Baru-baru ini, Australian Cyber Security Centre (ACSC), CISA, FBI, NSA, dan mitra internasional lainnya bekerja sama untuk menyepakati standar baru dalam pencatatan peristiwa (event logging) dan deteksi ancaman. Kolaborasi ini merupakan langkah signifikan dalam menciptakan praktik terbaik dasar bagi berbagai jenis organisasi, membantu mereka tetap waspada terhadap lanskap siber yang terus berkembang dan menghadirkan tantangan baru.
Ancaman terus berkembang dan berubah dengan cepat, dengan serangan yang semakin besar dan merusak diumumkan hampir setiap hari. Para pelaku kejahatan siber juga terus mengikuti perkembangan teknologi, menemukan cara kreatif untuk tetap tidak terdeteksi sambil menyebabkan kerusakan begitu mereka berhasil menembus sistem. Standar baru ini berhasil mengupas beberapa teknik penghindaran yang muncul, seperti malware tanpa file (fileless malware) dan penggunaan biner sistem yang sah untuk tujuan berbahaya (Living-Off-the-Land Binaries atau LOLBins). Metode pencatatan dan deteksi saat ini sering kali gagal mendeteksi ancaman ini karena terus berkembang agar tetap tidak terdeteksi. Seiring dengan berkembangnya ekosistem keamanan organisasi melalui teknologi seperti komputasi awan, perangkat seluler, dan lingkungan IT/OT yang terintegrasi, cakupan yang harus diamankan pun semakin luas—sehingga strategi yang diperbarui seperti ini menjadi sangat penting untuk memberikan panduan berharga ke depannya.
Kolaborasi ini telah secara jelas menggarisbawahi pentingnya mengumpulkan log peristiwa yang berkualitas tinggi dan relevan, memusatkan log tersebut, serta memastikan bahwa baik lingkungan IT maupun OT dimasukkan dalam strategi keseluruhan. Dengan pendekatan ini, organisasi dapat memperoleh visibilitas seluas mungkin di berbagai sistem dan memahami log mana yang paling penting untuk diawasi. Laporan standar ini juga menekankan pentingnya transportasi dan penyimpanan log yang aman, yang akan semakin membantu melindungi infrastruktur penting dari akses tidak sah atau manipulasi data.
Tantangan yang Perlu Diperbaiki
Meskipun mustahil untuk membuat panduan universal yang mencakup semua aspek keamanan untuk setiap organisasi, ada beberapa area yang perlu diperluas agar lebih relevan bagi audiens yang lebih luas.
Kompleksitas dan Skalabilitas
Banyak organisasi, terutama di sektor infrastruktur kritis seperti utilitas, layanan darurat, dan manufaktur, memiliki tim keamanan kecil hingga menengah yang juga bertanggung jawab atas aspek teknologi informasi lainnya dalam organisasi. Rekomendasi dalam laporan ini cukup rinci untuk organisasi dengan tim keamanan yang besar dan terstruktur, tetapi kemungkinan akan sulit diterapkan oleh tim yang lebih kecil dengan sumber daya terbatas.
Strategi yang disarankan, seperti pengamanan sistem terdistribusi, deteksi berbasis pembelajaran mesin, dan platform deteksi skala besar, memerlukan keahlian khusus dan anggaran besar. Panduan ini akan lebih bermanfaat jika menyertakan rekomendasi bertingkat yang dapat disesuaikan dengan ukuran dan sumber daya organisasi. Organisasi kecil dapat memperoleh manfaat dari solusi yang lebih praktis dan hemat biaya, seperti alternatif SIEM yang ringan atau layanan keamanan terkelola, sehingga mereka dapat menerapkan pencatatan peristiwa dan deteksi ancaman dasar tanpa memerlukan sumber daya internal yang luas.
Batasan Baseline yang Statis
Dalam era kecerdasan buatan dan pembelajaran mesin, penting untuk menetapkan baseline atau tolok ukur tentang seperti apa perilaku normal dalam suatu sistem. Dengan memiliki rentang “normal”, teknologi ini dapat mendeteksi dan memberi peringatan terhadap aktivitas yang menyimpang.
Dokumen ini dengan baik mendorong penetapan baseline untuk mendeteksi deviasi dalam perilaku, tetapi belum sepenuhnya membahas betapa dinamisnya jaringan modern. Lingkungan berbasis cloud, misalnya, terus mengalami perubahan yang dapat membuat baseline statis menjadi usang, sehingga berisiko melewatkan anomali penting atau justru menyamarkannya dalam pola yang terus berkembang.
Sebagai solusi, pembaruan praktik terbaik harus mencakup metode untuk secara terus-menerus mengevaluasi kembali standar dan mengelola baseline yang dinamis. Penggunaan alat yang dapat menyesuaikan baseline secara otomatis dalam lingkungan yang berubah dengan cepat, terutama di cloud dan hybrid, juga perlu dianjurkan.
Ancaman Orang Dalam
Banyak pelanggaran keamanan besar yang terjadi berasal dari insiden ancaman orang dalam (insider threat). Jika ditanya, hampir setiap CISO akan mengakui bahwa ancaman orang dalam adalah salah satu tantangan terbesar bagi perusahaan mereka.
Masalah ini muncul karena pelanggaran sering kali memanfaatkan akun pengguna dengan hak istimewa (privileged accounts) yang memang memiliki akses sah terhadap data yang dicuri, sehingga sulit untuk dicegah tanpa menghilangkan akses yang diperlukan untuk pekerjaan mereka.
Meskipun laporan ini menyinggung pemantauan perilaku pengguna yang tidak biasa, diperlukan lebih banyak perhatian pada deteksi dan mitigasi ancaman orang dalam. Panduan yang lebih rinci mengenai pemantauan akun dengan hak istimewa, analisis perilaku pengguna, serta solusi manajemen identitas dan akses (IAM) akan sangat bermanfaat.
Selain itu, banyak insiden ancaman orang dalam berasal dari akun dan tingkat akses yang sudah tidak diperlukan lagi. Oleh karena itu, audit rutin terhadap kontrol akses dan akun dengan hak istimewa harus ditekankan sebagai bagian dari strategi deteksi anomali yang lebih menyeluruh.
Lingkungan Teknologi Operasional (OT)
Lingkungan OT sering kali diabaikan dalam panduan keamanan, sehingga dimasukkannya OT dalam standar ini adalah langkah positif. Namun, rekomendasi terkait deteksi anomali dan sistem peringatan masih terlalu umum.
Sistem OT, terutama di sektor kritis seperti energi dan manufaktur, membutuhkan strategi yang lebih rinci dan dapat diterapkan secara langsung untuk mengatasi tantangan unik yang mereka hadapi. Sistem ini sering kali menggunakan perangkat lunak tertanam yang memiliki tantangan tersendiri dalam hal pemantauan, pembaruan, dan keamanan.
Selain itu, organisasi dengan sistem OT perlu diberikan panduan tentang implementasi pemantauan lintas domain, karena sistem IT, OT, dan cloud sebaiknya diintegrasikan untuk mendapatkan visibilitas seluas mungkin.
Kesimpulan
Meskipun laporan ini merupakan kemajuan besar dalam meningkatkan strategi pencatatan peristiwa dan deteksi ancaman, masih ada beberapa area yang perlu diperbaiki agar lebih efektif.
Dengan mengatasi kesenjangan skalabilitas bagi organisasi kecil, mengelola baseline yang dinamis, memberikan perhatian lebih pada ancaman orang dalam, serta mengembangkan strategi spesifik untuk lingkungan OT, panduan ini dapat lebih bermanfaat bagi organisasi dari berbagai industri dan ukuran.
Hubungi LogRhythm Indonesia untuk meningkatkan keamanan Perusahaan anda, dapatkan juga Informasi terbaru dan juga POC.
