Security Orchestration Automation and Response (SOAR) dan Apa Bedanya Dengan SIEM?

SOAR adalah singkatan dari Security Orchestration Automation and Response. Secara umum, SOAR merupakan pendekatan baru untuk operasi keamanan, khususnya dalam hal merespons insiden. SOAR memiliki keunggulan utama dalam hal meningkatkan efisiensi, kecepatan, ketersediaan dan stabilitas operasi keamanan. Tool SOAR dapat mengintegrasikan semua alat dan aplikasi yang ada dalam sistem keamanan perusahaan, sehingga memungkinkan tim keamanan mengotomatisasi alur kerja respons ketika ada insiden pelanggaran keamanan. Dengan demikian, SOAR dapat memangkas waktu mulai dari identifikasi pelanggaran hingga proses penyelesaiannya.

SOAR terdiri dari tiga pilar yaitu orkestrasi, otomatisasi dan respons. Setiap pilar tersebut menangani tantangan keamanan yang berbeda yang dihadapi oleh tim terkait. Mirip dengan SIEM, SOAR menghimpun dan memusatkan data sehingga semua informasi yang diperlukan untuk mengidentifikasi dan merespons insiden tersedia dan dapat diakses dengan mudah di satu lokasi. Berkat kemampuan orkestrasi SOAR, semua teknologi yang diperlukan untuk merespons insiden keamanan dapat berkolaborasi dengan lancar.

Dalam hal otomatisasi, pendekatan SOAR akan menjalankan langkah dan respons yang paling tepat sesuai informasi yang telah dihimpun, untuk mengatasi ancaman serangan yang terdeteksi. Dengan SOAR, perusahaan dapat mengategorikan respons ke dalam beberapa area termasuk tindakan dari sisi infrastruktur, aktivitas penguatan keamanan hingga operasi yang terkait dengan bisnis.

Perbedaan SIEM dan SOAR

Meski tampak serupa, terdapat perbedaan SIEM dan SOAR dalam beberapa hal. Berikut perbandingan SIEM dan SOAR.

1. Fungsi dan kemampuan inti

SIEM lebih ditujukan untuk penyimpanan data, intelijen keamanan, dan kebutuhan analisis. Secara paralel SIEM memanfaatkan agregasi data, deteksi ancaman, identifikasi dan notifikasi. Namun, proses ini mengharuskan keterlibatan manusia dalam tahap akhir karena tidak dibuat otomatis.

SIEM hanya meningkatkan peringatan ketika aktivitas mencurigakan terdeteksi. Analis keamanan selanjutnya harus terlibat secara manual untuk memutuskan apakah diperlukan penyelidikan lebih lanjut atau tidak, serta menyatakan temuan itu sebagai insiden. Sementara itu, SOAR menjalankan semua proses secara otomatis. SOAR memiliki kemampuan untuk menyatakan suatu peristiwa sebagai insiden keamanan atau hanya peristiwa biasa yang tidak berbahaya.

2. Intervensi manusia

Perbedaan utama SIEM dan SOAR adalah jumlah intervensi manusia yang diperlukan untuk mengoperasikan setiap jenis alat atau perangkat. SIEM memerlukan penyempurnaan dan pengembangan yang konstan agar tim keamanan dapat memaksimalkan fungsinya. Meski SIEM dirancang untuk menghemat waktu, sistem ini sering kali menguras waktu karena diperlukan tim untuk mengelola, memelihara operasional hingga membedakan jenis peringatan.

Sebaliknya, SOAR membantu meminimalisir campur tangan manusia karena otomatisasi menjadi tujuan utamanya. Mengingat SOAR dapat menyaring serangan “palsu”, sistem ini menghasilkan sedikit peringatan sehingga memungkinkan analis keamanan untuk fokus dalam meningkatkan dan mengotomatiskan lebih banyak rencana merespons insiden. Meskipun demikian, untuk mengatasi mission critical system masih diperlukan persetujuan dari ahli atau teknisi (manusia).

3. Sumber data

SIEM dan SOAR menggunakan jenis data yang sama yaitu data log dan peristiwa di semua komponen aplikasi dan jaringan. Namun, keragaman sumber data dan jumlah yang dikumpulkan keduanya berbeda signifikan.

SIEM biasanya mengumpulkan data log dan peristiwa dari host dan sumber infrastruktur seperti firewall, tool Data loss prevention (DLP), serta sistem deteksi dan pencegahan malware. Di sisi lain SOAR dapat mengintegrasikan berbagai macam sumber data termasuk aplikasi eksternal untuk mengumpulkan berbagai jenis data lebih banyak. Namun mengingat SOAR didasarkan pada tujuan otomatisasi, sistemnya harus memiliki pengetahuan sebanyak mungkin terkait tindakan dan konfigurasi jaringan untuk mengidentifikasi anomali.

Meskipun SIEM dan SOAR memiliki keunggulan dan perbedaan, tetapi akan lebih baik jika keduanya dikolaborasikan ke dalam satu sistem, yaitu Managed Operation Center. Dengan demikian, deteksi dan respons akan lebih unggul dalam mencegah serangan siber. Singkatnya, SIEM dapat digunakan untuk mendeteksi dan merespons, sedangkan SOAR meningkatkan kemampuan SIEM agar dapat melakukan respons secara semi atau otomatis berdasarkan batasan variabel yang sudah ditentukan sebelumnya.