Apa itu SOAR (security orchestration, automation and response)?

SOAR adalah singkatan dari security orchestration, automation and response, yaitu kumpulan layanan dan alat yang membantu mengotomatisasi pencegahan dan penanggulangan serangan siber. Dengan menggunakan teknologi SOAR, tim keamanan dapat mengintegrasikan berbagai alat dan sumber data keamanan, mengotomatisasi tugas-tugas berulang dan membosankan, dan mengoptimalkan proses respons insiden.

SOAR biasanya terdiri dari tiga komponen utama yang bekerja bersama untuk menemukan dan menghentikan serangan: orkestrasi, otomatisasi, dan respons insiden.

Orkestrasi menghubungkan alat-alat internal dan eksternal, termasuk integrasi bawaan dan kustom, sehingga dapat diakses dari satu tempat pusat. Hal ini memungkinkan Anda untuk mengkonsolidasikan data dan menyederhanakan proses, menyiapkan panggung untuk otomatisasi.

Otomatisasi memprogram tugas-tugas sehingga dapat dieksekusi secara mandiri. Hal ini dicapai melalui playbook, atau kumpulan alur kerja yang secara otomatis berjalan ketika dipicu oleh aturan atau insiden. Playbook memungkinkan Anda untuk mengotomatisasi tugas-tugas, mengelola peringatan, dan membuat respons terhadap ancaman dan insiden.

Orkestrasi dan otomatisasi menjadi dasar untuk respons insiden yang didukung oleh AI, menghasilkan respons yang lebih cepat dan akurat serta mengurangi masalah keamanan yang perlu diperbaiki.

Mengapa SOAR penting?

SOAR penting karena dapat membantu tim keamanan mengatasi tantangan-tantangan berikut:

• Volume peringatan yang tinggi dan sulit dikelola. Menurut studi IBM 2021, 27% organisasi yang disurvei menerima lebih dari 1 juta peringatan keamanan per hari, dan 55% di antaranya dianggap salah positif. Hal ini dapat menyebabkan kelelahan analis, penundaan respons, dan risiko terlewatnya ancaman nyata.
• Kekurangan sumber daya manusia dan keterampilan. Menurut laporan Cost of a Data Breach 2022 dari IBM, 28% organisasi yang disurvei mengalami kekurangan staf keamanan siber, dan 25% mengalami kekurangan keterampilan keamanan siber. Hal ini dapat membatasi kemampuan tim keamanan untuk mendeteksi dan merespons ancaman secara efektif dan efisien.
• Keragaman alat dan integrasi yang rumit. Seperti disebutkan sebelumnya, banyak organisasi menggunakan puluhan atau bahkan ratusan alat keamanan yang berbeda dari vendor yang berbeda pula. Hal ini dapat menyulitkan tim keamanan untuk mengoordinasikan alat-alat tersebut dalam proses respons insiden yang terpadu dan konsisten.

Dengan menggunakan SOAR, tim keamanan dapat meningkatkan produktivitas, efisiensi, dan efektivitas mereka dalam menghadapi ancaman siber yang semakin kompleks dan dinamis.

Bagaimana cara memilih solusi SOAR?

Ada beberapa faktor yang perlu dipertimbangkan saat memilih solusi SOAR untuk organisasi Anda, antara lain:

• Kemampuan integrasi. Solusi SOAR harus dapat berintegrasi dengan alat-alat keamanan yang sudah ada di lingkungan Anda, baik itu SIEM (security information and event management), TI (threat intelligence), EDR (endpoint detection and response), atau lainnya. Solusi SOAR juga harus mendukung integrasi kustom dengan API (application programming interface) atau SDK (software development kit) yang fleksibel.
• Kemampuan otomatisasi. Solusi SOAR harus dapat mengotomatisasi tugas-tugas keamanan yang berulang dan membosankan dengan cara yang aman dan terkontrol. Solusi SOAR juga harus menyediakan playbook yang mudah dibuat, diedit, dan dijalankan, serta dapat disesuaikan dengan kebutuhan dan kebijakan organisasi Anda.
• Kemampuan respons insiden. Solusi SOAR harus dapat membantu tim keamanan dalam mengelola siklus hidup respons insiden, mulai dari identifikasi, investigasi, remediasi, hingga pelaporan. Solusi SOAR juga harus menyediakan dashboard dan laporan yang intuitif dan informatif, serta fitur kolaborasi dan eskalasi yang memudahkan komunikasi dan koordinasi antara anggota tim atau pihak lain yang terlibat.
• Kemampuan skalabilitas dan fleksibilitas. Solusi SOAR harus dapat menyesuaikan diri dengan pertumbuhan dan perubahan organisasi Anda, baik itu jumlah alat, data, peringatan, insiden, atau anggota tim. Solusi SOAR juga harus dapat beradaptasi dengan ancaman siber yang terus berkembang dan berubah, serta mendukung inovasi dan peningkatan berkelanjutan.

Contoh solusi SOAR

Salah satu contoh solusi SOAR yang tersedia di pasaran adalah IBM Security SOAR (sebelumnya dikenal sebagai Resilient). IBM Security SOAR adalah platform SOAR yang terintegrasi dengan IBM Security X-Force Threat Intelligence dan IBM Security QRadar SIEM, serta alat keamanan lainnya dari vendor IBM maupun pihak ketiga. IBM Security SOAR menawarkan fitur-fitur berikut:

• Orkestrasi alat keamanan yang mulus dan terukur dengan lebih dari 450 integrasi bawaan dan kustom.
• Otomatisasi tugas-tugas keamanan yang cerdas dan aman dengan lebih dari 200 playbook bawaan dan kustom.
• Respons insiden yang cepat dan efektif dengan dashboard interaktif, laporan komprehensif, fitur kolaborasi dinamis, dan analisis root cause.
• Inovasi dan peningkatan berkelanjutan dengan akses ke komunitas pengguna, mitra, dan ahli IBM Security.

Untuk informasi lebih lanjut tentang IBM Security SOAR, Anda dapat mengunjungi situs web resminya di https://www.ibm.com/products/security-soar atau meminta demo gratis di https://www.ibm.com/account/reg/us-en/signup?formid=urx-49967.

: https://www.microsoft.com/en-us/security/business/security-101/what-is-soar
: https://www.ibm.com/topics/security-orchestration-automation-response
: https://www.ibm.com/security/data-breach/cyber-resilient
: https://www.ibm.com/security/data-breach