Peran dan Tanggung Jawab Analisis Keamanan Siber L1, L2, dan L3

Keamanan siber menjadi semakin penting dalam era digital ini, dengan ancaman yang terus berkembang. Salah satu bagian utama dari keamanan siber adalah Security Operations Center (SOC), yang bertanggung jawab untuk mendeteksi, menganalisis, dan merespons ancaman secara real-time. Dalam SOC, ada tiga level analis yang memiliki peran yang jelas dan berbeda, yaitu L1, L2, dan L3. Artikel ini akan mengupas tuntas peran dan tanggung jawab setiap level dalam SOC serta memberikan contoh praktis untuk lebih memahami prosesnya.

1. Pengenalan Keamanan SOC dan Pentingnya Pembagian Peran

Keamanan dalam dunia maya semakin kompleks, dan semakin banyak organisasi yang mengadopsi model bertingkat untuk mendeteksi dan merespons ancaman secara efektif. Model L1, L2, L3 ini adalah cara untuk membagi tanggung jawab berdasarkan tingkat keahlian dan kompleksitas yang dibutuhkan.

Mengapa penting untuk mendefinisikan peran dalam SOC?

• Peran yang jelas memastikan respons cepat terhadap ancaman.
• Meningkatkan kolaborasi antar tim dalam merespons ancaman.
• Membantu menghindari duplikasi usaha dan kebingungannya.

2. Pembagian Peran dan Tanggung Jawab: L1, L2, L3

L1 – Pertahanan Pertama (First Line of Defense)

Analisis L1 bertanggung jawab untuk monitoring dan triage awal. Mereka melihat alur lalu lintas yang masuk dan melakukan verifikasi awal pada peringatan atau ancaman yang ditemukan. Tugas utamanya adalah mengidentifikasi false positives dan meneruskan ancaman yang lebih serius ke level yang lebih tinggi untuk investigasi lebih lanjut.

Tugas Utama L1:

• Pemantauan Peringatan: Memantau SIEM, seperti Splunk atau QRadar, dan memverifikasi apakah peringatan yang masuk benar-benar mencurigakan.
• Triage Dasar: Menyaring peringatan, mencari pola dan kesalahan.
• Dokumentasi dan Eskalasi: Jika ancaman terbukti valid, mereka mendokumentasikan dan mengeskalasikan ke L2.

Contoh Kasus:
Seorang analis L1 menerima peringatan tentang percakapan login berulang dari alamat IP yang mencurigakan dan segera mengeskalasikannya ke L2.

L2 – Analisis Mendalam (In-Depth Analysis)

L2 berfungsi untuk menyelidiki lebih dalam peringatan yang diterima. Mereka menggunakan intelijen ancaman dan alat analisis lanjutan untuk menganalisis event, mencari pola tersembunyi, dan menentukan tingkat keparahan ancaman.

Tugas Utama L2:

• Investigasi Kejadian: Meneliti lebih dalam log dari berbagai sumber untuk menemukan indikator kompromi (IoC).
• Analisis Malware: Menyaring file atau aktivitas yang mencurigakan menggunakan sandboxing atau alat deteksi lainnya.
• Koordinasi Respons: Jika terdeteksi ancaman yang serius, L2 berkoordinasi dengan tim IT dan L3 untuk mengambil langkah mitigasi.

Contoh Kasus:
Analis L2 menemukan pola login yang aneh dan mencari referensi di basis data intelijen ancaman, serta mengisolasi endpoint yang terinfeksi.

L3 – Forensik Lanjutan dan Strategi (Advanced Forensics and Strategy)

L3 adalah level tertinggi yang menangani masalah yang lebih kompleks, seperti analisis malware tingkat lanjut dan pemburuan ancaman (threat hunting). L3 memiliki keahlian dalam menganalisis malware, forensik digital, dan merancang kebijakan keamanan jangka panjang.

Tugas Utama L3:

• Forensik Digital Lanjutan: Analisis mendalam terhadap sistem yang terinfeksi, termasuk menggunakan alat seperti Volatility atau IDA Pro untuk menganalisis malware.
• Strategi Keamanan: Berdasarkan temuan, mereka memberikan rekomendasi untuk memperbarui kebijakan keamanan dan prosedur mitigasi.
• Mentoring dan Kolaborasi: Memberikan pelatihan kepada L1 dan L2 serta membimbing mereka dalam pemecahan masalah yang lebih kompleks.

Contoh Kasus:
Seorang analis L3 menggunakan reverse engineering untuk menganalisis malware baru, menghasilkan deteksi khusus dan memberikan rekomendasi untuk memperbarui kebijakan keamanan di seluruh organisasi.

3. Contoh Kasus Praktis di Setiap Level

Serangan Phishing dengan Malware

• L1: Menangkap email mencurigakan, memverifikasi pengirim dan lampiran, dan kemudian mengeskalasi ke L2.
• L2: Menganalisis lampiran yang mencurigakan di lingkungan sandbox, mencari indikator infeksi lebih lanjut.
• L3: Melakukan reverse engineering pada malware dan mencari pola serangan di seluruh sistem.

Wabah Ransomware

• L1: Mendeteksi aktivitas enkripsi massal dan memverifikasi apakah ini adalah tanda serangan ransomware.
• L2: Menyelidiki lebih lanjut dengan mengkorelasikan log dari berbagai sistem dan mengisolasi perangkat yang terinfeksi.
• L3: Melakukan analisis mendalam pada file malware yang terdeteksi dan memperbarui kebijakan pertahanan untuk mencegah serangan serupa di masa depan.

Ancaman dari Dalam (Insider Threat)

• L1: Memonitor perilaku pengguna yang tidak biasa dan mendeteksi kemungkinan kebocoran data.
• L2: Menyelidiki lebih lanjut dengan memeriksa akses log dan data lain untuk menemukan pola atau indikasi penyalahgunaan hak akses.
• L3: Melakukan forensik mendalam, memulihkan jejak data yang telah diakses atau diekspor, dan memberikan rekomendasi kebijakan untuk mengurangi risiko serangan dari dalam.

4. Kesimpulan: Kolaborasi yang Efektif untuk Keamanan yang Lebih Baik

Setiap level dalam model L1, L2, dan L3 di SOC memiliki peran yang saling melengkapi. Keberhasilan dalam menghadapi ancaman siber yang kompleks sangat bergantung pada kolaborasi yang erat antara L1, L2, dan L3. Dengan pembagian peran yang jelas, proses eskalasi yang efisien, dan kolaborasi lintas tim yang efektif, SOC dapat merespons ancaman secara lebih cepat dan tepat.

Selain itu, pelatihan berkelanjutan di setiap level penting untuk memastikan bahwa tim SOC selalu siap menghadapi ancaman baru dan dapat memperbarui kebijakan serta prosedur berdasarkan pengalaman dan temuan terbaru.

Dengan menerapkan model L1, L2, L3 secara efektif, organisasi dapat memperkuat pertahanan dan lebih siap untuk menghadapi ancaman yang semakin canggih di dunia maya.