Connect with us

Pemimpin pemikiran

Ketika Serangan Berkembang Mengalahkan Pertahanan Lama: Mengapa Sudah Waktunya untuk Keamanan AI Proaktif

mm
Published
Updated

Jika Anda bekerja di sekitar keamanan saat ini, Anda mungkin merasa seperti selalu tertinggal. Ada pelanggaran baru di berita, cerita ransomware segar, dan trik cerdas lainnya yang pembela tidak melihat sebelumnya. Pada saat yang sama, banyak perlindungan masih bergantung pada ide-ide dari internet yang lebih lama di mana jaringan memiliki perbatasan yang jelas dan penyerang bergerak lebih lambat.

Angka-angka mengatakan kepada Anda bahwa ini bukan hanya perasaan. Laporan terbaru IBM Cost of a Data Breach Report menempatkan pelanggaran rata-rata global pada $4,88 miliar pada 2024, naik dari $4,45 miliar tahun sebelumnya. Lonjakan 10% itu adalah lompatan terbesar sejak tahun-tahun pandemi, dan itu terjadi bahkan ketika tim keamanan menginvestasikan lebih banyak dalam alat dan penjadwalan.

Laporan Verizon Data Breach Investigations Report untuk 2024 melihat lebih dari 30.000 insiden dan lebih dari 10.000 pelanggaran yang dikonfirmasi. Ini menyoroti bagaimana penyerang mengandalkan kredensial yang dicuri, eksploitasi aplikasi web, dan tindakan sosial seperti pretexting, dan itu mencatat bahwa organisasi menghabiskan sekitar 55 hari rata-rata untuk memperbaiki setengah dari kerentanan kritis mereka setelah patch dirilis. 55 hari itu adalah jendela yang sangat nyaman bagi penyerang yang memindai secara terus-menerus.

Di Eropa, laporan ENISA Threat Landscape untuk 2023 juga menunjuk pada campuran berat ransomware, penolakan layanan, serangan rantai pasokan, dan rekayasa sosial. Studi ENISA lain yang fokus pada insiden rantai pasokan memperkirakan bahwa ada kemungkinan empat kali lipat serangan tersebut pada 2021 dibandingkan dengan 2020, dan bahwa tren ini terus meningkat. 

Jadi gambarannya sederhana tetapi tidak nyaman. Pelanggaran menjadi lebih umum, lebih mahal, dan lebih kompleks, bahkan ketika alat-alat meningkat. Sesuatu yang struktural salah dalam cara banyak organisasi masih mempertahankan diri.

Mengapa model keamanan klasik ketinggalan

Selama waktu yang lama, gambaran mental dari pertahanan siber sederhana. Anda memiliki bagian dalam dan luar yang jelas. Anda akan membangun perbatasan yang kuat dengan firewall dan filter. Anda akan menginstal antivirus pada titik akhir dan mencari tanda-tanda buruk yang dikenal. Anda akan menyetel aturan, menonton alert, dan bereaksi ketika sesuatu yang jelas terjadi.

Model itu memiliki tiga masalah besar di dunia saat ini.

Pertama, perbatasan hampir hilang. Orang bekerja dari mana saja pada campuran perangkat yang dikelola dan tidak dikelola. Data berada di platform cloud publik dan alat sebagai layanan. Mitra dan pemasok terhubung langsung ke sistem internal. Laporan seperti studi rantai pasokan ENISA menunjukkan seberapa sering intrusi sekarang dimulai melalui mitra tepercaya atau pembaruan perangkat lunak daripada serangan langsung ke server pusat.

Kedua, fokus pada tanda-tanda yang dikenal meninggalkan celah buta yang besar. Penyerang modern mencampur malware khusus dengan apa yang disebut pembela “hidup dari tanah”. Mereka bergantung pada alat scripting bawaan, agen manajemen jarak jauh, dan tindakan administratif sehari-hari. Setiap langkah dilihat sendiri mungkin terlihat tidak berbahaya. Pendekatan berbasis tanda-tanda sederhana tidak melihat pola yang lebih besar, terutama ketika penyerang mengubah detail kecil di setiap kampanye.

Ketiga, manusia kelebihan beban. Laporan Verizon menunjukkan bahwa eksploitasi kerentanan sekarang menjadi cara utama untuk masuk ke jaringan dan bahwa banyak organisasi berjuang untuk menerapkan patch dengan cukup cepat. Penelitian IBM menambahkan bahwa waktu deteksi dan penahanan yang lama adalah alasan utama biaya pelanggaran terus meningkat. Analis duduk di bawah gunung alert, log, dan triage manual, sementara penyerang mengotomatisasi sebanyak mungkin.

Jadi Anda memiliki penyerang yang lebih cepat dan lebih otomatis, dan pembela yang masih bergantung pada investigasi manual dan pola lama. Ke dalam celah itu datang kecerdasan buatan.

Penyerang sudah memperlakukan AI sebagai rekan

Ketika orang berbicara tentang AI dalam keamanan, mereka sering membayangkan alat pertahanan yang membantu menangkap aktor jahat. Kenyataannya adalah bahwa penyerang sama-sama bersemangat untuk menggunakan AI untuk membuat pekerjaan mereka lebih mudah.

Laporan Microsoft Digital Defense Report 2025 menjelaskan bagaimana kelompok yang didukung negara menggunakan AI untuk menciptakan media sintetis, mengotomatisasi bagian dari kampanye intrusi, dan menskala operasi pengaruh. Studi terpisah Associated Press ringkasan intelijen ancaman Microsoft melaporkan bahwa, dari pertengahan 2024 hingga pertengahan 2025, insiden yang melibatkan konten palsu yang dihasilkan AI meningkat menjadi lebih dari 200, lebih dari dua kali lipat dari tahun sebelumnya dan sekitar 10 kali lipat dari jumlah yang terlihat pada 2023.

Dalam prakteknya, ini terlihat seperti pesan phishing yang terbaca sebagai jika penulis asli menulisnya, dalam bahasa apa pun yang Anda inginkan. Ini terlihat seperti deepfake audio dan video yang membantu penyerang berpura-pura menjadi pemimpin senior atau mitra tepercaya. Ini terlihat seperti sistem AI yang menyortir melalui volume besar data yang dicuri untuk menemukan detail paling berharga dari lingkungan Anda, staf, dan pihak ketiga.

Sebuah Financial Times bagian tentang AI agen dalam serangan siber bahkan menjelaskan operasi intelijen yang sebagian besar otonom di mana agen pengkodean AI menangani sebagian besar langkah dari pengintaian hingga ekstraksi data dengan input manusia yang terbatas. Bagaimanapun Anda merasa tentang kasus tersebut, arah perjalanan jelas. Penyerang sangat senang membiarkan AI menangani bagian membosankan dari pekerjaan.

Jika penyerang menggunakan AI untuk bergerak lebih cepat, menyatu lebih baik, dan mengenai lebih banyak target, maka pembela tidak dapat mengharapkan alat perbatasan tradisional dan triage alert manual untuk cukup. Anda harus membawa kecerdasan serupa ke dalam pertahanan, atau celah terus melebar.

Dari pertahanan reaktif ke pemikiran keamanan proaktif

Perubahan pertama yang sebenarnya bukanlah teknis; itu mental.

Posisi reaktif dibangun di sekitar gagasan bahwa Anda dapat menunggu tanda-tanda masalah yang jelas, kemudian menanggapi. Sebuah binary baru terdeteksi. Sebuah alert memicu karena lalu lintas cocok dengan pola yang dikenal. Sebuah akun menunjukkan tanda-tanda kompromi yang jelas. Tim melompat, menyelidiki, membersihkan, dan mungkin memperbarui aturan untuk mencegah pola yang sama bekerja lagi.

Dalam dunia dengan serangan lambat dan jarang, ini mungkin cukup. Dalam dunia dengan penyelidikan konstan, eksploitasi cepat, dan kampanye yang didukung AI, ini terlambat. Pada saat aturan sederhana memicu, penyerang sering telah menjelajahi jaringan Anda, menyentuh data sensitif, dan mempersiapkan jalur fallback.

Posisi proaktif dimulai dari tempat yang berbeda. Ini menganggap Anda selalu disentuh oleh lalu lintas hostil. Ini menganggap bahwa beberapa kontrol akan gagal. Ini peduli dengan seberapa cepat Anda melihat perilaku yang tidak biasa, seberapa cepat Anda dapat mengandungnya, dan seberapa konsisten Anda belajar dari itu. Dalam kerangka itu, pertanyaan inti menjadi sangat praktis.

  • Apakah Anda memiliki visibilitas terus-menerus ke sistem, identitas, dan toko data kunci?

  • Dapatkah Anda melihat penyimpangan kecil dari perilaku normal, bukan hanya tanda-tanda buruk yang dikenal?

  • Dapatkah Anda menghubungkan wawasan itu dengan tindakan yang cepat dan dapat diulang tanpa membakar tim Anda?

AI bukanlah solusi oleh itself, tetapi ini adalah cara yang kuat untuk menjawab pertanyaan-pertanyaan itu pada skala yang diminta oleh lingkungan modern.

Apa yang terlihat seperti postur keamanan yang didorong AI

AI membantu Anda bergerak dari pandangan sederhana ya atau tidak tentang ancaman menuju gambaran yang lebih kaya, berbasis perilaku. Pada sisi deteksi, model dapat menonton aktivitas identitas, telemetri titik akhir, dan aliran jaringan dan belajar apa yang terlihat normal untuk lingkungan Anda. Sebagai gantinya untuk hanya memblokir file berbahaya yang dikenal, mereka dapat mengangkat bendera ketika akun masuk dari lokasi yang tidak biasa pada waktu yang tidak biasa, bergerak ke sistem yang tidak pernah disentuh sebelumnya, dan kemudian memulai memindahkan volume besar data. Setiap acara tunggal mungkin mudah diabaikan. Pola gabungan menarik.

Pada sisi eksposur, alat yang didukung AI dapat memetakan permukaan serangan Anda yang sebenarnya. Mereka dapat memindai akun cloud publik, layanan yang menghadap internet, dan jaringan internal untuk menemukan sistem uji yang terlupakan, penyimpanan yang salah konfigurasi, dan panel admin yang terbuka. Mereka dapat mengelompokkan temuan ini ke dalam cerita risiko yang praktis bukan daftar mentah. Ini sangat penting karena AI bayangan tumbuh di dalam organisasi, dengan tim memutar model dan alat mereka sendiri tanpa pengawasan pusat, tren yang IBM sebutkan dalam Cost of a Data Breach terbarunya sebagai area risiko serius. 

Pada sisi respons, AI dapat membantu Anda bertindak lebih cepat dan lebih konsisten. Beberapa pusat operasi keamanan sudah menggunakan sistem yang didukung AI untuk merekomendasikan langkah-langkah penahanan secara real-time dan untuk meringkas garis waktu investigasi panjang untuk analis manusia. Badan Keamanan Siber dan Infrastruktur Amerika Serikat menjelaskan beberapa penggunaan seperti itu dalam sumber daya kecerdasan buatan, menunjukkan bagaimana AI dapat membantu mendeteksi aktivitas jaringan yang tidak biasa dan menganalisis aliran besar data ancaman di seluruh sistem federal.

Tidak ada yang menghilangkan kebutuhan akan penilaian manusia. Sebaliknya, AI menjadi pengganda kekuatan. Ini mengambil alih pemantauan konstan, pemantauan pola, dan sebagian dari triage awal, sehingga pembela manusia dapat menghabiskan lebih banyak waktu pada investigasi mendalam dan pertanyaan desain yang sulit, seperti strategi identitas dan segmentasi.

Bagaimana memulai bergerak dalam arah ini

Jika Anda bertanggung jawab atas keamanan, semua ini dapat terdengar besar dan abstrak. Kabar baiknya adalah bahwa pergeseran dari reaktif ke proaktif biasanya dimulai dengan beberapa langkah yang berorientasi daripada transformasi besar.

Langkah pertama adalah untuk mendapatkan aliran data Anda dalam urutan. AI hanya berguna seperti sinyal yang dapat dilihat. Jika penyedia identitas, alat titik akhir, kontrol jaringan, dan platform cloud Anda semua mengirim log ke silo terpisah, setiap model akan memiliki titik buta dan penyerang akan memiliki tempat persembunyian. Berinvestasi dalam pandangan terpusat dari telemetri paling penting Anda jarang glamor, tetapi ini adalah fondasi yang membuat dukungan AI yang berarti memungkinkan.

Langkah kedua adalah untuk memilih kasus penggunaan tertentu daripada mencoba menyebarkan AI di mana-mana. Banyak tim memulai dengan analitik perilaku untuk akun pengguna, deteksi anomali di lingkungan cloud, atau deteksi email dan phishing yang lebih pintar. Tujuannya adalah untuk memilih area di mana Anda sudah tahu Anda memiliki risiko dan di mana pengenalan pola di seluruh set data besar dapat jelas membantu.

Langkah ketiga adalah untuk menghubungkan setiap alat yang didukung AI dengan set eksplisit pengawasan. Ini termasuk mendefinisikan apa yang dapat dilakukan model secara mandiri, apa yang harus selalu melibatkan manusia, dan bagaimana Anda akan mengukur apakah sistem itu jujur dan berguna dari waktu ke waktu. Di sini, pemikiran dalam kerangka kerja AI NIST dan panduan dari badan seperti CISA dapat menyelamatkan Anda dari mengarang semuanya sendiri.

Mengapa Keamanan AI Proaktif Tidak Bisa Menunggu

Serangan siber berubah menjadi sesuatu yang lebih dekat dengan kondisi latar belakang konstan daripada keadaan darurat yang jarang, dan penyerang sangat senang membiarkan kecerdasan buatan melakukan banyak pekerjaan berat untuk mereka. Biaya meningkat, titik masuk berkembang, dan peralatan di sisi penyerang menjadi lebih pintar setiap tahun. Model reaktif yang menunggu alert yang jelas dan kemudian terburu-buru tidak dibangun untuk dunia itu.

Posisi proaktif yang didorong AI kurang tentang mengejar tren yang mencolok dan lebih tentang melakukan pekerjaan yang tenang, tidak glamor, untuk mendapatkan data Anda dalam urutan, menambahkan wawasan berbasis perilaku, dan meletakkan pengawasan yang jelas di sekitar sistem AI baru sehingga mereka membantu pembela Anda bukan mengejutkan mereka. Celah antara penyerang dan pembela nyata, tetapi tidak tetap, dan pilihan yang Anda buat sekarang tentang bagaimana Anda menggunakan AI dalam tumpukan keamanan akan menentukan sisi mana yang bergerak lebih cepat selama beberapa tahun mendatang.

mm

Mirgen Hoxha adalah CEO dari Motomtech di mana ia memimpin tim yang merancang dan membangun produk perangkat lunak yang didorong oleh AI untuk klien di Amerika Utara dan Eropa. Ia bekerja di persimpangan antara strategi produk dan pembelajaran mesin terapan, membantu organisasi mengubah masalah dunia nyata menjadi solusi AI yang praktis.