Pendekatan Mana yang Memberikan Keamanan Siber Lebih Unggul: Portofolio Platform dari Satu Vendor atau Ekosistem Multivendor Best-of-Breed?
Secara sekilas, platform dari satu vendor tampak memiliki berbagai keuntungan:
- Organisasi dapat mengurangi jumlah kontraktor yang mereka tangani.
- Vendor enterprise memiliki kredibilitas yang sudah mapan di industri.
- Paket alat mereka tampaknya mencakup sebagian besar kebutuhan inti keamanan siber.
- Mereka dapat menggabungkan semua produk dengan harga paket yang lebih murah.
Namun, jika diteliti lebih lanjut, terdapat celah yang mencolok. Beberapa insiden keamanan besar melibatkan pemain platform besar, dan jika Anda seorang pemimpin keamanan siber yang berpengalaman, Anda harus mempertimbangkan risiko dari menempatkan semua kepercayaan Anda pada satu penyedia layanan.
SIEM: Satu Kemampuan yang Tidak Boleh Dikorbankan
Manajemen informasi dan peristiwa keamanan (SIEM) adalah salah satu kemampuan di mana seorang CISO tidak boleh menerima solusi yang biasa-biasa saja. Pembelian teknologi platform besar seperti ini sering diawasi oleh CIO atau CFO; sebagai CISO, Anda mungkin enggan menyerahkan kesuksesan sistem keamanan Anda—dan karier Anda—ke tangan pemangku kepentingan yang bukan ahli keamanan.
Portofolio Vendor Tunggal: Solusi atau Masalah?
Apa saja celah mencolok pada vendor enterprise besar, dan mengapa celah ini muncul? Jawaban singkatnya adalah bahwa rangkaian alat mereka yang luas biasanya terdiri dari produk yang diperoleh melalui akuisisi, yang bukan merupakan fokus utama mereka. Mereka tidak menginvestasikan waktu, bakat, atau sumber daya untuk mengembangkan produk-produk ini agar menjadi solusi terdepan di pasar.
Selain itu, mereka tidak memiliki insentif untuk melakukannya. Para pemain besar ini sudah sangat dominan di pasar sehingga mereka tidak perlu gesit atau membedakan diri melalui inovasi mutakhir. Mereka lebih fokus pada pemegang saham dan investor yang mengutamakan efisiensi biaya—itulah sebabnya bagi mereka, “cukup baik” sudah dianggap memadai. Akibatnya, portofolio produk mereka yang tergabung secara longgar menjadi kurang optimal, mengunci pelanggan mereka dengan janji yang lebih besar daripada kenyataan yang diberikan.
Namun, para profesional keamanan memahami bahwa “cukup baik” tidak akan pernah cukup dalam lingkungan keamanan yang dinamis saat ini. Bahkan, pendekatan satu platform ini justru menjadi target menarik bagi aktor ancaman. Jika ada celah keamanan yang dapat dieksploitasi, dampaknya bisa meluas ke berbagai pelanggan sekaligus.
Salah satu cara mengatasi masalah ini adalah dengan memiliki sistem keamanan multivendor. Dengan pendekatan ini, risiko gangguan akibat satu elemen yang disusupi lebih kecil, dan sistem menjadi lebih tangguh. Pendekatan best-of-breed memungkinkan perusahaan memilih solusi terbaik di setiap kategori keamanan, sekaligus memastikan semua solusi tersebut dapat beroperasi secara harmonis.
SIEM: Kebutuhan atau Sekadar Pelengkap?
Di antara fungsi keamanan inti, SIEM berperan sebagai fondasi untuk deteksi ancaman, investigasi, dan respons (TDIR). SIEM mengumpulkan data dan log dari seluruh infrastruktur on-premises dan cloud, yang biasanya mencakup volume data yang sangat besar bagi perusahaan untuk dipantau dan disimpan.
SIEM modern yang terbaik mampu menganalisis data ini dan, dengan bantuan analitik perilaku pengguna dan entitas (UEBA), dapat secara proaktif maupun retroaktif menandai aktivitas anomali. Oleh karena itu, penting untuk memiliki SIEM yang independen dari vendor tertentu. Namun sayangnya, solusi SIEM dari vendor enterprise biasanya lebih berfokus pada pengumpulan data dari produk dalam ekosistem mereka sendiri. Data dari sumber eksternal sering kali sulit diintegrasikan atau memerlukan biaya tambahan yang signifikan.
CISO dan timnya harus mempertimbangkan beberapa pertanyaan penting:
- Apakah memiliki fungsionalitas SIEM yang terbatas sudah cukup, meskipun tidak mencakup semua aspek keamanan?
- Berapa biaya tambahan yang diperlukan untuk memastikan SIEM dapat berfungsi dengan baik?
- Seberapa baik pengalaman pengguna, dan apakah ada potensi inefisiensi yang dapat meningkatkan biaya operasional?
Setiap data yang masuk ke SIEM sangat penting. Dalam banyak kasus, serangan serius tidak hanya bergantung pada satu insiden saja, melainkan melalui berbagai tahap dan proses. SIEM memungkinkan tim keamanan melihat gambaran yang lebih besar. Oleh karena itu, pusat operasi keamanan (SOC) membutuhkan alat SIEM yang dapat memberikan telemetri menyeluruh untuk memantau seluruh lingkungan IT. Hal ini juga menjadi dasar untuk kemampuan yang lebih canggih, seperti pemantauan ancaman internal—yang sering kali melampaui kemampuan SIEM berbasis portofolio vendor tunggal.
Kesimpulan: Jangan Biarkan TDIR Menjadi Prioritas Kedua
Portofolio keamanan seperti apa yang Anda inginkan untuk organisasi Anda? Apakah Anda ingin mengandalkan produk “rata-rata” dari satu vendor yang hanya menawarkan perlindungan standar? Ataukah Anda ingin memilih alat terbaik untuk setiap kebutuhan keamanan spesifik organisasi Anda, yang dapat bekerja secara optimal dengan alat lainnya?
Pendekatan best-of-breed jauh lebih masuk akal untuk SIEM. Jika SIEM Anda berasal dari platform vendor tunggal, dan platform tersebut mengalami pemadaman atau pelanggaran keamanan, maka sistem TDIR yang seharusnya mendeteksi dan merespons ancaman justru dapat terganggu saat dibutuhkan.
Dengan pendekatan best-of-breed yang bekerja dalam lingkungan teknologi yang independen dari vendor, organisasi memiliki peluang lebih besar untuk mempertahankan proses TDIR yang kuat selama kejadian kritis. Pendekatan ini juga memungkinkan SOC untuk mengadopsi dan mengintegrasikan alat terbaik yang tersedia, meningkatkan postur keamanan, kematangan, dan strategi organisasi secara keseluruhan. Ini membangun ketahanan, redundansi, serta pemisahan sistem yang dapat membantu mencegah insiden yang berpotensi merusak.
Unduh whitepaper terbaru kami untuk analisis lebih lengkap tentang biaya dan manfaat dari pendekatan keamanan vendor tunggal versus best-of-breed, serta cara para pemimpin keamanan dapat memperkuat argumentasi untuk alat dan kapabilitas yang dibutuhkan SOC.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. LogRhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindoneia.id dan konsultasikan kebutuhan IT Anda dengan kami!
