Studi Kasus Penggunaan AI Agenik di Dunia Nyata dalam Keamanan Siber
Para pemimpin keamanan di pasar menengah menghadapi penyerang kelas perusahaan dengan sebagian kecil staf dan anggaran. Banyaknya perangkat lunak yang digunakan, telemetri yang berisik, dan pembaruan produk yang terus-menerus menciptakan tumpukan teknologi yang rapuh dan sudah beroperasi secara intensif bahkan sebelum insiden kritis pertama terjadi. AI berbasis agen hadir dalam konteks ini, bukan di laboratorium.
Survei menunjukkan bahwa sekitar 18 persen organisasi pasar menengah melaporkan pelanggaran keamanan dalam setahun terakhir, dengan ransomware menyerang sekitar seperempat dari perusahaan tersebut. Di Inggris, 45 persen bisnis menengah mengalami kejahatan siber dalam 12 bulan terakhir, dengan phishing masih menjadi titik masuk utama. Biaya pelanggaran keamanan untuk perusahaan menengah sekarang rata-rata sekitar 3.5 juta dolar per insiden. Bagi kelompok TI dan keamanan yang ramping, satu kesalahan dapat menghabiskan anggaran selama setahun.
Anda dapat melihat tekanan ini dalam insiden-insiden baru-baru ini. Serangan ransomware Change Healthcare pada tahun 2024 mengganggu penagihan layanan kesehatan AS secara nasional dan diproyeksikan akan menelan biaya lebih dari 2.3 miliar dolar bagi perusahaan induknya, UnitedHealth, untuk respons dan pemulihan, di samping pembayaran tebusan sebesar 22 juta dolar. MGM Resorts melaporkan dampak lebih dari 100 juta dolar dari serangan tahun 2023 setelah rekayasa sosial pada help desk menyebabkan ransomware di seluruh domain. Pelanggaran data publik nasional berpotensi mengungkap 2.9 miliar catatan pada tahun 2024, yang menggarisbawahi bagaimana satu pelanggaran dapat meluas jauh melampaui satu perusahaan.
Bagaimana AI dan Pembelajaran Mesin Meningkatkan Keamanan Siber Perusahaan
Menghubungkan Semua Titik dalam Lanskap Ancaman yang Kompleks
Rasakan Keamanan Bertenaga AI dalam Aksi!
Temukan AI canggih Stellar Cyber untuk deteksi dan respons ancaman instan. Jadwalkan demo Anda hari ini!
Bagan batang di atas menyoroti tiga fakta sederhana. Pelanggaran keamanan terhadap organisasi menengah adalah hal yang umum, kejahatan siber terhadap bisnis menengah tetap tinggi, dan satu pelanggaran saja dapat menghapus investasi keamanan selama bertahun-tahun. Bagi seorang CISO yang tidak dapat begitu saja menambah lima puluh analis, otomatisasi yang lebih cerdas bukan lagi pilihan.
Bagi banyak tim, kendala sebenarnya adalah perhatian manusia, bukan alat. Contoh tipikalnya adalah... SIEM or XDR Platform ini akan menampilkan ribuan peringatan per hari, namun analis hanya dapat menyelidiki sebagian kecil saja secara bermakna. Studi tentang AI SOC Implementasi menunjukkan bahwa tim sering kali harus mengurangi beban kerja penanganan peringatan analis sebesar 70 hingga 80 persen untuk mendapatkan kembali kendali atas operasi. Tanpa perubahan tersebut, sinyal-sinyal penting tetap terpendam. Panduan seperti platform deteksi ancaman teratas menjelaskan bagaimana banjir peringatan ini berkembang dari waktu ke waktu.
Serangan berbasis identitas memperburuk situasi. Verizon dan studi lainnya memperkirakan bahwa sekitar 70 persen pelanggaran keamanan saat ini dimulai dengan kredensial yang dicuri atau disalahgunakan. Kampanye Salt Typhoon terhadap penyedia telekomunikasi AS tetap tidak terdeteksi selama satu hingga dua tahun sementara para penyerang menggunakan teknik "living off the land" dan akun yang valid untuk bergerak secara lateral di seluruh jaringan. Pelanggaran keamanan Snowflake pada tahun 2024 memengaruhi setidaknya 165 organisasi yang menggunakan kredensial curian tanpa perlindungan multi-faktor. Insiden-insiden ini selaras langsung dengan teknik MITRE ATT&CK untuk akses awal, akses kredensial, pergerakan lateral, dan eksfiltrasi, serta mengungkap celah yang tidak terdeteksi oleh aturan peringatan tradisional.
Adopsi cloud meningkatkan kerentanan tersebut. Insiden Change Healthcare menunjukkan bagaimana satu titik akses jarak jauh yang tidak terlindungi dalam lingkungan yang terhubung ke cloud dapat menghentikan layanan nasional yang penting. Penelitian deteksi dan respons cloud mendokumentasikan bahwa kesalahan konfigurasi, peran yang terlalu permisif, dan akun layanan yang tidak diawasi mendorong sebagian besar pelanggaran cloud modern. Lebih dari setengah perusahaan melaporkan insiden keamanan cloud yang signifikan terkait dengan kesenjangan visibilitas dan penyimpangan konfigurasi. Sumber daya seperti panduan deteksi dan respons cloud menggali pola-pola ini secara lebih mendalam.
Pada saat yang sama, tekanan regulasi terus meningkat. Perusahaan menengah harus menunjukkan kontrol yang selaras dengan kerangka kerja seperti NIST SP 800-207 untuk Arsitektur Zero Trust, sekaligus memetakan deteksi dan cakupan ke MITRE ATT&CK untuk bukti operasional. Dewan direksi sekarang mengajukan pertanyaan lugas: Taktik ATT&CK mana yang tercakup dan mana yang masih kurang? Seberapa cepat identitas berisiko tinggi diisolasi setelah dugaan pelanggaran keamanan? Analisis cakupan yang selaras dengan MITRE ATT&CK, seperti yang dijelaskan dalam materi Stellar Cyber sendiri, ada karena auditor dan perusahaan asuransi mengharapkan jawaban kuantitatif.
Dengan latar belakang tersebut, otomatisasi playbook sederhana memang membantu, tetapi itu tidak cukup. Otomatisasi tersebut hanya menyelesaikan tugas-tugas individual. Ia tidak menjalankan investigasi kompleks, melakukan korelasi antar domain, atau beradaptasi seiring perubahan taktik penyerang. Di sinilah AI berbasis agen berperan. AI berbasis agen SOC Panduan-panduan tersebut menggambarkan pergeseran ini sebagai perpindahan dari skrip yang dipicu oleh manusia ke analis digital yang otonom dan berorientasi pada tujuan.
Dari skrip hingga AI agen dalam operasi keamanan
Sebelum membahas kasus penggunaan keamanan AI berbasis agen secara spesifik, kita perlu membedakan dengan jelas antara otomatisasi klasik dan alur kerja yang benar-benar berbasis agen. Banyak CISO kecewa dengan alat yang menjanjikan otonomi tetapi hanya menawarkan panduan operasional yang rapuh. Definisi yang jelas mencegah gelombang kelelahan akibat terlalu banyak janji yang berlebihan.
Otomatisasi sederhana menjalankan serangkaian langkah tetap ketika pemicu yang diketahui terjadi. A SIEM Saat aturan dijalankan, playbook SOAR mengumpulkan beberapa konteks, mungkin memblokir IP atau menonaktifkan akun. Berguna, tetapi statis. Jika input tidak sesuai dengan pola yang diharapkan, otomatisasi akan macet atau gagal tanpa pemberitahuan. Analis manusia tetap bertanggung jawab untuk membangun narasi dan membuat sebagian besar keputusan.
AI berbasis agen beroperasi secara berbeda. AI ini terdiri dari agen AI yang dapat merencanakan, bertindak, dan beradaptasi di seluruh alur kerja multi-langkah. Dengan tujuan seperti "selidiki kemungkinan pencurian kredensial ini," agen memutuskan sumber data mana yang akan diakses selanjutnya, teknik MITRE ATT&CK mana yang dapat diterapkan, bukti tambahan apa yang dibutuhkan, dan opsi respons mana yang paling sesuai dengan kebijakan dan selera risiko. Mereka dapat membaca data mentah, memanggil API, memperbarui tiket, dan memanggil agen lain dalam sebuah rantai.
Otomatisasi sederhana dibandingkan dengan alur kerja berbasis agen dan analis manusia.
Perbandingan ini mencerminkan apa yang kita lihat dalam praktik. Otomatisasi sederhana menghilangkan beberapa penekanan tombol yang berulang, tetapi masih mengharapkan seorang analis untuk menyusun gambaran lengkap. Analis manusia memiliki penilaian, tetapi hanya memiliki waktu terbatas. Alur kerja AI yang bertindak sebagai agen berada di tengah-tengah: mereka bertindak seperti analis junior yang tak kenal lelah yang dapat menjalankan seluruh investigasi sendiri, kemudian meningkatkan kasus yang terstruktur dengan baik dengan bukti, pemetaan ATT&CK, dan respons yang direkomendasikan.
Jika Anda membaca yang terbaru AI SOC panduan arsitekturAnda akan melihat pola umum. AI berbasis agen tidak menggantikan SIEM or XDRSistem ini berada di atas mereka, mengatur data, mengkorelasikan peringatan, dan menjalankan investigasi berkelanjutan. Perbedaan ini penting untuk perencanaan anggaran dan untuk menjelaskan strategi kepada dewan direksi Anda.
Kasus penggunaan keamanan AI berbasis agen inti yang paling penting.
Deteksi dan pencegahan ancaman lintas domain
Serangan paling serius saat ini mencakup titik akhir, jaringan, cloud, email, dan identitas. Alat tradisional hanya melihat sebagian kecil dari keseluruhan cerita. Kegagalan login admin di sini, anomali DNS di sana, mungkin panggilan API S3 yang tidak biasa. Tidak ada satu sistem pun yang memiliki konteks yang cukup untuk menyatakan suatu insiden dengan yakin.
Pelanggaran data publik nasional, Salt Typhoon, dan Snowflake semuanya menunjukkan fragmentasi ini. Penyerang menggabungkan pencurian kredensial, teknik "living off the land", dan akses cloud untuk secara diam-diam menyiapkan dan mengeksfiltrasi kumpulan data besar. Setiap langkahnya sendiri tampak hampir normal. Hanya pandangan lintas domain terhadap perilaku yang mengungkapkan polanya.
AI berbasis agen dalam operasi keamanan mengatasi hal ini dengan menugaskan agen yang berbeda untuk fokus pada bidang data tertentu: satu memantau aliran jaringan, yang lain log EDR titik akhir, yang lain peristiwa audit cloud, dan yang lain telemetri identitas dan akses. Agen korelasi kemudian menyusun hubungan antar entitas, memetakan tindakan ke teknik ATT&CK, dan membangun garis waktu rantai serangan yang menunjukkan bagaimana proses mencurigakan pada titik akhir terhubung ke titik perubahan identitas yang tidak biasa di Azure dan kueri basis data yang aneh di Snowflake.
Hal ini secara langsung mendukung ambisi Zero Trust dari NIST SP 800-207. Dokumen tersebut menekankan verifikasi berkelanjutan dan penegakan kebijakan yang peka terhadap konteks, bukan kepercayaan implisit berdasarkan lokasi jaringan. Agen deteksi berbasis agensi menyediakan penilaian perilaku berkelanjutan yang dibutuhkan mesin kebijakan untuk membuat keputusan yang lebih tepat mengenai izin, tantangan, atau penolakan secara real-time.
Sumber daya yang menjelaskan XDR Pendekatan Kill Chain Jelaskan bagaimana analitik yang selaras dengan kill chain membantu tim melihat serangan multi-tahap lebih awal dan dengan cara yang lebih terstruktur. Agentic AI pada dasarnya mengotomatiskan interpretasi kill chain di seluruh telemetri Anda.
Alur kerja investigasi dan respons insiden otomatis
Investigasi, bukan deteksi, sering kali mendominasi waktu analis. Setelah peringatan tingkat keparahan tinggi, seseorang harus mengkonsolidasikan bukti, memeriksa entitas serupa, berkonsultasi dengan intelijen ancaman, dan menyusun rencana respons. Untuk insiden kompleks seperti Change Healthcare atau MGM, langkah-langkah ini memakan waktu berhari-hari. Selama waktu itu, sistem tetap mengalami penurunan kinerja, dan para eksekutif kurang memiliki kejelasan.
Sistem AI berbasis agen mengubah pola ini dengan menjalankan investigasi ujung-ke-ujung secara otonom. Ketika sinyal awal melampaui ambang risiko tertentu, agen analisis kasus mengumpulkan semua peringatan dan telemetri terkait, mengidentifikasi entitas yang terpengaruh, dan merangkum kemungkinan penyebab utama beserta taktik ATT&CK yang terlibat. Agen lain memeriksa penyebaran: aktivitas serupa pada host yang terkait, penggunaan kredensial yang sama oleh pihak lain, koneksi ke infrastruktur berbahaya yang dikenal dari umpan intelijen ancaman.
Setelah bukti yang cukup tersedia, agen yang berorientasi pada respons akan mengusulkan opsi yang sesuai dengan kebijakan. Misalnya, mengisolasi host, menonaktifkan token, memindahkan pengguna ke grup terbatas, atau menerapkan otentikasi bertahap. Dalam implementasi yang lebih matang, agen dapat mengeksekusi tindakan respons yang terkendali secara langsung untuk pola yang terdefinisi dengan baik, sementara situasi yang ambigu akan dialihkan ke analis manusia. Model "manusia dalam lingkaran" ini mencerminkan praktik terbaik keamanan dan harapan regulasi saat ini.
Rilis Stellar Cyber versi 6.2, misalnya, menyoroti bagaimana analisis kasus berbasis agen dan pembuatan narasi otomatis dapat mengurangi waktu pemahaman dari berhari-hari menjadi hitungan menit. Prinsip serupa berlaku di seluruh pasar, terutama di bidang-bidang tertentu. deteksi, investigasi, dan respons terhadap ancaman Platform-platform tersebut berada di pusat operasi.
SOC Triage dan prioritas peringatan untuk tim lean
Kelelahan akibat kewaspadaan tetap menjadi mungkin yang paling menyakitkan. SOC Masalahnya, banyak tim di pasar menengah masih membuka setiap peringatan penting atau kritis secara manual, hanya untuk menemukan false positive yang berisik atau konteks yang tidak lengkap. Analis kelelahan, dan serangan nyata lolos pada pukul 2 pagi.
Laporan insiden modern menekankan kesenjangan ini. Serangan phishing berbasis AI meningkat lebih dari 700 persen antara tahun 2024 dan 2025, sementara insiden ransomware meningkat lebih dari 100 persen pada periode yang sama. Tidak ada tim manusia yang dapat secara manual mengklasifikasikan setiap email mencurigakan, baris log, dan anomali titik akhir yang dihasilkan oleh kampanye ini.
Agen triase Agentic terus-menerus mengevaluasi peringatan baru saat tiba, tidak hanya berdasarkan tingkat keparahan aturan, tetapi juga berdasarkan konteks: kekritisan entitas, radius dampak, perilaku masa lalu, kampanye saat ini, dan kombinasi teknik ATT&CK. Peringatan konteks rendah tentang aset bernilai rendah dapat ditutup secara otomatis setelah pemeriksaan cepat. Kombinasi berisiko tinggi, seperti akun istimewa yang masuk dari wilayah geografis baru sambil membuat kunci cloud baru, langsung dipromosikan dan diselidiki secara menyeluruh.
Laporan implementasi di dunia nyata menunjukkan bahwa sistem tersebut dapat mengkompres ribuan peringatan mentah menjadi ratusan kasus per hari, seringkali mengurangi volume triase manual analis hingga sepuluh kali lipat sekaligus meningkatkan kualitas deteksi. Hal ini membebaskan staf senior untuk fokus pada perburuan ancaman, purple teaming, dan pengerasan arsitektur. agen SOC Gambaran umum platform menjelaskan beberapa pola triase ini secara lebih mendalam.
Manajemen keamanan cloud dan perbaikan kesalahan konfigurasi
Kesalahan konfigurasi cloud tetap menjadi penyebab utama pelanggaran keamanan. Bucket publik, peran yang diberikan secara berlebihan, lingkungan pengujian yang terlupakan, dan akun layanan yang sudah usang menciptakan permukaan target yang mudah diserang. Insiden Snowflake dan Change Healthcare sama-sama menyoroti risiko kelemahan kredensial dan konfigurasi dalam sistem yang terhubung ke cloud.
Alat manajemen postur keamanan cloud tradisional mengidentifikasi masalah, tetapi seringkali memberikan daftar statis yang besar kepada tim keamanan. Memperbaikinya dalam skala besar membutuhkan koordinasi di seluruh tim DevOps, pemilik aplikasi, dan staf kepatuhan. Dalam praktiknya, banyak temuan yang berlarut-larut selama berbulan-bulan.
Agentic AI menghadirkan pemantauan berkelanjutan dan berbasis konteks untuk manajemen keamanan cloud. Agen khusus memantau pergeseran konfigurasi, perubahan identitas, dan perilaku beban kerja terhadap garis dasar. Ketika sebuah bucket S3 tiba-tiba menjadi publik atau akun layanan memperoleh peran baru yang lebih kuat, agen dapat segera menandai perubahan tersebut, menilai tingkat kepentingan bisnis, dan mengusulkan atau menjalankan perbaikan yang aman seperti mengembalikan ke kebijakan sebelumnya atau melampirkan templat yang sudah teruji dan berfungsi dengan baik.
Untuk kunci KMS, kebijakan IAM, atau kluster Kubernetes, agen dapat mensimulasikan perubahan yang diusulkan sebelum menerapkannya, memeriksa risiko kerusakan. Ketika dikombinasikan dengan definisi kebijakan yang berakar pada prinsip Zero Trust NIST SP 800-207, ini menciptakan lingkaran umpan balik di mana postur cloud tetap jauh lebih dekat dengan tujuan desain. Tim pasar menengah yang tidak dapat membentuk tim keamanan cloud khusus mendapatkan kekuatan penegakan yang praktis.
The Gambaran umum deteksi dan respons awan Menjelaskan lebih dalam bagaimana analitik berkelanjutan di seluruh bidang kontrol dan bidang data cloud mengungkap rantai serangan yang terlewatkan oleh pemindai statis. Alur kerja agenik berada di atas visibilitas tersebut untuk mengubah temuan menjadi tindakan.
Tata kelola identitas dan akses dengan deteksi penyalahgunaan hak akses.
Identitas telah menjadi perimeter baru. Serangan MGM, kebocoran kredensial besar-besaran pada tahun 2025, dan insiden Snowflake semuanya melibatkan penyerang yang menggunakan kredensial valid, bukan malware yang jelas terlihat. Studi ancaman dari dalam menunjukkan bahwa hampir 60 persen pelanggaran sekarang melibatkan orang dalam atau akun yang diretas.
Proses tata kelola identitas dan akses klasik sering kali dijalankan setiap triwulan atau tahunan. Tinjauan hak akses, penggalian peran, dan audit hak istimewa ad hoc memang membantu, tetapi tidak banyak berpengaruh terhadap penyerang yang menyalahgunakan satu akun selama sembilan hari berturut-turut. Kampanye Salt Typhoon tahun 2024 menunjukkan persis masalah ini, yaitu mempertahankan akses jangka panjang di dalam jaringan telekomunikasi dengan kredensial yang tampak sah.
Agentic AI mendukung tata kelola identitas dan akses dengan dua cara. Pertama, agen analitik perilaku berkelanjutan memantau bagaimana setiap identitas biasanya bekerja: aplikasi mana yang diaksesnya, volume data tipikal, wilayah geografis yang biasa, dan waktu normal dalam sehari. Jika sebuah akun tiba-tiba menarik data berukuran gigabyte pada pukul 3 pagi dari wilayah baru, agen dapat menandai atau bahkan menangguhkan sesi tersebut, terlepas dari apakah MFA digunakan atau tidak.
Kedua, agen yang berfokus pada tata kelola memindai grafik hak akses untuk menemukan kombinasi peran yang berbahaya, akun yang tidak terpakai, dan hak akses yang berlebihan, serta memberikan rekomendasi yang diprioritaskan dan kaya konteks kepada pemilik untuk menghilangkan risiko. Kasus seperti pelanggaran data MGM, di mana rekayasa sosial menghasilkan akses administratif, menggambarkan mengapa tinjauan hak akses semacam itu harus berkelanjutan, bukan episodik.
modern deteksi dan respons ancaman identitas Materi ini menguraikan bagaimana hal ini memadukan IAM klasik dengan rekayasa deteksi untuk teknik ATT&CK seperti Akun Valid, Peningkatan Hak Akses, dan Pergerakan Lateral. Sistem berbasis agen mengotomatiskan sebagian besar rekayasa dan pemantauan sehari-hari tersebut.
Pemeriksaan kepatuhan berkelanjutan dan penegakan kebijakan.
Kepatuhan bagi organisasi pasar menengah selalu membutuhkan banyak sumber daya. PCI DSS, HIPAA, GDPR, mandat khusus sektor, dan sekarang perintah eksekutif seputar keamanan rantai pasokan perangkat lunak semuanya memerlukan bukti berkelanjutan. Namun, banyak perusahaan masih memperlakukan kepatuhan sebagai kesibukan triwulanan berupa spreadsheet dan tangkapan layar.
NIST SP 800-207 mendefinisikan Zero Trust sebagai proses berkelanjutan yang harus beradaptasi dengan perubahan aset, ancaman, dan perilaku pengguna. Alat analisis cakupan yang digerakkan oleh MITRE ATT&CK menunjukkan di mana kontrol selaras dengan teknik musuh yang sebenarnya, menyoroti titik buta. Kedua kerangka kerja tersebut secara implisit menyerukan otomatisasi dan validasi berkelanjutan. Manusia saja tidak dapat mengimbanginya.
AI berbasis agen sangat sesuai dengan persyaratan ini. Agen kebijakan dapat mengkodekan aturan seperti "semua identitas istimewa harus memerlukan MFA yang tahan terhadap phishing" atau "tidak ada unit bisnis yang boleh mengekspos basis data langsung ke internet." Agen lain kemudian terus-menerus memeriksa telemetri, status konfigurasi, dan catatan identitas yang relevan terhadap kebijakan tersebut, membuka atau memperbarui temuan ketika pelanggaran muncul.
Hal ini menggeser kepatuhan dari pernyataan sesaat menuju bukti yang terus diperbarui. Bagi seorang arsitek keamanan yang melakukan presentasi di hadapan dewan direksi, menunjukkan peta panas cakupan ATT&CK yang dihasilkan setiap hari, ditambah dengan skor kepatuhan kebijakan otomatis, memiliki bobot yang jauh lebih besar daripada penilaian usang yang dilakukan setahun sekali. Bahan penganalisis cakupan MITRE ATT&CK Mengilustrasikan bagaimana visualisasi tersebut mendukung negosiasi keamanan dan asuransi.
Perburuan ancaman otonom menggunakan data lintas domain
Sebagian besar tim di pasar menengah bercita-cita untuk melakukan perburuan ancaman. Sangat sedikit yang mampu mempertahankannya. Analis hampir tidak mampu mengimbangi peringatan yang masuk; perburuan terstruktur terabaikan. Namun, pelanggaran keamanan baru-baru ini, dari Salt Typhoon hingga Change Healthcare, mengungkapkan bahwa perburuan proaktif mungkin telah mendeteksi anomali jauh sebelum dampak penuhnya terjadi.
Agen perburuan ancaman AI Agentic membalikkan persamaan ini. Alih-alih menunggu peringatan, mereka menghasilkan dan menguji hipotesis berdasarkan teknik ATT&CK dan intelijen ancaman. Misalnya, sebuah agen dapat mencari tanda-tanda kebocoran kredensial atau penggunaan alat administrasi jarak jauh yang tidak biasa di semua titik akhir, kemudian beralih ke log jaringan dan jejak audit cloud.
Karena agen dapat berjalan terus menerus dan dengan kecepatan mesin, mereka mengeksplorasi lebih banyak hipotesis daripada tim manusia mana pun. Ketika mereka menemukan pola yang mencurigakan, mereka membuka kasus dengan konteks yang sudah siap, memetakan teknik yang dicurigai, entitas yang terlibat, dan langkah selanjutnya yang disarankan. Seiring waktu, umpan balik analis melatih agen-agen ini tentang pencarian mana yang menghasilkan nilai, dan menyempurnakan upaya di masa mendatang.
The Gambaran umum intelijen ancaman siber Menjelaskan bagaimana pemetaan ATT&CK terstruktur memungkinkan perburuan sistematis di seluruh siklus hidup serangan. Sistem Agentic secara otomatis mengotomatiskan pendekatan terstruktur tersebut dan mengintegrasikannya ke dalam tumpukan telemetri yang sudah ada.
Pola arsitektur yang menggabungkan AI agenik dengan XDR ke SIEM
Bahkan solusi keamanan AI berbasis agen terbaik pun akan gagal jika diterapkan secara sembarangan. Bagi seorang CISO yang memimpin organisasi pasar menengah, pertanyaan kuncinya bukan hanya "apa yang dapat dilakukan agen," tetapi "bagaimana mereka terintegrasi dengan sistem saya saat ini?" SIEM, XDR, dan investasi hiperotomatisasi tanpa meningkatkan risiko atau anggaran secara drastis?”
Sebagian besar desain yang sukses memiliki beberapa ciri. Pertama, mereka memperlakukan Open XDR atau infrastruktur data serupa sebagai dasarnya. Lapisan tersebut menormalisasi telemetri di seluruh titik akhir, jaringan, cloud, identitas, dan aplikasi SaaS. Agen AI Agentic kemudian mengonsumsi aliran data yang telah dinormalisasi ini daripada mencoba berintegrasi secara terpisah dengan setiap alat. Hal ini mengurangi risiko integrasi dan membuat proses pengenalan sumber data baru menjadi mudah.
Kedua, mereka berintegrasi dengan SIEM daripada menggantinya secara langsung. Warisan SIEMmasih menangani pencatatan kepatuhan, penyimpanan jangka panjang, dan beberapa korelasi. AI agen dan modern XDR Platform-platform tersebut berada di sampingnya, mengambil alih deteksi waktu nyata, korelasi multi-domain, dan orkestrasi respons. Banyak organisasi memulai dengan mencerminkan log ke dalam sebuah Open XDR platform, membiarkan agen mengoperasikan salinan tersebut sebelum mempertimbangkan ulang SIEM siklus pembaruan.
Ketiga, tindakan respons dihubungkan melalui tumpukan hiperotomasi yang ada dan platform SOAR. Alih-alih melewati praktik kontrol perubahan yang sudah mapan, agen AI yang bertindak sendiri memanggil buku panduan dan alur kerja yang telah disetujui, hanya dengan pemicu yang lebih cerdas dan konteks yang lebih kaya. Hal ini selaras dengan prinsip tata kelola dalam NIST SP 800-207, yang menekankan kontrol berbasis kebijakan atas akses jaringan dan sumber daya.
Pada akhirnya, pengawasan manusia tetap menjadi hal yang utama. Siaran pers tentang manusia yang ditingkatkan secara otonom SOCs Menekankan bahwa agen melakukan triase, korelasi, dan pengajuan proposal, sementara manusia memvalidasi tindakan berdampak tinggi dan menyesuaikan strategi. Model ini memenuhi ekspektasi budaya keamanan dan persyaratan tata kelola AI yang sedang berkembang.
Bagi para pemimpin yang merencanakan transisi ini, AI tingkat tinggi sangat penting. SOC referensi seperti AI SOC panduan arsitektur ke AI terbaik SOC Gambaran umum platform. Berikan kriteria evaluasi praktis. Perhatikan secara khusus bagaimana setiap platform memetakan deteksi ke MITRE ATT&CK, mengekspos konteks yang relevan dengan Zero Trust, dan mengukur pengurangan beban kerja analis dalam angka nyata.
Jalur adopsi praktis untuk CISO di pasar menengah.
Meskipun nilainya jelas, mengadopsi AI berbasis agen dapat terasa berisiko. Kekhawatiran berkisar dari kesalahan positif yang mengganggu bisnis hingga sistem AI yang bertindak di luar kebijakan. Kekhawatiran tersebut valid, terutama di industri yang diatur atau lingkungan dengan aplikasi lama yang rapuh. Jawabannya terletak pada penerapan bertahap dengan pengamanan yang jelas.
Pendekatan pragmatis dimulai dengan penerapan hanya baca yang berfokus pada visibilitas dan triase. Aktifkan agen untuk menilai peringatan, membangun kasus, dan mengusulkan respons, tetapi perlukan persetujuan manusia untuk setiap tindakan yang mengubah sistem. Ukur perubahan dalam waktu rata-rata untuk mendeteksi, waktu rata-rata untuk merespons, dan waktu analis yang dihabiskan per kasus. Jika Anda tidak melihat peningkatan yang signifikan dalam beberapa bulan, sesuaikan konfigurasi atau pertimbangkan kembali vendor.
Selanjutnya, identifikasi domain yang sempit, bervolume tinggi tetapi berisiko rendah untuk otonomi parsial, seperti remediasi email phishing atau isolasi titik akhir laboratorium yang tidak kritis. Banyak organisasi sudah mempercayai playbook SOAR di area ini; AI agen hanya memutuskan kapan harus menjalankannya. Pantau tingkat kesalahan, frekuensi rollback, dan keluhan pengguna.
Hanya setelah uji coba ini terbukti aman, tim dapat mempertimbangkan untuk memberikan wewenang otonomi yang lebih luas, terutama terkait kontrol identitas dan pengembalian konfigurasi cloud. Meskipun demikian, setiap jenis tindakan otonom harus diselaraskan dengan kebijakan eksplisit, persetujuan pemilik bisnis, dan struktur pencatatan yang memungkinkan peninjauan forensik di kemudian hari.
Sepanjang proses, terus petakan kemajuan terhadap MITRE ATT&CK dan NIST SP 800-207. Gunakan penganalisis cakupan dan penilaian Zero Trust untuk menunjukkan teknik serangan dan kontrol kebijakan mana yang sekarang menerima perhatian berkelanjutan yang digerakkan oleh agen. Kaitkan setiap kemajuan dengan contoh pelanggaran nyata yang akan terdeteksi lebih cepat atau ditangani lebih cepat. Para eksekutif menanggapi skenario konkret: “Pengaturan ini kemungkinan akan mendeteksi penyalahgunaan kredensial ala Change Healthcare dalam hitungan jam, bukan hari.”
Untuk studi yang lebih mendalam tentang blok bangunan tertentu, sumber daya seperti panduan analitik perilaku pengguna dan entitas dan Gambaran umum deteksi ancaman identitas memberikan konteks terfokus pada analisis perilaku dan kontrol berbasis identitas. Dikombinasikan dengan Open XDR dan seorang agen SOC Dengan menggunakan pendekatan berbasis teknologi, mereka mendefinisikan jalur realistis dari operasional yang penuh tekanan saat ini menuju posisi yang lebih otonom dan tangguh yang sesuai dengan keterbatasan pasar menengah.