Prioritas
Insiden harus dikategorisasikan sesuai framework MITRE ATT&CK (Adversary Technique Tactic & Common Knowledge) dan ditentukan tingkat risikonya, berdasarkan kombinasi CIA attribute, seberapa kritis aset tersebut, dan perilaku aset dalam kondisi normal.
Algoritme mengkalkulasi risiko insiden dengan mempertimbangkan klasifikasi atribut, berdasarkan framework VERIS (Vocabulary for Event Recording & Incident Sharing), yang berkontribusi terhadap besarnya masalah, misalnya Kill Chain, MITRE ATT&CK, jumlah korban, seberapa kritisnya aset, dan lain-lain. Para analis kemudian mengaplikasikan faktor risiko prediktif yang akan meningkatkan atau menurunkan derajat risiko. Output-nya adalah risk assessment yang memiliki konteks untuk setiap insiden. Walhasil akan lebih jelas bagi tim keamanan, mana yang harus ditangani lebih dulu.
Integrasi
Bidirectional integration, dengan tool seperti QRadar, Resilient, dan ServiceNow, dapat digubakan untuk mempresentasikan dan menelusuri insiden. Incident response membutuhkan analisis tingkat lanjut yang dikombinasikan dengan assessment yang akurat, kategorisasi, dan playbook untuk investigasi dan respons
Visibilitas
Tantangan dan pola berdasarkan metrik insiden harus diilustrasikan untuk menjelaskan data dengan visual yang interaktif, melalui data-driven document sehingga informasi dapat disajikan dengan cepat dan intuitif. Dengan memeriksa data secara visual melalui grafik time series atau grafik sunburst, misalnya, para analis dapat menelusuri data untuk mengidentifikasi insiden, trennya, dan kaitan informasi dengan artefak lainnya.
Lantas, apa manfaat penggunaan platform pengelolaan insiden ini bagi organisasi dan efektivitas operasionalnya?
- Organisasi dapat mengoptimalkan waktu untuk merespons insiden keamanan informasi.
- Organisasi dapat meningkatkan kolaborasi di antara para pemangku kepentingan (baik tim teknis maupun nonteknis) dalam menangani insiden.
- Tim SOC dapat memberikan multi-tenant managed security services menggunakan satu tool kolaborasi. Layanan keamanan tersebut dapat pula dihadirkan dalam bentuk white label.
Meraih 2021 IBM Grocer Award for Outstanding Security Solution, Feras Tappuni, CEO SecurityHQ mengatakan,“Security Operations membutuhkan kolaborasi antara staf, departmen, dan pihak ketiga, dipersenjatai dengan data dan playbook." SecurityHQ sendiri adalah penyedia unified security management platform untuk mengorkestrasi respons terhadap insiden, menentukan langkah prioritas, menghubungkan sumber daya, dan membuat visualisasi risiko.