Security Operation Center (SOC) adalah lapisan pertahanan utama keamanan siber pada organisasi atau perusahaan. SOC ditugaskan untuk mengelola dan mengawasi keamanan jaringan dan sistem dari sebuah organisasi. SOC memberikan fitur-fitur berupa event monitoring, event management, dan solusi ancaman siber.

Prioritas dari SOC adalah sebagai berikut:

1. Mengidentifikasi ancaman siber yang ada
2. Menangani insiden atau isu isu yang berkaitan dengan keamanan
3. Mencegah attacker dapat merusak proses bisnis atau reputasi organisasi / perusahaan.

Tanpa adanya SOC, organisasi / perusahaan kekurangan transparansi terhadap ancaman-ancaman siber secara real-time. Hal tersebut menghalangi kemampuan organisasi/perusahaan untuk melindungi keamanan informasi dari risiko serangan siber.

Implementasi SOC

Full outsource. Pekerjaan harian SOC dapat menjadi sangat berat bagi organisasi atau perusahaan kecil dan menengah, terutama karena biaya dan kompleksitasnya. Model implementasi Full Outsource memungkinkan organisasi untuk menyerahkan seluruh tugas dan tanggung jawab SOC kepada Managed Security Service Provider (MSSP), yaitu pihak yang menyediakan layanan keamanan profesional.

Full in-house. Model ini cocok apabila organisasi/perusahaan memiliki dana dan kapabilitas yang cukup untuk menangani kompleksitas dari security operation center. Perlu diperhatikan bahwa SOC yang efektif adalah SOC yang beroperasi secara penuh 24/7. Apabila kebutuhan tersebut tidak dapat terpenuhi, ada baiknya untuk menggunakan model Hybrid.

Hybrid. Model full outsource memiliki kekurangan di mana organisasi/perusahaan tidak memiliki tim internal security sama sekali. Akibatnya, organisasi/perusahaan akan memiliki pengalaman yang minim untuk menangani insiden siber. Hybrid adalah model implementasi SOC dengan membagi tugas antara tim internal security dan MSSP. Model ini membuat perusahaan juga mendapatkan feedback yang cukup dari insiden serangan siber.

Elemen pada SOC

Security operation center sendiri memiliki tiga elemen utama yang tidak dapat dipisahkan satu dengan lainnya. Ketiga elemen tersebut adalah people (orang), process (proses), dan technology (teknologi).

People

People berkaitan dengan peran dan tanggung jawab orang terhadap keberlangsungan SOC. Peran dan tanggung jawab secara struktural pada SOC biasa dibagi menjadi 4, yaitu:

Tier 1: security analyst merupakan garda terdepan dari security operation center. Security analyst bertugas melakukan monitoring terhadap alert (notifikasi) security yang terdeteksi oleh sistem. Para analyst juga bertugas untuk memastikan keaslian dari alert tersebut. Apabila dibutuhkan, mereka akan mengoper insiden kepada Tier 2. Security analyst ini merupakan job role yang cocok untuk entry level cyber security.

Tier 2: incident responder merupakan orang-orang yang memiliki keahlian teknis dalam investigasi serangan siber. Incident responder menindaklanjuti tiket yang dihasilkan oleh tier 1 dan melakukan forensik digital untuk menentukan aset mana saja yang terdampak oleh serangan siber. Kemudian, incident responder juga melakukan remidiasi terhadap dampak teknis serangan siber.

Tier 3: threat hunter merupakan tim yang sangat kompeten dalam melakukan malware reverse engineering dan threat intelligence. Selain itu, mereka juga secara proaktif melakukan langkah pencegahan, contohnya membuat metode deteksi malware dan phishing, serta melakukan investigasi ke dalam dark web untuk mencari potensi ancaman yang dapat terjadi pada organisasi/perusahaan.

SOC manager bertanggung jawab terhadap keberlanjutan dan ketersediaan resource bagi security operation center. SOC manager juga berperan menjadi contact person organisasi atau pelanggan (jika menggunakan model outsource.)

Process

Security operation center juga melibatkan proses yang terdokumentasi dengan baik untuk merespons ancaman yang datang. Untuk mencapai process yang efektif, SOC dapat memanfaatkan framework dan security requirement, seperti ISO, NIST, PCI, HIPAA, dan sebagainya.

Berikut ini adalah empat proses kritikal pada SOC.

1. Alert triage. SOC bertugas untuk mengumpulkan, mengorelasikan, dan menganalisis data log dari berbagai sumber. Analis keamanan juga harus memiliki metode yang efisien untuk menyaring “noise” atau false positives, sehingga dapat fokus pada insiden yang memiliki potensi merugikan.
2. Prioritization. Dalam dunia keamanan siber modern, serangan terjadi dalam skala besar, dengan tingkat risiko yang terus meningkat dan taktik yang semakin canggih. Oleh karena itu, memprioritaskan insiden berdasarkan tingkat ancaman dan urgensinya menjadi langkah penting untuk memastikan respons yang efektif.
3. Remidiation and recovery. Serangan siber kadang-kadang menyebabkan dampak permanen pada kinerja sistem. Tim SOC, khususnya Tier 2 dan Tier 3, bertanggung jawab untuk mengidentifikasi dampak dari eksploitasi yang terjadi dan melakukan langkah-langkah perbaikan guna memulihkan sistem ke kondisi optimal.
4. Post activity and reporting. Proses dokumentasi yang mendetail terhadap insiden menjadi bagian penting dalam operasional SOC. Laporan ini mencakup identifikasi celah pertahanan yang berhasil dieksploitasi oleh penyerang. Dengan dokumentasi ini, SOC dapat memanfaatkan pelajaran dari insiden sebelumnya untuk mengurangi dampak serangan serupa di masa depan dan meningkatkan efektivitas penanganan.

Technology

Kunci teknologi pada SOC modern meliputi intrusion detection/prevention, Security Information and Event Management Systems (SIEM), Data Loss Prevention (DLP) software, serta threat intelligence and vulnerability management platforms.

1. Intrusion detection/prevention. Next-generation firewall tidak hanya berfungsi untuk memblokir koneksi yang mencurigakan, tetapi juga bertindak sebagai alat yang secara proaktif mendeteksi dan mencegah serangan siber. Dengan teknologi canggih, firewall generasi baru mampu mengidentifikasi pola serangan dan memberikan perlindungan lebih lanjut terhadap ancaman yang terus berkembang.
2. SIEM. Meskipun proteksi dari firewall sangat penting, namun sistem ini tidak selalu sempurna dan bisa gagal. Oleh karena itu, dibutuhkan sistem deteksi yang lebih kuat. Sistem deteksi ini, yang sering menggunakan SIEM (Security Information and Event Management), membantu incident responder dalam investigasi serangan siber. SIEM berfungsi sebagai kolektor dan korelator dari berbagai sumber log, seperti firewall, server log, client log, dan perangkat jaringan lainnya, untuk memberikan gambaran lengkap dan terpusat tentang jejak serangan siber yang terjadi.
3. DLP. Untuk melindungi data sensitif dari ancaman pencurian, organisasi sering mengimplementasikan Data Loss Prevention (DLP). DLP memberikan perlindungan dengan memonitor dan memblokir percobaan pencurian data, baik melalui email, chat, perangkat USB, atau pengiriman melalui web. Teknologi ini dapat memitigasi ancaman yang berasal dari dalam organisasi (misalnya karyawan) maupun serangan dari pihak luar yang telah berhasil menembus jaringan.
4. Threat intelligence and vulnerability management platform. Ancaman di dunia siber terus berkembang dengan cepat, sehingga diperlukan teknologi untuk mendapatkan informasi terkini terkait ancaman dan celah yang baru ditemukan. Threat intelligence dan vulnerability management platforms membantu tim SOC untuk mengidentifikasi dan memitigasi celah keamanan dengan memberikan nilai bahaya pada setiap ancaman yang terdeteksi. Platform ini memungkinkan tim untuk melakukan mitigasi berdasarkan skala prioritas yang lebih efisien dan efektif.

Dalam implementasinya, teknologi pada SOC dapat di-automasi untuk mendapatkan kinerja yang makin efisien. Security Orchestration Automation and Response (SOAR) merupakan teknologi untuk melakukan integrasi antara detection, threat intelligence, dan response dengan cara berikut ini.

• Mengkoleksi data alarm dari berbagai komponen sistem.
• Menyediakan tools untuk mengevaluasi dan menginvestigasi kasus.
• Meng-automasi workflow deteksi dan respons, sehingga proses SOC menjadi semakin efisien dan dapat mengimplementasikan sistem adaptive defense.
• Menyediakan pre-defined playbooks untuk meng-automasi proses respons insiden.

Kedepannya, teknologi pada SOC akan terintegrasi dengan artificial intelligence dan machine learning untuk melindungi aset kritikal. Namun teknologi seharusnya tidak digunakan sebagai pengganti tim security engineer, melainkan dimanfaatkan sebagai enabler supaya orang-orang pada SOC dapat bekerja semakin efektif dan efisien.