Seiring program keamanan pada perusahaan besar, jumlah yang meningkat tidak hanya untuk mempertahankan jaringan mereka dengan memasang dinding digital dan mencegah serangan malware dan peretasan. Sebagai gantinya, tim keamanan mereka menyelidiki insiden di jaringan mereka dan mencari tanda-tanda penyerang sebelum aksi peretasan berubah menjadi pelanggaran penuh.
Mayoritas perusahaan, bagaimanapun, terus memulai penyelidikan hanya bila diperlukan. Ini memiliki proses untuk terus mengevaluasi apakah ancaman telah menginfiltrasi jaringan dan sistem mereka. Sekitar 84% perusahaan melakukan semacam perburuan ancaman, namun sebagian besar dari mereka-54% - hanya melakukannya sesuai kebutuhan, menurut laporan SANS Institute baru-baru ini.
Perusahaan yang melakukan perburuan ancaman biasa, bagaimanapun, telah melihat manfaat yang signifikan. Sekitar 60% telah meningkatkan keamanan mereka berdasarkan informasi yang ditemukan selama perburuan mereka, menurut SANS. Dalam organisasi keamanan yang matang, pemburuan ancaman mengungkap sekitar 40% insiden keamanan.
Berikut empat cara untuk membentuk tim keamanan cyber dengan cara yang benar.
Keamanan cyber memerlukan disiplin yang berkembang, dan sementara ada beberapa ahli yang dapat merasa terbebani. Dan itu terus menjadi proposisi mahal bagi perusahaan. Anda memerlukan orang-orang yang sangat terampil untuk mencegah ancaman cyber, atau Anda melakukan outsourcing keamanan cyber, atau Anda harus memiliki alat yang sangat canggih untuk melakukan pemburu ancaman. Jadi apa yang kita lihat disini adalah bahwa ini merupakan fungsi dari seberapa matang sebuah perusahaan dalam strategi berpikir tentang keamanan IT mereka.
Apapun, tim keamanan cyber hanya perlu melompat dan mulai mengatasi dua rintangan terbesar: keterampilan dan data. Anda tidak perlu menjadi ilmuwan data atau matematikawan. Sulit untuk menemukan keahlian, dan bahkan jika Anda menemukan keahlian, Anda mungkin merasa sedikit tidak aman mengenai kemampuan Anda.
Mengukir waktu dalam membentuk tim keamanan cyber juga penting. Kebanyakan tim keamanan cyber memiliki tugas lain yang rutin mereka lakukan dan hanya menganalisa ancaman cyber bila dijamin dengan sebuah insiden. Perusahaan yang memiliki pusat operasi keamanan IT - dengan sekelompok analis yang ahli - mungkin dapat menggunakan model itu, namun perusahaan kecil yang memiliki tim kecil, yang seringkali merupakan tim IT juga, akan mengalami lebih banyak kesulitan.
Jika Anda adalah satu-satunya orang keamanan di perusahaan dan Anda menangani keamanan sebagai bagian dari tugas Anda, Anda tidak akan punya waktu untuk berburu. Jika tidak sekarang, apakah harus menunggu serangan cyber terjadi ? itulah kemungkinannya.
Sebagian besar perusahaan baru mulai membentuk tim keamanan cyber jika ada sebuah insiden. Lansiran yang dihasilkan dari berbagai alat keamanan - seperti sistem informasi keamanan dan manajemen acara (SIEM) atau log firewall - seringkali merupakan dorongan untuk meluncurkan penyelidikan. Lebih dari 87% perusahaan akan memulai pencarian ancaman karena adanya peringatan, menurut SANS Institute.
Namun penyelidikan insiden adalah kasus pemburuan ancaman yang sangat sempit. Beberapa pakar keamanan tidak menganggapnya sebagai suatu cara memburu ancaman. Pemburuan ancaman sering dimulai dengan sebuah hipotesis, di mana tim keamanan cyber menciptakan sebuah skenario berdasarkan pada ancaman intelijen, analisis data, atau anomali.
Sebuah perusahaan dapat memulai pembentukan tim keamanan cyber jika intelijen mengindikasikan bahwa industrinya telah menjadi sasaran serangan atau penyerang tertentu. Selain itu, dilihat melalui lensa Cyber Kill Chain atau Attack Chain - dua cara untuk menganalisis tindakan penyerang - sebuah peringatan awal dapat menyebabkan pemburu menyelidiki apakah serangan tersebut menyebabkan kompromi lebih lanjut, katakan melalui gerakan lateral.
Begitu mereka masuk ke dalam jaringan, mereka perlu mengakses data dan password sentral di jaringan, mereka mencari dari satu mesin ke mesin lainnya. Mencari tanda-tanda gerakan itu adalah cara klasik untuk berburu ancaman.
Tanda-tanda kompromi lainnya bisa jadi anomali dalam kinerja jaringan atau aplikasi - yang secara tradisional merupakan lingkup kelompok teknologi informasi.
"Bagian dari tim keamanan akan selalu menjadi benteng dan mencegah serangan. Tapi memiliki kekuatan gerak yang bisa mengejar ancaman yang diperlukan adalah sangat penting."
Berburu ancaman juga membutuhkan alat yang tepat. Sekitar 90% perusahaan menggunakan alat yang ada untuk membantu mencari ancaman. 61% lainnya menggunakan alat yang dapat disesuaikan, seperti skrip, menurut laporan SANS Institute.
Perlu di ketahui, memodifikasi alat terkini untuk membantu berburu ancaman bisa memperlambat proses. Hal No.1 yang dilakukan orang adalah meremehkan berapa banyak usaha dan tingkat keterampilan yang dibutuhkan untuk berburu ancaman dengan alat bantu mereka saat ini. Jika Anda hanya mengumpulkan data dan mengharapkan pemburu Anda melewati ember itu dan menemukan ancaman, Anda membuang banyak waktu.
Di satu sisi, tim keamanan menginginkan solusi berburu yang tidak berisik dan tidak memiliki false positive. Namun alat harus memungkinkan mereka untuk dengan mudah mengakses data mentah, jika perlu. Penyampaian informasi terlalu banyak bisa membantu menyembunyikan penyerang. Adalah lebih penting untuk tidak melewatkan apapun saat memperluas pencarian Anda, katanya. "Anda ingin sistem ini menjadi pengganda kekuatan untuk membantu analis, bukan mengganti analis."
Alat perburuan ancaman tetap menjadi pasar yang baru lahir. Hanya sekitar seperempat responden survei menggunakan alat pihak ketiga dari vendor pemburu ancaman, menurut SANS Institute.
Untuk beralih dari berburu ancaman ad hoc ke berburu ancaman terus menerus, perusahaan perlu menggabungkan pelajaran yang dipetik sementara ancaman memburu proses dan infrastruktur IT mereka. Jika tim keamanan cyber harus terus mengulang langkah yang sama setiap kali memburu, itu buang-buang waktu. Setelah Anda menemukan sebuah pertanyaan yang bagus untuk diajukan, yang menghasilkan hasil yang bermanfaat, Anda tidak ingin bertanya sepanjang waktu, anda harus otomatisasikan.
Awalnya, proses belajar bisa ditambahkan ke dalam buku pedoman. Proses formal semacam itu adalah kunci bagi perusahaan untuk memasukkan pelajaran ke dalam proses tanggapan dan pembuktian insiden mereka. Tim keamanan perlu memastikan bahwa buku pedoman tentang proses dan bukan tentang alat.
Buku pedoman tidak boleh spesifik untuk peralatan-mereka harus bersifat umum. Jika Anda mulai mengikatkan buku pedoman Anda ke alat, Anda harus mengubah buku pedoman Anda saat mengganti alat Anda.
Langkah selanjutnya adalah mengotomatisasi praktik terbaik apa pun. Kemampuan untuk mengotomatisasi dapat membantu mempercepat pemburuan ancaman dan membuatnya kecil kemungkinannya bahwa bukti kompromi tidak terjawab. Anda membutuhkan alat yang tepat dan Anda memerlukan prosesnya. Dan dengan mengotomatisasi, Anda dapat memastikan bagian-bagian tertentu dari proses dioptimalkan.
Akhirnya, perusahaan harus mengoperasionalkan pelajaran berburu ancaman dengan menggunakan insiden sebagai bahan pelatihan. Banyak dari itu adalah tentang memiliki sebuah program untuk mentransfer pengetahuan dari pemburu Anda yang lebih berpengalaman kepada pemburu Anda yang kurang berpengalaman. Itu tentu saja yang telah kita lihat di organisasi berkinerja terbaik.
Mayoritas perusahaan, bagaimanapun, terus memulai penyelidikan hanya bila diperlukan. Ini memiliki proses untuk terus mengevaluasi apakah ancaman telah menginfiltrasi jaringan dan sistem mereka. Sekitar 84% perusahaan melakukan semacam perburuan ancaman, namun sebagian besar dari mereka-54% - hanya melakukannya sesuai kebutuhan, menurut laporan SANS Institute baru-baru ini.
Membangun Tim Keamanan Cyber
Perusahaan yang melakukan perburuan ancaman biasa, bagaimanapun, telah melihat manfaat yang signifikan. Sekitar 60% telah meningkatkan keamanan mereka berdasarkan informasi yang ditemukan selama perburuan mereka, menurut SANS. Dalam organisasi keamanan yang matang, pemburuan ancaman mengungkap sekitar 40% insiden keamanan.
Berikut empat cara untuk membentuk tim keamanan cyber dengan cara yang benar.
1. Mulai Membentuk Tim Keamanan Cyber
Keamanan cyber memerlukan disiplin yang berkembang, dan sementara ada beberapa ahli yang dapat merasa terbebani. Dan itu terus menjadi proposisi mahal bagi perusahaan. Anda memerlukan orang-orang yang sangat terampil untuk mencegah ancaman cyber, atau Anda melakukan outsourcing keamanan cyber, atau Anda harus memiliki alat yang sangat canggih untuk melakukan pemburu ancaman. Jadi apa yang kita lihat disini adalah bahwa ini merupakan fungsi dari seberapa matang sebuah perusahaan dalam strategi berpikir tentang keamanan IT mereka.
Apapun, tim keamanan cyber hanya perlu melompat dan mulai mengatasi dua rintangan terbesar: keterampilan dan data. Anda tidak perlu menjadi ilmuwan data atau matematikawan. Sulit untuk menemukan keahlian, dan bahkan jika Anda menemukan keahlian, Anda mungkin merasa sedikit tidak aman mengenai kemampuan Anda.
Mengukir waktu dalam membentuk tim keamanan cyber juga penting. Kebanyakan tim keamanan cyber memiliki tugas lain yang rutin mereka lakukan dan hanya menganalisa ancaman cyber bila dijamin dengan sebuah insiden. Perusahaan yang memiliki pusat operasi keamanan IT - dengan sekelompok analis yang ahli - mungkin dapat menggunakan model itu, namun perusahaan kecil yang memiliki tim kecil, yang seringkali merupakan tim IT juga, akan mengalami lebih banyak kesulitan.
Jika Anda adalah satu-satunya orang keamanan di perusahaan dan Anda menangani keamanan sebagai bagian dari tugas Anda, Anda tidak akan punya waktu untuk berburu. Jika tidak sekarang, apakah harus menunggu serangan cyber terjadi ? itulah kemungkinannya.
2. Melampaui Bereaksi Terhadap Insiden
Sebagian besar perusahaan baru mulai membentuk tim keamanan cyber jika ada sebuah insiden. Lansiran yang dihasilkan dari berbagai alat keamanan - seperti sistem informasi keamanan dan manajemen acara (SIEM) atau log firewall - seringkali merupakan dorongan untuk meluncurkan penyelidikan. Lebih dari 87% perusahaan akan memulai pencarian ancaman karena adanya peringatan, menurut SANS Institute.
Namun penyelidikan insiden adalah kasus pemburuan ancaman yang sangat sempit. Beberapa pakar keamanan tidak menganggapnya sebagai suatu cara memburu ancaman. Pemburuan ancaman sering dimulai dengan sebuah hipotesis, di mana tim keamanan cyber menciptakan sebuah skenario berdasarkan pada ancaman intelijen, analisis data, atau anomali.
Sebuah perusahaan dapat memulai pembentukan tim keamanan cyber jika intelijen mengindikasikan bahwa industrinya telah menjadi sasaran serangan atau penyerang tertentu. Selain itu, dilihat melalui lensa Cyber Kill Chain atau Attack Chain - dua cara untuk menganalisis tindakan penyerang - sebuah peringatan awal dapat menyebabkan pemburu menyelidiki apakah serangan tersebut menyebabkan kompromi lebih lanjut, katakan melalui gerakan lateral.
Begitu mereka masuk ke dalam jaringan, mereka perlu mengakses data dan password sentral di jaringan, mereka mencari dari satu mesin ke mesin lainnya. Mencari tanda-tanda gerakan itu adalah cara klasik untuk berburu ancaman.
Tanda-tanda kompromi lainnya bisa jadi anomali dalam kinerja jaringan atau aplikasi - yang secara tradisional merupakan lingkup kelompok teknologi informasi.
"Bagian dari tim keamanan akan selalu menjadi benteng dan mencegah serangan. Tapi memiliki kekuatan gerak yang bisa mengejar ancaman yang diperlukan adalah sangat penting."
3. Gunakan Alat yang Tepat
Berburu ancaman juga membutuhkan alat yang tepat. Sekitar 90% perusahaan menggunakan alat yang ada untuk membantu mencari ancaman. 61% lainnya menggunakan alat yang dapat disesuaikan, seperti skrip, menurut laporan SANS Institute.
Perlu di ketahui, memodifikasi alat terkini untuk membantu berburu ancaman bisa memperlambat proses. Hal No.1 yang dilakukan orang adalah meremehkan berapa banyak usaha dan tingkat keterampilan yang dibutuhkan untuk berburu ancaman dengan alat bantu mereka saat ini. Jika Anda hanya mengumpulkan data dan mengharapkan pemburu Anda melewati ember itu dan menemukan ancaman, Anda membuang banyak waktu.
Di satu sisi, tim keamanan menginginkan solusi berburu yang tidak berisik dan tidak memiliki false positive. Namun alat harus memungkinkan mereka untuk dengan mudah mengakses data mentah, jika perlu. Penyampaian informasi terlalu banyak bisa membantu menyembunyikan penyerang. Adalah lebih penting untuk tidak melewatkan apapun saat memperluas pencarian Anda, katanya. "Anda ingin sistem ini menjadi pengganda kekuatan untuk membantu analis, bukan mengganti analis."
Alat perburuan ancaman tetap menjadi pasar yang baru lahir. Hanya sekitar seperempat responden survei menggunakan alat pihak ketiga dari vendor pemburu ancaman, menurut SANS Institute.
4. Mengoperasikan apa yang Anda pelajari
Untuk beralih dari berburu ancaman ad hoc ke berburu ancaman terus menerus, perusahaan perlu menggabungkan pelajaran yang dipetik sementara ancaman memburu proses dan infrastruktur IT mereka. Jika tim keamanan cyber harus terus mengulang langkah yang sama setiap kali memburu, itu buang-buang waktu. Setelah Anda menemukan sebuah pertanyaan yang bagus untuk diajukan, yang menghasilkan hasil yang bermanfaat, Anda tidak ingin bertanya sepanjang waktu, anda harus otomatisasikan.
Awalnya, proses belajar bisa ditambahkan ke dalam buku pedoman. Proses formal semacam itu adalah kunci bagi perusahaan untuk memasukkan pelajaran ke dalam proses tanggapan dan pembuktian insiden mereka. Tim keamanan perlu memastikan bahwa buku pedoman tentang proses dan bukan tentang alat.
Buku pedoman tidak boleh spesifik untuk peralatan-mereka harus bersifat umum. Jika Anda mulai mengikatkan buku pedoman Anda ke alat, Anda harus mengubah buku pedoman Anda saat mengganti alat Anda.
Langkah selanjutnya adalah mengotomatisasi praktik terbaik apa pun. Kemampuan untuk mengotomatisasi dapat membantu mempercepat pemburuan ancaman dan membuatnya kecil kemungkinannya bahwa bukti kompromi tidak terjawab. Anda membutuhkan alat yang tepat dan Anda memerlukan prosesnya. Dan dengan mengotomatisasi, Anda dapat memastikan bagian-bagian tertentu dari proses dioptimalkan.
Akhirnya, perusahaan harus mengoperasionalkan pelajaran berburu ancaman dengan menggunakan insiden sebagai bahan pelatihan. Banyak dari itu adalah tentang memiliki sebuah program untuk mentransfer pengetahuan dari pemburu Anda yang lebih berpengalaman kepada pemburu Anda yang kurang berpengalaman. Itu tentu saja yang telah kita lihat di organisasi berkinerja terbaik.
Tips untuk para Manajer IT:
Berburu ancaman adalah proses keamanan yang sedang mengalami perubahan signifikan. Sementara banyak tim manajemen perusahaan mengklaim bahwa mereka melakukan pemburuan ancaman, tim keamanan seringkali kurang yakin tentang apakah kegiatan mereka di formalkan.
Ketikan serangan cyber menghampiri organisasi anda, para tim keamanan cyber tentu yang paling bertanggung jawab terhadap kejadian tersebut. Saat ini, pole kerja DevOps adalah untuk berkolaborasi, sehingga kondisi saling tuding dapat terhindar. Anda juga wajib memiliki solusi pencadangan yang dapat selalu di andalkan untuk menjaga dari kemungkinan terburuk.
Komentar
Posting Komentar