Konflik Rusia–Ukraina telah secara signifikan meningkatkan lanskap ancaman siber. Seiring aktor ancaman yang disponsori negara berkolaborasi dengan para penjahat siber yang termotivasi secara finansial untuk meluncurkan serangan siber yang ditargetkan terhadap infrastruktur kritis, lanskap ancaman siber telah menjadi arena yang terbuka bagi siapa saja. Sebagai hasilnya, FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini mengeluarkan sebuah pemberitahuan resmi mengenai aktivitas rekognisi aktif yang dilaksanakan oleh aktor ancaman yang disponsori negara Rusia terhadap industri-industri kritis, termasuk defense industrial base (DIB) dan industri energi.
Hingga saat ini, faktor umum dari aktivitas rekognisi aktif ini melibatkan aktor ancaman yang memindai jaringan sensitif untuk menemukan kerentanannya yang dapat dengan mudah dieksploitasi. Akibatnya, organisasi-organisasi diberi saran untuk meningkatkan ketahanan dari proses identifikasi, investigasi, dan perbaikan ancaman siber mereka.
Untuk lebih memperkuat proses investigasi dan perbaikan serta memberikan pemerintah federal visibilitas yang lebih besar sebelum, selama, dan setelah insiden keamanan siber, Presiden Biden menandatangani Executive Order 14028, yang berfokus pada penginstitusian persyaratan pencatatan sistem untuk badan pemerintah AS dan perusahaan yang menangani data sensitif pemerintah federal. Sebagai hasilnya, Office of Management and Budget merilis Memorandum 21-31 untuk memenuhi persyaratan yang tercantum dalam Executive Order 14028.
Tujuan dari Memorandum OMB 21-31
Setelah insiden keamanan SolarWinds, AS berusaha untuk secara formal menekankan pentingnya mempertahankan posisi proaktif dalam operasi keamanan siber, terutama dalam menangani data dan sistem yang memiliki implikasi terhadap keamanan nasional. Salah satu masalah yang terkait dengan insiden SolarWinds adalah manajemen log yang buruk. Oleh karena itu, salah satu tujuan dari memorandum OMB 21-31 adalah untuk membangun model kedewasaan untuk manajemen log.
Memorandum ini memberikan persyaratan rinci mengenai bagaimana badan pemerintah dan kontraktor pertahanan yang telah disetujui harus melaksanakan operasi pencatatan sistem tertentu untuk merumuskan pendekatan preventif terhadap keamanan siber. Selain itu, memorandum ini memperkenalkan model kedewasaan untuk membimbing implementasi persyaratan di empat tingkat event logging (EL).
Menurut OMB 21-31, organisasi harus menilai tingkat kedewasaan mereka terhadap model kedewasaan yang disorot dalam memorandum OMB 21-31. Dengan melakukan evaluasi kedewasaan, organisasi akan mengidentifikasi kekurangan dalam sumber daya dan implementasi yang terkait dengan penyelesaian persyaratan implementasi untuk setiap tingkat EL.
Tingkat Pencatatan Kejadian (Event Logging Tiers)
| Tingkat EL | Penilaian | Deskripsi |
| EL0 | Tidak Efektif | Persyaratan pencatatan log dengan tingkat kritikalitas tertinggi tidak dipenuhi atau hanya sebagian yang dipenuhi. |
| EL1 | Dasar | Hanya persyaratan pencatatan log dengan tingkat kritikalitas tertinggi yang dipenuhi. |
| EL2 | Menengah | Persyaratan pencatatan log dengan tingkat kritikalitas tertinggi dan menengah dipenuhi. |
| EL3 | Lanjut | Persyaratan pencatatan log pada semua tingkat kritikalitas dipenuhi. |
Panduan untuk Implementasi EL
Memahami dan memenuhi tingkat pencatatan kejadian (EL) yang ditetapkan oleh memorandum OMB 21-31 membantu organisasi dalam mengarahkan sumber daya mereka secara lebih efektif untuk mencapai kepatuhan penuh tanpa penundaan yang tidak perlu dalam implementasi.
Untuk mematuhi persyaratan ini, organisasi disarankan untuk memprioritaskan aktivitas kepatuhan mereka dengan fokus terlebih dahulu pada sistem dengan dampak tinggi dan aset bernilai tinggi (HVAs). Pendekatan ini akan membantu memaksimalkan efektivitas dan efisiensi dalam proses pemenuhan persyaratan log, memastikan bahwa ancaman terhadap sistem yang paling penting dapat segera dideteksi dan ditangani.
Memenuhi Persyaratan Memorandum OMB 21-31 dengan LogRhythm SIEM
Badan federal tidak memiliki waktu untuk bereksperimen dengan layanan: mereka harus mengimplementasikan teknologi yang menyediakan dukungan berkualitas tinggi yang memenuhi semua persyaratan yang telah ditetapkan. LogRhythm SIEM adalah solusi organisasi untuk mencapai kepatuhan dari EL1 hingga EL3. Platform ini membantu badan federal memenuhi persyaratan tersebut melalui manajemen log, pemantauan user and entity behavior analytics (UEBA) yang tertanam, serta solusi security orchestration, automation, and response (SOAR). Semua ini digabungkan dalam satu platform operasi keamanan end-to-end yang memungkinkan LogRhythm SIEM untuk memenuhi seluruh persyaratan OMB 21-31.
Fitur kustomisasi LogRhythm SIEM, seperti playbook untuk berbagai kasus penggunaan dan skenario ancaman, memungkinkan badan-badan untuk memenuhi tenggat waktu yang diatur dalam memorandum tersebut. Dengan MDI Fabric — yang berisi lebih dari 1.000 aturan korelasi siap pakai — metadata yang diperlukan ditarik dari log mentah sambil mempertahankan struktur aslinya. Normalisasi waktu dilakukan pada saat log diterima. Selain itu, data dilindungi dengan digital chain of custody, dan playbook dipasangkan dengan model kedewasaan operasi keamanan untuk membantu badan-badan federal melalui proses SOAR dan UEBA.
Cara LogRhythm SIEM Membantu Organisasi Memenuhi Tenggat Waktu Implementasi OMB 21-31
- Akses Terpusat Dasar: Berfungsi sebagai pengumpul untuk semua log dan kejadian dengan cepat mengolah lebih dari 550.000 aturan MPE untuk mengidentifikasi dan mengekstrak informasi yang berarti. Silent Log Source Detection ditawarkan pada tingkat sumber log individu untuk memberi peringatan ketika data tidak lagi dikirim, menghilangkan jebakan untuk mendeteksi gangguan data.
- Orkestrasi, Otomatisasi, dan Respons Pencatatan Log: Menyediakan beberapa badan yang siap pakai yang harus mengimplementasikan otomatisasi dan kemampuan respons (SOAR) serta model kedewasaan operasi keamanan yang membantu dalam merencanakan dan melaksanakan proses sesuai dengan OMB 21-31.
- Inspeksi Data Enkripsi: Mengolah lebih dari 1.000 jenis sumber log untuk dengan cepat dan mudah mencari serta mengkorelasikan titik data dalam metadata. Log mentah, metadata, dan seluruh lalu lintas disimpan untuk akses data yang mudah.
- MDI Fabric All-in-One: Solusi MDI Fabric kami mengklasifikasikan, memparsing, mengekstraksi, dan mengontruksi secara kontekstual setiap pesan log. Proses otomatis ini mengekstrak semua data log yang diperlukan dan memberikan kecerdasan mendalam ke semua sumber log siap pakai.
- Validasi Datalog: Di antara kontrol lainnya, LogRhythm SIEM memanfaatkan hash kriptografis dan mengompres log dalam format non-proprietary untuk melindungi integritas log, menyediakan validasi tahan gangguan jika data log mentah perlu dipulihkan. Semua data yang dikumpulkan oleh prosesor data diarsipkan dengan digital chain of custody. Log mentah dengan metadata terbatas ditulis ke tingkat penyimpanan arsip, sementara log mentah dengan semua metadata ditulis ke tingkat data yang terindeks.
- Kemampuan Penyimpanan Datalog: Berbeda dengan pesaingnya, kami menawarkan timeline berbeda untuk penyimpanan log data. Dengan menskalakan bagian-bagian sistem yang berbeda, kami dapat mendukung berbagai jumlah penyimpanan aktif dan arsip sesuai dengan kebutuhan pelanggan.
- Keamanan Kontainer Aplikasi, Operasi, dan Manajemen: Memusatkan akses ke log mentah dan metadata dari log dan kejadian kontainer yang telah dikirim langsung. Alur kerja analis dan AI Engine memungkinkan analis untuk dengan cepat menetapkan dasar normal dari data yang terpusat.
- Pengiriman Kejadian Log: Mencapai koleksi waktu nyata dengan memanfaatkan arsitektur koleksi log berbasis agen dan tanpa agen. Agen memberikan koleksi data mesin berbasis agen lokal atau tanpa agen jarak jauh (pesan log, kejadian keamanan, dan data aliran). Sesuai dengan persyaratan pelaporan OMB 21-31, kemampuan pengiriman log kejadian SIEM memastikan bahwa log mentah dan metadata dikumpulkan secara waktu nyata dan diteruskan ke Log Forwarding dan Scheduled Reporting Agencies yang ditunjuk sesuai permintaan, sesuai dengan hukum yang berlaku. Kemampuan pengiriman log kejadian ini memenuhi persyaratan organisasi induk dan badan pemerintah AS manapun.
Kesimpulan
Organisasi yang mengikuti model kepatuhan tradisional dan mengandalkan validasi kontrol manual atau pelaporan periodik akan merasa kesulitan dengan mandat pencatatan baru yang diterapkan oleh memorandum M-21-31. Data yang tepat, relevan, dan tepat waktu tentang kedewasaan telemetri keamanan dan infrastruktur manajemen log sangat diperlukan bagi organisasi untuk mengevaluasi kemampuan pemantauan dan pelaporan keamanan perusahaan mereka. Executive Order Presiden bertujuan untuk meningkatkan keamanan aset, rantai pasokan, dan jaringan Federal serta menetapkan standar kepatuhan dan efektivitas untuk program manajemen risiko. M-21-31 menangani persyaratan tersebut dan membimbing proses implementasi, memungkinkan organisasi untuk mengidentifikasi dan merespons ancaman siber secara efektif.
Memorandum OMB 21-31 lebih dari sekadar posisi pertahanan organisasi saat ini dan kemampuan responsnya. Ini menetapkan roadmap kedewasaan dan menetapkan tujuan untuk meningkatkan visibilitas ancaman dan efektivitas respons insiden, menyelaraskannya dengan tujuan jangka panjang untuk mengamankan aset dan infrastruktur informasi nasional Amerika Serikat. Seiring mandat ini berkembang, organisasi yang gagal mengimplementasikan otomatisasi berbasis data akan menghadapi beban kepatuhan yang semakin meningkat.
Namun, dengan LogRhythm SIEM, organisasi dapat memenuhi dan mematuhi arahan federal yang baru ditetapkan dengan upaya minimal. Platform keamanan operasi end-to-end yang serba ada memungkinkan badan federal untuk memenuhi tenggat waktu yang ditentukan. Selain itu, dengan opsi penyebaran yang fleksibel, harga yang disesuaikan, dan fitur manajemen log yang komprehensif, pelanggan berada dalam posisi yang baik untuk berkolaborasi dengan organisasi dan menerapkan persyaratan memorandum OMB 21-31 pada setiap tingkat.
