AI telah menjadi berita selama beberapa bulan terakhir, tetapi tidak semua orang menyambutnya dengan antusias. Banyak tokoh teknologi terkenal telah menyatakan keprihatinan mereka atas risiko yang terkait dengannya dan ada ketakutan yang sahih tentang kecerdasan buatan yang lebih berbahaya daripada kebaikan. Misalnya, ada laporan AI membantu penjahat dunia maya menghasilkan malware yang kurang terdeteksi.
Sangat meyakinkan untuk mengetahui bahwa cybersecurity adalah salah satu pengadopsi awal dalam memanfaatkan manfaat kecerdasan buatan. Perusahaan keamanan siber telah mengembangkan cara untuk mengintegrasikan AI ke dalam kemampuan deteksi, mitigasi, dan pencegahan mereka. Informasi keamanan dan manajemen acara generasi berikutnya (SIEM), khususnya, mendapatkan daya tarik karena organisasi mencoba untuk mengikuti agresivitas dan kompleksitas ancaman dunia maya yang semakin meningkat.
Next Gen SIEM: Mengatasi keterbatasan SIEM
SIEM telah ada selama hampir dua dekade. Diperkenalkan pada tahun 2005, solusi keamanan ini menyatukan keunggulan sistem manajemen log dan peristiwa, yang dulunya berbeda. Itu menjadi dasar dari sebagian besar proses keamanan di pusat operasi keamanan (SOC). Ini memungkinkan organisasi untuk meningkatkan pemantauan ancaman dan kemampuan penanganan serangan mereka dengan memanfaatkan sejumlah besar data terkait keamanan yang diperoleh di berbagai titik.
Namun, karena lanskap ancaman berubah, SIEM tidak lagi memberikan manfaat yang terkait dengannya. Itu telah dilanda oleh masalah log overload dan skalabilitas, karena jaringan berkembang secara eksponensial dan infrastruktur TI bergerak menuju pengaturan cloud dan hybrid. Semakin kompleksnya penerapan dan konfigurasi jaringan juga membuat sulit untuk mengikuti ancaman tingkat lanjut dan terus-menerus. Selain itu, SIEM tradisional tidak efektif melawan serangan zero-day karena aturannya dan ketergantungan tanda tangan ancamannya, kesadaran kontekstual yang tidak memadai, dan kurangnya respons insiden waktu-nyata.
SIEM generasi berikutnya mengatasi kelemahan ini dengan bantuan teknologi dan strategi baru, termasuk analitik perilaku, intelijen kontekstual dan integrasi intelijen ancaman, pemantauan waktu nyata dan respons insiden, otomatisasi, skalabilitas yang lebih baik, dan fleksibilitas, terintegrasi dengan teknologi keamanan siber canggih lainnya, dan terutama, kecerdasan buatan mesin.
Bagaimana kecerdasan buatan membantu
Kecerdasan buatan adalah salah satu peningkatan utama dalam SIEM generasi berikutnya. Ini membawa serta kemampuan yang menargetkan kelemahan penting, terutama mengingat generasi yang cepat dan evolusi serangan. Penjahat dunia maya saat ini dapat dengan cepat menghasilkan malware dan memindai kerentanan dengan bantuan teknologi baru, khususnya AI. Masuk akal untuk memanfaatkan AI untuk mengoptimalkan pertahanan dunia maya.
Mengatasi ketergantungan yang berlebihan pada aturan dan tanda tangan ancaman
Ketergantungan pada aturan yang telah ditetapkan dan identifikasi ancaman (tanda tangan) telah menjadi salah satu kelemahan terbesar dari SIEM konvensional. Sistem gagal mendeteksi dan mencegah serangan zero-day karena tidak memiliki informasi tentang serangan tersebut. Dalam beberapa kasus, informasi ancaman datang terlambat, yang berarti kerusakan telah terjadi.
Kecerdasan buatan digunakan dalam sejumlah teknologi keamanan seperti analisis perilaku pengguna dan entitas (UEBA), antivirus generasi berikutnya (NGAV), dan deteksi dan respons yang diperluas (XDR). Solusi canggih ini melampaui aturan identifikasi dan deteksi ancaman. Mereka memeriksa faktor lain untuk menemukan anomali atau penyimpangan dari pola aktivitas yang dianggap biasa atau aman.
UEBA, misalnya, menggunakan teknik pembelajaran mesin seperti jaringan Bayesian, pembelajaran terawasi dan tidak terawasi, pembelajaran penguatan, dan pembelajaran mendalam untuk menjadi lebih efektif dalam mendeteksi ancaman, termasuk yang ditimbulkan oleh orang dalam. Dengan NGAV, sistem menggunakan sistem pembelajaran mesin yang dapat melakukan analisis string, analisis N-gram, entropi, analisis perintah API, visualisasi konten biner, dan grafik alur kontrol untuk mendeteksi ancaman secara lebih efektif, terutama yang tidak dikenal.
Di XDR, kecerdasan buatan digunakan untuk menganalisis data intelijen ancaman bersama dengan telemetri dari sistem TI, melakukan analisis mendalam terhadap data dinamis, melakukan kueri real-time dan menjalankan model pelatihan berdasarkan data mentah dan tidak terstruktur, serta menggunakan pengklasifikasi untuk mengantisipasi menyerang dan menentukan respon yang paling tepat.
Memberikan kesadaran kontekstual
Kesadaran kontekstual tidak sepenuhnya absen dalam SIEM tradisional, karena peristiwa keamanan dan log dapat dikorelasikan dari berbagai sumber. Namun, melakukannya bisa menjadi tugas yang membosankan tanpa SIEM menyajikan semuanya dengan mudah dan menyediakan alat yang diperlukan untuk perbandingan dan analisis cepat. Dengan SIEM generasi berikutnya, secara signifikan lebih mudah untuk memeriksa konteks dengan AI yang dengan cepat menjalankan analitik lanjutan, pembuatan profil pengguna, pengayaan kontekstual, integrasi intelijen ancaman, analitik Big Data, serta integrasi titik akhir dan respons deteksi.
Salah satu manfaat terbesar dari kesadaran kontekstual adalah pengurangan positif palsu yang cukup besar. Seringkali, SIEM salah menandai aktivitas sebagai ancaman karena pengaturan deteksi yang salah, kebanyakan terlalu konservatif. Kecerdasan buatan membantu mengatasi kelemahan ini dengan menghubungkan data keamanan dari berbagai sumber dan memastikan bahwa hanya ancaman asli yang ditandai. Demikian pula, alamat negatif palsu atau salah identifikasi ancaman sebagai tidak berbahaya.
Contoh positif palsu yang tinggi mungkin tampak tidak berbahaya, tetapi dapat mencegah SOC menangani ancaman yang lebih mendesak. Banjir peringatan keamanan positif palsu membuat sulit untuk menanggapi insiden keamanan penting secara tepat waktu. Mereka juga dapat menyebabkan keletihan waspada, yang mengakibatkan hilangnya ancaman dan tim keamanan siber yang terlalu banyak bekerja.
Mendukung respons waktu nyata
Salah satu tujuan informasi keamanan dan manajemen kejadian, ketika dikembangkan, adalah untuk mempercepat respons terhadap ancaman. Sayangnya, dengan volume data yang sangat besar yang dihasilkan saat ini, sangat sulit untuk segera mengatasi ancaman, apalagi mendapatkan respons waktu nyata. Memeriksa semua data yang relevan dengan keamanan adalah tugas yang sangat menantang, terutama untuk jaringan yang memiliki banyak perangkat yang terhubung. Setiap perangkat dapat menghasilkan data yang menambah kumpulan informasi keamanan yang harus dievaluasi oleh tim keamanan siber.
AI memungkinkan beberapa bentuk triase peringatan cerdas, di mana peringatan diperiksa keamanan dan dampaknya untuk memastikan bahwa tim keamanan dapat memfokuskan upaya mereka pada insiden yang paling mendesak dan kritis. SIEM generasi berikutnya yang didukung AI memungkinkan untuk mengontekstualisasikan data dan memprioritaskannya sesuai dengan itu, secara signifikan mengurangi jumlah data keamanan yang memerlukan evaluasi manusia. Ini memastikan bahwa peringatan yang paling kritis ditangani terlebih dahulu untuk mencegahnya menjadi masalah yang lebih buruk.
Selain itu, kecerdasan buatan memungkinkan otomatisasi dan orkestrasi. Bersama dengan solusi keamanan lainnya seperti platform intelijen ancaman dan solusi manajemen insiden terpusat, SIEM yang digerakkan oleh AI dapat secara otomatis merespons peringatan tertentu dan hanya memberikan peringatan ancaman yang lebih kompleks kepada analis keamanan siber manusia.
Deteksi dan pencegahan ancaman yang lebih cerdas
SIEM generasi berikutnya menawarkan kemampuan deteksi dan pencegahan ancaman yang jauh lebih baik dengan fungsi deteksi ancaman lanjutan, analisis perilaku, korelasi informasi keamanan, dan fungsi respons waktu nyata. Ini bukan solusi keamanan siber yang sempurna, tetapi dengan bantuan kecerdasan buatan, solusi ini dapat berbuat lebih banyak untuk menjawab tantangan baru yang ditimbulkan oleh lanskap ancaman siber modern.
Seperti klise, AI memiliki pro dan kontra. Namun, itu adalah kenyataan yang tak terhindarkan yang harus dihadapi semua orang. Cara terbaik untuk hidup berdampingan dengannya adalah memastikannya digunakan untuk tujuan yang benar, dan salah satu cara untuk melakukannya adalah dengan memanfaatkan AI dalam keamanan siber melalui SIEM generasi berikutnya. Ini adalah salah satu dari banyak cara untuk memanfaatkan AI dan menanggapi ancaman dunia maya yang memburuk secara cerdas dan efisien.
Kredit Foto: Foto foton/Shutterstock
Peter Davidson bekerja sebagai rekan bisnis senior membantu merek dan memulai untuk membuat keputusan bisnis yang efisien dan merencanakan strategi bisnis yang tepat. Dia adalah penggila gadget besar yang suka berbagi pandangannya tentang teknologi dan aplikasi terbaru.
