Di tengah lansekap bisnis yang kompetitif seperti saat ini, insiden keamanan perlu dikelola secara efektif. Bagaimana hal itu dilakukan dengan incident management platform?
Di era digital ini, semakin banyak layanan “always on" yang dioperasikan oleh perusahaan. Walhasil, saat ada gangguan, tim TI pun dituntut untuk mampu mengembalikan layanan ke kondisi normal dengan cepat.
Di sinilah hadir kebutuhan akan sistem pengelolaan insiden (insiden management system) yang akan memastikan tim TI tetap menguasai keadaan dan mampu merespons secara efektif.
Proses pengelolaan insiden tidak hanya bertujuan menormalisasi layanan dengan cepat. Sistem ini juga akan melakukan mitigasi terhadap efek negatif dari insiden tersebut pada operasional bisnis.
Idealnya, platform bagi sistem incident management merupakan wadah untuk mengorkestrasi keamanan dan response tooling sehingga dapat memberikan informasi real time kepada pengguna, dapat secara cepat mengidentifikasi dan membatasi dampak ancaman dan risiko keamanan. Oleh karena itu, platform ini harus dibekali kemampuan monitoring, deteksi ancaman, dan mampu merespons sesuai, yang didukung oleh log analytics real time, dengan orkestrasi, automasi keamanan, dan response tooling untuk investigasi, memburu dan merespons ancaman.
Incident management platform yang baik harus memadukan threat intelligence dan keahlian manusia sehingga membuahkan advanced analytics dan memberikan konteks yang akurat pada event.
Empat Tujuan
Ada empat tujuan penting dari penerapan Incident Management Platform, yaitu menyederhanakan penanganan insiden dengan memungkinkan kolaborasi, penentuan prioritas, integrasi, dan visibilitas, yang terkadang dilakukan menggunakan tool milik pihak ketiga. Mari kita lihat satu persatu tujuan tersebut.
Kolaborasi
Incident Management Platform merupakan platform untuk kolaborasi tim Security Operation Centre (SOC). Melalui platform ini, tim SOC membagi pakai data-data tentang insiden dan mengkoordinasikan rencana untuk merespons insiden tersebut.
Dalam kolaborasi, interoperability adalah kuncinya. Antarmuka yang menyatu memudahkan pengguna mengakses dan berkolaborasi via remote SOC dan antara tooling (SIEM, EDR, SOAR), juga memudahkan tim IT security berkolaborasi menangani playbook untuk penanganan insiden, pengelolaan kerentanan, dan pengelolaan perubahan (change management).
Para anggota dapat berkolaborasi antara tim TI dan tim Security untuk menentukan prioritas, memulihkan, dan secara cepat merespons risiko keamanan yang muncul.
Prioritas
Insiden harus dikategorisasikan sesuai framework MITRE ATT&CK (Adversary Technique Tactic & Common Knowledge) dan ditentukan tingkat risikonya, berdasarkan kombinasi CIA attribute, seberapa kritis aset tersebut, dan perilaku aset dalam kondisi normal.
Algoritme mengkalkulasi risiko insiden dengan mempertimbangkan klasifikasi atribut, berdasarkan framework VERIS (Vocabulary for Event Recording & Incident Sharing), yang berkontribusi terhadap besarnya masalah, misalnya Kill Chain, MITRE ATT&CK, jumlah korban, seberapa kritisnya aset, dan lain-lain. Para analis kemudian mengaplikasikan faktor risiko prediktif yang akan meningkatkan atau menurunkan derajat risiko. Output-nya adalah risk assessment yang memiliki konteks untuk setiap insiden. Walhasil akan lebih jelas bagi tim keamanan, mana yang harus ditangani lebih dulu.
Integrasi
Bidirectional integration, dengan tool seperti QRadar, Resilient, dan ServiceNow, dapat digubakan untuk mempresentasikan dan menelusuri insiden. Incident response membutuhkan analisis tingkat lanjut yang dikombinasikan dengan assessment yang akurat, kategorisasi, dan playbook untuk investigasi dan respons
Visibilitas
Tantangan dan pola berdasarkan metrik insiden harus diilustrasikan untuk menjelaskan data dengan visual yang interaktif, melalui data-driven document sehingga informasi dapat disajikan dengan cepat dan intuitif. Dengan memeriksa data secara visual melalui grafik time series atau grafik sunburst, misalnya, para analis dapat menelusuri data untuk mengidentifikasi insiden, trennya, dan kaitan informasi dengan artefak lainnya.
Lantas, apa manfaat penggunaan platform pengelolaan insiden ini bagi organisasi dan efektivitas operasionalnya?
Meraih 2021 IBM Grocer Award for Outstanding Security Solution, Feras Tappuni, CEO SecurityHQ mengatakan,“Security Operations membutuhkan kolaborasi antara staf, departmen, dan pihak ketiga, dipersenjatai dengan data dan playbook." SecurityHQ sendiri adalah penyedia unified security management platform untuk mengorkestrasi respons terhadap insiden, menentukan langkah prioritas, menghubungkan sumber daya, dan membuat visualisasi risiko.
Penulis | : | Liana Threestayanti |
Editor | : | Liana Threestayanti |
KOMENTAR