lintasarta

July 29, 2022

Anomaly Detection dalam SOC, Teman atau Lawan?

Banyak vendor keamanan berbicara tentang mengintegrasikan teknik inovatif menggunakan Kecerdasan Buatan atau Artificial Intelligence (AI). Dalam keamanan siber, ini sering bermuara pada anomaly detection yang merupakan sebuah tindakan pengawasan yang memanfaatkan AI.



Bagi yang belum begitu paham, anomaly detection adalah langkah dalam penambangan data yang mengidentifikasi titik data, peristiwa, dan/atau pengamatan yang menyimpang dari perilaku normal dari data yang ada.



Nantinya, data anomaly tersebut dapat menunjukkan insiden kritis, seperti kesalahan teknis, atau peluang potensial, misalnya perubahan perilaku konsumen. Banyak sekali ahli teknologi yang mempelajari anomaly detection karena merupakan salah satu teknologi terkini yang luar biasa.



 



Baca jugaNetwork Operation Center vs Security Operation Center: Bagaimana Perbandingannya?



Sayangnya anomaly detection masih punya cukup banyak kekurangan. Salah satunya adalah ketidakmampuan untuk membedakan antara kejadian yang tidak berbahaya dan yang berbahaya. Hal ini jelas membuat orang-orang khawatir soal efektifitas dari anomaly detection. Lantas yang menjadi pertanyaan apakah anomaly detection merupakan teman atau lawan dalam menanggulangi masalah keamanan?



Seperti Apa Penggunaan Anomaly Detection dalam Keamanan Siber?



Berbagai teknik anomaly detection dalam hal perilaku manusia digunakan di hampir setiap aspek keamanan siber. Misalnya banyaknya anomaly detection yang banyak digunakan di UEBA (User and Entity Behavioral Analytics), NTA (Network Traffic Anomaly), Endpoint Anomaly Operational, dan lainnya.



Namun, ada cukup banyak kekurangan yang terjadi di sana. Misalnya di UEBA banyak sekali kegagalan login karena terlalu banyaknya traffic yang ada di dalamnya. Anomaly dapat menjadi indikator kuat dari aktivitas jahat tetapi, dalam banyak kasus, anomaly justru malah terpicu karena tindakan yang tidak banyak diduga.



Baca jugaSecurity Operation Center Indonesia: Bangun Sendiri atau Managed Service?



Menurut para ahli, anomaly merupakan alat yang ampuh untuk berburu ancaman, mereka mungkin menjadi beban bagi analis SOC yang fokus menangani ancaman sebagai bagian dari respons insiden yang terjadi. Namun karena banyaknya laporan palsu yang terjadi, seorang analis harus berhati-hati dengan anomaly SOC yang ada.



Sementara beberapa perangkat keamanan melakukan pekerjaan yang baik untuk menyaring informasi palsu, di sisi lain banyak juga yang gagal menyaring informasi palsu tersebut dan harus dianalisa lebih jauh untuk mendapatkan kebenaran yang ada. Meski tergolong mutakhir, nyatanya anomaly detection punya kekurangan yang membuat para ahli wajib menganalisanya dengan baik dan teliti.



Performa Platform SIEM dalam Anomaly Detection



Saat menggabungkan berbagai sumber anomaly dan sinyal keamanan lainnya seperti peringatan dari IDS, EDR, keamanan email, atau produk lainnya, tantangannya adalah menemukan koneksi secara otomatis dan menggabungkan peristiwa tersebut menjadi informasi yang dapat ditindaklanjuti.



Informasi tersebut harus memisahkan insiden berisiko tinggi. SIEM yang mencoba melakukannya perlu juga menunjukkan bukti dan memberikan analisis akar penyebab dan potensi aliran serangan yang terjadi. Ini menghemat waktu berharga dalam penyelidikan lebih dalam yang akan membutuhkan data forensik yang biasanya disimpan di SIEM.



Baca jugaPhishing: Kenapa Masih Jadi Bahaya Utama Dunia Kejahatan Siber?



Penggabungan otomatis antara anomaly dan peristiwa lainnya harus menjadi fitur utama dalam generasi berikutnya dari SIEM yang akan mengarahkan tim SOC untuk menangani peringatan tingkat keparahan tinggi, daripada menyelidiki banyak anomaly yang terjadi.



Lantas apakah anomaly detection itu adalah kawan atau lawan, tentunya jawabannya ada di perspektif masing-masing. Apakah anomaly detection justru memudahkan atau menyulitkan, itu juga tergantung pada perspektif masing-masing. Tapi yang jelas, teknologi juga bakal bekerja sempurna jika dilakukan oleh manusia atau SDM yang ahli dalam bidang tersebut.



Lintasarta menyediakan layanan jasa Managed SOC dengan berbagai fitur keamanan. Dengan layanan dari Lintasarta, perusahaan dapat mendeteksi ancaman keamanan dengan sigap dan tanggap. Bila ingin mengetahui lebih jauh, silahkan menghubungi kami.