Mengapa SIEM Tidak Tergantikan dalam
Lingkungan TI yang Aman?
Oskars Podzin
Departemen Pemodelan dan Simulasi
Universitas Teknik Riga
Riga, Latvia
Podzins.Oskars@gmail.com
Abstrak—Tujuan dari publikasi ini adalah untuk memberikan
penjelasan singkat tentang pentingnya solusi SIEM (Security
Information and Event Management). Manfaatnya tetapi juga
meluangkan waktu untuk merenungkan kelemahan sistem ini.
Semuanya ditujukan bagi mereka yang mencari solusi
keamanan siber yang akan belajar dari seluruh infrastruktur TI
dan mampu mengidentifikasi anomali, seperti serangan siber.
Tergantung pada wilayah dan pasar, prioritas perusahaan
cenderung berbeda, tetapi semuanya terutama
mempertimbangkan TCO (Total Cost of Ownership), yang dalam
kasus SIEM merupakan metrik kunci. Jika perusahaan/
organisasi serius dalam menerapkan SIEM, maka teknologi
keamanan utama lainnya yang harus mereka pikirkan adalah
SOC. Jika digunakan dengan benar daripada SOC (Pusat Operasi
Keamanan) adalah kerangka kerja penuh teknologi,
Kata kunci—keamanan siber, keamanan jaringan,
manajemen keamanan, keamanan komputer, SIEM, Analisis log,
SOC, manajemen insiden
sayaPENDAHULUAN
Selama beberapa tahun terakhir, data telah menjadi sumber daya
paling berharga di dunia. Ini telah membantu tumbuhnya minat dari
penjahat dunia maya individu, APT, Hacktivist, dan aktor negara-bangsa
untuk mencuri, memodifikasi, menghancurkan informasi atau bahkan
menyebabkan kerusakan fisik seperti yang terjadi pada Stuxnet [1] dan
energi Hitam [2].
Verizon - Laporan Investigasi Pelanggaran Data 2018 [3]
menunjukkan bahwa 68% dari semua serangan siber yang
teridentifikasi ditemukan sebulan atau lebih setelah pelanggaran
awal. Jika kita memperhitungkan bahwa ada persentase tinggi
serangan siber yang berhasil dan tidak terdeteksi, maka persentase
akhir akan jauh lebih tinggi. Ini sangat baik mengukur seberapa
aman data kami. Dengan mengambil informasi ini, kita harus
berusaha untuk meningkatkan kemampuan deteksi serangan siber.
Salah satu masalah utama dalam mengidentifikasi serangan siber
adalah infrastruktur TI cenderung sangat luas. Perusahaan tipikal
memiliki ratusan atau ribuan perangkat yang saling berhubungan,
ratusan fragmen perangkat lunak yang menggunakan teknologi yang tak
terhitung jumlahnya (kebanyakan menjalankan versi berbeda). Semuanya
dikonfigurasi dan didukung oleh staf TI yang sering bergilir dengan
pengalaman dan pendekatan berbeda untuk memperbaiki masalah.
Gabungkan semua ini dalam satu lingkungan TI dan dalam banyak kasus,
ini akan menghasilkan kemungkinan kerentanan yang hampir tak
terbatas.
Vektor serangan baru dan kerentanan ditemukan setiap
jam. Firewall, sistem deteksi intrusi, sistem pencegahan
intrusi, solusi perlindungan Distributed Denial of Service dan
solusi keamanan lainnya mencari aktivitas berbahaya di
berbagai titik dalam infrastruktur TI, dari perimeter hingga
titik akhir. Namun, banyak dari solusi ini tidak efektif atau
bahkan tidak mampu mendeteksi serangan zero-day. Karena
untuk solusi SIEM
978-1-7281-2499-5/19/$31.00 ©2019 IEEE
Andrejs Romanovs
Departemen Pemodelan dan Simulasi
Universitas Teknik Riga
Riga, Latvia
Andrejs.Romanovs@rtu.lv
memahami "Konteks" adalah kuncinya. Semua solusi keamanan yang
disebutkan sebelumnya sangat bagus dalam memantau aktivitas yang
melewati sistem ini, tetapi dalam banyak kasus untuk membuat
keputusan terdidik tentang apa yang sebenarnya terjadi, sistem perlu
mengetahui informasi dan aktivitas di luar satu sistem tertentu. Di sinilah
SIEM datang untuk menyelamatkan.
SIEM adalah solusi yang menganalisis peristiwa/log dari
masing-masing solusi keamanan. Misalnya, arus lalu lintas dari
alamat IP tertentu mungkin tidak terlalu berarti bagi firewall
(jika IP ini belum terdaftar dalam basis data pertukaran
ancaman global), tetapi SIEM dapat menggabungkan arus ini
dengan fakta bahwa keamanan Pengendali Domain Direktori
Aktif log menunjukkan IP ini digunakan untuk memaksa kata
sandi untuk beberapa akun. Dengan menggunakan informasi
ini, SIEM dapat meluncurkan tindakan perbaikan otomatis
dengan mengirimkan instruksi ke Firewall melalui API untuk
memblokir koneksi dari alamat IP spesifik ini. Yang terbaik dari
semua ini dan tindakan defensif lainnya dapat diotomatisasi
yang memberikan solusi keamanan reaktif 24/7 perusahaan
yang belajar dari seluruh lingkungan TI dan menggunakan
konteks melakukan tindakan remediasi probabilitas tinggi.
Dalam kebanyakan kasus, penyerang harus menemukan cara untuk
menghindari deteksi oleh kontrol keamanan saat melakukan fase
«Intrusi» dari serangan cyber. Tetapi jika perusahaan tidak memiliki solusi
SIEM maka kemungkinan besar mereka tidak akan dapat mendeteksi dan
menghentikan penyerang yang melakukan aktivitas «Gerakan lateral»
atau «Eskalasi hak istimewa» sama sekali. Yang mengarah ke waktu
deteksi yang sangat lama atau tidak ada deteksi sama sekali. Memantau
hanya titik masuk atau server pusat saja tidak cukup lagi.
Bahkan hotel Starwood dan kemudian Marriot (jaringan Hotel terbesar
kedua) tidak dapat mendeteksi pelanggaran selama 4 tahun [4]. Yang
menunjukkan betapa sulitnya terkadang mendeteksi dan bereaksi terhadap
serangan siber.
Ini menegaskan bahwa perusahaan sangat perlu untuk menyebarkan dan
mengoptimalkan solusi SIEM. Cara yang benar, karena sebagian besar solusi
SIEM kurang dioptimalkan dengan peningkatan yang terbatas dari waktu ke
waktu.
Jika perusahaan sudah memiliki solusi SIEM yang berfungsi dengan
analis keamanan yang menyelidiki peringatan, maka secara organik
perusahaan sudah memiliki beberapa bentuk SOC. Jika itu masalahnya,
maka pertanyaan kedua adalah seberapa efektif mereka dalam
menyelidiki insiden? Seberapa sering SIEM mengidentifikasi Positif Palsu?
Berapa banyak insiden yang dapat diselidiki oleh seorang analis data per
hari? 5? 15? Kemungkinan angkanya antara 5-15. Hanya SOC efisiensi
tinggi dengan tingkat otomatisasi tinggi yang dapat melampaui 25+
insiden sehari. Perusahaan harus menargetkan SIEM yang menganalisis
ratusan juta file log akan mengidentifikasi 2-3 peringatan yang dapat
ditindaklanjuti dengan konteks. SIEM tanpa optimasi apapun akan
mengidentifikasi utara 1000 alert [5].
Mempertimbangkan jumlah investigasi yang dinyatakan sebelumnya
yang dapat dilakukan oleh analis SOC rata-rata, jelas bahwa perusahaan
dengan 100 juta file log per hari akan memerlukan
~ 100 analis data. Namun, jika digunakan dengan benar dengan
personel dan analis SOC yang berpengalaman, jumlah Log yang
sama dapat diselidiki secara memadai dengan kurang dari satu
analis data. Ini menunjukkan betapa pentingnya mengoptimalkan
sumber log yang akan dianalisis, aturan yang dioptimalkan untuk
lingkungan TI tertentu, alur kerja respons insiden yang tepat telah
dikembangkan, dan personel SOC berpengalaman.
Oleh karena itu, hanya membeli "Antivirus" atau perangkat
lunak lain tidak cukup lagi. Untuk tetap berada di depan
penyerang, spesialis TI, keamanan, dan arsitektur organisasi
Anda harus berpikir seperti penyerang dalam hal menciptakan
solusi keamanan siber yang komprehensif dan berlapis.
Menurut pendapat penulis, teknologi tunggal atau solusi
keamanan terbaik adalah SIEM. Ada banyak jebakan, tetapi jika
dikonfigurasi dengan benar dan didukung oleh manajemen, ini akan
memberikan manfaat tambahan terbaik bagi perusahaan terkait
keamanan siber.
Ketika mempertimbangkan berapa banyak anggaran keamanan
tahunan yang cukup, perusahaan harus mempertimbangkan apa
risikonya bagi perusahaan. Penelitian saat ini oleh divisi keamanan
Accenture menyatakan bahwa nilai risiko serangan siber global untuk
semua perusahaan untuk 2019-2023 akan menjadi 5,2 Triliun USD.
Dengan rata-rata perusahaan G2000 menghabiskan 2,8% dari
pendapatan tahunan perusahaan [6]. Angka ini hanyalah statistik, tetapi
ini memberikan setidaknya beberapa pedoman, yang harus dituju oleh
perusahaan. Tentu saja, total investasi dalam anggaran keamanan siber
akan sangat bergantung pada risiko bisnis, pendapatan perusahaan, dan
pandangan manajemen terhadap tantangan bisnis.
Makalah penelitian ini terdiri dari 5 halaman, 6 bagian
(Pengantar, Apa itu SIEM, Apa itu SOC, Kelebihan SIEM,
Kekurangan SIEM, Kesimpulan), 2 angka dan 11 referensi.
II. RPEKERJAAN
Pengalaman profesional penulis melibatkan pelaksanaan audit
TI di beberapa perusahaan swasta dan milik negara terbesar di
Latvia sambil memberikan konsultasi kepada beberapa dari mereka.
Saat ini penulis sedang mengembangkan layanan keamanan siber
untuk klien Latvia dan Ekspor untuk perusahaan Telco besar. Salah
satu layanan yang sedang dikembangkan adalah layanan SIEM/SOC.
Dia melihat tren kesediaan perusahaan untuk tetap terlindungi yang
mengarah pada peningkatan anggaran keamanan tertentu yang
pada gilirannya menentukan kesiapan perusahaan terhadap
serangan siber. Salah satu tugas penulis adalah menganalisis vektor
serangan siber dan tren saat ini serta solusi yang akan melindungi
pelanggan secara paling efektif di mana TCO selalu menjadi metrik
utama.
AKU AKU AKU. WTOPI ADALAH SIEM?
SIEM atau Solusi Informasi Keamanan dan Manajemen Peristiwa
unik dalam pendekatannya yang menganalisis log yang berasal dari
semua komponen lingkungan TI, seperti firewall, IPS/IDS, server
seperti MS AD, DB, ERP, WEB, FTP, Proxy, dll. Semua produk
perangkat keras dan perangkat lunak walikota membuat file Log.
Aplikasi perangkat lunak saat ini sering menghasilkan (atau dapat dikonfigurasi
untuk menghasilkan) beberapa file teks tambahan yang dikenal sebagai file log. File
tersebut digunakan selama berbagai tahap pengembangan perangkat lunak,
terutama untuk keperluan debugging dan pembuatan profil. File log seringkali
merupakan satu-satunya cara untuk mengidentifikasi dan menemukan kesalahan
dalam perangkat lunak, karena analisis file log tidak terpengaruh oleh masalah
berbasis waktu yang dikenal sebagai efek penyelidikan. Ini adalah sebuah
berlawanan dengan analisis program yang sedang berjalan,
ketika proses analisis dapat mengganggu kondisi kritis waktu
atau sumber daya dalam program yang dianalisis [7].
Tidak ada file Log yang tidak dapat dianalisis oleh solusi
SIEM. Melainkan seberapa efektif menganalisis sumber log
tertentu. Karena tidak semua sumber log relevan untuk
identifikasi insiden keamanan, dan sumber lainnya mungkin
berlebihan. Karena lisensi perangkat lunak SIEM didasarkan
pada volume log yang dianalisis dan mempertimbangkan biaya
lisensi yang tinggi, solusi SIEM bermanfaat untuk meminimalkan
total log yang dianalisis. Salah satu perangkap pertama yang
dibuat perusahaan adalah menambahkan log sebanyak
mungkin untuk "memaksimalkan" kemungkinan hasil yang
hebat dan efisien. Tetapi dengan melakukan ini, perusahaan-
perusahaan tersebut merusak sistem yang menjalankan jutaan
aturan di latar belakang yang membuat proses sistem menjadi
"noise" yang tidak diinginkan. Hal ini menyebabkan tingginya
jumlah positif palsu yang pada gilirannya membuang waktu
karyawan dan menyebabkan seluruh SIEM dan SOC menjadi
tidak efisien.
Praktik terbaik adalah memulai pengembangan solusi SIEM
dengan menambahkan hanya beberapa sumber log seperti, firewall
pusat, sistem deteksi intrusi dan pencegahan penyusupan, serta log
peristiwa keamanan pengontrol domain Direktori Aktif. Bahkan tidak
disarankan untuk menganalisis semua log yang dihasilkan sistem ini.
Ada lebih dari 370 peristiwa Keamanan yang dapat dipantau oleh OS
Windows Server. Tidak semuanya kritis. Bahkan Microsoft hanya
mengklasifikasikan 11 jenis peristiwa keamanan dengan peringkat
kekritisan sebagai "Tinggi" [8]:
• Pola peristiwa keamanan yang dipantau telah terjadi.
• Serangan ulangan terdeteksi. Mungkin positif palsu yang tidak
berbahaya karena kesalahan konfigurasi.
• Kebijakan audit sistem diubah.
• Riwayat SID telah ditambahkan ke akun.
• Upaya untuk menambahkan Riwayat SID ke akun gagal.
• Upaya telah dilakukan untuk mengatur Mode Pemulihan
Layanan Direktori.
• Pemisahan peran diaktifkan:
• Grup khusus telah ditetapkan untuk masuk baru.
• Pengaturan keamanan telah diperbarui di OCSP
Responder Service.
• Kemungkinan serangan penolakan layanan (DoS).
• Log audit telah dihapus.
Beberapa peristiwa keamanan penting sudah cukup di awal. Setelah
SIEM dioptimalkan untuk perusahaan tertentu, maka kumpulan log
penting berikutnya dapat ditambahkan. Pendekatan inkremental ini
meningkatkan kemungkinan bahwa sebagian besar sumber Positif Palsu
telah diperbaiki, dan sistem akan dapat mencapai kesimpulan yang lebih
baik dengan sendirinya.
Arsitektur solusi SIEM tingkat tinggi yang khas ditunjukkan pada
gambar di bawah Gambar 1.
Sebagian besar solusi SIEM memiliki perangkat lunak agen untuk mesin
Windows yang menangani pengiriman log Peristiwa ke kolektor SIEM
menggunakan semacam terowongan VPN atau mekanisme transportasi aman
terenkripsi lainnya. Untuk Linux dan sebagian besar solusi lainnya berbeda.
Anda harus mengkonfigurasi Syslog atau jenis log lainnya untuk menjadi other
diteruskan ke kolektor SIEM tertentu, tetapi ini dapat dengan mudah
dicapai karena sebagian besar perangkat lunak dan perangkat keras
memiliki fungsi ini.
Gambar 1. Penulis melihat komponen SIEM yang khas.
Setelah file log mentah diterima oleh komponen kolektor SIEM maka
langkah selanjutnya adalah menormalkan dan menerjemahkannya ke
dalam bentuk tunggal yang dapat dibaca oleh sistem. Ke mana SIEM akan
menguji aturan dan kuerinya.
Setiap solusi SIEM akan memiliki pendekatannya sendiri bagaimana
menganalisis log dalam jumlah besar, tetapi metode utamanya adalah
menguji log yang masuk terhadap beberapa set aturan dan memeriksa
silang secara historis terhadap yang lain. Ada situasi ketika satu peristiwa
mungkin tidak membuat peringatan, tetapi tren berulang akan. Ini
dilakukan oleh mesin aturan internal sistem. Karena salah satu masalah
terbesar adalah kebutuhan sistem untuk optimasi lanjutan. Sebagian
besar pengembang SIEM utama (Splunk, IBM, LogRhythm, dll.) memiliki
modul kecerdasan buatan, yang dimaksudkan untuk membuat analisis
menjadi lebih "cerdas" dengan kemampuan untuk bereaksi terhadap
beberapa perubahan di lingkungan. Dalam pandangan penulis
komponen ini masih cukup jauh dari solusi “setup-and-forget”, tetapi
efeknya semakin baik dan jika dioptimalkan dengan benar ini akan
meningkatkan efisiensi identifikasi anomali secara keseluruhan.
Selanjutnya semua anomali/peringatan yang teridentifikasi
diberi peringkat dan ditampilkan di dasbor SIEM. Di sinilah
pengembang produk SIEM suka membedakan satu sama lain. Dari
tampilan ini sistem akan meluncurkan pemberitahuan otomatis ke
orang yang tepat, menjalankan tindakan perbaikan otomatis dan
secara berkala akan digunakan untuk menghasilkan laporan untuk
tinjauan manajemen dan KPI.
Manfaat dari SIEMconsciences adalah lokasi yang berlebihan untuk log
keamanan. Sebelum sistem SIEM, perusahaan mengandalkan teknologi analisis
log sebelumnya atau teknologi penyimpanan log yang berbeda hanya untuk
membuat cadangan file log. Tetapi karena SIEM mengumpulkan file log dalam
databasenya sendiri, ini berfungsi sebagai lokasi yang berlebihan untuk file log.
Yang mungkin membantu dalam kegagalan perangkat keras skala besar atau
bencana fisik.
Semua anomali yang teridentifikasi kemudian ditinjau secara
individual oleh analis data. Jika anomali ternyata positif palsu, maka
arsitek/penulis konten SIEM atau siapa pun yang bertanggung jawab atas
penyempurnaan aturan akan mengoptimalkan aturan spesifik yang
dipicu. Jika anomali merupakan insiden keamanan yang sah,
maka alur kerja respons insiden yang sesuai akan
diluncurkan di dalam SOC atau individu. Bagian dari siklus
ini jatuh ke bahu SOC.
Ketika insiden akan diperbaiki maka siklus akan dimulai
kembali dari awal.
IV. WTOPI ADALAH SOC?
SOC perusahaan berfungsi sebagai tim yang terdiri dari orang-orang
terampil yang beroperasi di bawah proses yang ditentukan dan didukung
oleh teknologi intelijen keamanan terintegrasi yang biasanya
ditempatkan dalam satu atau beberapa fasilitas di lokasi. Beroperasi di
bawah payung lingkungan operasi keamanan Anda secara keseluruhan,
SOC perusahaan secara khusus berfokus pada ancaman dunia maya,
pemantauan, investigasi forensik, manajemen insiden, dan pelaporan [9].
SOC dalam fungsi dalam portofolio keamanan organisasi. Tugasnya
adalah memelihara solusi SIEM dan rangkaian produk keamanan lainnya
dan alat pelaporan yang menghasilkan peringatan keamanan. Peringatan
ini kemudian akan dianalisis oleh analis data, insinyur, pakar keamanan,
penguji penetrasi, dan spesialis lain di dalam SOC. SOC tipikal beroperasi
dalam mode 24/7/365/(dalam beberapa kasus 8/5) sebagai tim respons
insiden keamanan cyber. Mereka adalah polisi, tim penyelamat
kebakaran dan layanan darurat lainnya untuk keamanan lingkungan TI
perusahaan. Karena pekerjaan yang dilakukan orang-orang ini sangat
penting bagi perusahaan. Sama seperti menit dan bahkan detik layanan
darurat yang nyata dapat menjadi sangat penting oleh karena itu alur
kerja dan proses respons insiden yang benar dan efisien adalah kunci
keberhasilan SOC.
Akal sehat menyatakan bahwa SOC seperti namanya harus
menangani insiden keamanan, namun di dunia nyata merupakan
tantangan untuk membedakan peringatan antara keamanan, jaringan,
atau peringatan ketersediaan server yang sederhana. Ada beberapa
model dan saran untuk mengkonsolidasikan SOC dengan NOC (Pusat
Operasi Jaringan). Dengan melakukan ini, perusahaan mengamanatkan
bahwa NOC dan SOC berbagi informasi di antara keduanya yang
membantu mendistribusikan sebagian beban dan meningkatkan waktu
respons dan perbaikan, oleh karena itu efisiensi secara keseluruhan.
Model yang diusulkan mencakup analis Level 1 yang bertanggung jawab
untuk menyelesaikan insiden/peringatan sepele. Jika peringatan ini di
luar pengalaman analis Level 1, maka dia akan memiliki informasi yang
cukup untuk meneruskannya ke NOC jika itu adalah masalah
ketersediaan jaringan atau peralatan atau ke SOC jika terjadi insiden
keamanan. Sumber daya yang relatif murah mana pun akan dapat
menyaring sebagian besar kebisingan tingkat rendah dan meninggalkan
analis level 2 dan tuas 3 di sisi NOC dan SOC untuk menyelidiki insiden/
peringatan yang lebih kompleks. Setiap saat NOC dan SOC berbagi
informasi antar personel. Tetapi analisis insiden secara keseluruhan dan
keputusan akhir dibuat dengan kolaborasi. Metrik SLA dan KPI disajikan
kepada dewan sebagai upaya respons insiden tunggal.
Model yang diusulkan IBM dan Tivoli dapat dilihat pada
Gambar 2, [10].
Karena setiap SOC sama uniknya dengan organisasi tempatnya
berada, sangat penting untuk memahami faktor-faktor yang
memengaruhi hasil mereka. SOC dapat mencakup semua operasi
internal, proses, teknologi, dan staf, sangat bergantung pada layanan
yang dikelola penyedia eksternal, atau dapat berupa gabungan dari
kemampuan internal dan tugas luar. Untuk menentukan keseimbangan
yang tepat untuk suatu organisasi, seseorang harus mempertimbangkan
biaya, ketersediaan keterampilan, satu titik versus beberapa lokasi global,
dan pentingnya cakupan dan dukungan sepanjang waktu [9].
 Visualisasi peristiwa keamanan masih jarang di sebagian
besar organisasi saat ini. Banyak profesional keamanan
melakukan tinjauan log manual atau melakukan analisis
'spreadsheet', dan untuk beberapa, penerapan teknologi dasar
SIEM sejauh ini [11].
Gambar 2. Model operasi SOC dan NOC konvergen [10].
V.AKEUNGGULAN DARI SIEM
Pemrosesan dan analisis file log terpusat yang diterapkan
dan dioptimalkan dengan benar oleh solusi SIEM akan memberi
perusahaan manfaat berikut (tetapi tidak terbatas pada):
• Penyimpanan log terpusat - jika sumber log utama tidak
tersedia, akan selalu ada penyimpanan log kedua dengan
ketersediaan, integritas, dan kerahasiaan file yang tinggi;
• Analisis sejumlah besar file log yang memungkinkan untuk
mendeteksi:
Hai Aktivitas anomali dari semua sistem
kegiatan.
Hai Kegiatan pengintaian.
Hai Semua jenis anomali platform cloud.
Hai serangan DDoS.
Hai Kegiatan botnet.
Hai Upaya intrusi.
Hai Kegiatan pasca penyusupan.
Hai Ransomware.
Hai Pencurian data (eksfiltrasi data) – dari keduanya
ancaman pencurian data internal dan eksternal.
Hai Jika seseorang mencoba untuk mengubah atau mengakses
log dengan cara apapun.
Hai Penyalahgunaan kebijakan internal.
Hai Salah konfigurasi sistem.
Hai Kerentanan dan eksploitasi sistem sebagaimana adanya
sedang digunakan.
Hai Kemacetan sistem.
• Pelaporan kepatuhan yang disederhanakan untuk GDPR, PCI-
DSS, ISO27001, HIPPA, dan lainnya.
• Peningkatan efisiensi respon insiden.
• «Gambaran besar» tentang apa yang terjadi di
lingkungan TI pada saat tertentu.
• Informasi tentang peristiwa sejarah untuk tujuan forensik. Pada
saat yang sama melestarikan integritas log audit.
Ada lebih banyak keuntungan dari SIEM, tetapi ini adalah
tidak menjamin hasil. Semua manfaat ini adalah hasil dari
personel SOC yang memelihara solusi SIEM dan
mengoptimalkan aturannya. SIEM adalah kasus sempurna di
mana pernyataan berikut tepat: “SIEM hanya sebaik individu
yang mengonfigurasinya”.
Singkatnya, SIEM akan memberikan kemampuan untuk
mengidentifikasi hampir semua aktivitas dalam lingkungan TI dari "panel
kaca tunggal". Jika saja sistem akan dikonfigurasi untuk mencari semua
aktivitas ini dan akan memahami "konteks" dari file-file ini.
VI. DKEUNGGULAN DARI SIEM
Meskipun prinsip solusi SIEM sangat sederhana dan
lurus ke depan. Banyaknya log dan analisis log ini membuat
solusi ini rumit dan karenanya mahal.
Berikut adalah daftar masalah utama dalam menerapkan solusi SIEM:
• Sistem SIEM mahal – harga pembelian awal termasuk
biaya lisensi yang dipengaruhi oleh jumlah log yang
diproses/diindeks akan menjadi sangat mahal jika file
log tidak diprioritaskan.
• Karyawan untuk mengkonfigurasi dan menggunakan sistem itu
mahal, sulit untuk dipekerjakan (karena kurangnya pengetahuan
keamanan di pasar) dan bahkan lebih sulit untuk menahan mereka.
• 24/7 SOC akan diperlukan yang akan sangat menambah
pengeluaran (kebanyakan pada gaji).
• Memerlukan pemeliharaan yang tinggi untuk menyelidiki peringatan
dan mengoptimalkan SIEM (memperbaiki “False Positives”) akan
dengan cepat menjadi berlebihan jika tidak hati-hati.
• SIEM tidak akan memberikan intelijen yang
komprehensif tanpa solusi keamanan lain seperti
firewall, IPS/IDS, EDR dan keamanan dan supp.
VII. CKESIMPULAN
Solusi SIEM memiliki kelebihan dan kekurangan yang besar,
tetapi bagi penulis faktanya tetap sama bahwa solusi SIEM tidak
tergantikan bagi perusahaan yang memiliki data pribadi atau
internal yang perlu diamankan dari ancaman dalam dan luar.
Total biaya solusi SIEM + 24/7 SOC akan sangat besar, tetapi
bagi perusahaan yang mencari visibilitas total, kepatuhan
terhadap standar industri dan praktik terbaik, serta kemampuan
pertahanan serangan siber tingkat berikutnya, maka SIEM
adalah salah satu investasi terbaik yang dapat dilakukan
perusahaan buat, tentang keamanan siber. Namun, jika
perusahaan memiliki sumber daya terbatas dan staf terbatas
yang berbakat dan berpengalaman dalam keamanan siber
termasuk sistem SIEM, maka perusahaan harus
mempertimbangkan kembali SOC internal dan sebagai gantinya
mencari MSSP yang akan memberikan layanan yang lebih baik
dengan TCO yang jauh lebih rendah.
Pada akhirnya anggaran keamanan perusahaan akan menentukan
apakah solusi ini dapat dicapai oleh perusahaan atau tidak.
Penelitian ini dilakukan untuk meningkatkan kesadaran akan meningkatnya
risiko keamanan siber serta untuk menyajikan pandangan penulis tentang solusi
mana yang paling sesuai untuk memenuhi kebutuhan keamanan siber untuk
identifikasi dan dengan SOC ini akan memungkinkan untuk menyelidiki
insiden serta memberikan pengetahuan yang diperlukan untuk memulihkan
kerentanan dan risiko secara keseluruhan.
REFERENSI
[1] Cacing Stuxnet, Paul Mueller dan Babak Yadegari, Universitas
dari Arizona, Serikat Serikat,
https://www2.cs.arizona.edu/~collberg/Teaching/466-566/2012/
Resources/presentations/topic9-final/report.pdf
[2] Analisis Serangan Cyber di Jaringan Listrik Ukraina, Pertahanan
Use Case, Robert M. Lee, Michael J. Assante, Tim Conway,
Amerika Serikat, Maret 2016. https://ics.sans.org/media/E-
ISAC_SANS_Ukraina_DUC_5.pdf
[3] Verizon - Laporan Investigasi Pelanggaran Data 2018, Amerika
Serikat, Maret 2018.
https://enterprise.verizon.com/resources/reports/DBIR_2018_Report_
execsummary.pdf
[4] Reuters - Marriott 383 Juta mencatat pelanggaran data, Amerika
Serikat, Maret 2019. https://www.reuters.com/article/us-usa-cyber-
kongres/marriott-ceo-apologizes-untuk-data-pelanggaran-tidak yakin-jika-china-
bertanggung jawab-idUSKCN1QO217
[5] Dari SIEM ke SOC: Crossing the Cybersecurity Chasm, Mike
Ostrowski, Mei 2018., Amerika Serikat, Konferensi RSA 2018
[6] Accenture – Biaya tahunan studi kejahatan dunia maya kesembilan, Amerika
Serikat, Maret 2019. https://www.accenture.com/_acnmedia/PDF-
96/Accenture-2019-Cost-of-Cybercrime-Study-Final.pdf#zoom=50
[7] Analisis File Log, Jan Valdman, Republik Ceko, Juli 2001, Laporan
2012,
Teknis No. DCSE/TR-2001-04
[8] Lampiran L: Acara untuk Dipantau, dokumentasi resmi Microsoft, Amerika
Serikat, Juli 2018., https://docs.microsoft.com/en-us/windows- server/
identity/ad-ds/plan/appendix-l --events-to-monitor
[9] IBM, Pertimbangan strategi untuk membangun pusat operasi keamanan,
2013
[10] Grup Perangkat Lunak IBM IBM Corporation Mengamankan Operasi Anda
melalui Integrasi NOC/SOC, David Jenkins, Grup Perangkat Lunak IBM,
Jerman, 2006, https://docplayer.net/2408670-Secure-your-
operasi-melalui-noc-soc-integration.html
[11] Trustwave, "Laporan Keamanan Global 2013", 2013,
https://www.infosecurityeurope.com/__novadocuments/49846?v=635
315245230570000