Difference between revisions of "Cyber Security: Security Operations Center Components"

From OnnoWiki
Jump to navigation Jump to search
 
(15 intermediate revisions by the same user not shown)
Line 1: Line 1:
 
Sumber: https://www.comptia.org/content/articles/what-is-a-security-operations-center
 
Sumber: https://www.comptia.org/content/articles/what-is-a-security-operations-center
  
Simply put, a security operations center (SOC – pronounced “sock”) is a team of experts that proactively monitor an organization’s ability to operate securely. Traditionally, a SOC has often been defined as a room where SOC analysts work together. While this is still the case in many organizations, the advent of COVID-19 and other factors has led the SOC team to be more remotely distributed. Increasingly, today’s SOC is less a single room full of people, and more of an essential security function in an organization.
+
Sederhananya, Security Operations Center (SOC – diucapkan “sock”) adalah tim ahli yang secara proaktif memantau kemampuan organisasi untuk beroperasi dengan aman. Secara tradisional, SOC sering didefinisikan sebagai ruangan tempat analis SOC bekerja sama. Meskipun hal ini masih terjadi di banyak organisasi, munculnya COVID-19 dan faktor lainnya telah menyebabkan tim SOC didistribusikan lebih jauh. Semakin lama, SOC saat ini bukanlah satu ruangan yang penuh dengan orang, dan lebih merupakan fungsi keamanan penting dalam suatu organisasi.
  
A SOC team member can often function just as well working out of their home office as they can in a physical security operations center.
+
Seorang anggota tim SOC seringkali dapat bekerja dengan baik di kantor pusat mereka seperti di pusat operasi keamanan fisik.
  
==What Does a SOC Team Member Do?==
 
  
Members of a SOC team are responsible for a variety of activities, including proactive monitoring, incident response and recovery, remediation activities, compliance, and coordination and context.
+
==Apa yang Dilakukan Anggota Tim SOC?==
  
Let’s take a deeper dive into each of these tasks.
+
Anggota tim SOC bertanggung jawab atas berbagai aktivitas, termasuk pemantauan proaktif, respons insiden dan pemulihan, aktivitas remediasi, compliance, serta koordinasi dan konteks.
  
* Proactive Monitoring: This includes log file analysis. Logs can come from end points (e.g., a notebook computer, a mobile phone or an IoT device) or from network resources, such as routers, firewalls, intrusion detection system (IDS) applications and email appliances. Another term for proactive monitoring is threat monitoring. SOC team members work with various resources, which can include other IT workers (e.g., help desk technicians), as well as artificial intelligence (AI) tools and log files.
+
Mari selami lebih dalam setiap tugas ini.
* Incident Response and Recovery: A SOC coordinates an organization’s ability to take the necessary steps to mitigate damage and communicate properly to keep the organization running after an incident. It’s not enough to just view logs and issue alerts. A major part of incident response is helping organizations recover from incidents. For example, that recovery can include activities such as handling acute malware or ransomware incidents.
 
Remediation Activities: SOC team members provide data-driven analysis that helps an organization address vulnerabilities and adjust security monitoring and alerting tools. For example, using information obtained from log files and other sources, a SOC member can recommend a better network segmentation strategy or a better system patching regimen. Improving existing cybersecurity is a major responsibility of a SOC.
 
* Compliance: Organizations secure themselves through conformity to a security policy, as well as external security standards, such as ISO 27001x, the NIST Cybersecurity Framework (CSF) and the General Data Protection Regulation (GDPR). Organizations need a SOC to help ensure that they are compliant with important security standards and best practices.
 
Coordination and Context: Above all, a SOC team member helps an organization coordinate disparate elements and services and provide visualized, useful information. Part of this coordination is the ability to provide a helpful, useful set of narratives for activities on the network. These narratives help shape a company’s cybersecurity policy and posture for the future.
 
A SOC team member helps an organization identify the primary causes of cyberattacks. When a SOC analyst does this, they are said to engage in root-cause analysis. In short, a SOC analyst works to figure out exactly when, how and even why an attack was successful.
 
  
To this end, a SOC analyst reviews evidence of attacks. Such evidence is called an indicator of attack. If an attack is successful, a SOC analyst will then study indicators of compromise to help the organization respond appropriately, as well as make changes so that similar attacks don’t happen in the future.
+
* Proactive Monitoring: Ini termasuk analisis file log. Log dapat berasal dari end point (mis., komputer notebook, ponsel, atau perangkat IoT) atau dari sumber daya jaringan, seperti router, firewall, aplikasi sistem deteksi intrusi (IDS), dan peralatan email. Istilah lain untuk pemantauan proaktif adalah pemantauan ancaman. Anggota tim SOC bekerja dengan berbagai sumber daya, yang dapat mencakup pekerja TI lainnya (mis., teknisi meja bantuan), serta tool artificial intelligence (AI) dan file log.
 +
* Incident Response and Recovery: SOC mengoordinasikan kemampuan organisasi untuk mengambil langkah-langkah yang diperlukan untuk mengurangi kerusakan dan berkomunikasi dengan benar agar organisasi tetap berjalan setelah insiden. Tidak cukup hanya melihat log dan mengeluarkan peringatan. Bagian utama dari respons insiden adalah membantu organisasi pulih dari insiden. Misalnya, pemulihan tersebut dapat mencakup aktivitas seperti menangani malware akut atau insiden ransomware.
 +
* Remediation Activities: Anggota tim SOC memberikan analisis berbasis data yang membantu organisasi mengatasi kerentanan dan menyesuaikan tool pemantauan dan peringatan keamanan. Misalnya, dengan menggunakan informasi yang diperoleh dari file log dan sumber lain, anggota SOC dapat merekomendasikan strategi segmentasi jaringan yang lebih baik atau rejimen penambalan sistem yang lebih baik. Meningkatkan keamanan siber yang ada adalah tanggung jawab utama SOC.
 +
* Compliance: Organisasi mengamankan diri mereka sendiri melalui kesesuaian dengan kebijakan keamanan, serta standar keamanan eksternal, seperti ISO 27001x, NIST Cybersecurity Framework (CSF), dan General Data Protection Regulation (GDPR). Organisasi memerlukan SOC untuk membantu memastikan bahwa mereka mematuhi standar keamanan penting dan best practices.
 +
* Coordination and Context: Yang terpenting, anggota tim SOC membantu organisasi mengoordinasikan elemen dan layanan yang berbeda dan memberikan informasi yang divisualisasikan dan berguna. Bagian dari koordinasi ini adalah kemampuan untuk menyediakan rangkaian narasi yang bermanfaat dan berguna untuk aktivitas di jaringan. Narasi ini membantu membentuk kebijakan dan postur keamanan siber perusahaan untuk masa depan.
  
 +
Anggota tim SOC membantu organisasi mengidentifikasi penyebab utama serangan siber. Ketika seorang analis SOC melakukan ini, mereka dikatakan terlibat dalam analisis akar penyebab. Singkatnya, seorang analis SOC bekerja untuk mencari tahu kapan, bagaimana, dan bahkan mengapa sebuah serangan berhasil.
  
 +
Untuk tujuan ini, analis SOC meninjau bukti serangan. Bukti semacam itu disebut indikator serangan. Jika serangan berhasil, analis SOC kemudian akan mempelajari indikator kompromi untuk membantu organisasi merespons dengan tepat, serta membuat perubahan agar serangan serupa tidak terjadi lagi di masa mendatang.
  
==Security Operations Center Job Roles==
+
==Pembagian Peran / Kerja di Security Operations Center==
  
Of course, there are several specific positions that round out the SOC. Although specific job roles and titles will change from one organization to another, here are a few of the job titles typically found in a SOC:
+
Tentu saja, ada beberapa posisi khusus yang melengkapi SOC. Meskipun peran dan jabatan pekerjaan tertentu akan berubah dari satu organisasi ke organisasi lain, berikut adalah beberapa jabatan pekerjaan yang biasanya ditemukan di SOC:
  
* Junior security analyst: This person is responsible for regularly monitoring the security tools and applications that have been put in place and then providing useful interpretations and context based on those reports. These applications can include intrusion detection system (IDS) applications, security information and event monitoring (SIEM) applications and cybersecurity threat feed applications. Sometimes, this particular job role is called an operator or SOC operator.
+
* Junior security analyst: Orang ini bertanggung jawab untuk secara teratur memantau alat dan aplikasi keamanan yang telah dipasang dan kemudian memberikan interpretasi dan konteks yang berguna berdasarkan laporan tersebut. Aplikasi ini dapat mencakup aplikasi intrusion detection system (IDS), aplikasi security information and event monitoring (SIEM), dan aplikasi cybersecurity threat feed. Terkadang, peran pekerjaan ini disebut operator atau operator SOC.
* Senior security analyst: This person has many of the same responsibilities as a junior-level analyst but works on more challenging and acute issues. Many times, a senior security analyst will be responsible for leading incident response activities. In fact, sometimes a senior security analyst is referred to as an incident response manager.
+
* Senior security analyst: Orang ini memiliki banyak tanggung jawab yang sama dengan analis tingkat junior tetapi bekerja pada masalah yang lebih menantang dan akut. Sering kali, seorang analis keamanan senior akan bertanggung jawab untuk memimpin aktivitas tanggap insiden. Seringkali, analis keamanan senior disebut sebagai manajer respons insiden.
* Threat hunter: This person has a unique combination of security analytics and penetration testing skills. A threat hunter also has the ability to work with technical and non-technical people alike to help an organization anticipate attacks.
+
* Threat hunter: Orang ini memiliki kombinasi unik dari analitik keamanan dan keterampilan pengujian penetrasi. Pemburu ancaman juga memiliki kemampuan untuk bekerja dengan orang-orang teknis dan non-teknis untuk membantu organisasi mengantisipasi serangan.
Cyber Threat Intelligence (CTI) manager: Many for-profit and non-profit organizations create useful threat intelligence feeds. A CTI manager may be asked to specialize in obtaining, sifting through and interpreting these feeds for the organization.
+
* Cyber Threat Intelligence (CTI) manager: Banyak organisasi membuat threat intelligence feed yang berguna. Seorang manajer CTI dapat diminta untuk berspesialisasi dalam memperoleh, memilah-milah, dan menafsirkan feed ini untuk organisasi.
* Manager: This person is responsible for managing each of the team members, as well as the technology that each team member uses.
+
* Manager: Orang ini bertanggung jawab untuk mengelola setiap anggota tim, serta teknologi yang digunakan setiap anggota tim.
  
==What Happens in a Security Operations Center?==
+
==Apa yang terjadi di Security Operations Center (SOC)?==
  
First of all, a SOC team gathers information from various resources, including CTI threat feeds to log files from systems all around the enterprise. A SOC team carefully monitors a company’s assets, from on-premise servers in data centers to cloud resources. Accurate monitoring is critical. Therefore, SOC team members will monitor servers, end points and perimeter devices like firewalls and switches.
+
Pertama-tama, tim SOC mengumpulkan informasi dari berbagai sumber, termasuk CTI threat feed untuk mencatat file dari sistem di seluruh perusahaan. Tim SOC dengan hati-hati memantau aset perusahaan, mulai dari server lokal di pusat data hingga sumber daya cloud. Pemantauan yang akurat sangat penting. Oleh karena itu, anggota tim SOC akan memantau server, end point, dan perangkat perimeter seperti firewall dan switch.
  
The figure below provides an abstract view of what happens in a SOC.
+
Gambar di bawah memberikan pandangan abstrak tentang apa yang terjadi di SOC.
  
A diagram showing the parts that make up a SOC and how they work together, including cyber threat intelligence, data normalization, SIEM applications, AI and security analysts
+
[[File:Security-operations-center-diagram.png|center|400px|thumb|Diagram Security Operations Center (SOC)]]
Abstract diagram of a Security Operations Center (SOC)
 
  
SOC team members then work to interpret this data carefully so that they have actionable information. Part of this interpretation involves eliminating duplicate data and identifying the root causes of issues. This activity is often called data normalization.
+
Diagram yang menunjukkan bagian-bagian yang membentuk SOC dan bagaimana mereka bekerja sama, termasuk cyber threat intelligence, normalisasi data, aplikasi SIEM, AI, dan security analysts.
  
It is not enough to simply view the log files of a SIEM tool. The worker needs to have enough experience and wisdom to interpret data accurately. In many ways, the ideal SOC team member acts as a key interpreter of information.
+
Anggota tim SOC kemudian bekerja untuk menginterpretasikan data ini dengan hati-hati sehingga mereka memiliki informasi yang dapat ditindaklanjuti. Bagian dari interpretasi ini melibatkan penghapusan data duplikat dan mengidentifikasi akar penyebab masalah. Kegiatan ini sering disebut normalisasi data.
  
But the SOC responsibilities don’t end there. The SOC isn’t only charged with looking for the bad guys. SOC team members spend quite a bit of time identifying conditions that create ideal feeding grounds for hackers.
+
Tidaklah cukup hanya dengan melihat file log alat SIEM. Pekerja harus memiliki pengalaman dan kebijaksanaan yang cukup untuk menginterpretasikan data secara akurat. Dalam banyak hal, anggota tim SOC yang ideal bertindak sebagai juru kunci informasi.
  
This can include looking for the following:
+
Tetapi tanggung jawab SOC tidak berakhir di situ. SOC tidak hanya bertugas mencari orang jahat. Anggota tim SOC menghabiskan cukup banyak waktu untuk mengidentifikasi kondisi yang membuat lokasi kita menjadi tempat yang ideal bagi para peretas.
  
* Unpatched servers and end points: While updating a system may seem a trivial step, it really isn’t. A SOC team member can help flag unpatched systems, or identify alternative courses of action. For example, if a system can’t be easily patched for some reason, it may be necessary to monitor un-patched systems until there is time to properly patch it.
+
Ini dapat mencakup mencari hal-hal berikut:
* Vulnerable end points: This may include those that have poorly updated virus definitions or even no good working antivirus.
 
Perimeter and edge devices that demonstrate characteristics of neglect: These may include routers, switches and other network devices that are on your network or just beyond your network that are not properly updated and secured.
 
Reports concerning end-user activity: Social engineering is the primary way that hackers gain improper access to company information and resources. SOC members, therefore, do their best to protect people from being manipulated by hackers.
 
It is very possible that as a SOC team member you would work closely with managers and end users simply because individuals are the primary target of hackers.
 
  
What Skills Do You Need to Work in a Security Operations Center?
+
* Unpatched server dan end point: Meskipun memperbarui sistem mungkin tampak sebagai langkah yang sepele, sebenarnya tidak. Anggota tim SOC dapat membantu menandai sistem yang belum di patch, atau mengidentifikasi tindakan alternatif. Misalnya, jika suatu sistem tidak dapat dengan mudah di patch karena beberapa alasan, mungkin perlu memantau sistem yang belum di patch sampai ada waktu untuk mempatchnya dengan benar.
Not everyone in a SOC team has decades of security experience. In fact, some SOC team members have just a few years of experience in IT. Still, others have more.
+
* Vulnerable end point: Ini termasuk end point yang tidak mengupdate database antivirus dengan baik, atau bahkan yang aplikasi antivirus-nya tidak jalan.
 +
* Perimeter dan edge device yang menunjukkan ciri-ciri pengabaian: Ini mungkin termasuk router, switch, dan perangkat jaringan lain yang ada di jaringan atau tepat di luar jaringan yang tidak di update dan diamankan dengan benar.
 +
* Melaporkan aktifitas end-user: Social engineering adalah cara utama peretas mendapatkan akses yang tidak benar ke informasi dan sumber daya perusahaan. Oleh karena itu, anggota SOC melakukan yang terbaik untuk melindungi end-user agar tidak dimanipulasi oleh peretas. Sangat mungkin bahwa sebagai anggota tim SOC akan bekerja sama dengan erat dengan manajer dan end-user terutama karena individu adalah target utama peretas.
  
The primary characteristic of a SOC team member is simply considerable depth and breadth of knowledge in all areas of IT, as summarized in the table below. The skills needed to work in a SOC are covered by CompTIA certifications, as noted below. Having a CompTIA certification proves to employers you have the skills they need in their security operations center.
+
==Skill apa yang dibutuhkan untuk bekerja di Security Operations Center?==
  
Activity Description CompTIA Certification
+
Tidak semua orang dalam tim SOC memiliki pengalaman keamanan puluhan tahun. Kemungkinan, beberapa anggota tim SOC hanya memiliki pengalaman beberapa tahun di bidang TI. Namun, yang lain memiliki lebih banyak.
End point analysis The ability to understand how a network host is supposed to behave and how it can be manipulated CompTIA A+
 
Network and cloud resource evaluation Experience with how protocols can be misused CompTIA Network+
 
CompTIA Cloud+
 
CompTIA Linux+
 
CompTIA Server+
 
Vulnerability recognition and attack recognition Practical, hands-on experience with exactly what an attack looks like CompTIA Security+
 
Analysis of Tactics, Techniques and Procedures (TTPS) and Indicators of Compromise (IoC) Ability to identify specific hacker activities CompTIA Security+
 
CompTIA CySA+
 
CompTIA PenTest+
 
Following each step of the hacker lifecycle Detailed ability to trace how a hacker pivots while making an attack; requires knowledge of various models, including the Lockheed-Martin Cybersecurity Kill Chain, the MITRE ATT&CK model and the diamond model CompTIA Security+
 
CompTIA PenTest+
 
It’s important to note that entry-level SOC analysts may not require advanced certifications like CompTIA Cybersecurity Analyst (CySA+), CompTIA PenTest+ or CompTIA Advanced Security Practitioner (CASP+). But the table above should give you an idea of the types of skills SOC analysts, or those who liaise with SOC analysts have.
 
  
Learn More About the CompTIA Cybersecurity Career Pathway
+
Karakteristik utama anggota tim SOC hanyalah kedalaman dan luasnya pengetahuan di semua bidang TI, seperti yang dirangkum dalam tabel di bawah ini. Keterampilan yang dibutuhkan untuk bekerja di SOC dicakup oleh berbagai sertifikasi IT. Memiliki sertifikasi membuktikan kepada pemberi kerja bahwa kita memiliki keterampilan yang dibutuhkan di Security Operations Center mereka.
 
 
If you want a place in the SOC, the best advice is to focus on the essentials. Become an expert on how end points, servers and perimeter devices operate. It’s also vital to understand the cloud and how data flows from one resource to another. Keep studying, and one day we hope to congratulate you as a member of the SOC.
 
  
 +
{| class="wikitable"
 +
|+ Skill untuk Security Operations Center
 +
|-
 +
! Activitas !! Deskripsi !! Contoh Sertifikasi
 +
|-
 +
| End point analysis || Kemampuan untuk memahami bagaimana host jaringan seharusnya berperilaku dan bagaimana peralatan tersebut dapat dimanipulasi || MTCNA, MTCRE, CCNA, JNCIA-Junos, ACMA, VCTA-NV, CompTIA A+
 +
|-
 +
| Evaluasi Network and Cloud resource || Pengetahuan / Skill tentang bagaimana protokol dapat disalahgunakan || RHCSA, RHCE, LPIC-1, Azure Administrator Associate, VCP-DCV, Google Cloud Foundation, Google Cloud Associate, Google Cloud Professsional, CompTIA Network+, CompTIA Cloud+, CompTIA Linux+, CompTIA Server+
 +
|-
 +
| Mengenali Vulnerability dan Attack || Pengalaman praktis dan hands-on dengan baik tentang bagaimana attack di lakukan || CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+
 +
|-
 +
| Analysis dari Tactics, Techniques and Procedures (TTPS) dan Indicators of Compromise (IoC) || Kemampuan untuk mengidentifikasi aktifitas spesifik hacker || CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+,  CompTIA CySA+, CompTIA PenTest+
 +
|-
 +
| Mengikuti setiap langkah dari siklus hidup peretas || Kemampuan mendetail untuk melacak bagaimana seorang peretas melakukan manouver saat melakukan serangan; membutuhkan pengetahuan tentang berbagai model, termasuk Lockheed-Martin Cybersecurity Kill Chain, model MITRE ATT&CK, dan model diamond || CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+, CompTIA PenTest+
 +
|}
  
 +
Penting untuk diperhatikan bahwa analis SOC tingkat awal mungkin tidak memerlukan sertifikasi tingkat lanjut. Paling tidak tabel di atas dapat memberikan gambaran pada kita akan jenis keterampilan analis SOC, atau mereka yang dapat bekerja berhubungan dengan kegiatan analis SOC.
  
 +
Jika Anda menginginkan tempat di SOC, saran terbaik adalah fokus pada hal-hal penting. Menjadi ahli tentang bagaimana end-point, server, dan perangkat perimeter beroperasi. Penting juga untuk memahami cloud dan bagaimana data mengalir data dari satu resource ke resource lainnya. Teruslah belajar, dan suatu hari kita berharap dapat memberi selamat kepada Anda sebagai anggota SOC.
  
 
==Referensi==
 
==Referensi==

Latest revision as of 09:39, 19 November 2022

Sumber: https://www.comptia.org/content/articles/what-is-a-security-operations-center

Sederhananya, Security Operations Center (SOC – diucapkan “sock”) adalah tim ahli yang secara proaktif memantau kemampuan organisasi untuk beroperasi dengan aman. Secara tradisional, SOC sering didefinisikan sebagai ruangan tempat analis SOC bekerja sama. Meskipun hal ini masih terjadi di banyak organisasi, munculnya COVID-19 dan faktor lainnya telah menyebabkan tim SOC didistribusikan lebih jauh. Semakin lama, SOC saat ini bukanlah satu ruangan yang penuh dengan orang, dan lebih merupakan fungsi keamanan penting dalam suatu organisasi.

Seorang anggota tim SOC seringkali dapat bekerja dengan baik di kantor pusat mereka seperti di pusat operasi keamanan fisik.


Apa yang Dilakukan Anggota Tim SOC?

Anggota tim SOC bertanggung jawab atas berbagai aktivitas, termasuk pemantauan proaktif, respons insiden dan pemulihan, aktivitas remediasi, compliance, serta koordinasi dan konteks.

Mari selami lebih dalam setiap tugas ini.

  • Proactive Monitoring: Ini termasuk analisis file log. Log dapat berasal dari end point (mis., komputer notebook, ponsel, atau perangkat IoT) atau dari sumber daya jaringan, seperti router, firewall, aplikasi sistem deteksi intrusi (IDS), dan peralatan email. Istilah lain untuk pemantauan proaktif adalah pemantauan ancaman. Anggota tim SOC bekerja dengan berbagai sumber daya, yang dapat mencakup pekerja TI lainnya (mis., teknisi meja bantuan), serta tool artificial intelligence (AI) dan file log.
  • Incident Response and Recovery: SOC mengoordinasikan kemampuan organisasi untuk mengambil langkah-langkah yang diperlukan untuk mengurangi kerusakan dan berkomunikasi dengan benar agar organisasi tetap berjalan setelah insiden. Tidak cukup hanya melihat log dan mengeluarkan peringatan. Bagian utama dari respons insiden adalah membantu organisasi pulih dari insiden. Misalnya, pemulihan tersebut dapat mencakup aktivitas seperti menangani malware akut atau insiden ransomware.
  • Remediation Activities: Anggota tim SOC memberikan analisis berbasis data yang membantu organisasi mengatasi kerentanan dan menyesuaikan tool pemantauan dan peringatan keamanan. Misalnya, dengan menggunakan informasi yang diperoleh dari file log dan sumber lain, anggota SOC dapat merekomendasikan strategi segmentasi jaringan yang lebih baik atau rejimen penambalan sistem yang lebih baik. Meningkatkan keamanan siber yang ada adalah tanggung jawab utama SOC.
  • Compliance: Organisasi mengamankan diri mereka sendiri melalui kesesuaian dengan kebijakan keamanan, serta standar keamanan eksternal, seperti ISO 27001x, NIST Cybersecurity Framework (CSF), dan General Data Protection Regulation (GDPR). Organisasi memerlukan SOC untuk membantu memastikan bahwa mereka mematuhi standar keamanan penting dan best practices.
  • Coordination and Context: Yang terpenting, anggota tim SOC membantu organisasi mengoordinasikan elemen dan layanan yang berbeda dan memberikan informasi yang divisualisasikan dan berguna. Bagian dari koordinasi ini adalah kemampuan untuk menyediakan rangkaian narasi yang bermanfaat dan berguna untuk aktivitas di jaringan. Narasi ini membantu membentuk kebijakan dan postur keamanan siber perusahaan untuk masa depan.

Anggota tim SOC membantu organisasi mengidentifikasi penyebab utama serangan siber. Ketika seorang analis SOC melakukan ini, mereka dikatakan terlibat dalam analisis akar penyebab. Singkatnya, seorang analis SOC bekerja untuk mencari tahu kapan, bagaimana, dan bahkan mengapa sebuah serangan berhasil.

Untuk tujuan ini, analis SOC meninjau bukti serangan. Bukti semacam itu disebut indikator serangan. Jika serangan berhasil, analis SOC kemudian akan mempelajari indikator kompromi untuk membantu organisasi merespons dengan tepat, serta membuat perubahan agar serangan serupa tidak terjadi lagi di masa mendatang.

Pembagian Peran / Kerja di Security Operations Center

Tentu saja, ada beberapa posisi khusus yang melengkapi SOC. Meskipun peran dan jabatan pekerjaan tertentu akan berubah dari satu organisasi ke organisasi lain, berikut adalah beberapa jabatan pekerjaan yang biasanya ditemukan di SOC:

  • Junior security analyst: Orang ini bertanggung jawab untuk secara teratur memantau alat dan aplikasi keamanan yang telah dipasang dan kemudian memberikan interpretasi dan konteks yang berguna berdasarkan laporan tersebut. Aplikasi ini dapat mencakup aplikasi intrusion detection system (IDS), aplikasi security information and event monitoring (SIEM), dan aplikasi cybersecurity threat feed. Terkadang, peran pekerjaan ini disebut operator atau operator SOC.
  • Senior security analyst: Orang ini memiliki banyak tanggung jawab yang sama dengan analis tingkat junior tetapi bekerja pada masalah yang lebih menantang dan akut. Sering kali, seorang analis keamanan senior akan bertanggung jawab untuk memimpin aktivitas tanggap insiden. Seringkali, analis keamanan senior disebut sebagai manajer respons insiden.
  • Threat hunter: Orang ini memiliki kombinasi unik dari analitik keamanan dan keterampilan pengujian penetrasi. Pemburu ancaman juga memiliki kemampuan untuk bekerja dengan orang-orang teknis dan non-teknis untuk membantu organisasi mengantisipasi serangan.
  • Cyber Threat Intelligence (CTI) manager: Banyak organisasi membuat threat intelligence feed yang berguna. Seorang manajer CTI dapat diminta untuk berspesialisasi dalam memperoleh, memilah-milah, dan menafsirkan feed ini untuk organisasi.
  • Manager: Orang ini bertanggung jawab untuk mengelola setiap anggota tim, serta teknologi yang digunakan setiap anggota tim.

Apa yang terjadi di Security Operations Center (SOC)?

Pertama-tama, tim SOC mengumpulkan informasi dari berbagai sumber, termasuk CTI threat feed untuk mencatat file dari sistem di seluruh perusahaan. Tim SOC dengan hati-hati memantau aset perusahaan, mulai dari server lokal di pusat data hingga sumber daya cloud. Pemantauan yang akurat sangat penting. Oleh karena itu, anggota tim SOC akan memantau server, end point, dan perangkat perimeter seperti firewall dan switch.

Gambar di bawah memberikan pandangan abstrak tentang apa yang terjadi di SOC.

Diagram Security Operations Center (SOC)

Diagram yang menunjukkan bagian-bagian yang membentuk SOC dan bagaimana mereka bekerja sama, termasuk cyber threat intelligence, normalisasi data, aplikasi SIEM, AI, dan security analysts.

Anggota tim SOC kemudian bekerja untuk menginterpretasikan data ini dengan hati-hati sehingga mereka memiliki informasi yang dapat ditindaklanjuti. Bagian dari interpretasi ini melibatkan penghapusan data duplikat dan mengidentifikasi akar penyebab masalah. Kegiatan ini sering disebut normalisasi data.

Tidaklah cukup hanya dengan melihat file log alat SIEM. Pekerja harus memiliki pengalaman dan kebijaksanaan yang cukup untuk menginterpretasikan data secara akurat. Dalam banyak hal, anggota tim SOC yang ideal bertindak sebagai juru kunci informasi.

Tetapi tanggung jawab SOC tidak berakhir di situ. SOC tidak hanya bertugas mencari orang jahat. Anggota tim SOC menghabiskan cukup banyak waktu untuk mengidentifikasi kondisi yang membuat lokasi kita menjadi tempat yang ideal bagi para peretas.

Ini dapat mencakup mencari hal-hal berikut:

  • Unpatched server dan end point: Meskipun memperbarui sistem mungkin tampak sebagai langkah yang sepele, sebenarnya tidak. Anggota tim SOC dapat membantu menandai sistem yang belum di patch, atau mengidentifikasi tindakan alternatif. Misalnya, jika suatu sistem tidak dapat dengan mudah di patch karena beberapa alasan, mungkin perlu memantau sistem yang belum di patch sampai ada waktu untuk mempatchnya dengan benar.
  • Vulnerable end point: Ini termasuk end point yang tidak mengupdate database antivirus dengan baik, atau bahkan yang aplikasi antivirus-nya tidak jalan.
  • Perimeter dan edge device yang menunjukkan ciri-ciri pengabaian: Ini mungkin termasuk router, switch, dan perangkat jaringan lain yang ada di jaringan atau tepat di luar jaringan yang tidak di update dan diamankan dengan benar.
  • Melaporkan aktifitas end-user: Social engineering adalah cara utama peretas mendapatkan akses yang tidak benar ke informasi dan sumber daya perusahaan. Oleh karena itu, anggota SOC melakukan yang terbaik untuk melindungi end-user agar tidak dimanipulasi oleh peretas. Sangat mungkin bahwa sebagai anggota tim SOC akan bekerja sama dengan erat dengan manajer dan end-user terutama karena individu adalah target utama peretas.

Skill apa yang dibutuhkan untuk bekerja di Security Operations Center?

Tidak semua orang dalam tim SOC memiliki pengalaman keamanan puluhan tahun. Kemungkinan, beberapa anggota tim SOC hanya memiliki pengalaman beberapa tahun di bidang TI. Namun, yang lain memiliki lebih banyak.

Karakteristik utama anggota tim SOC hanyalah kedalaman dan luasnya pengetahuan di semua bidang TI, seperti yang dirangkum dalam tabel di bawah ini. Keterampilan yang dibutuhkan untuk bekerja di SOC dicakup oleh berbagai sertifikasi IT. Memiliki sertifikasi membuktikan kepada pemberi kerja bahwa kita memiliki keterampilan yang dibutuhkan di Security Operations Center mereka.

Skill untuk Security Operations Center
Activitas Deskripsi Contoh Sertifikasi
End point analysis Kemampuan untuk memahami bagaimana host jaringan seharusnya berperilaku dan bagaimana peralatan tersebut dapat dimanipulasi MTCNA, MTCRE, CCNA, JNCIA-Junos, ACMA, VCTA-NV, CompTIA A+
Evaluasi Network and Cloud resource Pengetahuan / Skill tentang bagaimana protokol dapat disalahgunakan RHCSA, RHCE, LPIC-1, Azure Administrator Associate, VCP-DCV, Google Cloud Foundation, Google Cloud Associate, Google Cloud Professsional, CompTIA Network+, CompTIA Cloud+, CompTIA Linux+, CompTIA Server+
Mengenali Vulnerability dan Attack Pengalaman praktis dan hands-on dengan baik tentang bagaimana attack di lakukan CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+
Analysis dari Tactics, Techniques and Procedures (TTPS) dan Indicators of Compromise (IoC) Kemampuan untuk mengidentifikasi aktifitas spesifik hacker CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+, CompTIA CySA+, CompTIA PenTest+
Mengikuti setiap langkah dari siklus hidup peretas Kemampuan mendetail untuk melacak bagaimana seorang peretas melakukan manouver saat melakukan serangan; membutuhkan pengetahuan tentang berbagai model, termasuk Lockheed-Martin Cybersecurity Kill Chain, model MITRE ATT&CK, dan model diamond CEH, GIAC, OSCP, CISSP, CHFI, CISM, CompTIA Security+, CompTIA PenTest+

Penting untuk diperhatikan bahwa analis SOC tingkat awal mungkin tidak memerlukan sertifikasi tingkat lanjut. Paling tidak tabel di atas dapat memberikan gambaran pada kita akan jenis keterampilan analis SOC, atau mereka yang dapat bekerja berhubungan dengan kegiatan analis SOC.

Jika Anda menginginkan tempat di SOC, saran terbaik adalah fokus pada hal-hal penting. Menjadi ahli tentang bagaimana end-point, server, dan perangkat perimeter beroperasi. Penting juga untuk memahami cloud dan bagaimana data mengalir data dari satu resource ke resource lainnya. Teruslah belajar, dan suatu hari kita berharap dapat memberi selamat kepada Anda sebagai anggota SOC.

Referensi

Pranala Menarik

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=Cyber_Security:_Security_Operations_Center_Components&oldid=66938"