Security Operation Center (SOC) adalah salah satu komponen pendukung keamanan IT dalam sebuah perusahaan. Lebih spesifik, Cyber SOC adalah serangkaian aktifitas yang terdiri dari pengamanan cyberspace, memonitor dan menganalisa ancaman dan insiden, serta secara proaktif dan responsif melakukan manajemen terhadap insiden. Secara fungsi, SOC membantu perusahaan dalam melakukan identifikasi, mengelola dan meremediasi terhadap serangan. Singkatnya tujuan akhir dari SOC adalah untuk meningkatkan postur keamanan IT dari perusahaan dengan mendeteksi dan merespon ancaman dan serangan sebelum berdampak pada bisnis.
Dalam membangun SOC, perlu diperhatikan 3 komponen yang menjadi karakteristiknya, yaitu Technology, People dan Process. Ketiga komponen tersebut harus direncanakan dan dibuat dengan baik, agar kinerja SOC menjadi optimal dalam menjalankan fungsinya.
Dalam Hal Technology, Madani (2011) Security Operation Center (SOC memaparkan 4 komponen utama, yaitu:
• Sensor, untuk mengumpulkan event dari berbagai sumber, termasuk network traffic. Pada Server atau Operating System, sensor dapat berupa Host IDS (Intrusion Detection System), untuk mendeteksi adanya anomali maupun serangan pada host tersebut. Pada network, sensor ditempatkan sebagai Network Tap maupun port mirror / span port, agar traffic network dapat diambil untuk kemudian diolah (untuk tujuan analisa) maupun disimpan (untuk tujuan forensik).
• Log Management, untuk mengumpulkan, normalisasi dan menyimpan log. Perangkat ini mendapatkan log yang dikirim dari perangkat yang ada (Perangkat Security, Server, aplikasi, dll). Log Management biasanya merupakan bagian dari rangkaian perangkat SIEM (Security Information Event Management).
• Correlation Engine, untuk menganalisa event yang ada. Semua Log yang ada harus dapat dikorelasikan, sehingga kita bisa mendapatkan ‘cerita’ yang utuh dari berbagai perangkat yang ada. Contoh perangkat Correlation Engine adalah SIEM.
• Response System, untuk bereaksi terhadap serangan dan kemungkinan insiden.
Komponen-komponen di atas berkolaborasi dengan perangkat keamanan yang dimiliki oleh perusahaan, seperti Firewall, IPS/IDS, Web Application Firewall, End Point Security, dll. Sebagai contoh di SOC Defenxor, kami juga membuat perangkat sendiri berupa appliance dengan merk Defenxor, yang terdiri dari berbagai fungsi di atas. Bahkan secara keseluruhan, teknologi di SOC Defenxor selaras dengan rekomendasi Gartner (Rochford & Macdonald, 2015) embracing an adaptive security architecture to become context-aware and intelligence-driven. Security leaders should understand how intelligence-driven SOCs use tools, processes and strategies to protect against modern threats. Key Challenges Traditional security operations centers: \u25a0 Rely primarily on prevention technologies, and rule and signature-based detection mechanisms that require prior knowledge of attacker methods, both of which are insufficient to protect against current threats. \u25a0 Treat intelligence (TI mengenai “The Five Characteristics of an IntelligenceDriven Security Operations Center”. Selain 4 perangkat teknologi diatas, kami juga menerapkan hal berikut dalam teknologi yang kami miliki:
• Penggunaan Threat Intelligence
• Melakukan otomatisasi
• Berburu serangan dengan menggunakan perangkat jebakan
Komponen kedua dalam SOC adalah People, atau personil yang bekerja dalam SOC. Kita harus mendefinisikan siapa yang bekerja dalam SOC dan juga bagaimana kualifikasinya. Hal ini penting agar SOC dijalankan oleh orang-orang yang tepat dengan kemampuan yang cukup untuk menangani serangan dan kemungkinan insiden. Personil dalam SOC (biasa disebut Security Analyst), biasanya dibagi menjadi beberapa level, tergantung dari seberapa rumit serangan maupun kemungkinan insiden yang ditangani. Analis Level 1 banyak bertindak untuk hal-hal terkait operasional dan menjalankan fungsi dasar dari Log Management dan Correlation. Oleh karena itu, selain kemampuan dasar IT, Network & Security, juga disyaratkan untuk memiliki pengetahuan mengenai perangkat Log Management dan Correlation yang digunakan. Analis Level 2, bertindak untuk menangani serangan yang membutuhkan analisa lebih lanjut, dan memastikan apakah serangan sudah menjadi insiden atau tidak. Di level ini, analis perlu memiliki persyaratan seperti Level 1, ditambah kemampuan untuk menganalisa serangan dan Forensik dasar. Sementara Analis Level 3 melakukan investigasi, forensik hingga penanganan terhadap serangan dan insiden yang terjadi. Personil di level tertinggi analis ini diharuskan memiliki kemampuan forensik tingkat lanjut, serta mengetahui bagaimana menangani serangan dan insiden.
Salah satu cara yang sering diadopsi untuk menentukan kualifikasi adalah dengan sertifikasi. Hal ini juga digunakan untuk melakukan standarisasi kemampuan dari personil yang ada, selain kemampuan sehari-hari yang memang secara langsung dapat dinilai. Untuk kualifikasi personil di SOC, kita dapat memetakan menggunakan sertifikasi dari kemampuan yang dibutuhkan. Sebagai contoh di Defenxor, kami juga menerapkan 3 level analis dalam mengoperasikan SOC dan menangani serangan pada pelanggan kami. Selain menilai berdasarkan kemampuan operasional sehari-hari, kami juga memetakan berdasarkan sertifikasi terkait kualifikasi dari tugas masing-masing personel. Matrix sertifikasi juga berguna untuk membantu merencanakan materi training yang dapat diambil analis, untuk naik ke level berikutnya.
Komponen berikutnya adalah Process atau juga disebut prosedur. Tentunya setelah perusahaan memiliki teknologi dan personil untuk menjalankan SOC, yang jadi pertanyaan adalah bagaimana SOC tersebut dijalankan? Apa yang harus dilakukan jika terjadi serangan dan bagaimana alur eskalasinya? Lalu bagaimana melacak/tracking proses penanganan serangan maupun insiden? Beretta (2013), maupun Zimmerman (2014) memaparkan salah satu framework yang dapat digunakan dalam SOC adalah alur OODA (Observe, Orient, Decide & Action). OODA awalnya merupakan konsep yang didesain sebagai acuan bagi pilot pesawat tempur dalam menjalankan tugasnya. Kini OODA juga banyak dipakai pada fungsi lainnya seperti pada SOC dalam menangani serangan dan insiden keamanan.
Tahapan pertama adalah Observe, dimana SOC akan melihat dan mengamati semua data dan informasi yang ada. Mulai dari data internal yang dikumpulkan oleh perangkat manajemen log, Security& Network sensor hingga tren serangan yang berasal dari sumber eksternal. Setelah semua data di atas diobservasi, lalu dimulai proses Orient, dimana data yang ada diorientasikan berdasarkan kondisi yang telah ditetapkan. Kondisi ini bisa berupa threshold event atau serangan, data dari pengalaman sebelumnya, template kebijakan keamanan di perusahaan atau bahkan kultur perusahaan. Setelah diorientasikan, berdasarkan proses sebelumnya, SOC dapat memutuskan (Decide) klasifikasi kejadian, apakah kejadian normal, false positive, serangan yang valid bahkan insiden, untuk kemudian menetapkan langkah selanjutnya yang perlu dilakukan. Langkah berikutnya adalah Action, dimana SOC melakukan pelaporan maupun pencegahan/block serangan yang ada, atau bahkan dilakukan prosedur incident handling lanjutan.
Contoh sederhana dari alur OODA misalnya terjadi serangan Brote Force Attack terhadap sebuah Web Application, dimana hacker mencoba variasi username & password untuk mendapatkan login yang valid. Pada proses Observe, didapati ada 1000 kali percobaan login yang gagal. Analis mengamati (Orient) bahwa biasanya kondisi gagal login secara keseluruhan perusahaan per hari tidak lebih dari 100 kali. Sehingga diputuskan (Decide) bahwa memang terjadi percobaan serangan terhadap salah satu Web Application. Langkah berikutnya adalah menjalankan (Action) prosedur pemeriksaan pada Web Application apakah serangan tersebut berhasil atau tidak, dan dilakukan langkah-langkah berikutnya terkait insiden. Salah satu prosedur yang dapat dilakukan terkait insiden adalah dengan mengadopsi panduan dari NIIST (Cichonski, Millar, Grance, & Scarfone, 2012):
Selain proses penanganan serangan dan insiden, yang tidak kalah penting adalah proses penjadwalan personil yang bertugas, rotasi personil yang bertugas di SOC selama 24x7, proses ticketing hingga bagaimana menangani serangan yang memerlukan waktu analisa lama ditangani oleh beberapa personil secara estafet. Salah satu standar dan acuan yang dapat digunakan adalah ISO 20000 mengenai IT Service Management. ISO 20000 dapat dijadikan acuan, karena pada dasarnya SOC memberikan layanan kepada perusahaan terkait dengan operasional keamanan dari perusahaan tersebut. Dengan menggunakan ISO 20000 sebagai acuan, perusahaan dapat memastikan bahwa layanan yang diberikan oleh SOC sesuai dengan standar dan tujuan awal pembentukannya.
SOC secara keseluruhan memiliki fungsi strategis bagi perusahaan, yang ingin menangani keamanannya secara lebih baik. Dengan semakin kompleksnya serangan, serta tingginya kerugian yang diakibatkan oleh serangan cyber, sudah barang tentu SOC saat ini menjadi kebutuhan, terutama bagi perusahaan yang amat bergantung pada pemanfaatan IT. Pada beberapa kasus yang kami tangani, SOC Defenxor dapat secara efektif menemukan insiden yang kritis seperti Email Server yang sudah ditembus (ada user penyerang setara admin), yang awalnya dari kejadian yang sederhana (percobaan hacking yang gagal ke website).
Dilain pihak, pembangunan SOC juga membutuhkan penanganan yang serius dan sungguh-sungguh. Pengalaman kami, faktor paling menantang adalah pada komponen People & Process. Yaitu bagaimana me-rekrut, melatih dan ‘mempertahankan’ orang yang memiliki kompetensi sesuai, untuk kemudian menjalankan prosedur (Process) yang tepat. Keuntungan dan tantangan dari membangun SOC, dapat diilustrasikan dengan gambar gunung es di bawah ini, di mana benefit yang terlihat di permukaan harus juga diimbangi dengan tantangan yang terdapat di bawah permukaan:
Dengan kerumitan implementasi SOC di atas, apakah kita perlu untuk membangun SOC? Zimmerman (2014) memberikan beberapa alternatif dalam membangun SOC, yaitu:
1. Jika perusahaan atau organisasi kita adalah bagian dari organisasi yang lebih besar (MNC atau lembaga pemerintah lainnya), maka SOC dapat di outsource ke lembaga yg lebih tinggi. Sehingga SOC bisa meng-cover area yang lebih luas, dan oleh karena itu justifikasi menjadi lebih baik.
2. Mengintegrasikan SOC kedalam fungsi yang sudah ada, seperti IT Operation dan Network Operation Control (NOC).
3. Melimpahkan fungsi SOC kepihak ketiga, dalam hal ini adalah Managed Security Service Provider (MSSP). Dengan skenario ini, kita bisa mendapatkan benefit dari SOC, tanpa harus menanggung kerumitan dan mahalnya biaya dalam membangun SOC.
Dibanding membangun SOC sendiri, dengan berbagai kerumitannya, kita dapat memanfaatkan jasa Managed Security Service (MSS). Gartner mendefinisikan MSS sebagai “the remote monitoring or management of IT security functions delivered via shared services from remote security operations centers (SOCs), not through personnel on-site”. Pada skenario MSS, perusahaan seolah-olah memiliki fungsi SOC yang dijalankan oleh pihak ketiga. Semua teknologi dari SOC disediakan oleh penyedia MSS, juga analis dan prosedur yang dijalankan. Personil Security di perusahaan akan menerima laporan dan alert jika terjadi serangan bahkan insiden yang perlu penanganan lebih lanjut. Sehingga tim Security perusahaan dapat lebih fokus menangani hal-hal yaang lebih strategis, karena hal-hal yang sifatnya operasional dan deteksi sudah dilakukan oleh penyedia MSS.
Terlihat bahwa sebagian besar proses monitoring, detection dan verification terhadap serangan hingga insiden ditangani oleh penyedia MSS. Berdasarkan pengalaman kami, sebenarnya proses inilah yang memakan waktu dan energi paling banyak. Terutama jika ukuran perusahaan yang besar dengan infrastruktur IT yang rumit, maka serangan, log dan event yang perlu diverifikasi menjadi sangat banyak. Sebagai contoh kasus nyata yang kami alami di bawah ini, di mana dalam 4 bulan terdapat sekitar 500 juta log dan 350 insiden. Proses monitoring, detection dan verifikasi dari 500 juta menjadi 350 sudah barang tentu adalah hal yang sangat menantang, jika dilakukan sendiri oleh perusahaan.
Pada beberapa model, penyedia jasa ini juga ikut menangani perubahan konfigurasi dari perangkat Security yang dimiliki oleh pelanggan. Penyedia MSS memiliki akses terhadap perangkat Security pelanggan, dan dapat melakukan perubahan yang diperlukan jika diperlukan dan diijinkan. Bahkan ada pula MSSP yang juga menjual dan me-manage perangkat Security tersebut dengan model OPEX. Sehingga pelanggan membayar biaya langganan untuk MSS dan ‘rental’ perangkat.
Dengan semakin banyaknya MSSP yang ada, diperlukan referensi tentang bagaimana memilih MSSP yang sesuai dengan kebutuhan kita. MSSP sendiri bukanlah bisnis baru, Gartner bahkan telah merilis Magic Quadrant sejak tahun 2015 untuk MSSP ini. Berdasarkan referensi dari Gartner dan beberapa sumber lainnya (Nathans, 2015; Zimmerman, 2014) berikut adalah beberapa hal yang perlu diperhatikan dalam memilih MSSP:
• Lokasi. Apakah lokasi MSSP berada di Indonesia atau luar negeri? Hal ini terkait dengan kemudahan komunikasi dan kecepatan reaksi jika dibutuhkan on-site.
• Reputasi. Apakah MSSP sudah memiliki reputasi yang baik? Berapa banyak pelanggan yg saat ini dilayani? Apakah didukung/back-up oleh perusahaan besar? Bagaimana posisinya di Gartner Magic Quadrant misalnya.
• Data dan Log pelanggan. Apakah log perusahaan ‘dikirim’ ke cloud atau datacenter MSSP, atau diolah pada lingkungan pelanggan? Hal ini penting terkait dengan privacy dan regulatory compliance pada industri tertentu (Data tidak boleh keluar dari Indonesia).
• Teknologi. Teknologi apa yang disediakan oleh MSSP? Apakah semua teknologi yang menjadi karakteristik SOC dimiliki? Hal ini berguna untuk memastikan sejauh mana layanan yang diberikan dan bagaimana mereka men-deliver layanan tersebut.
• People. Berapa banyak orang yang stand-by di SOC? Bagaimana kualifikasi mereka dan bagaimana profilnya? Hal ini penting, karena analisa terkait serangan bahkan insiden amat tergantung dari orang yang ada di SOC dari penyedia MSS.
• Process. Perlu diketahui, standar apa yang dijadikan oleh MSSP dalam menjalankan bisnisnya. Saat ini memang belum terdapat standarisasi untuk layanan MSSP maupun SOC, namun kita dapat melihat juga menggunakan standar lainnya yang mendukung. Seperti ISO 27001, untuk memastikan MSSP dan SOC yang mereka miliki sesuai dengan standar Keamanan Informasi.
Dengan semakin pentingnya peran IT bagi perusahaan, maka diperlukan cara-cara baru untuk memastikan Keamanan IT sesuai dengan standar yang dapat diterima. Security Operation Center (SOC) terbukti merupakan salah satu cara agar perusahaan dapat meningkatkan kondisi keamanan ITnya, ketingkat yang lebih baik. Dengan kompleksnya implementasi SOC, Managed Security Service (MSS) menjadi alternatif yang paling visible bagi perusahaan, untuk mendapatkan benefit dari SOC. Sehingga dalam memilih penyedia MSS, perusahaan perlu memiliki kriteria tertentu yang dapat dijadikan acuan pemilihan.
