AI SecOps: Implementasi dan Praktik Terbaik
Operasi Keamanan, atau SecOps, adalah puncak dari proses-proses individual yang mencegah kerentanan dan intrusi risiko ke dalam aset perusahaan yang sensitif. Ini sedikit berbeda dari Pusat Operasi Keamanan (Security Operations Center).SOC) – yaitu unit organisasi yang bertugas memantau dan mencegah insiden keamanan.
Perbedaan ini penting karena SecOps bertujuan untuk mengintegrasikan proses keamanan dalam alur operasional, sedangkan metode tradisional SOCHal ini memisahkan keamanan dari TI, yang pada dasarnya mengisolasi proses keamanan. Inilah mengapa modern SOCPerusahaan keamanan siber sering menerapkan SecOps sebagai cara untuk menyeimbangkan pencegahan ancaman dengan kemampuan respons insiden yang khusus.
Karena SecOps perlu berjalan beriringan dengan alur kerja IT dan OT sehari-hari – dan tidak menghalangi – otomatisasi SecOps merupakan bagian penting dari strategi tersebut. Artikel ini membahas tentang bagaimana SecOps AI berkembang, kasus penggunaan AI dalam SecOps, dan praktik terbaik untuk Menerapkan AI dalam SecOps.
Generasi selanjutnya SIEM
Stellar Cyber Generasi Berikutnya SIEM, sebagai komponen penting dalam Stellar Cyber Open XDR Platform...
Rasakan Keamanan Bertenaga AI dalam Aksi!
Temukan AI canggih Stellar Cyber untuk deteksi dan respons ancaman instan. Jadwalkan demo Anda hari ini!
Pengantar SecOps AI
SecOps merupakan pendekatan yang telah memperoleh dukungan yang cukup besar dalam organisasi yang peduli terhadap keamanan. SecOps setiap organisasi perlu beradaptasi dengan tata letak aset digital, infrastruktur, dan data sensitif yang unik milik organisasi – seiring dengan pertumbuhan dan adaptasi perusahaan terhadap perubahan pasar dari waktu ke waktu. Karena SecOps mengintegrasikan langkah-langkah keamanan di seluruh siklus operasi TI, SecOps juga perlu menanamkan keamanan ke dalam setiap tahap pengembangan dan operasi.
Untuk mencapai hal ini, the SOC Hal ini membutuhkan visibilitas yang berkelanjutan dan mendalam ke dalam perangkat, jaringan, dan titik akhir dari hampir semua pengguna – ini adalah jumlah data yang sangat besar. Sebagian dari alasan mengapa SOC Tugas tim yang secara tradisional terpisah dari rekan pengembang dan TI mereka adalah mengelola semua data ini. Di sekitar tingkatan analis, SOC Tim juga membutuhkan banyak alat untuk mengekstrak dan mengelompokkannya. Manajemen Informasi dan Peristiwa Keamanan (SIEM)SIEMSemua alat (misalnya, Firewall, Endpoint Detection and Response, EDR) membantu memproses data ini dan mengubahnya menjadi informasi yang bermakna.
AI dalam operasi keamanan kini mampu menyerap data keamanan pada tingkat yang sama dengan kecepatan produksinya. Hasilnya, Machine Learning – dan Generative AI yang lebih baru – bertanggung jawab untuk mengubah SecOps menjadi proses yang berkelanjutan, yang memungkinkan operasi keamanan untuk mengimbangi perubahan TI dan pengembangan. Lebih jauh lagi, karena platform yang digerakkan oleh AI menyediakan opsi otomatisasi yang lebih besar daripada sebelumnya, evolusi SecOps didorong ke arah tumpukan teknologi yang lebih ramping, mengurangi kompleksitas, dan ROI yang lebih tinggi.
Kasus Penggunaan AI dalam SecOps
Penemuan Ancaman dengan Lebih Sedikit Positif Palsu
Model AI berkembang pesat dari kumpulan data besar: dengan AI, jumlah peringatan yang dulunya dapat membebani tim keamanan kini dapat diserap, dirujuk silang, dan digunakan untuk mendeteksi peringatan lainnya. Hal ini sangat kontras dengan pendekatan tradisional terhadap deteksi ancaman – yang hanya menumpuk alat keamanan satu per satu.
Ini adalah situasinya satu perusahaan keuangan yang berbasis di AS telah menemukan dirinya dalam: SOC Para analis diharuskan memulai setiap operasi keamanan dengan menelusuri sejumlah besar data yang terkait dengan setiap peringatan. Dan karena perusahaan memiliki beberapa perangkat lunak alat keamanan, mereka harus secara manual mengidentifikasi peringatan yang sama di setiap konsol dan secara individual mengikuti setiap petunjuk untuk menentukan validitas peringatan dan potensi kerusakannya.
Karena AI mampu mencerna semua log mentah, jaringan, dan data perangkat yang masuk ke pemicu peringatan alat, maka AI dapat menghubungkan peringatan tersebut dengan tindakan terkait pada jaringan, perangkat, atau akun yang dimaksud. Hasilnya adalah peringatan palsu yang jauh lebih sedikit – dan, jika terjadi insiden keamanan yang sebenarnya – AI dapat menempatkan peringatan dalam konteks rantai serangan yang lebih luas.
Respons Insiden Otomatis
Buku pedoman adalah landasan kemampuan respons otomatis – buku pedoman memungkinkan tim ramping seperti di Departemen TI Universitas Zurich untuk segera menerapkan kemampuan pemantauan dan respons tertentu sebagai respons terhadap peringatan tertentu. Misalnya, jika terjadi insiden yang memengaruhi titik akhir suatu departemen, manajer TI terkait dapat diberi tahu.
Otomatisasi dapat memungkinkan tim yang ramping untuk menyediakan layanan 24/7 bahkan jika mereka tidak memiliki tenaga kerja untuk memiliki analis yang siap sedia sepanjang waktu. Otomatisasi dapat diakses melalui playbook – yang menunjukkan dengan tepat langkah-langkah perbaikan yang harus dilakukan oleh alat AI dalam menanggapi jenis peringatan dan insiden tertentu.
Peringatan Prioritas dan Deteksi Ancaman Berbasis AI
Karena model AI dapat dilatih berdasarkan serangan historis – dan dapat menyimpan pemahaman terkini tentang seluruh tumpukan aset perusahaan – model tersebut dapat mengkategorikan peringatan menurut radius potensi ledakan. Hal ini secara drastis mengurangi beban yang dibebankan pada proses SecOps manual yang jika tidak demikian akan membutuhkan jam kerja yang panjang dan melelahkan untuk membangunnya.
Kategorisasi peringatan mengambil banyak perhatian satu waktu pemerintahan kota – dalam kasus ini, setiap analis diharapkan mengoperasikan alat keamanan mereka sendiri. Hal ini meninggalkan celah signifikan yang berpotensi dieksploitasi oleh vektor serangan yang kompleks. Triase yang dibantu AI memungkinkan mereka untuk secara drastis mengurangi beban kerja manual yang dituntut dari setiap analis, sehingga seorang analis dapat menyelesaikan insiden dalam waktu 10 menit, bukan beberapa hari.
Namun, mengetahui di mana dan bagaimana mengimplementasikan AI ke dalam SecOps sering kali menjadi rintangan pertama dalam implementasi.
Praktik Terbaik untuk Menerapkan AI di SecOps
Tentukan Tujuan Terukur untuk Penerapan AI Anda
Sasaran SMART membuat dunia terus berputar – dan fokus pada keterukuran adalah kunci untuk mendefinisikan dan berhasil menerapkan alat AI baru. Untuk mendapatkan ROI terbaik, sebaiknya mulai dengan mengidentifikasi proses SecOps mana yang menyita sebagian besar waktu analis Anda.
Ini bisa berupa alat khusus – seperti sebuah SIEM — atau metrik yang lebih luas, seperti waktu rata-rata untuk merespons (MTTR). Ini bisa berupa langkah dalam alur kerja yang harus diikuti oleh analis atau staf TI setelah peringatan mencapai kotak masuk mereka; poin pentingnya adalah mengidentifikasi secara tepat komponen mana yang menyebabkan perlambatan terbesar. Proses ini akan membangun gambaran tentang peran apa yang perlu diisi oleh alat AI: jika masalah utama berkisar pada penemuan aset, maka integrasi firewall AI mungkin bukan prioritas utama.
Sebaiknya hal ini juga dilakukan sebagai upaya kolaboratif. Melibatkan para petinggi dan pengambil keputusan eksekutif lainnya sangat penting untuk mencapai perubahan yang bertahan lama, dan mereka dapat membantu TI dan keamanan menggambarkan perubahan organisasi yang diperlukan.
Integrasikan AI ke dalam Alat dan Alur Kerja Anda yang Ada
Teknologi AI berkembang pesat di lingkungan yang kaya data – tetapi mereka perlu dapat mengambil data tersebut dari suatu tempat. Integrasi khusus bisa sulit dan memakan waktu, jadi ketika mempertimbangkan solusi berbasis AI, nilai kemampuan integrasinya dengan alat yang Anda miliki saat ini. Sangat jarang sebuah organisasi harus memulai dari awal. Terkadang, jika... SIEMJika EDR, atau firewall sudah berjalan dengan baik – dan perlambatan berasal dari keterbatasan sumber daya analis sendiri – sebaiknya lengkapi dengan sistem Anda. SIEM dengan AI, alih-alih melakukan penggantian.
Dalam hal ini, jangan lupa bahwa AI membutuhkan banyak data keamanan. Jika Anda membangun kumpulan data dari awal, Anda perlu berinvestasi dalam membangun infrastruktur data yang kuat dan tangguh, yang dipadukan dengan protokol tata kelola yang ketat. Infrastruktur yang kuat memerlukan penerapan solusi penyimpanan yang aman, mengoptimalkan kemampuan pemrosesan data, dan membangun sistem transmisi data yang efisien untuk mendukung deteksi dan respons ancaman secara real-time. Di sisi lain, produk pihak ketiga mengelola semua data ini untuk Anda – tetapi pastikan Anda memercayai penyedianya.
Sesuaikan Tim SecOps untuk Menggunakan Sistem Berbasis AI
Meskipun alat AI harus fleksibel, alat tersebut harus membuat beberapa perubahan pada pekerjaan analis sehari-hari – untuk itulah alat tersebut ada. Tim yang terdampak perlu mengetahui perubahan apa saja yang akan terjadi, dan seperti apa alur kerja mereka sendiri. Karena SecOps sudah menuntut pelatihan operasi keamanan yang komprehensif, mereka harus sudah memahami kerangka kebijakan dan prosedur. Dengan cara yang sama, pembaruan AI perlu memecah proses menjadi tindakan yang terukur dan panduan yang jelas.
Dengan demikian, pertimbangkan keahlian dan pengalaman anggota SecOps saat ini – jika ada beberapa anggota tim baru yang masih dalam tahap pengembangan, pertimbangkan untuk memilih perkakas AI yang mudah dipahami dan memandu mereka melalui tindakan otomatis atau proses peringatan yang dilakukannya. Hal ini memungkinkan mereka membangun kepercayaan diri mereka sendiri saat menangani ancaman. Transparansi juga membangun lebih banyak kepercayaan antara tim manusia dan mesin analisis AI, sekaligus memungkinkan penilaian AI disempurnakan dari waktu ke waktu.
Membangun buku pedoman
Buku pedoman merupakan fondasi penerapan keamanan AI, dan meskipun alat AI mungkin dilengkapi beberapa buku pedoman yang telah ditetapkan sebelumnya, praktik terbaiknya adalah membuat atau memodifikasi buku pedoman Anda sendiri, sesuai dengan kasus penggunaan spesifik yang Anda butuhkan.
Misalnya, jika sebuah tim menangani banyak komunikasi email eksternal, penting untuk membuat beberapa playbook untuk menangani ancaman phishing email secara khusus. Dalam kasus ini, platform AI pusat mendeteksi tata bahasa atau metadata yang mencurigakan dari email phishing, yang kemudian memicu playbook terkait. Dalam kasus ini, playbook secara otomatis mengisolasi email – atau titik akhir itu sendiri jika ada bukti penyusupan – dan kemudian memicu pengaturan ulang kata sandi. Sebuah pesan dikirim ke admin keamanan terkait, yang menerima semua informasi tersebut yang dikemas menjadi satu peringatan. Playbook yang dibutuhkan model AI Anda bergantung pada pengaturan dan tanggung jawab organisasi Anda sendiri.
Secara kolektif, praktik terbaik SecOps berbasis AI ini memastikan transisi yang lancar ke SecOps berbasis AI, sekaligus memberikan ROI maksimum.
Bagaimana Stellar Cyber Meningkatkan SecOps AI
Deteksi Insiden Otomatis
Stellar Cyber menghilangkan ketergantungan pada deteksi ancaman manual dan identifikasi ancaman berbasis aturan dengan beberapa lapisan AI.
AI pertama difokuskan pada deteksi: tim peneliti keamanan Stellar Cyber membuat dan melatih model yang diawasi menggunakan campuran dataset yang tersedia untuk umum dan yang dibuat secara internal. Ancaman zero-day dan ancaman yang tidak diketahui dapat dideteksi melalui model pembelajaran mesin tanpa pengawasan paralel. Model-model ini menetapkan dasar perilaku jaringan dan pengguna selama beberapa minggu. Setelah sinyal data diserap, AI berbasis GraphML menghubungkan deteksi dan sinyal data lainnya, secara otomatis menghubungkan titik data terkait untuk membantu analis. AI mengevaluasi kekuatan koneksi antara berbagai peristiwa dengan menganalisis properti, waktu, dan pola perilaku.
Bentuk-bentuk AI lainnya didasarkan pada kemampuan penemuan inti ini. AI menghadirkan lebih banyak aksesibilitas dan kemampuan respons bagi organisasi-organisasi yang didukung Stellar Cyber.
Jadikan SecOps Dapat Diakses
Semua data keamanan real-time suatu organisasi direpresentasikan dalam dua format utama: yang pertama dalam kill chain yang terletak di dasbor, dan yang kedua melalui Copilot.
The XDR Dasbor Kill Chain berfungsi sebagai halaman beranda default untuk Stellar Cyber, menawarkan tampilan terpusat dari keseluruhan risiko dan ancaman yang terdeteksi. Ini memungkinkan penilaian cepat dengan menyediakan penelusuran mendalam ke dalam insiden aktif, aset berisiko tinggi, dan taktik serangan. Pendekatan yang efisien ini membantu tim keamanan memprioritaskan masalah kritis, terlepas dari fokus masing-masing yang kemudian dapat ditelusuri lebih lanjut.
Di sisi lain, Copilot AI adalah investigator berbasis LLM yang mempercepat proyek analisis ancaman milik analis dengan memberikan respons instan terhadap pertanyaan. Hal ini membuatnya sempurna untuk pengambilan dan penjelasan data yang cepat, serta mengintegrasikan alat tersebut lebih jauh dalam proyek SecOps.
Visibilitas permukaan omni
Stellar Cyber mencerna log dan data keamanan melalui berbagai jenis sensor. Sensor jaringan dan keamanan mengumpulkan metadata dari sakelar fisik dan virtual sambil menggabungkan log untuk visibilitas yang komprehensif. Deep Packet Inspection (DPI) menganalisis muatan dengan cepat. Di sisi lain, sensor server mampu mengumpulkan data dari server Linux dan Windows, menangkap lalu lintas jaringan, perintah, proses, file, dan aktivitas aplikasi. Harapkan kompatibilitas penuh dari Windows 98 dan seterusnya, dan distribusi Linux seperti Ubuntu, CoreOS, dan Debian.
Platform ini berada di mana pun visibilitas dibutuhkan: baik berbasis cloud, hybrid, atau sepenuhnya di lokasi – atau berbasis penyewa – Stellar Cyber menggabungkan data dari mana saja.
Respon AI Tingkat Lanjut
Kemampuan respons Stellar Cyber memperluas integrasi alat tersebut dengan alat keamanan yang ada: alih-alih sekadar menyerap data, Stellar dapat mengambil tindakan secara otomatis melalui alat yang sama.
Karena Stellar berfokus pada implementasi cepat, Stellar dilengkapi dengan 40 buku panduan perburuan ancaman yang telah dibuat sebelumnya yang mencakup seluruh permukaan serangan—seperti kegagalan login Windows, analisis DNS, dan Microsoft 365. Hal ini membuat deteksi dan respons ancaman lebih mudah diakses, bahkan untuk tim yang tidak memiliki keahlian keamanan yang mendalam.
Stellar Cyber terintegrasi dengan lancar dengan firewall, keamanan titik akhir, alat manajemen identitas dan akses, sistem tiket, dan aplikasi pengiriman pesan untuk meningkatkan skala operasi keamanan. Untuk kebutuhan orkestrasi yang lebih canggih, Stellar Cyber mendukung integrasi dengan platform SOAR terkemuka untuk respons ancaman yang efisien dan efisien. Perusahaan yang didukung Stellar Cyber menikmati kontrol terperinci atas pemicu, kondisi, dan keluaran setiap playbook – yang memungkinkan mereka untuk mengikuti praktik terbaik SecOps dengan cermat dan cermat. Playbook dapat digunakan secara global atau per penyewa.
Jelajahi Stellar Cyber AI SecOps
Platform Stellar Cyber menyederhanakan penerapan AI dalam SecOps dengan berfokus pada implementasi yang cepat. Hal ini memungkinkan perusahaan untuk mencapai operasi keamanan yang lebih efektif dan efisien tanpa proses implementasi yang bertele-tele atau terhalang oleh vendor. Kemampuan otomatisasinya tersedia secara langsung – untuk mengeksplorasi lingkungan dan kemampuan Stellar Cyber, jadwalkan demo.
