
Artikel ini adalah bagian dari edisi khusus VentureBeat, “AI dalam Skala Besar: Dari Visi hingga Viabilitas.” Baca lebih lanjut dari edisi khusus ini di sini.
Artikel ini adalah bagian dari edisi khusus VentureBeat, “AI dalam Skala Besar: Dari Visi hingga Viabilitas.” Baca lebih lanjut dari masalah ini di sini.
Dihadapkan dengan semakin canggihnya serangan multi-domain yang terjadi akibat kelelahan kewaspadaan, tingginya turnover, dan alat-alat yang ketinggalan jaman, para pemimpin keamanan memanfaatkan pusat operasi keamanan (SOC) yang berbasis AI sebagai masa depan pertahanan.
Tahun ini, para penyerang mencetak rekor kecepatan baru dalam melakukan intrusi dengan memanfaatkan kelemahan sistem lama yang dirancang hanya untuk pertahanan perimeter dan, lebih buruk lagi, koneksi tepercaya di seluruh jaringan.
Penyerang memangkas 17 menit dari rata-rata waktu aktivitas intrusi eCrime selama setahun terakhir dan mengurangi waktu breakout rata-rata untuk intrusi eCrime dari 79 menit menjadi 62 menit hanya dalam setahun. Waktu breakout tercepat yang diamati hanya dua menit tujuh detik.
Penyerang menggabungkan AI generatif, rekayasa sosial, kampanye intrusi interaktif, dan serangan habis-habisan terhadap kerentanan dan identitas cloud. Dengan pedoman ini mereka berupaya memanfaatkan kelemahan organisasi yang sudah ketinggalan jaman atau tidak memiliki persenjataan keamanan siber.
“Kecepatan serangan siber saat ini mengharuskan tim keamanan menganalisis data dalam jumlah besar dengan cepat untuk mendeteksi, menyelidiki, dan merespons ancaman dengan lebih cepat. Ini adalah janji SIEM yang gagal [security information and event management]. Pelanggan haus akan teknologi lebih baik yang memberikan nilai waktu instan dan peningkatan fungsionalitas dengan total biaya kepemilikan yang lebih rendah,” kata George Kurtz, presiden, CEO, dan salah satu pendiri perusahaan keamanan siber CrowdStrike.
“Para pemimpin SOC harus menemukan keseimbangan dalam meningkatkan kemampuan deteksi dan pemblokiran mereka. Hal ini akan mengurangi jumlah insiden dan meningkatkan kemampuan respons mereka, yang pada akhirnya mengurangi waktu tunggu penyerang,” tulis Gartner dalam laporannya. Tips Memilih Alat yang Tepat untuk Pusat Operasi Keamanan Anda.
SOC asli AI: Obat pasti untuk integrasi kursi putar
Kunjungi SOC mana pun, dan jelas bahwa sebagian besar analis terpaksa mengandalkan “integrasi kursi putar” karena sistem lama tidak dirancang untuk berbagi data secara real-time satu sama lain.
Artinya, para analis sering kali memutar kursi mereka dari satu monitor ke monitor lainnya, memeriksa peringatan dan membersihkan kesalahan positif. Akurasi dan kecepatan hilang dalam perjuangan melawan upaya multi-domain yang semakin meningkat yang tidak jelas dan berbeda secara intuitif di antara aliran peringatan real-time yang mengalir masuk.
Berikut adalah beberapa dari banyak tantangan yang ingin diselesaikan oleh para pemimpin SOC agar SOC asli AI dapat memecahkannya:
Tingkat kelelahan kewaspadaan kronis: Sistem lama, termasuk SIEM, menghasilkan semakin banyak peringatan untuk dilacak dan dianalisis oleh analis SOC. Analis SOC yang berbicara secara anonim mengatakan bahwa empat dari setiap 10 peringatan yang mereka hasilkan adalah positif palsu. Analis sering kali menghabiskan lebih banyak waktu untuk menentukan prioritas kesalahan positif dibandingkan menyelidiki ancaman sebenarnya, sehingga sangat memengaruhi produktivitas dan waktu respons. Membuat SOC menjadi AI-native akan memberikan dampak besar saat ini, yang harus dihadapi oleh setiap analis dan pemimpin SOC setiap hari.
Kekurangan dan pergantian talenta yang sedang berlangsung: Analis SOC berpengalaman yang unggul dalam apa yang mereka lakukan dan yang pemimpinnya dapat mempengaruhi anggaran untuk mendapatkan kenaikan gaji dan bonus, sebagian besar, tetap bertahan pada peran mereka saat ini. Penghargaan kepada organisasi yang menyadari bahwa berinvestasi dalam mempertahankan tim SOC yang berbakat adalah inti bisnis mereka. Statistik yang sering dikutip adalah adanya kesenjangan tenaga kerja keamanan siber global sebesar 3,4 juta profesional. Memang terdapat kekurangan yang kronis terhadap analis SOC di industri ini, sehingga organisasi harus menutup kesenjangan gaji dan menggandakan pelatihan untuk mengembangkan tim mereka secara internal. Kelelahan banyak terjadi pada tim yang kekurangan staf dan terpaksa mengandalkan integrasi kursi putar untuk menyelesaikan pekerjaannya.
Ancaman multi-domain meningkat secara eksponensial. Pihak-pihak yang bermusuhan, termasuk kelompok kejahatan dunia maya, negara-bangsa, dan organisasi teror dunia maya yang memiliki dana besar, kini semakin gencar mengeksploitasi kesenjangan dalam keamanan dan identitas. Serangan bebas malware telah berkembang sepanjang tahun lalu, dengan variasi, volume, dan kecerdikan strategi serangan yang semakin meningkat. Tim SOC yang melindungi perusahaan perangkat lunak perusahaan yang mengembangkan platform, sistem, dan teknologi baru berbasis AI sangat terkena dampaknya. Serangan bebas malware sering kali tidak terdeteksi, mengandalkan kepercayaan pada alat yang sah, jarang menghasilkan tanda tangan unik, dan mengandalkan eksekusi tanpa file. Kurtz mengatakan kepada VentureBeat bahwa penyerang yang menargetkan titik akhir dan kerentanan identitas sering kali berpindah ke samping dalam sistem dalam waktu kurang dari dua menit. Teknik canggih mereka, termasuk rekayasa sosial, ransomware-as-a-service (RaaS), dan serangan berbasis identitas, menuntut respons SOC yang lebih cepat dan adaptif.
Konfigurasi cloud yang semakin kompleks meningkatkan risiko serangan. Intrusi cloud telah meningkat sebesar 75% dari tahun ke tahun, dimana musuh mengeksploitasi kerentanan cloud asli seperti API yang tidak aman dan kesalahan konfigurasi identitas. SOC sering kali kesulitan dengan visibilitas yang terbatas dan alat yang tidak memadai untuk memitigasi ancaman di lingkungan multicloud yang kompleks.
Kelebihan data dan penyebaran alat menciptakan kesenjangan pertahanan yang harus diisi oleh tim SOC. Sistem berbasis perimeter lama, termasuk sistem SIEM yang sudah berusia puluhan tahun, kesulitan memproses dan menganalisis sejumlah besar data yang dihasilkan oleh infrastruktur modern, titik akhir, dan sumber data telemetri. Meminta analis SOC untuk selalu mengetahui berbagai sumber peringatan dan merekonsiliasi data di berbagai alat yang berbeda akan memperlambat efektivitasnya, menyebabkan kelelahan, dan menghambat mereka mencapai akurasi, kecepatan, dan kinerja yang diperlukan.
Bagaimana AI meningkatkan akurasi, kecepatan, dan kinerja SOC
“AI telah digunakan oleh para penjahat untuk mengatasi beberapa langkah keamanan siber di dunia,” Johan Gerber, wakil presiden eksekutif keamanan dan inovasi siber di MasterCard memperingatkan. “Tetapi AI harus menjadi bagian dari masa depan kita, dalam cara kita menyerang dan mengatasi keamanan siber.”
“Sangat sulit untuk keluar dan melakukan sesuatu jika AI dianggap sebagai sebuah alat; kamu harus memikirkannya [as integral],” Jeetu Patel, EVP dan GM keamanan dan kolaborasi Cisco, mengatakan kepada VentureBeat, mengutip temuan dari Cisco Cybersecurity Readiness Index 2024. “Kata kuncinya di sini adalah AI digunakan secara asli di infrastruktur inti Anda.”
Mengingat banyaknya keunggulan akurasi, kecepatan, dan kinerja dari transisi ke SOC asli AI, dapat dimengerti mengapa Gartner mendukung gagasan tersebut. Perusahaan riset tersebut memperkirakan bahwa pada tahun 2028, AI multi-agen dalam deteksi ancaman dan respons insiden (termasuk dalam SOC) akan meningkat dari 5% menjadi 70% penerapan AI — terutama menambah, bukan menggantikan, staf.
Chatbots memberi dampak
Inti dari nilai yang diberikan SOC berbasis AI pada keamanan siber dan tim TI adalah percepatan deteksi dan triase ancaman berdasarkan peningkatan akurasi prediksi menggunakan data telemetri real-time.
Tim SOC melaporkan bahwa alat berbasis AI, termasuk chatbots, memberikan penyelesaian yang lebih cepat pada spektrum kueri yang luas, mulai dari analisis sederhana hingga analisis anomali yang lebih kompleks. Chatbot generasi terbaru yang dirancang untuk menyederhanakan alur kerja SOC dan membantu analis keamanan mencakup Charlotte AI dari CrowdStrike, Threat Intelligence Copilot Google, Microsoft Security Copilot, seri AI Copilots dari Palo Alto Networks, dan SentinelOne Purple AI.
Basis data grafik adalah inti masa depan SOC
Teknologi database grafik membantu pembela HAM melihat kerentanan mereka seperti halnya penyerang. Penyerang berpikir dalam hal melintasi grafik sistem suatu bisnis, sementara pembela SOC secara tradisional mengandalkan daftar yang mereka gunakan untuk melakukan tindakan berbasis pencegahan. Perlombaan basis data grafik bertujuan untuk membuat analis SOC setara dengan penyerang dalam hal melacak ancaman, intrusi, dan pelanggaran di seluruh grafik identitas, sistem, dan jaringan mereka.
AI telah terbukti efektif dalam mengurangi kesalahan positif, mengotomatiskan respons terhadap insiden, meningkatkan analisis ancaman, dan terus menemukan cara baru untuk menyederhanakan operasi SOC.
Menggabungkan AI dengan database grafik juga membantu SOC melacak dan menghentikan serangan multi-domain. Basis data grafik adalah inti masa depan SOC karena mereka unggul dalam memvisualisasikan dan menganalisis data yang saling berhubungan secara real-time, memungkinkan deteksi ancaman, analisis jalur serangan, dan penentuan prioritas risiko lebih cepat dan akurat.
John Lambert, wakil presiden perusahaan untuk Microsoft Security Research, menggarisbawahi pentingnya pemikiran berbasis grafik untuk keamanan siber, dan menjelaskan kepada VentureBeat, “Pembela berpikir dalam daftar, penyerang siber berpikir dalam grafik. Selama ini benar, penyeranglah yang menang.”
SOC asli AI membutuhkan manusia sebagai perantara untuk mencapai potensi mereka
SOC yang sengaja merancang alur kerja manusia di tengah-tengah sebagai bagian inti dari strategi SOC asli AI mereka berada pada posisi terbaik untuk meraih kesuksesan. Tujuan utamanya adalah memperkuat pengetahuan analis SOC dan memberikan mereka data, wawasan, dan kecerdasan yang mereka perlukan untuk unggul dan berkembang dalam peran mereka. Yang juga tersirat dalam desain alur kerja manusia di tengah adalah retensi.
Organisasi yang telah menciptakan budaya pembelajaran berkelanjutan dan memandang AI sebagai alat untuk mempercepat pelatihan dan hasil kerja sudah berada di depan para pesaing. VentureBeat terus melihat SOC yang memberikan prioritas tinggi untuk memungkinkan analis fokus pada tugas-tugas yang kompleks dan strategis, sementara AI mengelola operasi rutin dan mempertahankan tim mereka. Ada banyak cerita tentang kemenangan kecil, seperti menghentikan intrusi atau pelanggaran. AI tidak boleh dilihat sebagai pengganti analis SOC atau pemburu ancaman manusia yang berpengalaman. Sebaliknya, aplikasi dan platform AI adalah alat yang dibutuhkan para pemburu ancaman untuk melindungi perusahaan dengan lebih baik.
SOC yang digerakkan oleh AI dapat mengurangi waktu respons insiden secara signifikan, dan beberapa organisasi melaporkan penurunan hingga 50%. Percepatan ini memungkinkan tim keamanan untuk mengatasi ancaman dengan lebih cepat, meminimalkan potensi kerusakan.
Peran AI dalam SOC diperkirakan akan meningkat, dengan menggabungkan simulasi musuh yang proaktif, pemantauan kesehatan ekosistem SOC secara berkelanjutan, serta keamanan titik akhir dan identitas tingkat lanjut melalui integrasi tanpa kepercayaan. Kemajuan ini akan semakin memperkuat pertahanan organisasi terhadap ancaman dunia maya yang terus berkembang.