Cara Memperbaiki Burnout di SOC dan—dan Mengapa Pergantian CISO Terus Meningkat
Setelah hampir dua dekade di bidang penyimpanan dan keamanan siber, bekerja dengan vendor keamanan, saya memiliki kursi barisan depan untuk melihat bagaimana tim keamanan modern beroperasi. Saya pernah berada di ruang dewan membentuk strategi, di lantai pabrik menghubungkan perangkat OT secara aman, dan di pusat operasi keamanan (SOC) serta pusat data di seluruh dunia. Dari Kolombia hingga Columbia, saya telah membaca RFP, membedah tumpukan teknologi, dan mendengarkan dengan cermat apa yang dihadapi oleh CISO dan pemimpin keamanan.
Di berbagai industri — layanan keuangan, perawatan kesehatan, MSSP, perusahaan kecil — saya mendengar cerita yang sama dari ratusan pemimpin keamanan setiap tahun: bidang ancaman terus berkembang, tetapi sumber daya, alat, dan tim mereka tidak dapat mengimbanginya. Meskipun ada investasi besar dalam solusi seperti sandboxing, firewall, otomatisasi, keamanan email, mitigasi DDoS, deteksi dan respons endpoint (EDR), dan deteksi dan respons yang diperluas (XDR), burnout benar-benar terjadi. Masalahnya? Ini bukan hanya soal alat—ini soal bagaimana operasi keamanan dijalankan.
Burnout di SOC Sudah di Titik Puncak
Tekanan pada pemimpin keamanan tidak dapat dipertahankan. Mari kita lihat faktanya:
- 77% CISO khawatir bahwa pelanggaran dapat mengakhiri karier mereka.
- 84% profesional keamanan siber melaporkan burnout—dan lebih dari separuhnya keluar karena hal itu.
- 62% peringatan diabaikan karena kelebihan beban peringatan dan kebisingan.
- Kesenjangan keterampilan keamanan siber kini melebihi 4 juta posisi yang belum terisi secara global.
Dan di luar angka-angka itu, saya mendengar keluhan yang sama berulang kali:
- “Alat keamanan kami menghasilkan terlalu banyak kebisingan.”
- “Kami tidak bisa menyelidiki ancaman dengan cukup cepat.”
- “Kami tidak bisa menemukan talenta yang mampu mengikuti perkembangan.”
Saya telah melihat kelelahan ini secara langsung: tim yang tenggelam dalam peringatan, analis yang terpaksa menebak saat melakukan triase, rekan kerja yang saling menyalahkan karena pengecualian atau ancaman yang terlewat. Saya bertemu dengan CISO yang hidup dalam ketakutan konstan bahwa insiden berikutnya adalah yang akan membuat mereka kehilangan pekerjaan. Pemimpin keamanan tidak hanya melawan penyerang; mereka berperang secara operasional di dalam SOC mereka sendiri.
XDR: Ide Bagus, Solusi yang Belum Lengkap
XDR seharusnya membawa kejelasan—menggabungkan data endpoint, jaringan, dan cloud untuk menghancurkan silo dan meningkatkan deteksi.
Tapi inilah yang terus dikatakan oleh tim keamanan kepada saya:
- Sebagian besar solusi XDR terlalu fokus pada data endpoint, sehingga melewatkan ancaman yang berasal dari tempat lain.
- Mereka sering membutuhkan penguncian vendor, memaksa Anda masuk ke dalam satu ekosistem.
- Korelasi masih terbatas dan tidak konsisten, membuat tim harus menyatukan penyelidikan secara manual.
Dan inilah intinya: Tidak semua ancaman hidup di endpoint. Jika XDR Anda tidak dapat melihat lalu lintas jaringan, aktivitas cloud, atau pergerakan lateral, maka ia kehilangan gambaran besarnya. XDR bekerja paling baik saat terintegrasi dengan baik ke dalam arsitektur Anda yang sudah ada, memberikan visibilitas mendalam ke seluruh lingkungan, dan memungkinkan respons yang cepat dan terkoordinasi. Tanpa itu, XDR hanyalah alat terbatas, bukan solusi lengkap.
SOAR: Otomatisasi Tanpa Kecerdasan Tidak Efektif
Alat orkestrasi, otomatisasi, dan respons keamanan (SOAR) bertujuan untuk mengurangi pekerjaan manual. Dan ya, bila digunakan dengan benar, SOAR dapat menyederhanakan tugas-tugas berulang.
Tapi ada kekurangannya:
- SOAR memerlukan kustomisasi yang berat; Anda membutuhkan insinyur terampil untuk mengkonfigurasinya dengan benar.
- Positif palsu juga terotomatisasi, yang menyebabkan alur kerja rusak dan bisnis terhambat.
- Buku pedoman tidak bisa mengikuti ancaman baru. Mereka hanya sebaik aturan yang mendasarinya.
Saya telah melihat tim mematikan SOAR karena menciptakan lebih banyak masalah daripada solusi. Tanpa lapisan cerdas yang membimbing otomatisasi, SOAR hanya menjadi kebisingan yang lebih cepat.
Itulah mengapa semakin banyak tim keamanan mencari solusi manajemen informasi dan peristiwa keamanan (SIEM) yang membangun kemampuan SOAR langsung ke dalam platform, dengan logika bawaan dan otomatisasi yang lebih cerdas.
SIEM: Masih Menjadi Tulang Punggung, Jika Dilakukan dengan Benar
SIEM modern, jika dilakukan dengan benar, adalah fondasi operasi keamanan. Ini memusatkan pengumpulan log, memungkinkan kepatuhan, dan memberi Anda visibilitas di seluruh lingkungan. Tetapi SIEM tradisional mulai kewalahan:
- Kecepatan kueri lambat. Analis menunggu alih-alih bertindak.
- Biaya penyimpanan di luar kendali.
- Deteksi berbasis aturan terlalu kaku untuk serangan canggih.
Sekarang, di sinilah semuanya menjadi menarik.
Saat Anda menambahkan analitik perilaku pengguna dan entitas (UEBA) dengan investigasi berbasis AI, semuanya berubah:
- Analitik perilaku mengurangi positif palsu hingga 60%, hanya menampilkan anomali yang nyata.
- Investigasi AI secara otomatis membangun garis waktu serangan, mengurangi upaya manual hingga 30%.
- Integrasi terbuka berarti tidak ada penguncian, onboarding log lebih cepat, dan waktu menuju nilai lebih singkat.
Jenis SIEM ini memberdayakan tim Anda alih-alih melelahkan mereka. Ini fleksibel, cerdas, dan dibangun untuk dunia nyata.
Jalan ke Depan: Buat SOC Lebih Mudah
Masa depan operasi keamanan bukan tentang menumpuk lebih banyak alat. Ini tentang membuat SOC bekerja lebih baik untuk orang-orang di dalamnya.
Itu berarti:
- Otomatisasi yang lebih cerdas yang mengurangi pekerjaan
- Integrasi yang lebih erat yang menghilangkan silo
- Alur kerja intuitif yang memungkinkan analis fokus pada ancaman nyata
Jika Anda sedang mengevaluasi solusi, carilah SIEM yang menawarkan:
- Analitik perilaku bawaan untuk mengurangi kelelahan peringatan
- Investigasi berbasis AI yang menghemat waktu dan meningkatkan akurasi
- Integrasi siap pakai dengan alat yang sudah Anda gunakan
- Skalabilitas dan pengendalian biaya untuk lingkungan cloud dan hybrid
Memilih SIEM yang Tepat: Rekomendasi Para Ahli
Alat keamanan lama kesulitan menghadapi burnout, kelebihan peringatan, dan kompleksitas yang terus meningkat. Sudah saatnya memperbarui pendekatan Anda.
Ingin tahu ke mana arah operasi keamanan dan siapa yang memimpinnya? Laporan Gartner® Magic Quadrant™ 2024 untuk SIEM adalah tempat yang bagus untuk memulai. Ini menyoroti vendor yang menghadirkan kemampuan generasi berikutnya seperti analitik perilaku, otomatisasi, dan deteksi ancaman waktu nyata—jauh melampaui penyimpanan log dasar. Para pemimpin dalam laporan ini membantu tim keamanan mengurangi beban kerja, merespons lebih cepat, dan bertindak dengan konteks.
SIEM yang tepat—terutama yang memiliki UEBA dan investigasi berbasis AI bawaan—dapat mengubah cara kerja tim Anda. Exabeam menggabungkan analitik dan otomatisasi terdepan di industri dengan opsi penerapan yang fleksibel, terintegrasi secara mulus dengan ekosistem keamanan Anda yang lebih luas.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. LogRhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindoneia.id dan konsultasikan kebutuhan IT Anda dengan kami!
