AI Tidak Akan Memperbaiki Fondasi Keamanan yang Rusak

AI memperjelas visibilitas, analisis, dan pengambilan keputusan, tetapi efektivitasnya dibatasi oleh kualitas lingkungan yang mendasarinya

“Apakah itu menggunakan AI?” telah menjadi pertanyaan default dalam percakapan tentang produk keamanan, yang diajukan oleh pemimpin keamanan dan diulangi hampir di setiap presentasi vendor.

Masalahnya adalah bahwa itu adalah pertanyaan yang salah. Apakah suatu produk menggunakan AI tidak berarti itu akan membantu memperkuat postur keamanan suatu organisasi. AI bukanlah obat untuk semua masalah keamanan. Nilainya tergantung pada bagaimana itu diterapkan, yang dimulai dengan mendefinisikan masalah yang ingin diselesaikan dengan jelas.

Pertanyaan yang lebih baik adalah: “Apa celah keamanan spesifik yang kita coba tutup, dan apakah teknologi AI yang diberdayakan ini benar-benar membantu menutupnya?”

Apa yang AI Lakukan dengan Baik

AI memberikan nilai dalam keamanan di tiga area kunci. Pertama, itu mengisi celah data. Tim keamanan menarik data dari banyak sumber, termasuk inventori aset yang sudah ketinggalan zaman, sistem identitas yang tidak menangkap semua hubungan akses, dan telemetri jaringan yang melewatkan beberapa lalu lintas. AI dapat menginfer konteks dari dataset yang tidak lengkap untuk membangun gambaran yang lebih lengkap tentang aset, identitas, koneksi, dan perilaku beban kerja.

AI juga memperbaiki analisis pada skala besar. Masalah sinyal-ke-bisingan dalam operasi keamanan sangat parah dan memburuk. AI dapat mengorelasikan peristiwa di seluruh sumber data, menampilkan peringatan yang memerlukan perhatian, dan mendorong kebisingan rendah ke luar dari pandangan analis. Ini adalah tempat sebagian besar vendor keamanan telah fokus investasi AI mereka. Tim SOC menghabiskan waktu lebih sedikit untuk melakukan triase peringatan nilai rendah dan lebih banyak waktu untuk kegiatan yang memerlukan penilaian manusia.

Ketiga, setelah AI telah memperkaya data dan menganalisis sinyal, itu dapat memandu tindakan dengan merekomendasikan langkah berikutnya, seperti perubahan kebijakan mana yang akan mengurangi risiko, tindakan respons mana yang sesuai dengan pola perilaku, atau di mana perubahan konfigurasi diperlukan.

AI memberikan nilai terbesar ketika itu memperbaiki konteks, analisis, dan pengambilan keputusan. Ini memperkuat praktik keamanan yang kuat, tetapi tidak dapat mengkompensasi praktik yang hilang.

Mengapa Fondasi yang Lemah Masih Gagal

AI dibatasi oleh input yang diberikan organisasi. Input tersebut (misalnya, telemetri, arsitektur, kebijakan, kontrol, dan alat yang ada) mendefinisikan batasan apa yang dapat dilakukan AI. Memperjelas input, dan AI menghasilkan hasil yang lebih tajam. Melemahkan mereka, dan outputnya memburuk.

Tanpa konteks untuk mengidentifikasi ketidakhadiran, AI tidak memiliki cara untuk melaporkan ketidakhadiran. Ini tidak akan mengambil inisiatif untuk memeriksa lingkungan dan menandai apa yang hilang. Ini tidak akan memberitahu tim keamanan bahwa jaringan kekurangan segmentasi yang memadai, bahwa kontrol akses terlalu permissive, atau bahwa celah visibilitas meninggalkan segmen lingkungan yang tidak dipantau.

AI tidak melarikan diri dari prinsip kualitas data lama, “sampah masuk, sampah keluar,” itu memperkuatnya. Telemetri yang lemah menghasilkan analisis yang lemah. Kontrol yang cacat memberikan AI sesuatu untuk dioptimalkan dalam arah yang salah. Visibilitas yang tidak lengkap berarti keputusan diambil dari gambaran yang tidak lengkap, dan AI membuat keputusan tersebut lebih cepat, bukan lebih akurat. Kecepatan bukanlah perbaikan ketika informasi yang mendasarinya tidak dapat diandalkan.

Itulah mengapa kualitas fondasi penting sebelum kemampuan AI dimainkan. Fondasi yang kuat termasuk kontrol identitas dan akses yang menegakkan batasan yang bermakna, hak istimewa terendah di seluruh pengguna, beban kerja, aplikasi, data, segmentasi mikro untuk membatasi pergerakan lateral, dan visibilitas/observabilitas yang komprehensif di seluruh lingkungan. Ini juga memerlukan telemetri yang dapat diandalkan dan pemahaman yang jelas tentang bagaimana sistem terhubung dan saling bergantung.

Tidak ada yang baru di sini. Ini adalah disiplin keamanan yang sama yang telah dibahas tim keamanan selama bertahun-tahun, dari pergeseran ke mobile hingga pergeseran ke cloud. Apa yang berubah adalah biaya mengabaikan mereka. AI dapat memperkuat fondasi keamanan yang kuat, tetapi tidak dapat menggantinya.

AI Agensi Mengubah Persamaan Risiko

Perubahan bukan dari tidak ada AI ke AI; itu dari AI yang membantu AI yang bertindak. AI tradisional menganalisis data, menampilkan wawasan, dan merekomendasikan langkah berikutnya. AI Agensi melaksanakan di seluruh sistem, data, dan alur kerja tanpa menunggu keputusan manusia.

Bayangkan ini: mengirimkan 100 agen AI semalam adalah seperti merekrut 100 karyawan baru yang tidak pernah logout, beroperasi pada kecepatan mesin, dan memiliki akses ke sistem apa pun yang diizinkan oleh izin mereka. Tetapi tidak seperti karyawan manusia, agen-agen ini tidak berhenti, tidak bertanya, atau menerapkan penilaian tentang kapan akses harus digunakan. Mereka melaksanakan terus menerus, bergerak di seluruh sistem dan menyentuh banyak aplikasi tepat seperti yang diizinkan.

Itulah celahnya. Model akses Anda mengasumsikan perilaku manusia (misalnya, tindakan diskrit, kecepatan yang lebih lambat, dan beberapa tingkat penilaian). Agen AI menghilangkan konstrain tersebut. Jadi, jika izin terlalu luas (atau tidak akurat), mereka tidak hanya diam atau disalahgunakan terkadang; mereka berlatih terus menerus, pada skala besar, di seluruh sistem yang mereka sentuh.

Risiko tersebut diperburuk ketika suatu organisasi memberikan agen profil akses yang sama dengan pengguna tertentu, mereka menciptakan klon, bukan proksi yang berguna. Klon tersebut memiliki izin yang sama luas dengan aslinya, berjalan terus menerus dan mungkin memaparkan organisasi pada risiko yang sama apakah perilakunya bersifat jahat atau hanya salah konfigurasi.

Dalam era AI, identitas, kontrol akses, hak istimewa terendah, segmentasi, dan observabilitas tidak lagi hanya praktik terbaik—mereka adalah persyaratan keamanan dasar. Sebuah briefing baru-baru ini dari Cloud Security Alliance yang dikembangkan dengan SANS, Proyek Keamanan AI Gen OWASP, dan komunitas praktisi, memperkuat poin bahwa AI agensi tidak membuat fondasi ini usang. Ini membuatnya tidak dapat dinegosiasikan.

Apa yang Terlihat seperti Keamanan yang Siap AI

Mengobati kesiapan AI sebagai pertanyaan pengadaan dan fokus pada alat AI yang diberdayakan untuk diimplementasikan mengabaikan fakta bahwa kesiapan AI adalah masalah arsitektur, tata kelola, dan kontrol. Pertanyaannya bukan alat mana yang harus dibeli, tetapi apakah lingkungan akan mendukung AI beroperasi dengan aman.

Mulai dengan visibilitas. Sebelum mengirimkan kemampuan AI apa pun, tim keamanan perlu memiliki gambaran yang jelas tentang apa yang ada di lingkungan: aset, beban kerja, identitas, aplikasi, data, model AI, agen, dan koneksi pihak ketiga. Inventori tersebut bukanlah sesuatu yang dapat dibangun oleh AI untuk Anda. Ini adalah titik awal yang diperlukan AI untuk melakukan sesuatu yang berguna.

Dari sana, definisikan masalahnya. Identifikasi celah kontrol atau risiko spesifik. Putuskan hasil mana yang perlu diperbaiki. Kemudian tanyakan apakah AI dapat membantu menutup celah tersebut lebih baik daripada pendekatan lain. Organisasi yang membalik urutan ini dengan memulai dari alat AI dan kemudian mencari masalah untuk diterapkan cenderung menghasilkan aktivitas tanpa memperbaiki keamanan.

Menerapkan prinsip zero trust pada agen AI adalah tempat ini menjadi operasional. Instingnya sering kali untuk mendefinisikan apa yang tidak boleh dilakukan agen, tetapi daftar tersebut akan selalu tidak lengkap. Pendekatan yang lebih dapat diandalkan adalah untuk bersifat preskriptif tentang apa yang dapat dilakukan oleh setiap agen, memberinya hanya akses yang diperlukan untuk tugas yang ditentukan dan menegakkan batasan tersebut di seluruh lapisan tumpukan. Segmentasikan sistem yang dapat dijangkau agen sehingga jika satu berperilaku di luar batasan yang ditentukan atau penyerang menyalahgunakan, kerusakan tetap terkandung.

Akhirnya, peningkatan aktivitas bukanlah metrik keberhasilan. AI akan meningkatkan volume tindakan yang diambil tim keamanan, tetapi itu tidak berarti itu memperbaiki keamanan. Dashboard yang menampilkan banyak aktivitas tidak menandakan bahwa AI memberikan nilai.

Ukur hasil, seperti apakah volume peringatan menurun dengan cara yang mencerminkan sinyal yang sebenarnya dan tingkat risiko menurun lebih cepat di area yang paling penting. Pastikan rekomendasi kebijakan memperkuat kontrol, memungkinkan tim keamanan untuk mengandung insiden lebih cepat, dan memungkinkan analis SOC menghabiskan lebih banyak waktu untuk pekerjaan yang memerlukan penilaian manusia.

Fondasi Datang Pertama

AI bukanlah fondasi dari postur keamanan yang kuat. Ini adalah pengganda kekuatan, dan seperti pengganda kekuatan lainnya, nilainya bergantung sepenuhnya pada apa yang diterapkan.

Organisasi yang telah membangun arsitektur yang solid dengan visibilitas yang jelas, hak istimewa terendah yang ditegakkan, segmentasi, dan kontrol identitas yang kuat dapat menggunakan AI untuk memperjelas konteks, mempercepat analisis, dan bertindak berdasarkan informasi yang lebih baik. Mereka yang tidak akan menemukan bahwa AI memindahkan mereka lebih cepat dalam arah yang salah, mengoptimalkan kontrol yang cacat dan menampilkan wawasan dari gambaran yang tidak lengkap.

Pertanyaan yang harus diajukan sebelum membuat investasi AI apa pun adalah pertanyaan yang sama yang harus memandu setiap keputusan keamanan: Apa masalah yang kita coba selesaikan? Jika jawabannya jelas, dan arsitektur untuk mendukungnya ada di tempat, maka AI dapat membuat solusi lebih efektif. Jika jawabannya tidak jelas atau fondasi lemah, menambahkan AI tidak akan mengubahnya. Ini hanya akan membuat celah lebih sulit dilihat.

AI tidak akan memperbaiki fondasi yang rusak. Ini hanya akan membuat retakan lebih terlihat lebih cepat.