SOAR: Pengertian, Tujuan, Kegunaan, Vendornya

      Comments Off on SOAR: Pengertian, Tujuan, Kegunaan, Vendornya
Share ke:

Halo sobat aliy hafiz kali ini yang akan kita akan bahas adalah mengenai SOAR dimulai dari Pengertian, Kegunaan, Tantangan, Vendornya.

Apa itu SOAR?

pengertian soar
SOAR untuk respon insiden keamanan komputer

SOAR sendiri singkatan dari Security orchestration, automation and response (Orkestrasi, otomatisasi, dan respons keamanan). Pengertiannya SOAR adalah sekumpulan program perangkat lunak yang kompatibel yang memungkinkan organisasi mengumpulkan data tentang ancaman keamanan dan merespons peristiwa keamanan dengan sedikit atau tanpa bantuan manusia.

Tujuan penggunaan SOAR

Tujuan penggunaan platform SOAR adalah untuk meningkatkan efisiensi operasi keamanan fisik dan digital. Platform SOAR memiliki tiga komponen utama: orkestrasi keamanan, otomatisasi keamanan, dan respons keamanan.

Elemen dari SOAR
Elemen dari SOAR

Security orchestration

Orkestrasi keamanan menghubungkan dan mengintegrasikan alat internal dan eksternal yang berbeda melalui integrasi built-in atau kustom dan antarmuka pemrograman aplikasi.

Sistem yang terhubung dapat mencakup pemindai kerentanan, produk perlindungan titik akhir, analitik perilaku pengguna dan entitas, firewall, deteksi intrusi dan sistem pencegahan intrusi (IDSes/IPSes), platform informasi keamanan dan manajemen peristiwa (SIEM), perangkat lunak keamanan titik akhir atau end point security, umpan kecerdasan ancaman eksternal dan sumber pihak ketiga lainnya.

Semakin banyak data yang dikumpulkan melalui sumber-sumber ini, semakin baik peluang untuk mendeteksi ancaman, serta menyusun konteks yang lebih lengkap dan meningkatkan kolaborasi. Namun, pengorbanannya adalah lebih banyak peringatan dan lebih banyak data untuk dicerna dan dianalisis.

Saat orkestrasi keamanan mengumpulkan dan menggabungkan data untuk memulai fungsi respons, otomatisasi keamanan mengambil tindakan.

Automation and response

Otomatisasi keamanan, diumpankan oleh data dan peringatan yang dikumpulkan dari orkestrasi keamanan, menyerap dan menganalisis data serta membuat proses otomatis berulang untuk menggantikan proses manual.

Tugas yang sebelumnya dilakukan oleh analis, seperti pemindaian kerentanan, analisis log, pemeriksaan tiket, dan kemampuan audit, dapat distandarisasi dan dijalankan secara otomatis oleh platform SOAR.

Menggunakan kecerdasan buatan (AI) dan machine learning atau pembelajaran mesin untuk menguraikan dan mengadaptasi wawasan dari analis, otomatisasi SOAR dapat memprioritaskan ancaman, membuat rekomendasi, dan mengotomatiskan respons di masa mendatang. Bergantian, otomatisasi dapat meningkatkan ancaman jika intervensi manusia diperlukan.

Playbook sangat penting untuk kesuksesan SOAR. Playbook yang dibuat sebelumnya atau disesuaikan adalah tindakan otomatis yang ditentukan sebelumnya. Beberapa playbook SOAR dapat dihubungkan untuk menyelesaikan tindakan kompleks.

Misalnya, jika URL jahat ditemukan di email karyawan dan diidentifikasi selama pemindaian, playbook dapat dilembagakan yang memblokir email, memberi tahu karyawan tentang potensi upaya phishing, dan memblokir alamat IP pengirim.

Tool SOAR juga dapat memicu tindakan investigasi lanjutan oleh tim keamanan, jika perlu. Dalam hal contoh phishing, tindak lanjut dapat mencakup pencarian email serupa di kotak masuk karyawan lain dan memblokirnya serta alamat IP mereka, jika ditemukan.

Security response

Tanggapan keamanan menawarkan pandangan tunggal bagi analis ke dalam perencanaan, pengelolaan, pemantauan, dan pelaporan tindakan yang dilakukan setelah ancaman terdeteksi. Tampilan tunggal ini memungkinkan kolaborasi dan berbagi intelijen ancaman di seluruh tim keamanan, jaringan, dan sistem. Ini juga mencakup kegiatan respons pasca insiden, seperti manajemen kasus dan pelaporan.

Manfaat SOAR

Platform SOAR menawarkan banyak manfaat untuk tim operasi keamanan perusahaan (SecOps), manfaat SOAR adalah termasuk yang berikut:

1. Deteksi insiden dan waktu reaksi yang lebih cepat.

Volume dan kecepatan ancaman dan peristiwa keamanan terus meningkat. Konteks data SOAR yang ditingkatkan, dikombinasikan dengan otomatisasi, dapat menurunkan waktu rata-rata untuk mendeteksi, atau MTTD, dan mempercepat waktu rata-rata untuk merespons, atau MTTR. Dengan mendeteksi dan merespons ancaman lebih cepat — melalui playbook otomatis, jika tersedia — efeknya dapat dikurangi.

2. Konteks ancaman yang lebih baik.

Dengan mengintegrasikan lebih banyak data dari rangkaian alat dan sistem yang lebih luas, platform SOAR dapat menawarkan lebih banyak konteks, analisis yang lebih baik, dan informasi ancaman terkini.

3. Manajemen yang disederhanakan.

Kemudahan Platform SOAR adalah menggabungkan berbagai dasbor sistem keamanan ke dalam satu antarmuka. Ini membantu SecOps dan tim lain dengan memusatkan informasi dan penanganan data, menyederhanakan manajemen, dan menghemat waktu.

3. Skalabilitas.

Menskalakan proses manual yang memakan waktu dapat menguras tenaga karyawan dan bahkan tidak mungkin untuk mengikutinya seiring bertambahnya volume peristiwa keamanan. Orkestrasi, otomatisasi, dan alur kerja SOAR adalah dapat memenuhi permintaan skalabilitas dengan lebih mudah.

4. Meningkatkan produktivitas analis.

Mengotomatiskan ancaman tingkat rendah menambah tanggung jawab SecOps dan tim pusat operasi keamanan, memungkinkan mereka untuk memprioritaskan tugas secara lebih efektif dan merespons ancaman yang memerlukan campur tangan manusia dengan lebih cepat.

5. Operasi yang disederhanakan.

Prosedur dan pedoman standar yang mengotomatiskan tugas tingkat rendah memungkinkan tim SecOps untuk merespons lebih banyak ancaman dalam periode waktu yang sama. Alur kerja otomatis ini juga memastikan upaya remediasi standar yang sama diterapkan di seluruh organisasi, di semua sistem.

6. Pelaporan dan kolaborasi.

Pelaporan dan analisis platform SOAR menggabungkan informasi dengan cepat, memungkinkan proses manajemen data yang lebih baik dan upaya respons yang lebih baik untuk memperbarui kebijakan dan program keamanan yang ada untuk keamanan yang lebih efektif.

Dasbor terpusat platform SOAR juga dapat meningkatkan pembagian informasi di seluruh tim perusahaan yang berbeda, meningkatkan komunikasi dan kolaborasi.

7. Menurunkan biaya.

Dalam banyak kasus, menambah analis keamanan dengan alat SOAR dapat menurunkan biaya, dibandingkan dengan melakukan semua analisis ancaman, deteksi, dan upaya respons secara manual.

Apa tantangan SOAR

SOAR bukanlah teknologi peluru perak, juga bukan sistem yang berdiri sendiri. Platform SOAR harus menjadi bagian dari strategi keamanan pertahanan yang mendalam, terutama karena mereka membutuhkan masukan dari sistem keamanan lain untuk berhasil mendeteksi ancaman.

Penggunaan tool SOAR di organisasi untuk celah keamanan
Penggunaan tool SOAR

Adapun SOAR adalah sebagai teknologi pelengkap, bukan pengganti alat keamanan lainnya. Platform SOAR bukan pengganti analis manusia, tetapi sebaliknya dapat meningkatkan keterampilan dan alur kerja mereka untuk deteksi dan respons insiden yang lebih efektif.

Adapun tantangan SOAR merupakan Kelemahan potensial SOAR lainnya termasuk yang berikut:

1. Kegagalan untuk memulihkan strategi keamanan yang lebih luas.

2. Menggabungkan ekspektasi.

3. Penyebaran dan kompleksitas manajemen.

4. Kurangnya atau terbatasnya metrik.

Kemampuan SOAR dan kasus penggunaan

Istilah SOAR, diciptakan oleh Gartner pada tahun 2015, awalnya berarti operasi keamanan, analitik, dan pelaporan. Itu diperbarui ke bentuknya saat ini pada tahun 2017, dengan Gartner mendefinisikan tiga kemampuan utama SOAR adalah sebagai berikut:

a. Teknologi manajemen ancaman dan kerentanan yang mendukung remediasi kerentanan, menyediakan alur kerja formal, kemampuan pelaporan dan kolaborasi.

b. Teknologi respons insiden keamanan yang mendukung cara organisasi merencanakan, mengelola, melacak, dan mengoordinasikan respons terhadap insiden keamanan.

c. Teknologi otomatisasi operasi keamanan yang mendukung otomatisasi dan orkestrasi alur kerja, proses, pelaksanaan kebijakan, dan pelaporan.

Gartner memperluas definisi lebih lanjut, menyempurnakan konvergensi teknologi SOAR sebagai berikut:

a. Platform respons insiden keamanan, yang mencakup kemampuan seperti manajemen kerentanan, manajemen kasus, manajemen insiden, alur kerja, basis pengetahuan insiden, kemampuan audit dan logging, pelaporan, dan lainnya.

b. Orkestrasi dan otomatisasi keamanan, yang mencakup integrasi, otomatisasi alur kerja, pedoman, manajemen pedoman, pengumpulan data, analisis log, dan pengelolaan siklus hidup akun.

c. Platform intelijen ancaman, yang mencakup agregasi, analisis, dan distribusi intelijen ancaman; pengayaan konteks waspada; dan visualisasi intelijen ancaman.

SOAR vs SIEM

Meskipun platform SOAR dan SIEM menggabungkan data dari berbagai sumber, istilah tersebut tidak dapat dipertukarkan. Sistem SIEM mengumpulkan data, mengidentifikasi penyimpangan, mengurutkan ancaman, dan menghasilkan peringatan. Sistem SOAR juga menangani tugas ini, tetapi memiliki kemampuan tambahan.

Pertama, platform SOAR berintegrasi dengan aplikasi internal dan eksternal yang lebih luas, baik keamanan maupun non-keamanan.

Kedua, sementara sistem SIEM hanya memberi tahu analis keamanan tentang peristiwa potensial, platform SOAR menggunakan otomatisasi, AI, dan pembelajaran mesin untuk memberikan konteks yang lebih besar dan respons otomatis terhadap ancaman tersebut.

Banyak perusahaan menggunakan SOAR adalah untuk menambah perangkat lunak SIEM internal. Di masa mendatang, vendor SIEM diharapkan dapat menambahkan kemampuan SOAR ke layanan mereka, yang berarti pasar untuk kedua lini produk ini akan bergabung.

Banyak vendor SIEM menawarkan kemampuan SOAR — yaitu otomatisasi — dalam produk SIEM mereka, sering kali menyebutnya sebagai SIEM generasi mendatang. Produk lain, seperti gateway keamanan email, deteksi dan respons titik akhir, deteksi dan respons jaringan, serta deteksi dan respons yang diperluas, juga mengadopsi kemampuan SOAR.

Vendor SOAR adalah Solusi

Panduan pasar SOAR 2023 Gartner memberikan daftar perwakilan vendor dan produk SOAR, yaitu berikut:

  1. Anomali ThreatStream
  2. Cyware Virtual Cyber Fusion Center
  3. D3 Security NextGen SOAR
  4. Divo SOAR (formerly LogicHub)
  5. EclecticIQ Platform
  6. Fortinet FortiSOAR
  7. Google Cloud Chronicle Security Operations (formerly Siemplify)
  8. Honeycomb SOCAutomation
  9. IBM Security QRadar SOAR
  10. Logsign SOAR
  11. NSFOCUS Intelligent Security Operation Platform
  12. OpenText ArcSight (formerly Micro Focus)
  13. Palo Alto Networks Cortex XSOAR
  14. QAX SOAR
  15. Rapid7 InsightConnect
  16. Revelstoke SOAR
  17. ServiceNow Security Operations
  18. SIRP SOAR
  19. Splunk SOAR
  20. Sumo Logic Cloud SOAR
  21. Swimlane Turbine
  22. ThreatConnect
  23. ThreatQuotient TDR Orchestrator
  24. Tines
  25. Torq

Demikianlah pembahasan mengenai SOAR mulai dari Pengertian, Tujuan, Kegunaan, dan Vendornya semoga bermanfaat ya.

Share ke: