Manajemen pengetahuan adalah keterampilan yang penting ketika datang ke orkestrasi keamanan, otomatisasi, dan respons (SOAR). Baca mengapa analisis keamanan yang tepat, pencegahan, dan respons tergantung pada seni operasional berbagi pengetahuan, dan bagaimana keamanan kami
Sebagai Petugas Risiko dan Kepatuhan Guru, saya menghabiskan waktu untuk merawat standar dan kontrol yang kami unggah (hal-hal keamanan yang perlu kami lakukan), tetapi saya juga memperhatikan bagaimana otomatisasi dan manajemen pengetahuan dapat memungkinkan "keamanan taktis." Istilah industri untuk praktik ini adalah "Orkestrasi Keamanan, Otomatisasi dan Respons" (SOAR), tetapi dengan sendirinya, otomatisasi tidak selalu memberikan hasil yang sukses.
Sebagai contoh, ketika toko Target terkena pelanggaran yang terkenal pada tahun 2013, serangan siber berhasil, sebagian, karena staf keamanan mengabaikan alert mesin yang sudah terpendam dalam percakapan dari umpan sensor keamanan mereka. Pelanggaran itu pada akhirnya biayanya mencapai $300 juta dan menjadi kisah peringatan tentang apa yang bisa salah ketika terlalu banyak input menyebabkan kebingungan.
Tentu saja, tidak setiap alert yang terlewat mengarah pada pelanggaran sebesar Target. Serangan yang lebih kecil terjadi setiap hari. Faktanya, menurut Indeks Tingkat Pelanggaran, lebih dari empat ribu catatan sensitif dikompromikan setiap menit. Untuk tetap selangkah lebih maju dari insiden ini, organisasi biasanya mempekerjakan "tumpukan keamanan" untuk menandai perilaku tidak biasa atau kemungkinan intrusi terhadap jaringan mereka. Tumpukan ini diawasi oleh tim inti staf atau Pusat Operasi Keamanan (SOC) yang sepenuhnya, dan semakin banyak tim ini dibantu oleh aplikasi SOAR untuk memisahkan pengacau digital dan bertindak pada apa yang nyata. Vendor SOAR baru bermunculan di lanskap, dengan Gartner melaporkan lebih dari selusin perusahaan terpisah di ruang SOAR.
Namun aplikasi SOAR yang mengkilap dan siap pakai ini tidak menciptakan dan mengisi basis pengetahuan secara otomatis, tempat di mana analis dapat menemukan informasi yang dapat ditindaklanjuti dan dapat diulang untuk menangani insiden dalam lingkungan mereka. Praktik operasional ini mengharuskan personel SOC untuk melepaskan diri dari jebakan pengetahuan dan mendokumentasikan prosedur konkret untuk tim yang lebih luas.
Dokumentasi sangat sulit di dunia SOC, karena kecepatan menghambat penciptaan dan pemeliharaan berkelanjutan playbook dan prosedur. Namun mengabaikan langkah ini bukanlah pilihan. Menulis satu blogger keamanan, "Tanpa playbook, analis cenderung mengandalkan insting mereka — yang mungkin efektif bagi individu, tetapi menjadikan seluruh tim bergantung pada pengetahuan yang ada di benak analis tersebut."
Jadi apa yang harus dilakukan seorang analis keamanan yang terbebani?
Keamanan, temui manajemen pengetahuan
Jawabannya datang melalui manajemen pengetahuan yang baik dan kuno, yang bukan hanya tugas tambahan dalam SOC yang sibuk, tetapi merupakan keterampilan yang sangat penting. Contoh kasus, Kerangka Kerja Tenaga Kerja Keamanan Siber NIST mencantumkan manajemen pengetahuan sebagai keahlian inti di antara staf keamanan. Ini termasuk keahlian dalam penciptaan konten, manajemen alat kolaboratif dan kemampuan umum untuk "mengidentifikasi, mendokumentasikan, dan mengakses modal intelektual dan konten informasi."
Para ahli industri setuju bahwa basis pengetahuan merupakan pengganda kekuatan yang besar dalam SOC. Dalam artikelnya "Meningkatkan Tingkat IQ SOC dengan Transfer Pengetahuan," Mike Fowler menekankan persyaratan spesifik untuk tempat penyimpanan konten yang dapat diakses dan mudah dipelihara oleh semua orang:
"Mengimplementasikan pendekatan otomatis dengan menggunakan database terpusat dan playbook yang terstruktur akan memastikan proses transfer pengetahuan dapat diulang, dapat dipertahankan, dan konsisten."
Salah satu contoh bagaimana SOAR dan playbook dipadukan mungkin ketika alert mesin memberi tahu staf keamanan bahwa sejumlah besar data meninggalkan organisasi, mengalir ke situs yang tidak dikenal. Analis atau penanggap yang ditugaskan bertindak berdasarkan alert dan memblokir situs dari menerima data perusahaan lebih lanjut, tetapi ini hanyalah langkah pertama dalam apa yang seharusnya menjadi serangkaian tindakan manusia untuk memahami luasnya insiden dan menilai dampaknya. Playbook mungkin mengatakan, "Lihat alamat server dan domain situs unduhan," diikuti dengan, "Cari log jaringan dan temukan semua unduhan sebelumnya ke server itu."
Dengan melaksanakan tindakan ini, penanggap insiden akhirnya menyusun teka-teki bagaimana, apa, kapan, dan di mana sehingga manajemen bisa diinformasikan dan melanjutkan sesuai (yang kemungkinan akan memicu playbooknya sendiri).
Mengapa manajemen pengetahuan harus menjadi bagian dari tumpukan keamanan Anda
Meskipun alat SOAR saat ini dapat membantu memisahkan indikator ancaman dan menyediakan mereka untuk analis manusia, biasanya alat saja tidak cukup untuk merespons insiden dan menanganinya hingga resolusi.
Analisis keamanan yang tepat, pencegahan, dan respons masih tergantung pada orang dan seni operasional yang abadi dalam berbagi pengetahuan.
Personel keamanan terlalu sedikit dan dibatasi oleh waktu untuk bisa memperkirakan cara mereka melalui setiap insiden baru. Playbook yang mudah diakses, diperbarui, dan dapat diulang adalah fondasi untuk bekerja lebih cerdas di lingkungan yang selalu berpotensi diserang.
Sebagai Petugas Risiko dan Kepatuhan Guru, saya menghabiskan waktu untuk merawat standar dan kontrol yang kami unggah (hal-hal keamanan yang perlu kami lakukan), tetapi saya juga memperhatikan bagaimana otomatisasi dan manajemen pengetahuan dapat memungkinkan "keamanan taktis." Istilah industri untuk praktik ini adalah "Orkestrasi Keamanan, Otomatisasi dan Respons" (SOAR), tetapi dengan sendirinya, otomatisasi tidak selalu memberikan hasil yang sukses.
Sebagai contoh, ketika toko Target terkena pelanggaran yang terkenal pada tahun 2013, serangan siber berhasil, sebagian, karena staf keamanan mengabaikan alert mesin yang sudah terpendam dalam percakapan dari umpan sensor keamanan mereka. Pelanggaran itu pada akhirnya biayanya mencapai $300 juta dan menjadi kisah peringatan tentang apa yang bisa salah ketika terlalu banyak input menyebabkan kebingungan.
Tentu saja, tidak setiap alert yang terlewat mengarah pada pelanggaran sebesar Target. Serangan yang lebih kecil terjadi setiap hari. Faktanya, menurut Indeks Tingkat Pelanggaran, lebih dari empat ribu catatan sensitif dikompromikan setiap menit. Untuk tetap selangkah lebih maju dari insiden ini, organisasi biasanya mempekerjakan "tumpukan keamanan" untuk menandai perilaku tidak biasa atau kemungkinan intrusi terhadap jaringan mereka. Tumpukan ini diawasi oleh tim inti staf atau Pusat Operasi Keamanan (SOC) yang sepenuhnya, dan semakin banyak tim ini dibantu oleh aplikasi SOAR untuk memisahkan pengacau digital dan bertindak pada apa yang nyata. Vendor SOAR baru bermunculan di lanskap, dengan Gartner melaporkan lebih dari selusin perusahaan terpisah di ruang SOAR.
Namun aplikasi SOAR yang mengkilap dan siap pakai ini tidak menciptakan dan mengisi basis pengetahuan secara otomatis, tempat di mana analis dapat menemukan informasi yang dapat ditindaklanjuti dan dapat diulang untuk menangani insiden dalam lingkungan mereka. Praktik operasional ini mengharuskan personel SOC untuk melepaskan diri dari jebakan pengetahuan dan mendokumentasikan prosedur konkret untuk tim yang lebih luas.
Dokumentasi sangat sulit di dunia SOC, karena kecepatan menghambat penciptaan dan pemeliharaan berkelanjutan playbook dan prosedur. Namun mengabaikan langkah ini bukanlah pilihan. Menulis satu blogger keamanan, "Tanpa playbook, analis cenderung mengandalkan insting mereka — yang mungkin efektif bagi individu, tetapi menjadikan seluruh tim bergantung pada pengetahuan yang ada di benak analis tersebut."
Jadi apa yang harus dilakukan seorang analis keamanan yang terbebani?
Keamanan, temui manajemen pengetahuan
Jawabannya datang melalui manajemen pengetahuan yang baik dan kuno, yang bukan hanya tugas tambahan dalam SOC yang sibuk, tetapi merupakan keterampilan yang sangat penting. Contoh kasus, Kerangka Kerja Tenaga Kerja Keamanan Siber NIST mencantumkan manajemen pengetahuan sebagai keahlian inti di antara staf keamanan. Ini termasuk keahlian dalam penciptaan konten, manajemen alat kolaboratif dan kemampuan umum untuk "mengidentifikasi, mendokumentasikan, dan mengakses modal intelektual dan konten informasi."
Para ahli industri setuju bahwa basis pengetahuan merupakan pengganda kekuatan yang besar dalam SOC. Dalam artikelnya "Meningkatkan Tingkat IQ SOC dengan Transfer Pengetahuan," Mike Fowler menekankan persyaratan spesifik untuk tempat penyimpanan konten yang dapat diakses dan mudah dipelihara oleh semua orang:
"Mengimplementasikan pendekatan otomatis dengan menggunakan database terpusat dan playbook yang terstruktur akan memastikan proses transfer pengetahuan dapat diulang, dapat dipertahankan, dan konsisten."
Salah satu contoh bagaimana SOAR dan playbook dipadukan mungkin ketika alert mesin memberi tahu staf keamanan bahwa sejumlah besar data meninggalkan organisasi, mengalir ke situs yang tidak dikenal. Analis atau penanggap yang ditugaskan bertindak berdasarkan alert dan memblokir situs dari menerima data perusahaan lebih lanjut, tetapi ini hanyalah langkah pertama dalam apa yang seharusnya menjadi serangkaian tindakan manusia untuk memahami luasnya insiden dan menilai dampaknya. Playbook mungkin mengatakan, "Lihat alamat server dan domain situs unduhan," diikuti dengan, "Cari log jaringan dan temukan semua unduhan sebelumnya ke server itu."
Dengan melaksanakan tindakan ini, penanggap insiden akhirnya menyusun teka-teki bagaimana, apa, kapan, dan di mana sehingga manajemen bisa diinformasikan dan melanjutkan sesuai (yang kemungkinan akan memicu playbooknya sendiri).
Mengapa manajemen pengetahuan harus menjadi bagian dari tumpukan keamanan Anda
Meskipun alat SOAR saat ini dapat membantu memisahkan indikator ancaman dan menyediakan mereka untuk analis manusia, biasanya alat saja tidak cukup untuk merespons insiden dan menanganinya hingga resolusi.
Analisis keamanan yang tepat, pencegahan, dan respons masih tergantung pada orang dan seni operasional yang abadi dalam berbagi pengetahuan.
Personel keamanan terlalu sedikit dan dibatasi oleh waktu untuk bisa memperkirakan cara mereka melalui setiap insiden baru. Playbook yang mudah diakses, diperbarui, dan dapat diulang adalah fondasi untuk bekerja lebih cerdas di lingkungan yang selalu berpotensi diserang.
