Menurut FBI, jumlah cyberattacks dilaporkan ke Divisi Cyber mereka naik 400 persen dibandingkan tingkat pra-pandemi, dan serangan semakin parah. Dari situs keuangan hingga situs perawatan kesehatan, situs pemerintah, hingga industri rantai pasokan, tidak ada yang aman dari serangan ini. Pertahanan tradisional terhadap ancaman ini adalah Pusat Operasi Keamanan (SOC) – sebuah ruangan penuh analis yang mengamati peringatan keamanan di layar TV – namun pertahanan ini tidak bekerja dengan baik – tanyakan saja keamanan cyber tim di Continental Pipeline, Target, TransUnion atau ratusan perusahaan lain yang telah mengalami serangan signifikan.
Bagaimana a SOC Berhasil, dan Tidak Berhasil
Teori operasi di balik sebuah SOC adalah jika Anda mengumpulkan cukup banyak data di seluruh perusahaan melalui berbagai Alat TI dan keamanan, lalu gunakan platform analisis untuk memberi peringkat dan memvisualisasikan peringatan dari berbagai alat, lalu akhirnya kerahkan tim analis berjenjang untuk mengelola dan menanggapi peringatan, maka pastinya, sebagian besar atau semua serangan siber akan segera diketahui dan ditangani sebelum menyebabkan kerusakan nyata. Pengalaman di dunia nyata memberi tahu kita sebaliknya.
Ada beberapa alasan mengapa file SOC model rusak. Pertama-tama, semua alat keamanan tersebut mengeluarkan BANYAK peringatan – ribuan peringatan, banyak di antaranya tidak berbahaya. Misalnya, pengguna yang biasanya berada di kantor dan masuk dari lokasi jarak jauh dapat memicu peringatan, atau pengguna yang masuk di luar jam kerja dapat memicu peringatan. Analis keamanan harus menangani ratusan atau ribuan peringatan "positif palsu" ini setiap hari.
Alasan lain mengapa SOCs Kegagalannya adalah bahwa masing-masing alat keamanan siber yang digunakan memiliki format datanya sendiri dan sering kali, konsolnya sendiri, dan pada akhirnya hanya menggambarkan satu aspek dari postur keamanan organisasi. Di dunia saat ini, banyak serangan siber yang kompleks terjadi melalui dua atau lebih vektor – bukan hanya seseorang yang membentur firewall, bisa jadi serangan phishing melalui email, atau virus yang diunduh selama pembaruan program rutin (seperti pada Serangan SolarWinds). Masalahnya adalah dalam sebuah SOCTidak ada seorang pun yang secara alami melihat gambaran keseluruhan – gambaran tersebut harus dikorelasikan secara manual di antara ribuan peringatan oleh tim analis. Karena proses ini manual, maka tidak memungkinkan otomatisasi yang kuat, dan juga tidak memungkinkan setiap peringatan untuk mendapatkan perhatian.
Jadi, ada terlalu banyak peringatan, terlalu banyak alat, dan tidak cukup korelasi data otomatis di antara alat-alat tersebut. Namun, ada juga masalah lain: tidak cukupnya analis. Sebuah studi global tentang profesional keamanan siber oleh Asosiasi Keamanan Sistem Informasi (ISSA) dan perusahaan analis industri Grup Strategi Perusahaan (ESG) melaporkan bahwa kurangnya investasi dalam perangkat keamanan siber, dikombinasikan dengan tantangan beban kerja tambahan bagi analis, menyebabkan kekurangan keterampilan yang menyebabkan pekerjaan tidak terisi dan tingkat kelelahan yang tinggi di antara staf keamanan informasi. Dan itu juga meningkatkan biaya analis: analis keamanan siber papan atas dapat memperoleh penghasilan $200,000 per tahun.
Tentu saja, semua ini terjadi di dunia di mana serangan siber semakin canggih dan banyak jumlahnya setiap bulan.
SOCkurang – Cara Lain
Tapi bagaimana jika perusahaan meninggalkan SOC ide? Bagaimana jika mereka mendistribusikan pertahanan siber mereka secara geografis dan ke tim ahli infrastruktur? Bagaimana jika sebuah platform mengotomatisasi pekerjaan rutin untuk menanggapi peringatan berprioritas rendah dan pekerjaan rumit untuk menghubungkan semua perangkat TI dan keamanan? Bagaimana jika analis menghabiskan waktu mereka secara proaktif mencari ancaman dan menerapkan kebijakan praktik terbaik? Bagaimana jika kelelahan peringatan tidak ada? Apakah ini mungkin?
Ya. Kita dapat melihat tim pengembangan perangkat lunak sebagai contoh bagaimana cara kerjanya. Dalam DevOps, pendekatan modern untuk pengembangan perangkat lunak, perusahaan perangkat lunak terbaik di dunia tidak menempatkan pengembang mereka dalam satu baris di satu ruangan – mereka memiliki sistem yang memungkinkan kolaborasi asinkron dari orang-orang yang tersebar di seluruh dunia. Namun, ada banyak hal lain yang lebih penting daripada sekadar tempat duduk orang-orang.
Dalam DevOps, inovasi dan perbaikan bug merupakan operasi berkelanjutan 24/7 yang dibangun di atas sistem integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD). CI/CD modern memungkinkan pengembang untuk fokus pada pembangunan dan memungkinkan tim terkecil untuk membangun produk yang menentukan pasar. Tugas-tugas yang biasa dan kompleks sepenuhnya diotomatisasi dalam CI/CD, dan pengembang diharuskan untuk menerapkan pengujian proaktif untuk semua fitur yang mereka luncurkan. Hal ini secara signifikan mengurangi kesalahan dan bug dalam sistem yang memungkinkan pengembang untuk fokus pada hal yang paling penting.
Pekerjaan tradisional seorang SOC mengadu tim manusia yang berdedikasi melawan ribuan peringatan. Namun, perusahaan teknologi terkemuka telah mengadopsi model baru: peringatan tepercaya, terdokumentasi dengan baik, dan berfidelitas tinggi mendapat perhatian, tetapi sebagian besar peringatan dapat diabaikan karena otomatisasi. Platform keamanan siber tercanggih secara otomatis mengirimkan peringatan rutin ke pemilik infrastruktur atau aplikasi yang bertanggung jawab atas area tertentu – baik itu firewall, pengguna akhir, aplikasi, atau server – bersama dengan serangkaian respons yang direkomendasikan. Alex Maestretti (Saat ini menjabat sebagai CISO di Remily, mantan Manajer Teknik di Netflix, tempat tim SecOps berada) SOCkurang) letakkan, inilah yang dimaksud dengan SOCkurang – desentralisasi penanganan peringatan kepada para ahli sistem. Solusi untuk mengatasi kelelahan peringatan bukanlah lebih banyak manusia atau lebih banyak data, melainkan sistem otonom yang tangguh dengan proses yang terdesentralisasi.
Bermigrasi ke SOCkurang
Untuk membuat ini Operasi Detik pekerjaan model, departemen keamanan membutuhkan orang yang terus-menerus memberikan kontribusi terhadap perubahan kebijakan yang berarti, strategi deteksi dan buku pedoman, bukan menatap monitor untuk mencari peringatan. Dibutuhkan kerja keras dan komitmen untuk mencapai keadaan itu, tetapi jika analis selalu memantau peringatan, mereka tidak akan pernah bisa mengatasi masalah tersebut. Untuk memungkinkan proaktif, tim keamanan memerlukan CI / CD setara untuk infrastruktur keamanan.
Persyaratan pertama adalah memiliki kontrol manajemen risiko inti dengan praktik terbaik kebersihan yang mudah diterapkan. Salah satu contoh utama dari hal ini adalah penerapan Zero Trust secara menyeluruh; hal ini tidak hanya meningkatkan postur keamanan Anda tetapi juga mengurangi peringatan dan gangguan, sehingga menyederhanakan masalah data. Persyaratan kedua adalah keamanan siber platform deteksi dan respons di mana strategi dan buku pedoman dapat diterapkan dengan cepat. Penerapan dan konfigurasi yang cepat adalah yang terpenting – waktu dari ide deteksi dan respons hingga penerapan produksi harus sedekat mungkin dengan nol. Setiap platform deteksi dan respons yang mendukung ini akan mudah digunakan dan memiliki konten siap pakai yang signifikan, termasuk deteksi berbasis AI dan pembelajaran mesin, karena aturan tidak cukup.
Pergi SOCkurang Namun, dibutuhkan lebih dari sekadar teknologi. Diperlukan tim yang berkomitmen dan proses yang dirancang ulang – membiasakan diri dengan otomatisasi yang signifikan, meminta pemilik infrastruktur menerima peringatan yang relevan secara langsung, dan mendedikasikan sebagian besar waktu untuk pekerjaan keamanan proaktif. Akan tetapi, akan selalu ada kebutuhan akan orang, dan bagi banyak perusahaan, menambah personel internal dengan Penyedia Layanan Keamanan Terkelola adalah cara yang hemat biaya untuk tetap proaktif. Perusahaan memang membutuhkan orang untuk memastikan bahwa strategi yang tepat terus diterapkan, dan MSSP dengan penerapan platform deteksi dan respons yang dikelola bersama memungkinkan perusahaan untuk meningkatkan dukungan sesuai kebutuhan. Seperti perusahaan yang beralih ke cloud untuk penawaran as-a-Service, mereka dapat beralih ke MSSP untuk SOC-sebagai-layanan persembahan. Ini akan membantu banyak orang dalam menyelesaikan internal SOCkurang transisi.
Jadi, dengan mencermati fungsi DevOps terdistribusi dan memetakannya ke operasi keamanan terdistribusi (SecOps), perusahaan dapat mulai mengungguli para peretas dalam hal menemukan dan memperbaiki serangan yang rumit. Diperlukan perubahan persepsi yang nyata untuk melakukannya, tetapi banyak perusahaan terbesar dan tercanggih di dunia telah melakukannya. SOCkurangMungkin sudah saatnya setiap perusahaan lain melakukan hal yang sama.
