Setelah mengimplementasikan perlindungan di 4 layer proteksi tersebut, tantangan organisasi selanjutnya adalah melakukan investigasi suatu insiden. Lebih jauh lagi, perusahaan (khususnya tim SOC atau Security Operation Center) dituntut dapat melakukan threat hunting agar lebih meminimalisir resiko keamanan.
Untuk dapat menemukan root cause sebuah insiden, tim SOC harus menganalisa catatan atau log dari sistem IT Security mereka. Namun proses ini memang tidak mudah karena melibatkan log yang jumlahnya mencapai jutaan alert per hari di masing-masing layer. Setiap log juga harus dikorelasikan untuk menemukan informasi lengkap dan menyeluruh demi menemukan sebuah root cause.
Untuk dapat mengetahui root cause dari sebuah cyber attack, tim SOC harus menganalisa semua data dengan tepat dan cepat
Kompleksitas proses tersebut tentunya berdampak pada waktu yang dibutuhkan untuk menganalisa suatu insiden. Sering kali, investigasi yang dihasilkan tidak komplit dan memadai untuk dapat menemukan sumber masalah. Jika ingin investigasi yang cepat dan tepat, perusahaan membutuhkan tim lebih besar yang tentunya membutuhkan biaya yang tinggi.
Saat ini memang sudah banyak perangkat atau tools yang membantu tim SOC dalam menganalisa alert/log (seperti tool SIEM atau Security Information and Event Management). Namun kami melihat, tools yang ada tidaklah cukup menjawab tantangan di atas. Salah satunya menjawab tuntutan kecepatan dalam menganalisa dan menginvestigasi sebuah insiden, sehingga organisasi selalu dibayang-bayangi risiko keamanan yang tinggi.
Lalu, apa solusinya?