah pertempuran yang konstan, dan biayanya tidak berkelanjutan, menurut 69% eksekutif yang disurvei untuk laporan Ketahanan Siber 2020 dari Accenture Security. Oleh karena itu, organisasi lebih mengandalkan tim SecOps khusus untuk berburu, mendeteksi, mencegah, dan mengurangi ancaman siber. Panduan yang disusun dengan cermat ini, lengkap dengan tautan ke informasi lebih lanjut, menjelaskan manfaat membuat tim SecOps khusus, cara membangun pusat operasi keamanan untuk mendukung SecOps, alat yang mendukung SecOps, dan praktik terbaik penerapan.
Tim operasi keamanan dan TI sering bekerja terpisah satu sama lain, membuat tugas mengidentifikasi ancaman keamanan siber dan mempertahankannya -- atau, jika berubah menjadi serangan, menguranginya -- menjadi sangat sulit. Menggabungkan operasi keamanan dan TI ke dalam tim SecOps khusus memungkinkan organisasi untuk memprediksi dan mengatasi masalah keamanan dengan cepat dan cerdas. SecOps memiliki manfaat dan tujuan bisnis berikut : - perlindungan terus menerus; - respon yang cepat dan efektif; - penurunan biaya pelanggaran dan operasi; - pencegahan ancaman; - keahlian keamanan; - kepatuhan; - komunikasi dan kolaborasi; dan - reputasi bisnis yang lebih baik.
Bagaimana sebuah organisasi mengumpulkan tim SecOps menentukan seberapa suksesnya dalam mencegah serangan cyber. Menyatukan peran sedikit demi sedikit, tanpa strategi menyeluruh, akan menghasilkan respons yang terputus-putus. Yang dibutuhkan CISO adalah tim SecOps yang kohesif dengan peran dan tanggung jawab yang jelas yang mencakup berbagai ancaman dan serangan keamanan siber. Ada lima peran kunci yang dibutuhkan setiap tim SecOps: 1.penanggap insiden 2.penyelidik keamanan 3.analis keamanan tingkat lanjut 4.manajer SOC 5.insinyur/arsitek keamanan Beberapa peran keamanan siber baru telah muncul yang dapat meningkatkan upaya SecOps organisasi: spesialis keamanan cloud, spesialis risiko pihak ketiga, dan profesional etika digital. Posisi ini mengatasi pengaruh cloud dan kerentanan rantai pasokan , serta masalah mitra dan privasi. Organisasi yang ingin memigrasikan karyawan ke peran SecOps dapat melihat sertifikasi dan kursus pelatihan SecOps ini.
SOC adalah fasilitas pusat komando untuk tim SecOps. Sementara tim SecOps mungkin berinteraksi dengan tim atau departemen lain, biasanya tim tersebut mandiri dengan personel yang sangat terampil (internal atau outsourcing). Sebagian besar, tetapi tidak semua, SOC beroperasi 24/7 dengan tim SecOps bekerja bergiliran untuk mencatat aktivitas dan mengurangi ancaman. Organisasi dapat memilih untuk menerapkan salah satu dari empat model SOC : 1. SOC virtual yang beroperasi online dan dikelola oleh staf atau profesional SecOps pihak ketiga. 2. SOC multifungsi yang memiliki ruang fisik khusus, tetapi tim internal yang menjalankan SOC dibagi, mengerjakan SecOps dan tugas TI lainnya. 3. SOC hibrida dengan staf, kontraktor pihak ketiga, atau campuran untuk melakukan tugas SecOps penuh waktu atau paruh waktu di fasilitas khusus, ruang virtual, atau kombinasi keduanya. 4.SOC khusus dengan ruang fisik staf internal yang beroperasi sepanjang waktu dan hanya berfokus pada fungsi SecOps. SOC virtual sebagai layanan memungkinkan perusahaan untuk mengalihdayakan sebagian atau semua tanggung jawab SOC ke penyedia layanan terkelola -- yang memiliki banyak manfaat, menurut Ashwin Krishnan, kepala komunikator di SecureDynamics. Dengan mengalihdayakan SOC, perusahaan dengan anggaran terbatas atau keterampilan internal dapat mengatasi kepatuhan dan peraturan dengan lebih baik, menjembatani kesenjangan bakat, dan memanfaatkan pengalaman dan sumber daya agregat penyedia. Apa pun model yang dipilih organisasi, kemampuan teknis SOC harus sama, memungkinkan tim SecOps untuk melakukan deteksi ancaman dan respons insiden . SOC juga harus memberikan notifikasi dan alerting; orkestrasi keamanan, otomatisasi dan respon ( SOAR ); dan perburuan ancaman yang cerdas. Nemertes Research menemukan dalam " Studi Penelitian Cloud dan Keamanan Siber" 2019-2020 bahwa organisasi keamanan siber yang sukses (mereka yang memiliki total waktu rata-rata untuk menangani insiden keamanan 20 menit atau kurang) memiliki kemungkinan 52% lebih besar untuk memiliki SOC daripada organisasi yang gagal (yang dengan MTTC lebih dari 20 menit).
Firewall dan VPN pernah dianggap sebagai pertahanan yang kuat dan memadai terhadap serangan dunia maya. Tidak lagi. Kevin Tolly, pendiri The Tolly Group, menulis bahwa teknologi ini "tidak lagi menjadi perisai terhadap ancaman keamanan yang lebih modern dan canggih." Untuk memerangi ancaman saat ini, organisasi memerlukan perangkat lunak SecOps untuk mencakup lima bidang : 1.keamanan DNS; 2.deteksi dan respons jaringan; 3.anti-phishing; 4.penemuan data; dan 5.visibilitas tingkat paket. Bahkan alat informasi keamanan dan manajemen peristiwa ( SIEM ) hanyalah permulaan dalam membangun strategi SecOps yang kuat : Organisasi perlu menambahkan orkestrasi, analitik perilaku pengguna dan entitas, dan lebih banyak lagi untuk menciptakan pertahanan yang lebih canggih dan proaktif.
Mengelola keamanan di lingkungan cloud bisa jadi agak berbeda dengan mengelola keamanan di perusahaan tradisional, jadi tim SecOps perlu menyesuaikan alat dan strategi mereka. Dave Shackleford, konsultan utama di Voodoo Security, menulis bahwa mengaktifkan cloud SOC mengharuskan tim SecOps untuk melakukan hal berikut: 1.Buat akun cloud terpisah atau langganan sepenuhnya di bawah kendali mereka. 2.Buat akun dengan hak istimewa paling rendah untuk melakukan tindakan tertentu di cloud saat diperlukan. 3.Terapkan otentikasi multifaktor untuk semua akun. 4.Aktifkan penyimpanan tulis sekali untuk log dan bukti.
Otomatisasi dan AI telah masuk ke alat SecOps, dan organisasi harus mencoba mengotomatiskan sebanyak mungkin fungsi. Kasus penggunaan otomatisasi SecOps dan SOC sangat banyak, termasuk deteksi insiden, respons dan analisis, analisis lanskap, mitigasi ancaman yang muncul, augmentasi analis SOC manusia, dan gamifikasi pelatihan keamanan. Fungsi otomatis memungkinkan tim untuk menambang data tentang insiden keamanan, menetapkan skor risiko, mengelompokkan kesamaan, membedakan dan memprioritaskan kelas ancaman yang berbeda, merekomendasikan langkah-langkah respons atau perbaikan, dan banyak lagi. Dengan otomatisasi, tim SecOps mendapatkan kesadaran tentang keadaan saat ini, wawasan tentang apa yang bisa terjadi, dan rencana tindakan. Peningkatan vektor ancaman seperti perangkat IoT menuntut tim SecOps memiliki perspektif yang dapat diberikan AI -- wawasan yang membantu meningkatkan deteksi dan pencegahan. Otomatisasi juga membebaskan manusia dari tugas manual yang membosankan untuk lebih fokus pada strategi SecOps.
Konsep memasangkan keamanan dan operasi TI semakin populer di antara perusahaan dari semua ukuran, dan praktik terbaik untuk menyusun tim SecOps dan SOC sedang muncul. Contoh praktik terbaik berikut: Tentukan ruang lingkup SecOps Organisasi harus menentukan fungsi apa yang ada dalam lingkup tim SecOps , dengan mempertimbangkan kasus penggunaan organisasi, persyaratan keamanan, dan celah keamanan. Hanya karena suatu tugas berada di luar jangkauan tim, bukan berarti tugas itu tidak dapat ditangani -- hanya saja tidak oleh tim internal. Beberapa tugas dapat segera dialihdayakan atau dialokasikan untuk dialihdayakan nanti. Bangun atau beli Pertimbangkan dengan cermat apakah akan membangun SOC atau membeli layanan SOC . Pengalihdayaan mungkin tidak membuat perusahaan mendapatkan perhatian khusus yang mereka butuhkan berdasarkan toleransi risiko keamanan siber mereka. Mereka mungkin membutuhkan staf internal yang akrab dengan bisnis untuk membantu membuat keputusan penting. Perusahaan kecil tidak perlu takut untuk mengalihdayakan SOC mereka, terutama jika mereka mengikuti kriteria pemilihan SOC ini untuk mengevaluasi penyedia potensial. Berinvestasi dalam talenta SecOps Orang dapat menjadi salah satu tantangan terbesar untuk implementasi SOC , terutama karena kekurangan staf dan keterampilan, menurut John Burke, CIO dan analis riset utama di Nemertes Research. Organisasi harus membuat strategi yang ditujukan untuk merekrut dan mempertahankan talenta SecOps. Lakukan latihan tim merah vs. tim biru Tim SecOps perlu menjaga keterampilan intelijen ancaman mereka tetap tajam, termasuk kemampuan untuk mendeteksi dan mencegah serangan. Salah satu cara untuk melakukannya adalah dengan melakukan latihan tim merah vs tim biru , di mana tim merah adalah penyerang dan tim biru adalah pembela. Tim merah menggunakan taktik seperti pengujian penetrasi, phishing, rekayasa sosial atau mekanisme pencurian kredensial lainnya, pemindaian port dan pemindaian kerentanan untuk menyusup ke jaringan. Tim merah juga sering membuat alat khusus untuk menguji kemampuan tim biru dalam mendeteksi masalah keamanan. Setelah berada di jaringan, tim merah akan berusaha untuk meningkatkan hak istimewa, dan mengakses atau mencuri identitas atau aset. Tim biru, sementara itu, melakukan aktivitas SecOps normal, termasuk menganalisis sistem perusahaan, mengidentifikasi kerentanan, dan mengevaluasi efektivitas alat dan kebijakan keamanan. Setiap tim membuat laporan tentang aktivitas mereka, dan tim SecOps yang lebih maju juga akan memiliki tim ungu untuk meninjau laporan tersebut dan meningkatkan postur keamanan mereka, karena seringkali tim merah dan tim biru tidak ingin berbagi rahasia satu sama lain.
Masa depan SecOps akan melihat AI dan pembelajaran mesin menjadi bagian yang lebih sentral dari strategi SecOps. SOC akan lebih otomatis, disesuaikan, cerdas, dinamis, dan proaktif. Di masa depan, organisasi juga akan mendedikasikan lebih banyak waktu untuk mengembangkan metrik keberhasilan bagi SOC mereka untuk mengevaluasi kinerja dan meningkatkan waktu respons. Lebih lanjut, tim SecOps perlu memberikan penekanan yang lebih besar pada perburuan ancaman untuk tetap berada di depan penyerang , menurut Johna Till Johnson, presiden dan mitra pendiri senior Nemertes Research. Tim SecOps juga kemungkinan perlu menghabiskan lebih banyak waktu untuk memantau dan menilai ancaman di lingkungan luar dengan meninjau layanan intelijen ancaman ke depan. Organisasi harus mulai sekarang untuk meluncurkan atau memperluas upaya SecOps, karena serangan siber pasti akan terus mengancam operasi perusahaan.
Kesempatan lowongan magang terbaru di tahun 2024
Baca Selengkapnya..