Pertimbangan saat memutuskan alat SIEM atau SOAR baru

Melihat file log yang dihasilkan oleh perangkat lunak infrastruktur TI adalah salah satu bagian yang kurang menarik dari pekerjaan administrator TI, tetapi file log tersebut menentukan kesehatan sistem dan, secara signifikan, menawarkan wawasan berharga tentang aktivitas anomali. Wawasan semacam itu dapat membantu menggagalkan pelanggaran keamanan dan meminimalkan paparan organisasi terhadap serangan siber yang ditargetkan.

Informasi keamanan dan manajemen acara (SIEM) dan alat orkestrasi keamanan, otomatisasi, dan respons (SOAR) memiliki banyak kesamaan, tetapi ada perbedaan utama di antara keduanya yang dapat memengaruhi kecocokan terbaik untuk organisasi Anda.

Tergantung pada kedewasaan dan ukuran pusat operasi keamanan organisasi (SOC), satu pendekatan mungkin lebih cocok daripada yang lain. Pembuat keputusan keamanan TI juga perlu mempertimbangkan kompleksitas yang terlibat dalam menyiapkan dan mengonfigurasi sistem keamanan ini dan menilai secara realistis apakah ancaman yang dihadapi organisasi sesuai dengan biaya implementasi.

“SIEM tumbuh dari kebutuhan untuk mengkonsolidasikan log dalam format yang berbeda dari seluruh jaringan, termasuk umpan peristiwa keamanan dari peralatan lain, seperti sistem deteksi intrusi. [IDSs], firewall, dan perangkat lunak titik akhir pengguna,” kata Paddy Francis, chief technology officer (CTO) di Airbus CyberSecurity.

Selain mengumpulkan file log, kata Francis, SIEM juga menyediakan sarana untuk mencari dan menganalisis data secara manual, biasanya menggunakan analitik data untuk menghasilkan peringatan, menyajikan tampilan data yang berbeda kepada analis keamanan, dan memberikan laporan kepada pemangku kepentingan.

Juga, SIEM biasanya akan menyediakan kemampuan yang memungkinkan kasus penggunaan deteksi untuk dikembangkan, katanya. Ini mencari urutan peristiwa tertentu yang mungkin mengindikasikan serangan yang sedang berlangsung dan dapat memberikan beberapa integrasi ke dalam sistem tiket dan sistem terkait lainnya.

Namun, seperti yang dicatat Francis, SIEM dapat menghasilkan ribuan kejadian per detik dan penyerang menjadi lebih canggih. “Beberapa ancaman persisten tingkat lanjut [APT] grup sekarang dapat mengendalikan workstation dan masuk ke jaringan dalam waktu rata-rata kurang dari 20 menit dari pengguna mengklik tautan di email phishing, dan rata-rata untuk semua grup kurang dari dua jam, ”katanya .

Hal ini menyebabkan gagasan tantangan 1/10/60: kebutuhan untuk mendeteksi serangan dalam satu menit, memahaminya dalam 10 menit dan menahannya dalam 60 menit, kata Francis. Namun, bahkan analis SOC terbaik pun akan berjuang untuk memenuhi tantangan 1/10/60 hanya dengan menggunakan perangkat SIEM, katanya.

Di sinilah SOAR membantu. Di Gartner’s Panduan pasar untuk solusi orkestrasi keamanan, otomatisasi, dan respons, firma analis menyatakan: “Kasus penggunaan paling umum yang disebutkan oleh klien Gartner yang berencana untuk menerapkan, atau yang telah menerapkan, solusi SOAR, adalah mengotomatiskan triase email phishing yang dicurigai yang dilaporkan oleh pengguna. Ini adalah contoh klasik dari proses yang mengikuti proses berulang, puluhan hingga ratusan kali per hari, dengan tujuan untuk menentukan apakah email (atau kontennya) berbahaya dan memerlukan tanggapan. Ini adalah proses yang matang untuk penerapan otomatisasi.”

Sistem SOAR dirancang untuk mempercepat respons terhadap serangan dengan mengotomatiskan deteksi insiden dan proses respons. Itu dapat berintegrasi dengan SIEM, sistem tiket, teknologi deteksi, firewall dan proxy, serta dengan platform intelijen ancaman, untuk mengotomatiskan aktivitas deteksi dan respons secara keseluruhan.

Otomatisasi keamanan

Bagi Francis, tim operasi keamanan biasanya memiliki buku pedoman, yang merinci keputusan dan tindakan yang akan diambil, mulai dari deteksi hingga penahanan. Ini mungkin menyarankan tindakan yang harus diambil untuk mendeteksi peristiwa yang mencurigakan melalui eskalasi dan kemungkinan tanggapan. SOAR dapat mengotomatisasi ini, katanya, mengambil keputusan otonom yang mendukung penyelidikan, menarik intelijen ancaman dan mempresentasikan hasilnya kepada analis dengan rekomendasi untuk tindakan lebih lanjut.

SOAR dirancang untuk mempercepat respons terhadap serangan dengan mengotomatiskan deteksi insiden dan proses respons

“Analis kemudian dapat memilih tindakan yang sesuai, yang akan dilakukan secara otomatis, atau seluruh proses dapat diotomatisasi,” kata Francis. “Misalnya, deteksi kemungkinan transmisi perintah dan kontrol dapat ditindaklanjuti sesuai dengan pedoman untuk mengumpulkan intelijen ancaman yang relevan dan informasi tentang host yang terlibat dan transmisi terkait lainnya.”

Dalam contoh ini, analis kemudian akan diberi tahu dan diberi opsi untuk memblokir transmisi dan mengisolasi host yang terlibat. Setelah dipilih, tindakan akan dilakukan secara otomatis, kata Francis. Sepanjang proses, alat tiket dan kolaborasi akan membuat tim dan pemangku kepentingan terkait mendapat informasi dan menghasilkan laporan sesuai kebutuhan.

Kapan harus menyebarkan

Jadi, apakah SOAR merupakan jawaban untuk tantangan 1/10/60? Melihat kapan harus menggunakan SIEM, Tom Venables, direktur aplikasi dan keamanan siber di Turnkey Consulting, mengatakan organisasi dengan aplikasi terbatas dan jaringan, atau di mana pelaporan adalah tujuan utama, mungkin akan menganggap SIEM cukup dengan sendirinya.

Tetapi di mana ada kebutuhan untuk menerapkan tindakan otomatis berdasarkan peristiwa yang terdeteksi, atau ketika pedoman respons yang konsisten yang harus dijalankan dengan cara yang sama setiap kali diperlukan, Venables percaya SOAR menjadi semakin penting bagi perusahaan. Misalnya, jika mesin tiba-tiba mulai berkomunikasi dengan server di lokasi yang tidak diinginkan (di luar pola biasanya), Venables mengatakan alat SOAR dapat mengisolasi mesin itu dari sistem kritis, atau menonaktifkan port tertentu dari komunikasi, tergantung pada sifat ancaman. .

Otomatisasi juga memungkinkan SOC – yang mungkin tidak terlalu besar – untuk fokus pada perbaikan insiden aktual, atau melakukan analisis terperinci. Seperti yang ditunjukkan Venables, ketidakmampuan untuk mengambil tindakan untuk mengurangi insiden secara tepat waktu dapat terjadi jika tim tidak memiliki cukup waktu untuk memantau setiap peringatan dan mengambil tindakan dalam tingkat layanan yang diperlukan organisasi.

“Jika alat SOAR diimplementasikan dengan benar, mereka dapat menarik informasi dari berbagai platform dan alat keamanan yang dioperasikan oleh organisasi dan dapat mengintegrasikan platform intelijen ancaman, sistem SIEM, dan analitik perilaku pengguna dan entitas. [UEBA] untuk secara otomatis mengidentifikasi indikator kompromi [IoC] yang mungkin membutuhkan jam analis pusat operasi keamanan untuk mengidentifikasi, ”katanya.

Dengan menarik informasi keamanan, organisasi dapat merespons dan menghentikan perilaku mencurigakan atau jahat sebelum manusia mendeteksi sesuatu terjadi, kata Venables. “Tingkat otomatisasi dalam sistem yang terintegrasi penuh juga menghilangkan sejumlah besar kesalahan positif dari analitik dan respons, sehingga menghemat waktu analis yang berharga.”

Namun untuk semua keuntungan otomatisasi yang ditawarkan oleh SOAR, Venables percaya bahwa SIEM masih memiliki tempatnya dalam sebuah organisasi. “Selain menangkap data peristiwa dan log yang diperlukan untuk input SOAR, kemampuan alat SIEM untuk dengan mudah memproses data dalam jumlah besar berarti mereka dapat digunakan di area bisnis lain, termasuk metrik dan perkiraan tiket meja layanan, kinerja kunci real-time indikator [KPI] dasbor, dan kepatuhan lintas platform serta pelaporan risiko,” katanya.

Misalnya, mungkin sulit bagi orang untuk mengidentifikasi akar penyebab atau indikator masalah yang lebih besar dengan melakukan triaging semua tiket yang dicatat oleh meja layanan yang sibuk. Namun, kata Venables, “sistem SIEM yang kuat dapat dengan cepat menangkap tren, berkorelasi dengan sumber data lain, dan memberikan bukti yang jelas bahwa ada sesuatu yang memerlukan perhatian lebih lanjut”.

Keputusan investasi

Venables juga merekomendasikan bahwa keputusan investasi harus didasarkan pada organisasi yang lebih luas dan proses keamanan yang telah ditetapkan di dalamnya. Misalnya, kerangka kerja keamanan siber National Institute of Standards and Technology (NIST), yang dengan cepat diadopsi sebagai standar industri untuk benchmarking, membagi perlindungan keamanan siber menjadi lima elemen penyusun – mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan.

“Berdasarkan iterasi saat ini, SIEM lebih cocok untuk mengukur efektivitas dan efisiensi domain identifikasi dan perlindungan, sementara kemampuan mendeteksi dan merespons dicakup oleh SOAR,” katanya.

Berdasarkan pengalaman Venables, aktivitas dan beban kerja tim di SOC merupakan indikator lain yang berguna saat menilai dukungan tambahan apa yang diperlukan. Jika sebagian besar waktu mereka dihabiskan untuk menyelidiki atau menanggapi peringatan yang ditangkap oleh alat SIEM, Venables merekomendasikan bahwa pembuat keputusan keamanan TI harus mempertimbangkan untuk menggunakan alat SOAR.

“Berdasarkan iterasi saat ini, SIEM lebih cocok untuk mengukur efektivitas dan efisiensi domain identifikasi dan perlindungan, sementara kemampuan mendeteksi dan merespons dicakup oleh SOAR”

Tom Venables, Konsultasi Turnkey

Di sisi lain, dia mengatakan: “Jika tim berjuang untuk menangkap peristiwa yang berarti, ada terlalu banyak data untuk diproses, alat menghasilkan banyak kesalahan positif, atau proses manajemen insiden belum ditentukan, kemudian meningkatkan SIEM dan proses pengumpulan log dan manajemen acaranya mungkin merupakan investasi yang lebih bijaksana.”

Para penulis Gartner’s Panduan pasar untuk solusi orkestrasi keamanan, otomatisasi, dan respons memperingatkan bahwa kendala utama untuk mengadopsi alat SOAR terus menjadi kurangnya, atau rendahnya kematangan, proses dan prosedur dalam tim operasi keamanan.

Konfigurasi signifikan

Sebagai catatan Francis Airbus, alat SOAR umumnya membutuhkan konfigurasi yang signifikan. “Konfigurasi default dapat memberikan permulaan, tetapi buku pedoman dan alur kerja yang ditentukan harus disetel untuk mengotomatiskannya dalam solusi SOAR karena tidak akan menghasilkan ini untuk Anda,” katanya.

“Juga, untuk merespons, alat SOAR harus tahu cara mengkonfigurasi ulang firewall, server DNS, dan proxy, misalnya, serta mengisolasi host di lingkungan spesifik Anda. Namun, dalam jangka panjang, SOAR akan memungkinkan lebih banyak hal yang dapat dilakukan lebih cepat dengan masukan analis yang lebih sedikit.”

Dengan pembelian keamanan TI apa pun, keberhasilan akan ditentukan oleh analisis organisasi terhadap lingkungannya saat ini dan pemahamannya tentang ancaman dan lanskap risiko. Venables mendesak profesional keamanan TI untuk mempertimbangkan keuntungan dan kerugian dari otomatisasi versus pemrosesan manual dan memutuskan nilai yang ditempatkan pada masing-masing dari dua tahap.

“Penghargaan terhadap persyaratan khusus melindungi terhadap pengeluaran untuk kemampuan yang tidak diperlukan,” katanya. “Sistem ‘paling cocok’ yang terpisah juga dapat dipilih, menghasilkan solusi canggih di setiap area, daripada model pemasok tunggal yang berpotensi mengganggu fungsionalitas.”