Mengenal IT Security dan Fungsinya - Cybersecurity
banner iklan

Mengenal IT Security dan Fungsinya

IT Security atau lebih dikenal dengan Security Operation Center (SOC) adalah salah satu komponen pendukung keamanan IT dalam sebuah perusahaan. Lebih spesifik, Cyber SOC adalah serangkaian aktifitas yang terdiri dari pengamanan cyberspace, memonitor dan menganalisa ancaman dan insiden, serta secara proaktif dan responsif melakukan manajemen terhadap insiden.
Mengenal IT Security dan Fungsinya
Security operation center
Secara fungsi, SOC membantu perusahaan dalam melakukan identifikasi, mengelola dan meremediasi terhadap serangan. Singkatnya tujuan akhir dari SOC adalah untuk meningkatkan postur keamanan IT dari perusahaan dengan mendeteksi dan merespon ancaman dan serangan sebelum berdampak pada bisnis.

Dalam membangun SOC, perlu diperhatikan 3 komponen yang menjadi karakteristiknya, yaitu Technology, People dan Process. Ketiga komponen tersebut harus direncanakan dan dibuat dengan baik, agar kinerja SOC menjadi optimal dalam menjalankan fungsinya.

1. Technology
Dalam Hal Technology, Madani (2011) Security Operation Center memaparkan 4 komponen utama, yaitu:
  • Sensor, untuk mengumpulkan event dari berbagai sumber, termasuk network traffic. Pada Server atau Operating System, sensor dapat berupa Host IDS (Intrusion Detection System), untuk mendeteksi adanya anomali maupun serangan pada host tersebut. Pada network, sensor ditempatkan sebagai Network Tap maupun port mirror / port scan, agar traffic network dapat diambil untuk kemudian diolah (untuk tujuan analisa) maupun disimpan (untuk tujuan forensik).
  • Log Management, untuk mengumpulkan, normalisasi dan menyimpan log. Perangkat ini mendapatkan log yang dikirim dari perangkat yang ada (Perangkat Security, Server, aplikasi, dll). Log Management biasanya merupakan bagian dari rangkaian perangkat SIEM (Security Information Event Management).
  • Correlation Engine, untuk menganalisa event yang ada. Semua Log yang ada harus dapat dikorelasikan, sehingga kita bisa mendapatkan ‘cerita’ yang utuh dari berbagai perangkat yang ada. Contoh perangkat Correlation Engine adalah SIEM.
  • Response System, untuk bereaksi terhadap serangan dan kemungkinan insiden.
Komponen-komponen di atas berkolaborasi dengan perangkat keamanan yang dimiliki oleh perusahaan, seperti Firewall, IPS/IDS, Web Application Firewall, End Point Security, dll.

2. People
Komponen kedua dalam SOC adalah People, atau personil yang bekerja dalam SOC. Kita harus mendefinisikan siapa yang bekerja dalam SOC dan juga bagaimana kualifikasinya. Hal ini penting agar SOC dijalankan oleh orang-orang yang tepat dengan kemampuan yang cukup untuk menangani serangan dan kemungkinan insiden. Personil dalam SOC (biasa disebut Security Analyst), biasanya dibagi menjadi beberapa level, tergantung dari seberapa rumit serangan maupun kemungkinan insiden yang ditangani.

Analis Level 1 banyak bertindak untuk hal hal terkait operasional dan menjalankan fungsi dasar dari Log Management dan Correlation. Oleh karena itu, selain kemampuan dasar IT, Network & Security, juga disyaratkan untuk memiliki pengetahuan mengenai perangkat Log Management dan Correlation yang digunakan.

Analis Level 2, bertindak untuk menangani serangan yang membutuhkan analisa lebih lanjut, dan memastikan apakah serangan sudah menjadi insiden atau tidak. Di level ini, analis perlu memiliki persyaratan seperti Level 1, ditambah kemampuan untuk menganalisa serangan dan Forensik dasar.

Sementara Analis Level 3 melakukan investigasi, forensik hingga penanganan terhadap serangan dan insiden yang terjadi. Personil di level tertinggi analis ini diharuskan memiliki kemampuan forensik tingkat lanjut, serta mengetahui bagaimana menangani serangan dan insiden.

Salah satu cara yang sering diadopsi untuk menentukan kualifikasi adalah dengan sertifikasi. Hal ini juga digunakan untuk melakukan standarisasi kemampuan dari personil yang ada, selain kemampuan sehari-hari yang memang secara langsung dapat dinilai. Untuk kualifikasi personil di SOC, kita dapat memetakan menggunakan sertifikasi dari kemampuan yang dibutuhkan.

3. Process
Komponen berikutnya adalah Process atau juga disebut prosedur. Tentunya setelah perusahaan memiliki teknologi dan personil untuk menjalankan SOC, yang jadi pertanyaan adalah bagaimana SOC tersebut dijalankan? Apa yang harus dilakukan jika terjadi serangan dan bagaimana alur eskalasinya? Lalu bagaimana melacak / tracking proses penanganan serangan maupun insiden?

Beretta (2013), maupun Zimmerman (2014) memaparkan salah satu framework yang dapat digunakan dalam SOC adalah alur OODA (Observe, Orient, Decide & Action). OODA awalnya merupakan konsep yang didesain sebagai acuan bagi pilot pesawat tempur dalam menjalankan tugasnya. Kini OODA juga banyak dipakai pada fungsi lainnya seperti pada SOC dalam menangani serangan dan insiden keamanan.

Tahapan pertama adalah Observe, dimana SOC akan melihat dan mengamati semua data dan informasi yang ada. Mulai dari data internal yang dikumpulkan oleh perangkat manajemen log, Security & Network sensor hingga tren serangan yang berasal dari sumber eksternal. Setelah semua data di atas diobservasi, lalu dimulai proses Orient, dimana data yang ada diorientasikan berdasarkan kondisi yang telah ditetapkan. Kondisi ini bisa berupa threshold event atau serangan, data dari pengalaman sebelumnya, template kebijakan keamanan di perusahaan atau bahkan kultur perusahaan.

Setelah diorientasikan, berdasarkan proses sebelumnya, SOC dapat memutuskan (Decide) klasifikasi kejadian, apakah kejadian normal, false positive, serangan yang valid bahkan incident, untuk kemudian menetapkan langkah selanjutnya yang perlu dilakukan. Langkah berikutnya adalah Action, dimana SOC melakukan pelaporan maupun pencegahan / block serangan yang ada, atau bahkan dilakukan prosedur incident handling lanjutan.

Dikutip dari: https://www.ciocommunity.org/news/read/200/Strategi-Pengembangan-Security-Operation-System

1. Tidak semua pertanyaan dapat dijawab.
2. Komentar mengandung link akan otomatis terhapus.
3. Kode emoticon » :) :D :p :v :3 :x :| :cool: :sorry: :sip: :email: :bingung: