Meluncurkan Era Baru dalam Produktivitas SOC: Exabeam New-Scale Analytics dan Automation Management Tantangan yang dihadapi Security Operations Centers (SOC) semakin meningkat seiring dengan semakin kompleksnya lanskap keamanan siber. Analis kewalahan dengan terlalu banyak peringatan, alur kerja yang sudah usang, dan alat yang tidak terhubung, sehingga sulit untuk mengantisipasi ancaman tingkat lanjut. Di Exabeam, kami mengubah itu semua. Hari ini, kami meluncurkan Exabeam New-Scale Analytics dan pembaruan pada Automation Management, dua solusi yang akan meningkatkan standar operasional SOC. Rilis ini bukan sekadar pembaruan—ini adalah pendekatan baru dalam deteksi ancaman, investigasi, dan respons (TDIR). Dengan fitur seperti penilaian risiko dinamis, kompatibilitas dengan Open API Standard (OAS), serta integrasi telemetri jaringan yang canggih, Exabeam menghadirkan platform yang lebih cerdas, cepat, dan efisien bagi SOC. Manfaat Utama dari Rilis Ini Tingkatkan Deteksi Ancaman dengan Analitik Lanjutan Exabeam New-Scale Analytics memanfaatkan pembelajaran mesin dan analisis perilaku untuk mengungkap ancaman yang tidak terdeteksi oleh SIEM tradisional. Penilaian risiko multi-layer memperhitungkan variabel dinamis seperti perilaku pengguna dan lokasi, memastikan fokus pada ancaman yang paling mendesak. Otomatisasi dengan Dukungan Open API Standar Industri Exabeam Automation Management adalah platform SOC pertama yang mendukung Open API Standard (OAS), memungkinkan analis membuat otomatisasi tanpa kode yang terintegrasi dengan alat pihak ketiga. Ini menghilangkan proses manual dan mempercepat waktu respons. Hilangkan Kelelahan Akibat Peringatan Berlebihan Dengan mengurangi kebisingan dan memprioritaskan peringatan dengan akurasi tinggi, Exabeam membantu analis menghabiskan lebih sedikit waktu untuk memilah false positive dan lebih banyak waktu untuk menangani ancaman nyata. Satukan Operasi Keamanan Exabeam menghadirkan arsitektur cloud-native yang mengintegrasikan manajemen log, SIEM, User and Entity Behavior Analytics (UEBA), Threat Detection, Investigation, and Response (TDIR), serta Security Orchestration, Automation, and Response (SOAR). Platform end-to-end Exabeam menghilangkan silo, skalabilitas tanpa hambatan, dan memberikan pengalaman yang terpadu bagi analis serta insinyur keamanan. Sorotan Fitur: Apa yang Membuat Rilis Ini Berbeda? Penilaian Risiko Multi-Layer Peringatan yang berlebihan dan aturan statis kini menjadi masa lalu. Penilaian risiko kami beradaptasi secara dinamis berdasarkan faktor kontekstual dan bisnis seperti peran pengguna dan lokasi. Dengan mengotomatiskan korelasi peristiwa, New-Scale Analytics menghadirkan akurasi luar biasa dalam mendeteksi ancaman orang dalam dan serangan berbasis kredensial. Standar Open API untuk Otomasi Automation Management meningkatkan produktivitas SOC ke level baru dengan dukungan Open API Standard (OAS). Analis dapat dengan cepat mengintegrasikan ribuan alat pihak ketiga dan membangun otomatisasi tanpa perlu menulis kode. Bagi insinyur yang menginginkan kontrol lebih besar, Automation Management juga mendukung pembuatan integrasi dasar maupun lanjutan menggunakan Python atau melalui antarmuka point-and-click tanpa kode. Triage Kasus Dinamis Investigasi yang terfragmentasi bukan lagi masalah. Sistem triase baru kami secara otomatis membuat kasus, mengelompokkan peringatan, dan memasukkan data peristiwa yang terlambat datang, memastikan setiap kasus tetap terbaru dan dapat ditindaklanjuti. Sistem otomatis ini mengurangi risiko dan memungkinkan analis untuk fokus pada deteksi ancaman yang lebih akurat serta respons yang lebih efisien. Integrasi Telemetri Jaringan Platform New-Scale kini mendukung NetMon, memberikan visibilitas jaringan yang lebih dalam untuk meningkatkan kemampuan deteksi Anda. Dengan menganalisis anomali dalam lalu lintas jaringan, kami menghadirkan wawasan baru terhadap potensi ancaman. Pengalaman Pengembang yang Ditingkatkan Developer Playbook Designer yang baru adalah terobosan dalam pembuatan otomatisasi. Dengan antarmuka modular point-and-click, bahkan pengguna non-teknis dapat membuat alur kerja yang kompleks. Untuk kasus penggunaan yang lebih canggih, platform kami mendukung skrip Python dan kontrol versi. Mengapa Ini Penting: Mengatasi Tantangan Nyata dalam SOC Alur Kerja yang Terfragmentasi Tim SOC sering kali kesulitan mengintegrasikan berbagai alat keamanan yang terpisah, menyebabkan inefisiensi dan peluang yang terlewatkan. Pendekatan terpadu dari platform kami menyelesaikan masalah ini dengan menawarkan interoperabilitas yang mulus di seluruh investasi keamanan Anda. Overload Peringatan SIEM tradisional membanjiri analis dengan peringatan yang tidak relevan. Dengan pemeringkatan risiko dinamis, solusi kami memfilter kebisingan dan membantu tim fokus pada ancaman nyata. Kasus Insiden Statis Sebagian besar SIEM menghasilkan kasus insiden statis, memaksa analis untuk menelusuri kembali dan menyusun peristiwa terkait secara manual. Dynamic Case Triage kami memastikan investigasi berkembang secara otomatis saat data baru masuk, menjaga SOC tetap gesit dan efektif. Dampak Nyata, Hasil Nyata Bayangkan waktu respons insiden berkurang setengahnya. Bayangkan analis Anda dapat fokus pada ancaman prioritas tinggi tanpa terganggu oleh false positives. Dengan New-Scale Analytics dan Automation Management, Exabeam mewujudkan visi ini. Pengguna awal dan mitra desain kami telah melaporkan peningkatan besar dalam produktivitas SOC serta akurasi deteksi ancaman. Kesimpulan: Siap Transformasi SOC Anda? Masa depan operasi keamanan sudah tiba, dan semuanya dimulai dengan Exabeam. New-Scale Analytics dan Automation Management menghadirkan alat yang Anda butuhkan untuk menghadapi ancaman yang terus berkembang, menyederhanakan alur kerja, dan memaksimalkan potensi SOC Anda. Lihat Release Notes untuk daftar lengkap fitur peluncuran. Rilis Exabeam Januari 2024 bukan sekadar pembaruan—ini adalah game changer. Bergabunglah bersama kami dalam menetapkan standar baru untuk efisiensi dan efektivitas SOC. Kunjungi logrhythm.ilogoindonesia.com untuk mempelajari lebih lanjut dan menjadwalkan demo.
Tag: SOC
Tantangan Threat Hunting untuk Security Operations Center
Apakah Lingkungan Bebas Ancaman Jika Jaringan Tidak Ada Alarm? Jika jaringan organisasi tampak tenang dan tidak ada alarm yang berbunyi, apakah itu berarti lingkungan bebas ancaman? Jawabannya, seperti yang diketahui oleh tim Security Operations Center (SOC), adalah tidak. Analis keamanan tidak pernah bisa sepenuhnya yakin bahwa penyerang tidak berhasil melewati deteksi atau bahwa tidak ada kerentanan yang belum diketahui. Inilah alasan mengapa SOC perlu diberdayakan untuk melakukan threat hunting. Threat hunting memungkinkan tim keamanan mengambil inisiatif dengan mencari aktivitas berisiko bahkan sebelum insiden teridentifikasi atau penyelidikan dimulai. Jika ancaman yang kredibel ditemukan, ini menunjukkan adanya blind spot dalam visibilitas SOC terhadap infrastruktur TI organisasi. Hal ini berarti ada penyusup atau kelemahan dalam pertahanan yang tidak terdeteksi, dan serangan mungkin sudah berlangsung. Situasi ini menekankan pentingnya threat hunting sebagai strategi keamanan. Tidak semua perilaku mencurigakan atau berbahaya mudah dikenali; sering kali, penyerang menggunakan kredensial yang valid untuk mengakses data tanpa memicu peringatan apa pun. Meskipun threat hunting sangat penting, melakukannya dengan baik adalah tantangan besar. Dibutuhkan keahlian, alat yang tepat, dan pendekatan proaktif untuk mendeteksi ancaman yang tersembunyi dan menjaga keamanan organisasi. Ancaman Bisa Berasal dari Dalam dan Luar Organisasi Penyerang dari luar organisasi memiliki banyak cara untuk mendapatkan akses sah ke data dan sistem. Penipuan seperti phishing dapat dengan mudah mengubah karyawan yang dipercaya menjadi orang dalam yang terkompromi, menciptakan masalah serius bagi organisasi. Penelitian menunjukkan bahwa 68% pelanggaran keamanan melibatkan elemen manusia yang tidak disengaja, seperti anggota tim yang melakukan kesalahan atau menjadi korban serangan rekayasa sosial (social engineering). Dalam situasi ini, karyawan tanpa sadar menjadi kaki tangan penyerang, membantu mereka bergerak di dalam jaringan (lateral movement) dan mencuri data. Selain itu, ada penyerang yang memang sudah memiliki kredensial sah karena organisasi mempercayai mereka. Dari berbagai jenis ancaman orang dalam, insider yang berbahaya (malicious insiders) adalah yang paling sulit dideteksi dan berbahaya. Dengan berbagai alasan—dendam terhadap atasan, tawaran pekerjaan baru dari pesaing, atau suap dari penjahat—seseorang mungkin dengan sengaja menyalahgunakan akses mereka untuk mencuri, mengubah, atau menghancurkan data. Pertanyaannya adalah: bagaimana mereka bisa ditangkap? Mengidentifikasi dan menghentikan ancaman dari dalam membutuhkan pengawasan ketat, alat pemantauan yang canggih, dan kebijakan keamanan yang komprehensif. Menjaga kepercayaan dalam organisasi harus diimbangi dengan langkah-langkah pencegahan yang memastikan data tetap aman dari ancaman apa pun, baik dari dalam maupun luar. Untuk Threat Hunters, IoA dan IoC Konvensional Tidak Cukup Threat hunting tradisional sering kali tidak cukup efektif dalam mendeteksi ancaman dari dalam (insider threats) dengan cepat dan akurat. Hal ini disebabkan karena threat hunting tradisional didasarkan pada indikator serangan (IoA) dan indikator kompromi (IoC) dasar, seperti nilai hash, alamat IP, dan nama domain. Meskipun indikator ini dapat memberikan wawasan tentang ancaman eksternal, mereka terbatas dalam mengidentifikasi ancaman dari pengguna yang tampaknya terpercaya (insider threats). IoA dan IoC biasanya hanya terlihat setelah serangan sudah berlangsung. Mereka jarang dapat mengidentifikasi aktivitas dan perilaku yang terjadi sebelum serangan, yang berarti kerusakan bisa saja sudah terjadi. Inilah alasan mengapa IoA dan IoC dasar, seperti hash, alamat IP, nama domain, serta artefak jaringan dan host, termasuk dalam lapisan bawah model Pyramid of Pain yang terkenal. Tantangan dalam Threat Hunting yang Efektif Threat hunting yang efektif menghadapi hambatan lebih lanjut karena banyak organisasi bergantung pada mesin korelasi dengan ribuan aturan untuk deteksi ancaman. Ketika log mencakup data dari titik akhir, firewall, lalu lintas web, dan alat dari berbagai vendor, ini menciptakan banyak “noise” yang bisa mengalihkan perhatian analis dan menyamarkan aktivitas penyerang. Untuk mengelola lonjakan peringatan ini, tim keamanan sering kali menonaktifkan sebagian besar aturan mesin korelasi mereka. Namun, keputusan ini dapat memungkinkan anomali dan ancaman yang tidak diketahui terlewatkan dan tidak terdeteksi. Threat Hunters Harus Beralih ke Lapisan Atas Pyramid of Pain Bagaimana analis dapat bergerak lebih jauh dari IoA dan IoC dasar untuk mendeteksi tanda-tanda awal serangan atau mendeteksi niat penyerang? Kuncinya adalah untuk mengidentifikasi taktik, teknik, dan prosedur (TTPs). TTPs mewakili lapisan yang lebih tinggi dalam model Pyramid of Pain dan melibatkan indikator yang lebih kompleks berbasis perilaku. Ketika analis dapat mendeteksi TTPs, ini sejalan dengan praktik terbaik dalam threat hunting. Sebagai contoh, MITRE ATT&CK® menghubungkan TTPs dengan perilaku spesifik dari penyerang. Mengidentifikasi dan mengintersepsi TTP penyerang tidak hanya membantu mencegah serangan yang sedang berlangsung, tetapi juga memaksa penyerang untuk memikirkan ulang strategi mereka. Begitu metode mereka terdeteksi, mereka tidak bisa lagi menghindari pengawasan. Ini menjadikan TTPs sebagai garis pertahanan yang penting bagi organisasi. Dua Kemampuan Kritis untuk Deteksi Ancaman Lanjutan Ada dua kemampuan penting untuk deteksi ancaman lanjutan. Yang pertama adalah solusi security information and event management (SIEM) modern yang mengumpulkan data di seluruh organisasi, menyederhanakan peringatan, dan memusatkan upaya threat hunting analis. Yang kedua adalah user and entity behavior analytics (UEBA), yang menggunakan machine learning untuk menetapkan garis dasar aktivitas normal dalam organisasi. Dengan demikian, UEBA dapat secara otomatis menandai perilaku yang tidak biasa, meskipun berasal dari pengguna atau perangkat yang terpercaya dengan kredensial yang sah.
