Pengertian dan Kekurangan Teknologi SIEM

 

SIEM (Security Information and Event Management) adalah sebuah sistem informasi yang terpusat dalam mengumpulkan informasi (log) keamanan secara real-time mulai dari workstation atau laptop, firewall, server, ips, switches, dan routers. Termasuk informasi sebuah kejadian atau event security yang dihasilkan dari aplikasi ataupun perangkat keamanan.

Teknologi SIEM ini digunakan untuk mengumpulkan informasi keamanan yang berasal dari data log pada jaringan, aplikasi, hardware, dan mengkolerasikan informasi tersebut menjadi suatu output.

Security Information and Event Management (SIEM) telah menjadi solusi keamanan yang diandalkan perusahaan untuk melakukan deteksi dini terhadap serangan siber. Walaupun sudah banyak perusahaan yang menggunakan solusi SIEM - khususnya SIEM tradisional, perusahaan masih perlu memastikan tentang efektivitas solusi SIEM yang digunakan saat ini, karena besar kemungkinan bahwa SIEM yang saat ini sudah digunakan belum berperan maksimal untuk melindungi perusahaan dari serangan siber yang semakin kompleks. 

Berikut adalah informasi mengenai kekurangan dari teknologi SIEM tradisional:

1. Tidak dapat menganalisa dan memantau seluruh data secara efektif

SIEM tradisional biasanya hanya dapat mengumpulkan informasi keamanan yang berasal dari data-data yang sudah didefinisikan sebelumnya. Kekurangan ini menyebabkan informasi keamanan yang dihasilkan tidak lengkap.

2. Hasil investigasi cenderung lambat dan tidak menyeluruh 

SIEM tradisional tidak dibangun untuk menghasilkan investigasi yang detail dan menyeluruh terhadap semua komponen.

3. Masalah skalabilitas 

Karena volume, kompleksitas, variasi, dan kecepatan data terus meningkat, SIEM tradisional tidak dapat mengimbanginya. Malware, data breaches, dan jenis serangan siber lainnya kini semakin kompleks, sehingga pendekatan yang lebih proaktif dan gesit terhadap infrastruktur keamanan sangat dibutuhkan. Kebutuhan akan solusi yang proaktif dan gesit tidak bisa didapatkan dari SIEM tradisional. 

4. Pilihan deployment tidak fleksibel 

Dari sisi deployment, kebanyakan SIEM tradisional hanya tersedia dalam appliance atau software deployment saja. Hal ini berbeda dengan SIEM modern. Dari sisi deployment, SIEM modern tersedia dalam software dan juga cloud deployment

Sedangkan SIEM modern memberikan nilai keuntungan maksimal untuk perusahaan dalam mengatasi tantangan atau masalah keamanan siber yang semakin canggih. Solusi SIEM modern menawarkan visibilitas penuh terhadap seluruh aktivitas dalam jaringan, aplikasi, dan hardware. Solusi ini dapat menganalisa data dalam jumlah besar dan menemukan aktivitas yang berpotensi mengakibatkan serangan hanya dalam hitungan detik saja. Tentunya, kemampuan ini tidak dimiliki oleh SIEM tradisional. 

Sistem SIEM mengumpulkan data dari berbagai sumber dalam infrastruktur jaringan perusahaan, termasuk server, sistem, perangkat, dan aplikasi untuk mengidentifikasi potensi ancaman, baik yang berasal dari eksternal ataupun internal. Solusi SIEM modern menawarkan “centralized view” yang menggabungkan informasi kontekstual tentang user, aset perusahaan, dan lain-lain. 

Solusi SIEM modern dapat mengalisa berbagai sumber data yang berasal dari: 

- Aplikasi apa pun yang digunakan perusahaan.

 - Perangkat jaringan seperti routers, switches, bridge, wireless access point, modem, line driver, dan hubs. 

- Server seperti web, proxy, mail, dan file transfer protocol. 

- Perangkat keamanan seperti IDP/IPS, firewall, antivirus software, dan content filter.