Inovasi terobosan biasanya muncul sebagai respons terhadap dua kondisi utama. Pertama, ketika teknologi baru menciptakan permintaan dengan memenuhi kebutuhan yang sebelumnya tidak disadari oleh pelanggan. Contohnya adalah smartphone—dulu, orang tidak menyadari kebutuhan akan perangkat kecil yang juga berfungsi sebagai kamera, bank, ensiklopedia, dan pusat perbelanjaan. Kedua, inovasi muncul untuk mengatasi tantangan baru. Misalnya, mobil listrik dan energi terbarukan yang diperlukan untuk menghadapi perubahan iklim.
Sebelum kemunculan kecerdasan buatan (AI) dan pembelajaran mesin (ML), inovasi dalam keamanan siber umumnya bersifat inkremental. Kini, pelaku kejahatan siber menggunakan AI dan ML untuk melancarkan serangan yang semakin canggih, memanfaatkan permukaan serangan yang luas, dan menciptakan kebisingan serta alarm palsu di pusat operasi keamanan (SOC). Oleh karena itu, organisasi perlu mengadopsi pertahanan siber otomatis berbasis data yang dapat mendeteksi dan mengatasi ancaman sebelum menimbulkan kerusakan.
Pada konferensi RSA tahun ini, FBI memperingatkan tentang ancaman yang dibawa oleh AI dan kenyataannya saat ini.
“Penyerang memanfaatkan AI untuk membuat pesan suara atau video serta email yang sangat meyakinkan guna melancarkan skema penipuan terhadap individu dan bisnis,” kata Agen Khusus FBI Robert Tripp. “Taktik canggih ini dapat mengakibatkan kerugian finansial yang besar, kerusakan reputasi, dan kompromi data sensitif.”
Selama beberapa tahun terakhir, hampir dua pertiga (63%) analis SOC melaporkan bahwa ukuran permukaan serangan mereka telah meningkat, menurut Security Magazine. Selain itu, penelitian Forescout’s 2023 Threat Roundup mengungkapkan bahwa perusahaan mengalami 13 serangan setiap detiknya. Meskipun tidak semua serangan memiliki tingkat keparahan tinggi atau kritis, semuanya perlu dikelola dengan hati-hati.
Efisiensi dalam deteksi ancaman dan respons insiden siber sangat penting. Kemampuan untuk mendeteksi dan merespons ancaman dengan cepat dan akurat membantu mengurangi risiko serta biaya keamanan perusahaan. Orang-oranglah yang harus menghadapi semua alarm yang berbunyi. Jika Anda ingin menghindari kelelahan pada analis SOC dan perputaran karyawan yang disebabkan olehnya, Anda memerlukan alat yang tepat untuk menangani masalah ini.
Berikut adalah salah satu tantangan paling umum dan tidak efisien dalam SOC serta bagaimana Anda dapat membantu analis SOC Anda mengatasi perasaan kewalahan.
Tingkatkan Efektivitas Pusat Operasi Keamanan Anda di Tengah Banyaknya Peringatan Keamanan Siber
Deteksi dan respons terhadap ancaman siber kini menjadi semakin krusial. Dampak finansial dari pelanggaran data semakin meningkat, dan semakin lama waktu yang dibutuhkan untuk mendeteksi atau menemukan pelanggaran, semakin tinggi biayanya. Menurut IBM, biaya rata-rata pelanggaran data pada tahun 2024 mencapai $4,88 juta, meningkat 10% dibandingkan tahun 2023. Biaya ini juga lebih tinggi di industri tertentu, dengan sektor kesehatan menjadi yang paling mahal, sementara layanan keuangan mencatatkan biaya sebesar $6,08 juta—22% lebih tinggi dari rata-rata global. Dengan alasan ini, keamanan siber kini menjadi fokus utama di tingkat eksekutif dan dewan direksi.
Pusat Operasi Keamanan (SOC) berada di garis depan dalam mengatasi masalah ini dan kini menghadapi lebih banyak peringatan daripada sebelumnya:
- Permukaan Serangan yang Meningkat: Permukaan serangan telah berkembang pesat dalam beberapa tahun terakhir. Kini, ancaman tidak hanya berasal dari lingkungan TI tradisional, tetapi juga dari perangkat OT, IoT, dan IoMT yang memiliki kerentanan masing-masing. Ditambah lagi, banyak orang yang bekerja dari lokasi yang berbeda, penggunaan cloud, aplikasi SaaS yang melimpah, serta rantai pasokan global yang semakin terhubung.
- Data yang Melimpah: Modernisasi aplikasi telah menyebabkan lonjakan volume dan kecepatan data yang dihasilkan. Cloud, kontainer, aplikasi serverless—semua ini menghasilkan data dalam jumlah besar yang dapat memberikan sinyal adanya serangan serta konteks penting untuk investigasi. Meskipun sebagian data mungkin hanya berupa noise, semuanya perlu dipertimbangkan dan dikelola untuk alasan keamanan.
- Ancaman yang Semakin Kompleks: Lanskap ancaman telah berkembang pesat dan terus berubah. Pelaku ancaman kini menggunakan teknik yang lebih canggih, meluncurkan serangan kompleks, otomatis, dan multi-tahap dengan cepat dan akurat, serta mampu beradaptasi dengan cepat.
- Kompleksitas Alat: Tim SOC harus mengelola berbagai alat kompleks yang sering kali tidak terintegrasi atau otomatis. Alat penting SOC meliputi sistem manajemen informasi dan acara keamanan (SIEM), sistem orkestrasi keamanan, otomatisasi, dan respons (SOAR), serta analitik perilaku pengguna dan entitas (UEBA). Untuk menyelesaikan investigasi, analis sering harus berpindah dari satu aplikasi ke aplikasi lain, yang dapat mengakibatkan kehilangan konteks dan pemborosan waktu.
Semua faktor ini berkontribusi pada tingginya volume peringatan dan kebisingan berlebih di SOC.
Mengapa Kelelahan Akibat Peringatan Keamanan Siber Menjadi Kenyataan di SOC Saat Ini
Berdasarkan studi Forrester tahun 2020 yang melibatkan lebih dari 300 Security Operations Centers (SOC), rata-rata tim SecOps harus menangani sekitar 450 peringatan per jam, atau 11.000 peringatan per hari. Dengan keterbatasan staf dan alat, lebih dari seperempat peringatan tersebut tidak pernah ditangani.
Sekitar setengah dari peringatan tersebut kemungkinan besar merupakan false positive, sehingga mungkin tidak terlalu merugikan jika tidak ditangani. Namun, masalahnya adalah Anda tidak bisa langsung mengetahui peringatan mana yang bisa diabaikan. Ini adalah tantangan besar, karena perusahaan sering kali menghabiskan lebih banyak waktu untuk menangani false positive daripada mengatasi serangan yang sebenarnya.
Empat tahun telah berlalu sejak studi tersebut.
Saat ini, anggaran keamanan sering dibagi antara aktivitas reaktif (respon insiden) dan aktivitas proaktif (pencarian ancaman, manajemen risiko, dan kepatuhan). Jika sebagian besar waktu dihabiskan untuk merespons peringatan yang belum diverifikasi, dampaknya adalah pengurangan waktu dan anggaran yang tersedia untuk langkah-langkah proaktif serta aspek-aspek penting seperti tata kelola, risiko, dan kepatuhan.
Mengapa Pendekatan Deteksi dan Respons Ancaman yang Ada Saat Ini Tidak Memadai
Ada empat pendekatan dasar untuk deteksi dan respons ancaman:
- Banyak SIEM yang Berisik atau Memerlukan Banyak Pembuatan Aturan
Anda bisa menjalankan SOC internal dengan tumpukan teknologi yang berfokus pada SIEM tradisional. Namun, banyak SIEM dirancang terutama untuk penyimpanan dan pencarian log; mesin ancaman baru ditambahkan kemudian. Kadang-kadang, SIEM datang tanpa aturan bawaan, sehingga Anda harus mencarikannya sendiri. Ini memerlukan pembentukan tim dengan keahlian khusus dalam pembuatan dan penyesuaian aturan serta integrasi log. Meskipun begitu, SIEM sering kali menghasilkan terlalu banyak peringatan dengan akurasi rendah karena model pembelajarannya yang satu tahap.
- Danau Data Kustom Itu Kompleks
Anda mungkin memilih untuk membangun danau data kustom di SOC internal Anda. Meskipun ini memberikan kontrol dan kepemilikan yang lebih besar karena penyesuaian sesuai kebutuhan spesifik, danau data sendiri tidak memberikan nilai secara langsung. Memiliki danau data memerlukan keahlian khusus tambahan, serta proses yang memakan waktu, tenaga, dan biaya yang signifikan. Untuk mendapatkan manfaat dari danau data, Anda tetap memerlukan mesin deteksi ancaman dan aturan yang efektif untuk mendeteksi ancaman dengan benar.
- Keterikatan dengan MSSP
Ketiga, Anda bisa memilih untuk mengalihdayakan pemantauan dan deteksi ancaman kepada penyedia layanan keamanan terkelola (MSSP) yang mengelola SIEM Anda dan mengirimkan peringatan saat respons diperlukan. Meskipun ini membantu mengatasi masalah kekurangan keterampilan, Anda mungkin terikat pada kontrak yang tetap dan mahal. Jika MSSP hanya bergantung pada SIEM tradisional tanpa menggunakan deteksi dan respons terluas (XDR) modern, mereka akan mengirimkan peringatan dengan akurasi rendah yang sama kepada Anda. Selain itu, mereka mungkin beroperasi seperti “kotak hitam,” memberikan visibilitas yang sangat terbatas terhadap proses deteksi dan investigasi ancaman mereka.
- Keterbatasan dalam Persyaratan Vendor atau Visibilitas Permukaan Serangan
Anda mungkin mencoba menggunakan XDR tradisional bersama dengan SIEM Anda. Memiliki konsol yang terintegrasi seharusnya meningkatkan efisiensi, namun XDR tradisional biasanya berasal dari solusi deteksi dan respons titik akhir (EDR). Vendor-vendor ini seringkali mengharuskan Anda menggunakan tumpukan teknologi mereka sendiri untuk produk keamanan titik akhir, jaringan, dan cloud, bukan memanfaatkan investasi yang sudah ada. Mereka juga mungkin menawarkan dukungan terbatas untuk sumber data pihak ketiga yang mencakup OT/ICS, IoMT, dan jenis aset siber lainnya, serta pembuatan aturan kustom. Selain itu, jika Anda dikenakan biaya untuk penyimpanan log, Anda akan menghadapi tagihan yang sangat bervariasi dan tidak dapat diprediksi, dengan biaya yang kemungkinan akan meningkat seiring penambahan sumber data untuk mendeteksi lebih banyak ancaman.
Pada akhirnya, tidak ada opsi ini yang sepenuhnya memenuhi tantangan deteksi dan respons ancaman modern.
Mengatasi Peringatan Keamanan Siber Bervolume Tinggi dengan Inovasi Terobosan
Forescout telah mengatasi keterbatasan XDR tradisional dengan Forescout TDR, yang mengubah data telemetry dan log menjadi ancaman yang dapat diandalkan dan siap ditindaklanjuti oleh SOC. Solusi berbasis SaaS ini mengotomatisasi deteksi, investigasi, pencarian, dan respons terhadap ancaman canggih di semua aset yang terhubung – mulai dari IT, OT, IoT, hingga IoMT, dari kampus ke cloud, data center, dan edge. Forescout TDR mengintegrasikan teknologi dan fungsi SOC yang esensial ke dalam sebuah platform cloud-native yang terpusat dan dapat diakses serta dikelola melalui satu konsol.
Forescout TDR menormalkan dan memperkaya data yang diterima dari lebih dari 180 sumber data vendor, termasuk solusi yang sudah Anda gunakan. Mesin deteksi ancaman dua tahap kami kemudian menggunakan lebih dari 1.500 aturan terverifikasi serta kombinasi lima teknik – intelijen siber, tanda tangan dan TTP, UEBA, statistik dan outlier, serta AI/ML berbasis konteks – untuk mengeliminasi false positive dan menghasilkan ancaman dengan akurasi tinggi yang layak untuk investigasi manusia. Dengan kata lain, sistem ini mampu menghasilkan satu deteksi per jam dari setiap 50 juta log. Inilah cara kerja pertahanan siber berbasis data – inovasi terobosan – yang sesungguhnya.
Ingin tahu lebih banyak mengenai forescout, silahkan hubungi forescout@ilogoindonesia.id