AI SecOps: Implementasi dan Praktik Terbaik
Operasi Keamanan, atau SecOps, merupakan puncak dari proses-proses individual yang mencegah kerentanan dan intrusi risiko ke dalam aset-aset perusahaan yang sensitif. Hal ini sedikit berbeda dari Pusat Operasi Keamanan (SOC) – yang merupakan unit organisasi yang terdiri dari orang-orang yang memantau dan mencegah insiden keamanan.
Perbedaan ini penting karena SecOps bertujuan untuk mengintegrasikan proses keamanan dalam alur operasi, sedangkan SOC tradisional memisahkan keamanan dari TI, yang pada dasarnya mengisolasi proses keamanan. Inilah sebabnya mengapa SOC modern sering menerapkan SecOps, sebagai cara untuk menyeimbangkan pencegahan ancaman dengan kemampuan respons insiden khusus.
Karena SecOps perlu berjalan beriringan dengan alur kerja IT dan OT sehari-hari – dan tidak menghalangi – otomatisasi SecOps merupakan bagian penting dari strategi tersebut. Artikel ini membahas tentang bagaimana SecOps AI berkembang, kasus penggunaan AI dalam SecOps, dan praktik terbaik untuk Menerapkan AI dalam SecOps.
SIEM Generasi Berikutnya
Stellar Cyber Next-Generation SIEM, sebagai komponen penting dalam Platform Stellar Cyber Open XDR...
Rasakan Keamanan Bertenaga AI dalam Aksi!
Temukan AI canggih Stellar Cyber untuk deteksi dan respons ancaman instan. Jadwalkan demo Anda hari ini!
Pengantar SecOps AI
SecOps merupakan pendekatan yang telah memperoleh dukungan yang cukup besar dalam organisasi yang peduli terhadap keamanan. SecOps setiap organisasi perlu beradaptasi dengan tata letak aset digital, infrastruktur, dan data sensitif yang unik milik organisasi – seiring dengan pertumbuhan dan adaptasi perusahaan terhadap perubahan pasar dari waktu ke waktu. Karena SecOps mengintegrasikan langkah-langkah keamanan di seluruh siklus operasi TI, SecOps juga perlu menanamkan keamanan ke dalam setiap tahap pengembangan dan operasi.
Untuk mencapai hal ini, SOC memerlukan visibilitas yang berkelanjutan dan mendalam ke dalam perangkat, jaringan, dan titik akhir dari semua pengguna – ini merupakan jumlah data yang sangat banyak. Salah satu alasan mengapa tim SOC secara tradisional dipisahkan dari pengembang dan rekan TI mereka adalah untuk mengelola semua data ini. Di seluruh tingkatan analis, tim SOC juga memerlukan sejumlah besar alat untuk mengekstrak dan mengelompokkannya. Alat Manajemen Informasi dan Peristiwa Keamanan (SIEM), Firewall, dan Deteksi dan Respons Titik Akhir (EDR) semuanya membantu memproses data ini dan mengubahnya menjadi informasi yang bermakna.
AI dalam operasi keamanan kini mampu menyerap data keamanan pada tingkat yang sama dengan kecepatan produksinya. Hasilnya, Machine Learning – dan Generative AI yang lebih baru – bertanggung jawab untuk mengubah SecOps menjadi proses yang berkelanjutan, yang memungkinkan operasi keamanan untuk mengimbangi perubahan TI dan pengembangan. Lebih jauh lagi, karena platform yang digerakkan oleh AI menyediakan opsi otomatisasi yang lebih besar daripada sebelumnya, evolusi SecOps didorong ke arah tumpukan teknologi yang lebih ramping, mengurangi kompleksitas, dan ROI yang lebih tinggi.
Kasus Penggunaan AI dalam SecOps
Penemuan Ancaman dengan Lebih Sedikit Positif Palsu
Model AI berkembang pesat dari kumpulan data besar: dengan AI, jumlah peringatan yang dulunya dapat membebani tim keamanan kini dapat diserap, dirujuk silang, dan digunakan untuk mendeteksi peringatan lainnya. Hal ini sangat kontras dengan pendekatan tradisional terhadap deteksi ancaman – yang hanya menumpuk alat keamanan satu per satu.
Ini adalah situasinya satu perusahaan keuangan yang berbasis di AS telah menemukan dirinya dalam: Analis SOC diminta untuk memulai setiap operasi keamanan dengan menggali sejumlah besar data yang dilampirkan pada setiap peringatan. Dan karena perusahaan memiliki beberapa perangkat lunak perkakas keamanan, mereka harus mengidentifikasi peringatan yang sama secara manual di setiap konsol dan secara individual mengikuti setiap petunjuk untuk menentukan validitas peringatan dan potensi kerusakan.
Karena AI mampu mencerna semua log mentah, jaringan, dan data perangkat yang masuk ke pemicu peringatan alat, maka AI dapat menghubungkan peringatan tersebut dengan tindakan terkait pada jaringan, perangkat, atau akun yang dimaksud. Hasilnya adalah peringatan palsu yang jauh lebih sedikit – dan, jika terjadi insiden keamanan yang sebenarnya – AI dapat menempatkan peringatan dalam konteks rantai serangan yang lebih luas.
Respons Insiden Otomatis
Buku pedoman adalah landasan kemampuan respons otomatis – buku pedoman memungkinkan tim ramping seperti di Departemen TI Universitas Zurich untuk segera menerapkan kemampuan pemantauan dan respons tertentu sebagai respons terhadap peringatan tertentu. Misalnya, jika terjadi insiden yang memengaruhi titik akhir suatu departemen, manajer TI terkait dapat diberi tahu.
Otomatisasi dapat memungkinkan tim yang ramping untuk menyediakan layanan 24/7 bahkan jika mereka tidak memiliki tenaga kerja untuk memiliki analis yang siap sedia sepanjang waktu. Otomatisasi dapat diakses melalui playbook – yang menunjukkan dengan tepat langkah-langkah perbaikan yang harus dilakukan oleh alat AI dalam menanggapi jenis peringatan dan insiden tertentu.
Peringatan Prioritas dan Deteksi Ancaman Berbasis AI
Karena model AI dapat dilatih berdasarkan serangan historis – dan dapat menyimpan pemahaman terkini tentang seluruh tumpukan aset perusahaan – model tersebut dapat mengkategorikan peringatan menurut radius potensi ledakan. Hal ini secara drastis mengurangi beban yang dibebankan pada proses SecOps manual yang jika tidak demikian akan membutuhkan jam kerja yang panjang dan melelahkan untuk membangunnya.
Kategorisasi peringatan mengambil banyak perhatian satu waktu pemerintahan kota – dalam kasus ini, setiap analis diharapkan mengoperasikan alat keamanan mereka sendiri. Hal ini meninggalkan celah signifikan yang berpotensi dieksploitasi oleh vektor serangan yang kompleks. Triase yang dibantu AI memungkinkan mereka untuk secara drastis mengurangi beban kerja manual yang dituntut dari setiap analis, sehingga seorang analis dapat menyelesaikan insiden dalam waktu 10 menit, bukan beberapa hari.
Namun, mengetahui di mana dan bagaimana mengimplementasikan AI ke dalam SecOps sering kali menjadi rintangan pertama dalam implementasi.
Praktik Terbaik untuk Menerapkan AI di SecOps
Tentukan Tujuan Terukur untuk Penerapan AI Anda
Sasaran SMART membuat dunia terus berputar – dan fokus pada keterukuran adalah kunci untuk mendefinisikan dan berhasil menerapkan alat AI baru. Untuk mendapatkan ROI terbaik, sebaiknya mulai dengan mengidentifikasi proses SecOps mana yang menyita sebagian besar waktu analis Anda.
Ini bisa berupa alat khusus – seperti SIEM – atau metrik yang lebih luas, seperti mean time to respond (MTTR). Ini bisa menjadi langkah dalam alur kerja yang harus diikuti oleh analis atau staf TI setelah peringatan masuk ke kotak masuk mereka; poin pentingnya adalah mengidentifikasi secara tepat komponen mana yang menyebabkan perlambatan terbesar. Proses ini akan membangun gambaran tentang peran apa yang harus diisi oleh alat AI: jika titik masalah utama berkisar pada penemuan aset, maka integrasi firewall AI mungkin bukan prioritas terbesar.
Sebaiknya hal ini juga dilakukan sebagai upaya kolaboratif. Melibatkan para petinggi dan pengambil keputusan eksekutif lainnya sangat penting untuk mencapai perubahan yang bertahan lama, dan mereka dapat membantu TI dan keamanan menggambarkan perubahan organisasi yang diperlukan.
Integrasikan AI ke dalam Alat dan Alur Kerja Anda yang Ada
Teknologi AI berkembang pesat dalam lingkungan yang kaya data – tetapi teknologi tersebut harus mampu menarik data tersebut dari suatu tempat. Integrasi khusus bisa jadi sulit dan memakan waktu, jadi saat mencari solusi berbasis AI, nilailah kemampuannya untuk terintegrasi dengan perangkat Anda saat ini. Sangat jarang organisasi harus memulai dari awal. Terkadang, jika SIEM, EDR, atau firewall Anda sudah berjalan dengan baik – dan perlambatan terjadi karena keterbatasan sumber daya analis itu sendiri – sebaiknya lengkapi SIEM Anda dengan AI, daripada melakukan penggantian.
Dalam hal ini, jangan lupa bahwa AI membutuhkan banyak data keamanan. Jika Anda membangun kumpulan data dari awal, Anda perlu berinvestasi dalam membangun infrastruktur data yang kuat dan tangguh, yang dipadukan dengan protokol tata kelola yang ketat. Infrastruktur yang kuat memerlukan penerapan solusi penyimpanan yang aman, mengoptimalkan kemampuan pemrosesan data, dan membangun sistem transmisi data yang efisien untuk mendukung deteksi dan respons ancaman secara real-time. Di sisi lain, produk pihak ketiga mengelola semua data ini untuk Anda – tetapi pastikan Anda memercayai penyedianya.
Sesuaikan Tim SecOps untuk Menggunakan Sistem Berbasis AI
Meskipun alat AI harus fleksibel, alat tersebut harus membuat beberapa perubahan pada pekerjaan analis sehari-hari – untuk itulah alat tersebut ada. Tim yang terdampak perlu mengetahui perubahan apa saja yang akan terjadi, dan seperti apa alur kerja mereka sendiri. Karena SecOps sudah menuntut pelatihan operasi keamanan yang komprehensif, mereka harus sudah memahami kerangka kebijakan dan prosedur. Dengan cara yang sama, pembaruan AI perlu memecah proses menjadi tindakan yang terukur dan panduan yang jelas.
Dengan demikian, pertimbangkan keahlian dan pengalaman anggota SecOps saat ini – jika ada beberapa anggota tim baru yang masih dalam tahap pengembangan, pertimbangkan untuk memilih perkakas AI yang mudah dipahami dan memandu mereka melalui tindakan otomatis atau proses peringatan yang dilakukannya. Hal ini memungkinkan mereka membangun kepercayaan diri mereka sendiri saat menangani ancaman. Transparansi juga membangun lebih banyak kepercayaan antara tim manusia dan mesin analisis AI, sekaligus memungkinkan penilaian AI disempurnakan dari waktu ke waktu.
Membangun buku pedoman
Buku pedoman merupakan fondasi penerapan keamanan AI, dan meskipun alat AI mungkin dilengkapi beberapa buku pedoman yang telah ditetapkan sebelumnya, praktik terbaiknya adalah membuat atau memodifikasi buku pedoman Anda sendiri, sesuai dengan kasus penggunaan spesifik yang Anda butuhkan.
Misalnya, jika sebuah tim menangani banyak komunikasi email eksternal, penting untuk membuat beberapa playbook untuk menangani ancaman phishing email secara khusus. Dalam kasus ini, platform AI pusat mendeteksi tata bahasa atau metadata yang mencurigakan dari email phishing, yang kemudian memicu playbook terkait. Dalam kasus ini, playbook secara otomatis mengisolasi email – atau titik akhir itu sendiri jika ada bukti penyusupan – dan kemudian memicu pengaturan ulang kata sandi. Sebuah pesan dikirim ke admin keamanan terkait, yang menerima semua informasi tersebut yang dikemas menjadi satu peringatan. Playbook yang dibutuhkan model AI Anda bergantung pada pengaturan dan tanggung jawab organisasi Anda sendiri.
Secara kolektif, praktik terbaik SecOps berbasis AI ini memastikan transisi yang lancar ke SecOps berbasis AI, sekaligus memberikan ROI maksimum.
Bagaimana Stellar Cyber Meningkatkan SecOps AI
Deteksi Insiden Otomatis
Stellar Cyber menghilangkan ketergantungan pada deteksi ancaman manual dan identifikasi ancaman berbasis aturan dengan beberapa lapisan AI.
AI pertama difokuskan pada deteksi: tim peneliti keamanan Stellar Cyber membuat dan melatih model yang diawasi menggunakan campuran dataset yang tersedia untuk umum dan yang dibuat secara internal. Ancaman zero-day dan ancaman yang tidak diketahui dapat dideteksi melalui model pembelajaran mesin tanpa pengawasan paralel. Model-model ini menetapkan dasar perilaku jaringan dan pengguna selama beberapa minggu. Setelah sinyal data diserap, AI berbasis GraphML menghubungkan deteksi dan sinyal data lainnya, secara otomatis menghubungkan titik data terkait untuk membantu analis. AI mengevaluasi kekuatan koneksi antara berbagai peristiwa dengan menganalisis properti, waktu, dan pola perilaku.
Bentuk-bentuk AI lainnya didasarkan pada kemampuan penemuan inti ini. AI menghadirkan lebih banyak aksesibilitas dan kemampuan respons bagi organisasi-organisasi yang didukung Stellar Cyber.
Jadikan SecOps Dapat Diakses
Semua data keamanan real-time suatu organisasi direpresentasikan dalam dua format utama: yang pertama dalam kill chain yang terletak di dasbor, dan yang kedua melalui Copilot.
Dasbor XDR Kill Chain berfungsi sebagai beranda default untuk Stellar Cyber, yang menawarkan tampilan terpusat dari keseluruhan risiko dan ancaman yang terdeteksi. Dasbor ini memungkinkan penilaian cepat dengan menyediakan perincian insiden aktif, aset berisiko tinggi, dan taktik serangan. Pendekatan yang efisien ini membantu tim keamanan memprioritaskan isu-isu kritis, apa pun titik fokus masing-masing yang kemudian dapat ditelusuri lebih lanjut.
Di sisi lain, Copilot AI adalah investigator berbasis LLM yang mempercepat proyek analisis ancaman milik analis dengan memberikan respons instan terhadap pertanyaan. Hal ini membuatnya sempurna untuk pengambilan dan penjelasan data yang cepat, serta mengintegrasikan alat tersebut lebih jauh dalam proyek SecOps.
Visibilitas permukaan omni
Stellar Cyber mencerna log dan data keamanan melalui berbagai jenis sensor. Sensor jaringan dan keamanan mengumpulkan metadata dari sakelar fisik dan virtual sambil menggabungkan log untuk visibilitas yang komprehensif. Deep Packet Inspection (DPI) menganalisis muatan dengan cepat. Di sisi lain, sensor server mampu mengumpulkan data dari server Linux dan Windows, menangkap lalu lintas jaringan, perintah, proses, file, dan aktivitas aplikasi. Harapkan kompatibilitas penuh dari Windows 98 dan seterusnya, dan distribusi Linux seperti Ubuntu, CoreOS, dan Debian.
Platform ini berada di mana pun visibilitas dibutuhkan: baik berbasis cloud, hybrid, atau sepenuhnya di lokasi – atau berbasis penyewa – Stellar Cyber menggabungkan data dari mana saja.
Respon AI Tingkat Lanjut
Kemampuan respons Stellar Cyber memperluas integrasi alat tersebut dengan alat keamanan yang ada: alih-alih sekadar menyerap data, Stellar dapat mengambil tindakan secara otomatis melalui alat yang sama.
Karena Stellar berfokus pada implementasi cepat, Stellar dilengkapi dengan 40 buku panduan perburuan ancaman yang telah dibuat sebelumnya yang mencakup seluruh permukaan serangan—seperti kegagalan login Windows, analisis DNS, dan Microsoft 365. Hal ini membuat deteksi dan respons ancaman lebih mudah diakses, bahkan untuk tim yang tidak memiliki keahlian keamanan yang mendalam.
Stellar Cyber terintegrasi dengan lancar dengan firewall, keamanan titik akhir, alat manajemen identitas dan akses, sistem tiket, dan aplikasi pengiriman pesan untuk meningkatkan skala operasi keamanan. Untuk kebutuhan orkestrasi yang lebih canggih, Stellar Cyber mendukung integrasi dengan platform SOAR terkemuka untuk respons ancaman yang efisien dan efisien. Perusahaan yang didukung Stellar Cyber menikmati kontrol terperinci atas pemicu, kondisi, dan keluaran setiap playbook – yang memungkinkan mereka untuk mengikuti praktik terbaik SecOps dengan cermat dan cermat. Playbook dapat digunakan secara global atau per penyewa.
Jelajahi Stellar Cyber AI SecOps
Platform Stellar Cyber menyederhanakan penerapan AI dalam SecOps dengan berfokus pada implementasi yang cepat. Hal ini memungkinkan perusahaan untuk mencapai operasi keamanan yang lebih efektif dan efisien tanpa proses implementasi yang bertele-tele atau terhalang oleh vendor. Kemampuan otomatisasinya tersedia secara langsung – untuk mengeksplorasi lingkungan dan kemampuan Stellar Cyber, jadwalkan demo.
