Keamanan siber

Tim Keamanan Sedang Memperbaiki Ancaman yang Salah. Berikut Cara Mengoreksi di Era Serangan AI

mm
Published
Updated

Serangan siber tidak lagi merupakan operasi manual dan linier. Dengan AI yang sekarang tertanam dalam strategi ofensif, penyerang mengembangkan malware polimorfik, mengotomatisasi pengintaian, dan melewati pertahanan lebih cepat daripada banyak tim keamanan dapat merespons. Ini bukanlah skenario masa depan, ini sedang terjadi sekarang.

Pada saat yang sama, sebagian besar pertahanan keamanan masih bersifat reaktif. Mereka bergantung pada mengidentifikasi indikator kompromi yang diketahui, menerapkan pola serangan sejarah, dan menandai risiko berdasarkan skor keparahan yang mungkin tidak mencerminkan lanskap ancaman yang sebenarnya. Tim-tim tersebut tenggelam dalam volume, bukan wawasan, menciptakan lingkungan yang ideal bagi penyerang untuk berhasil.

Minda industri yang warisan yang dibangun di sekitar daftar periksa kepatuhan, penilaian berkala, dan tooling yang terfragmentasi telah menjadi liabilitas. Tim keamanan bekerja lebih keras daripada sebelumnya, namun sering memperbaiki hal-hal yang salah.

Mengapa Celah Ini Ada

Industri keamanan siber telah lama bergantung pada skor risiko seperti CVSS untuk memprioritaskan kerentanan. Namun, skor CVSS tidak mencerminkan konteks dunia nyata dari infrastruktur organisasi seperti apakah kerentanan itu terbuka, dapat diakses, atau dapat dieksploitasi dalam jalur serangan yang diketahui.

Sebagai hasilnya, tim keamanan sering menghabiskan waktu berharga untuk memperbaiki masalah yang tidak dapat dieksploitasi, sementara penyerang menemukan cara kreatif untuk menghubungkan kelemahan yang diabaikan dan melewati kontrol.

Situasi ini diperburuk oleh sifat terfragmentasi dari tumpukan keamanan. SIEM, sistem respons deteksi titik akhir (EDR), alat manajemen kerentanan (VM), dan platform manajemen postur keamanan awan (CSPM) semua beroperasi secara independen. Telemetri terisolasi ini menciptakan titik buta yang penyerang yang ditenagai AI semakin terampil untuk mengeksploitasi.

Deteksi Berbasis Tanda Tangan Semakin Memudar

Salah satu tren paling mengkhawatirkan dalam keamanan siber modern adalah nilai deteksi tradisional yang semakin memudar. Tanda tangan statis dan pengaturan peringatan berbasis aturan efektif ketika ancaman mengikuti pola yang dapat diprediksi. Namun, serangan yang dihasilkan AI tidak mengikuti aturan tersebut. Mereka mengubah kode, menghindari deteksi, dan beradaptasi dengan kontrol.

Ambil contoh malware polimorfik, yang mengubah struktur dengan setiap penerapan. Atau email phishing yang dihasilkan AI yang meniru gaya komunikasi eksekutif dengan akurasi yang mengkhawatirkan. Ancaman-ancaman ini dapat melewati alat berbasis tanda tangan sepenuhnya.

Jika tim keamanan terus bergantung pada mengidentifikasi apa yang telah dilihat sebelumnya, mereka akan tetap satu langkah di belakang lawan yang terus-menerus berinovasi.

Tekanan Regulasi Semakin Meningkat

Masalahnya tidak hanya teknis, tetapi juga regulatif. Komisi Sekuritas dan Bursa AS (SEC) baru-baru ini memperkenalkan aturan pengungkapan keamanan siber baru, yang mengharuskan perusahaan publik untuk melaporkan insiden keamanan siber material dan menjelaskan strategi manajemen risiko mereka secara real-time. Serupa, Aktifitas Operasional Digital Uni Eropa (DORA) menuntut peralihan dari penilaian berkala ke manajemen risiko siber yang berkelanjutan dan divalidasi.

Sebagian besar organisasi tidak siap untuk peralihan ini. Mereka kekurangan kemampuan untuk menyediakan penilaian real-time tentang apakah kontrol keamanan mereka saat ini efektif melawan ancaman saat ini, terutama karena AI terus mengembangkan ancaman tersebut dengan kecepatan mesin.

Prioritisasi Ancaman Rusak

Tantangan utama terletak pada bagaimana organisasi memprioritaskan pekerjaan. Sebagian besar masih bergantung pada sistem skor risiko statis untuk menentukan apa yang diperbaiki dan kapan. Sistem-sistem ini jarang mempertimbangkan lingkungan di mana kerentanan ada, atau apakah itu terbuka, dapat diakses, atau dapat dieksploitasi.

Hal ini telah menyebabkan tim keamanan menghabiskan waktu dan sumber daya yang signifikan untuk memperbaiki kerentanan yang tidak dapat diserang, sementara penyerang menemukan cara untuk menghubungkan masalah yang diabaikan untuk mendapatkan akses. Model “temukan dan perbaiki” tradisional telah menjadi cara yang tidak efisien dan sering tidak efektif untuk mengelola risiko siber.

Keamanan harus berkembang dari reaksi terhadap peringatan menuju pemahaman perilaku lawan—bagaimana penyerang sebenarnya bergerak melalui sistem, kontrol mana yang dapat mereka lewati, dan di mana kelemahan sebenarnya berada.

Cara yang Lebih Baik ke Depan: Pertahanan Proaktif, Berbasis Jalur Serangan

Bagaimana jika, alih-alih bereaksi terhadap peringatan, tim keamanan dapat terus-menerus mensimulasikan bagaimana penyerang nyata akan mencoba mengganggu lingkungan mereka, dan hanya memperbaiki apa yang paling penting?

Pendekatan ini, sering disebut validasi keamanan berkelanjutan atau simulasi jalur serangan, mendapatkan momentum sebagai pergeseran strategis. Alih-alih memperlakukan kerentanan secara terisolasi, ini memetakan bagaimana penyerang dapat menghubungkan konfigurasi yang salah, kelemahan identitas, dan aset yang rentan untuk mencapai sistem kritis.

Dengan mensimulasikan perilaku lawan dan memvalidasi kontrol secara real-time, tim dapat fokus pada risiko yang dapat dieksploitasi yang sebenarnya mengancam bisnis, bukan hanya yang ditandai oleh alat kepatuhan.

Rekomendasi untuk CISO dan Pemimpin Keamanan

Berikut adalah apa yang harus diprioritaskan oleh tim keamanan hari ini untuk tetap mendahului serangan yang dihasilkan AI:

  • Implementasikan Simulasi Serangan Berkelanjutan Terapkan alat emulasi lawan yang didorong AI yang menguji kontrol Anda dengan cara yang sama seperti penyerang nyata. Simulasi ini harus berkelanjutan, bukan hanya dilakukan untuk latihan tim merah tahunan.
  • Prioritaskan Eksploitasi atas Keparahan Pindahkan dari skor CVSS. Integrasi analisis jalur serangan dan validasi kontekstual ke dalam model risiko Anda. Tanyakan: Apakah kerentanan ini dapat diakses? Apakah dapat dieksploitasi hari ini?
  • Satukan Telemetri Keamanan Anda Konsolidasikan data dari SIEM, CSPM, EDR, dan VM ke dalam tampilan terpusat yang terkorelasikan. Ini memungkinkan analisis jalur serangan dan meningkatkan kemampuan Anda untuk mendeteksi intrusi multi-langkah yang kompleks.
  • Otomatisasi Validasi Pertahanan Pindahkan dari teknik deteksi manual ke validasi yang ditenagai AI. Gunakan pembelajaran mesin untuk memastikan strategi deteksi dan respons Anda berkembang seiring dengan ancaman yang mereka hadapi.
  • Modernisasi Pelaporan Risiko Siber Gantikan dasbor risiko statis dengan penilaian eksposur waktu nyata. Sesuaikan dengan kerangka kerja seperti MITRE ATT&CK untuk menunjukkan bagaimana kontrol Anda dipetakan ke perilaku ancaman dunia nyata.

Organisasi yang beralih ke validasi berkelanjutan dan prioritisasi berbasis eksploitasi dapat mengharapkan perbaikan yang signifikan di seluruh dimensi operasi keamanan. Dengan fokus hanya pada ancaman yang dapat ditindaklanjuti dan berdampak tinggi, tim keamanan dapat mengurangi kelelahan peringatan dan menghilangkan gangguan yang disebabkan oleh peringatan palsu atau kerentanan yang tidak dapat dieksploitasi. Fokus yang dipersempit ini memungkinkan respons yang lebih cepat dan efektif terhadap serangan nyata, secara signifikan mengurangi waktu tinggal dan memperbaiki penanganan insiden.

Lebih lagi, pendekatan ini meningkatkan keselarasan regulatif. Validasi berkelanjutan memenuhi tuntutan yang meningkat dari kerangka kerja seperti aturan pengungkapan keamanan siber SEC dan regulasi DORA Uni Eropa, keduanya mengharuskan visibilitas waktu nyata ke dalam risiko siber. Mungkin yang paling penting, strategi ini memastikan alokasi sumber daya yang lebih efisien dan memungkinkan tim untuk menginvestasikan waktu dan perhatian mereka di mana itu paling penting, bukan menyebar diri mereka tipis di seluruh permukaan risiko teoretis.

Waktunya untuk Beradaptasi Sekarang

Era kejahatan siber yang didorong AI tidak lagi merupakan prediksi, ini adalah kenyataan. Penyerang menggunakan AI untuk menemukan jalur baru. Tim keamanan harus menggunakan AI untuk menutupnya.

Ini bukan tentang menambahkan lebih banyak peringatan atau memperbaiki lebih cepat. Ini tentang mengetahui ancaman mana yang penting, memvalidasi pertahanan secara berkelanjutan, dan menyelaraskan strategi dengan perilaku penyerang dunia nyata. Hanya dengan itu, pembela dapat mendapatkan kembali keunggulan dalam dunia di mana AI menulis kembali aturan pertempuran.

mm

Om Moolchandani adalah Co-founder, Chief Information Security Officer (CISO), dan Chief Product Officer (CPO) dari Tuskira. Dengan gelar Sarjana dan Magister dalam Ilmu Komputer, Om membawa keahlian yang mendalam dalam keamanan cloud, kepatuhan, dan perangkat lunak perusahaan. Sebelumnya, ia menjabat posisi senior keamanan dan produk di perusahaan terkemuka termasuk CrowdStrike, Tenable, GE, dan AutoGrid. Sebelum Tuskira, ia juga mendirikan Accurics, sebuah perusahaan CNAPP yang dipimpin yang diakuisisi oleh Tenable. Om dikenal karena membangun solusi yang aman, scalable yang menangani tantangan keamanan siber modern.