Sekarang saatnya untuk mengubah pembicaraan di bidang keamanan siber.
Bukan juga Data-driven maupun Didorong oleh AI keamanan cyber, yang mungkin pernah Anda dengar sebelumnya – keduanya dan lebih banyak lagi, jauh lebih banyak lagi.
Ini didorong oleh korelasi keamanan cyberIni tentang korelasi berbagai deteksi, dari yang paling mendasar seperti NGFW hingga yang paling canggih seperti EDR berbasis AI, dari berbagai sumber data dalam satu platform yang kohesif.
Kami mendengar banyak tantangan keamanan dari calon pelanggan, pelanggan, dan mitra—mengapa? Karena itu adalah bagian dari apa yang manusia lakukan—berbagi rasa sakit! Seperti yang Anda ketahui atau tidak, penyerang memiliki akses ke alat yang sama seperti kita semua. Mereka memiliki akses ke teknologi Big Data dan AI untuk serangan yang lebih canggih.
Namun, dengan meningkatnya ancaman kompleks, kita semua sepakat – tidak mengherankan kita mendengar tema yang konsisten:
- Saya tidak memiliki cukup data untuk melakukan deteksi yang efektif, atau
- Sebaliknya, saya memiliki terlalu banyak data dan saya kewalahan
- Saya mendapatkan terlalu banyak gangguan dalam data atau terlalu banyak alarm palsu
- Saya baru-baru ini mencoba beberapa alat canggih yang menggunakan AI/ML untuk mengurangi kebisingan atau positif palsu, tetapi kecerdasan itu hanya khusus untuk setiap alat.
- Saya memiliki banyak alat independen yang tidak saling berkomunikasi dan menyebabkan jawaban yang terisolasi serta biaya yang tinggi
Apa yang dapat Anda lakukan terhadap serangan kompleks yang menggunakan tantangan ini untuk melawan Anda? Berikut adalah contoh sederhananya:
- CEO Anda menerima email dengan URL tertanam
- CEO Anda mengunduh file ke laptopnya dengan membuka URL
- CEO Anda mengakses server file pada jam 2 pagi di hari kerja
- Laptop CEO Anda mengirimkan banyak lalu lintas DNS
Masing-masing peristiwa ini mungkin terlihat normal jika berdiri sendiri. Jika Anda memiliki alat keamanan yang tepat, beberapa di antaranya menggunakan pembelajaran mesin seperti EDR dan UBA, Anda mungkin mengetahui bahwa:
- CEO Anda menerima PENGELABUAN email dengan tertanam JAHAT URL.
- CEO Anda mengunduh PERANGKAT LUNAK file ke laptopnya dengan membuka URL
- CEO Anda mengakses server file pada jam 2 pagi di hari kerja, PERILAKU ABNORMAL dalam istilah UBA
- Laptop CEO Anda mengirimkan banyak lalu lintas DNS melalui DNS TEROWONGAN
Itu adalah analisis independen yang sangat banyak oleh empat alat yang berbeda. Seberapa cepat dan mudah Anda dapat menghubungkan peristiwa-peristiwa ini untuk melacak pelanggaran ini, dan berapa banyak orang yang Anda perlukan untuk merangkum semuanya dengan melihat banyak layar yang berbeda?
Mari kita mundur sejenak dan bertanya pada diri kita sendiri bagaimana kita sampai di sini. Jelas ada tiga gelombang keamanan cyber, yang dibangun di atas satu sama lain: munculnya data, munculnya AI, dan munculnya korelasi.
1. Munculnya data—Meningkatkan jumlah data untuk mencapai visibilitas yang komprehensif.
Keamanan berbasis data adalah tema utama era Big Data di mana data adalah “emas” baru. Dimulai dengan log dan paket jaringan mentah, secara terpisah. Tujuan utama SIEMs adalah untuk mengumpulkan dan menggabungkan log dari berbagai alat dan aplikasi untuk kepatuhan, investigasi insiden, dan manajemen log. ArcSight, salah satu warisan SIEM alat, dirilis pada tahun 2000, adalah contoh khas dari SIEM dan sistem manajemen log. Paket mentah dikumpulkan dan disimpan apa adanya untuk forensik meskipun faktanya paket tersebut memerlukan banyak ruang penyimpanan dan sangat sulit untuk menyaring sejumlah besar paket ini untuk menemukan indikasi pelanggaran. Pada tahun 2006, NetWitness menemukan solusi untuk menganalisis paket mentah.
Dengan cepat, kami menyadari bahwa baik log mentah maupun paket mentah secara individual tidak cukup efektif dalam mendeteksi pelanggaran, dan paket mentah terlalu berat dan penggunaannya terbatas selain untuk forensik. Informasi yang diekstrak dari lalu lintas seperti Netflow/IPFix, yang secara tradisional digunakan untuk visibilitas jaringan dan pemantauan kinerja, mulai digunakan untuk keamanan. SIEMs juga mulai menyerap dan menyimpan Netflow/IPFix. Namun, karena masalah skalabilitas teknis dan biaya, SIEMs tidak pernah menjadi alat utama untuk analisis lalu lintas.
Seiring berjalannya waktu, semakin banyak data yang dikumpulkan: file, informasi pengguna, intelijen ancaman, dll. Sasaran pengumpulan data yang lebih banyak memang valid – mendapatkan visibilitas yang menyeluruh— tetapi tantangan utamanya, menanggapi serangan kritis, seperti mencari jarum dalam tumpukan jerami, terutama melalui pencarian manual atau aturan yang ditetapkan oleh manusia secara manual. Hal ini membutuhkan banyak tenaga kerja dan tidak efisien waktu.
Ada dua tantangan teknis yang dihadapi keamanan berbasis data: cara menyimpan data dalam jumlah besar dalam skala besar, yang memungkinkan pencarian dan analisis yang efisien, dan cara menangani berbagai macam data – terutama data yang tidak terstruktur – karena data dapat memiliki format apa pun. Basis data relasional tradisional yang berbasis SQL mengalami kedua masalah ini. Vendor sebelumnya berusaha keras untuk memecahkan masalah ini dengan banyak solusi buatan sendiri. Sayangnya, sebagian besar solusi tersebut tidak seefisien yang kita gunakan saat ini berdasarkan basis data NoSQL untuk kumpulan Big Data.
Ada satu tantangan lagi yang dihadapi keamanan berbasis data: arsitektur perangkat lunak untuk membangun sistem yang dapat diskalakan secara hemat biaya bagi pelanggan perusahaan. Arsitektur 3 tingkat yang umum dengan logika bisnis front-end dan tingkatan basis data menjadi rintangan besar. Arsitektur berbasis cloud saat ini, yang dibangun di atas arsitektur layanan mikro dengan kontainer, menyediakan solusi yang jauh lebih terukur dan hemat biaya.
2. Meningkatnya AI—Gunakan pembelajaran mesin dengan analisis data besar untuk membantu menemukan dan mengotomatiskan deteksi
Setelah Anda memiliki banyak data, apa yang akan Anda lakukan dengan data tersebut? Seperti yang disebutkan sebelumnya, dengan volume data yang besar, memilah-milahnya untuk mencari pola yang bermakna itu membosankan dan memakan waktu. Jika infrastruktur TI Anda entah bagaimana diretas, mungkin butuh waktu berhari-hari untuk menemukannya. Sudah terlambat karena kerusakan sudah terjadi, atau data sensitif sudah dicuri. Dalam kasus ini, terlalu banyak data menjadi masalah. Untungnya, kita telah melihat munculnya pembelajaran mesin berkat kemajuan algoritma pembelajaran mesin serta daya komputasi.
Mesin sangat ahli dalam melakukan pekerjaan yang berulang dan membosankan dengan sangat cepat, sangat efisien, dan tanpa lelah 24×7. Ketika mesin dilengkapi dengan kecerdasan seperti kemampuan belajar, mereka membantu manusia untuk berkembang. Banyak peneliti dan vendor di bidang keamanan mulai memanfaatkan AI untuk memecahkan masalah, untuk membantu mereka menemukan jarum tersebut, atau untuk melihat tren yang tersembunyi di dalam kumpulan data besar. Dengan demikian, munculnya Keamanan berbasis AITerdapat banyak inovasi di bidang ini. Misalnya, terdapat banyak perusahaan Endpoint Detection and Response (EDR) yang menggunakan AI untuk mengatasi masalah keamanan endpoint; banyak perusahaan User and Entity Behavior Analysis (UEBA) perusahaan yang menggunakan AI untuk mengatasi ancaman internal, dan banyak lagi Analisis Lalu Lintas Jaringan (NTA) perusahaan menggunakan AI untuk menemukan hal-hal yang tidak normal lalu lintas jaringan pola.
Jika data adalah emas baru, pelanggaran yang dideteksi melalui AI ibarat perhiasan yang terbuat dari emas. Diperlukan banyak waktu, kesabaran, dan kerja keras untuk membuat perhiasan cantik dengan tangan dari emas biasa. Dengan bantuan mesin, terutama mesin canggih, produksi komersial perhiasan hebat menjadi mungkin.
Di permukaan, dengan Keamanan berbasis AIDengan banyaknya data, masalah menjadi berkurang karena ML biasanya membutuhkan banyak data untuk melatih model dan mempelajari pola. Sebaliknya, data yang tidak cukup jelas menjadi masalah karena semakin sedikit data, semakin kurang akurat dan dengan demikian semakin kurang bermanfaat model ML tersebut. Namun, seiring berjalannya waktu, para peneliti secara bertahap menyadari bahwa data yang tepat jauh lebih penting. Terlalu banyak data tanpa informasi yang tepat hanyalah pemborosan daya komputasi untuk ML dan juga pemborosan penyimpanan pada saat yang bersamaan. Banyak penelitian sebelumnya... UEBA vendor dengan solusi berbasis log dari SIEM alat mempelajari pelajaran pahit ini. SIEM Mungkin telah mengumpulkan banyak log, tetapi hanya sedikit di antaranya yang berisi informasi yang tepat terkait perilaku pengguna. Jadi, meskipun keamanan berbasis data membangun fondasi yang bagus untuk Keamanan berbasis AI, untuk membangun sistem yang terukur dan akurat Keamanan berbasis AI, data yang tepat jauh lebih penting.
Penggunaan AI jelas membantu mengurangi kesulitan yang terkait dengan Big Data, tetapi juga memiliki tantangan tersendiri. Misalnya, baik UEBA dan NTA memanfaatkan pembelajaran mesin tanpa pengawasan untuk analisis perilaku. Namun, perilaku abnormal yang diamati pada pengguna atau dari lalu lintas jaringan tidak selalu berarti insiden keamanan. Alat-alat ini dapat menimbulkan banyak gangguan, yang menyebabkan kelelahan karena peringatan. Lebih jauh lagi, peretasan cerdas biasanya melewati beberapa tahap rantai pemusnahan sebelum dapat tertangkap. Bagaimana Anda dapat memulihkan jejak pelanggaran dan memperbaiki akar penyebabnya?
Ada tantangan besar lainnya yang dihadapi Keamanan berbasis AI secara kolektif: biaya – biaya modal dari alat itu sendiri, biaya infrastruktur komputasi dan penyimpanan yang digunakan oleh alat-alat ini, dan biaya operasi dari begitu banyak alat yang berbeda dalam silo-silo mereka dengan layar yang berbeda-beda.
Jadi, meskipun setiap alat memiliki kemampuan untuk menyaring gigabita atau terabita data menjadi daftar pendek berisi beberapa deteksi penting, pertanyaannya tetap, "Apa yang terlewatkan jika Anda tidak menggabungkan alat-alat ini ke dalam satu platform dan mengorelasikan deteksi di semua alat dan umpan?"
3. Meningkatnya Korelasi—Korelasikan deteksi dan otomatisasi respons di seluruh permukaan serangan dalam satu platform
Dengan gelombang baru ini, percakapan beralih dari data dan AI ke korelasi. Jelas, gelombang ini dibangun di atas dua gelombang sebelumnya. Namun, ini semua tentang melampaui data serta alat, dan ini tentang menyatukan semuanya dalam satu platform. Mengikuti analogi emas dan perhiasan awal kita, ini tentang mencocokkan satu set perhiasan yang tepat dan memasangnya pada seseorang agar terlihat bagus secara keseluruhan.
Analis keamanan dari ESG, Gartner, Forrester, IDC dan omdia semua sepakat bahwa perubahan pola pikir dari perangkat yang terisolasi ke platform yang terkonsolidasi ini adalah kunci untuk membantu kita melihat dan menanggapi pelanggaran kritis. Secara khusus, platform perlu mengambil pendekatan holistik dan melihat korelasi deteksi di seluruh jaringan, cloud, titik akhir, dan aplikasi – seluruh permukaan serangan.
Tujuan utama korelasi deteksi di seluruh alat, umpan, dan lingkungan adalah untuk meningkatkan akurasi deteksi, mendeteksi serangan kompleks dengan menggabungkan sinyal yang lebih lemah dari beberapa alat untuk menemukan serangan yang mungkin diabaikan, dan meningkatkan efisiensi dan produktivitas operasional. Visibilitas komprehensif tidak lagi berarti menemukan data yang tepat—melainkan, ini berarti menemukan serangan kompleks.
Untuk melakukan hal ini, Anda harus mempertimbangkan Open XDR. XDR adalah solusi operasi keamanan yang kohesif dengan integrasi ketat berbagai aplikasi keamanan dalam satu platform dengan satu panel kaca. Platform ini secara otomatis mengumpulkan dan menghubungkan data dari berbagai alat, meningkatkan deteksi, dan menyediakan respons otomatis. Platform yang menggabungkan alat dan aplikasi secara alami menekan biaya, baik dalam biaya alat maupun biaya infrastruktur, sekaligus meningkatkan efisiensi operasional dengan satu panel kaca yang mudah digunakan.
Kami berpendapat ada lima persyaratan dasar utama dari XDR:
- Sentralisasi data yang dinormalisasi dan diperkaya dari berbagai sumber data termasuk log, lalu lintas jaringan, aplikasi, cloud, Threat Intelligence, dll.
- Deteksi otomatis peristiwa keamanan dari data yang dikumpulkan melalui analitik tingkat lanjut seperti NTA, UBA dan EBA.
- Korelasi peristiwa keamanan individual ke dalam pandangan tingkat tinggi.
- Kemampuan respons terpusat yang berinteraksi dengan produk keamanan individual.
- Arsitektur layanan mikro berbasis cloud untuk fleksibilitas penerapan, skalabilitas, dan ketersediaan tinggi.
Kesimpulannya, Stellar Cyber adalah satu-satunya yang dirancang khusus untuk tujuan tersebut. Open XDR platform yang menyerap dan mengkurasi semua keamanan cyber data untuk mendeteksi, mengkorelasikan, dan merespons di seluruh rantai pemusnahan. Gelombang korelasi telah dimulai, dan Anda dipersilakan untuk ikut bersama kami menikmati perjalanan bersama!
SIEMs – JANJI KOSONG?
SIEMTeknologi telah menjadi dasar operasi keamanan selama beberapa dekade, dan hal itu harus diakui. Namun, SIEMMereka telah membuat banyak janji besar, dan hingga hari ini, belum banyak yang terpenuhi…
