Author: hadi s

Tantangan yang dihadapi oleh Security Operations Centers (SOC) semakin berkembang seiring dengan semakin kompleksnya lanskap keamanan siber. Analis dibebani dengan terlalu banyak pemberitahuan, alur kerja yang sudah usang, dan alat yang tidak terhubung, yang membuatnya semakin sulit untuk tetap unggul dalam menghadapi ancaman canggih. Di Exabeam, kami mengubah itu. Hari ini, kami meluncurkan Exabeam New-Scale Analytics dan pembaruan pada Automation Management, dua solusi yang akan meningkatkan standar operasi SOC. Rilis ini lebih dari sekadar pembaruan—ini memperkenalkan pendekatan baru dalam deteksi ancaman, investigasi, dan respons (TDIR). Dengan fitur-fitur seperti penilaian risiko dinamis, kompatibilitas dengan Open API Standard (OAS), dan integrasi telemetri jaringan tingkat lanjut, Exabeam menghadirkan platform yang menjadikan SOC lebih cerdas, lebih cepat, dan lebih efisien.   Manfaat Utama dari Rilis Ini Meningkatkan Deteksi Ancaman dengan Analitik Tingkat Lanjut Exabeam New-Scale Analytics memanfaatkan pembelajaran mesin dan analisis perilaku untuk mengungkap ancaman yang sering kali terlewatkan oleh SIEM tradisional. Penilaian risiko multi-lapis mempertimbangkan variabel dinamis seperti perilaku pengguna dan lokasi, memastikan Anda fokus pada ancaman yang paling mendesak.        2. Mengotomatiskan Segalanya dengan Dukungan Open API Pertama di Industri Exabeam Automation Management adalah platform SOC pertama yang mendukung Open API Standard (OAS), memberikan kekuatan kepada analis untuk membuat automasi tanpa kode yang terintegrasi dengan mulus dengan alat pihak ketiga. Ini menghilangkan proses manual dan mempercepat waktu respons.        3. Menghilangkan Kelelahan Pemberitahuan Dengan mengurangi kebisingan dan memprioritaskan pemberitahuan dengan akurasi yang tak tertandingi, Exabeam membantu analis menghabiskan lebih sedikit waktu untuk menyaring positif palsu dan lebih banyak waktu untuk menyelesaikan ancaman yang sah.       4. Menyatukan Operasi Keamanan Exabeam menghadirkan arsitektur berbasis cloud yang mengintegrasikan manajemen log, Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA), Threat Detection, Investigation, and Response (TDIR), serta Security Orchestration, Automation, and Response (SOAR). Platform end-to-end Exabeam menghilangkan silo dan dengan mudah berkembang untuk memenuhi kebutuhan yang terus berkembang, sambil memberikan pengalaman terpadu yang tak tertandingi bagi analis dan insinyur keamanan. Sorotan Fitur: Apa yang Membuat Rilis Ini Berbeda        5. Penilaian Risiko Multi-Lapis Pemberitahuan yang berlebihan dan aturan statis kini menjadi hal yang lalu. Penilaian risiko kami beradaptasi secara dinamis berdasarkan faktor kontekstual dan bisnis seperti peran pengguna dan lokasi. Dengan mengotomatiskan korelasi peristiwa, New-Scale Analytics memberikan akurasi yang tak tertandingi dalam mendeteksi ancaman dari dalam dan serangan berbasis kredensial.        6. Standar Open API untuk Automasi Automation Management meningkatkan produktivitas SOC ke level baru dengan dukungan OAS. Analis dapat dengan cepat menambahkan ribuan integrasi pihak ketiga dan membangun automasi tanpa perlu menulis kode. Bagi insinyur yang lebih suka kontrol lebih, Automation Management juga mendukung pembuatan integrasi dasar dan lanjutan menggunakan Python atau antarmuka klik-titik tanpa kode.        7. Triase Kasus Dinamis Investigasi yang terfragmentasi bukan lagi masalah. Sistem triase baru kami secara otomatis membuat kasus, mengelompokkan pemberitahuan, dan memasukkan data peristiwa yang datang terlambat, memastikan kasus Anda tetap terkini dan dapat ditindaklanjuti. Sistem otomatis ini mengurangi risiko dan memastikan analis dapat fokus pada deteksi ancaman yang akurat dan respons yang efisien.        8. Integrasi Telemetri Jaringan Platform New-Scale sekarang mendukung NetMon, menambahkan visibilitas jaringan yang mendalam ke kemampuan deteksi Anda. Dengan menganalisis anomali dalam lalu lintas jaringan, kami memberi Anda dimensi wawasan baru tentang potensi ancaman.        9. Pengalaman Pengembang yang Ditingkatkan Panduan Pengembang yang baru, Developer Playbook Designer, adalah perubahan besar dalam membangun otomatisasi. Dengan antarmuka modular dan klik-titik, bahkan pengguna non-teknis dapat membuat alur kerja yang kompleks. Untuk kasus penggunaan lanjutan, platform kami mendukung skrip Python dan kontrol versi.   Mengapa Ini Penting: Mengatasi Tantangan SOC yang Sebenarnya Alur Kerja yang Terpecah Tim SOC sering kesulitan untuk mengintegrasikan alat yang terpisah, yang menyebabkan ketidakefisienan dan peluang yang terlewatkan. Pendekatan terpadu dari platform kami menyelesaikan masalah ini dengan menawarkan interoperabilitas yang mulus di seluruh investasi keamanan Anda.   Banjir Peringatan SIEM tradisional membanjiri analis dengan peringatan yang tidak relevan. Dengan memprioritaskan peringatan berdasarkan pemeringkatan risiko dinamis, solusi kami memotong kebisingan, membantu tim untuk fokus pada ancaman yang sah.   Kasus Statis Sebagian besar SIEM membuat kasus insiden statis, memaksa analis untuk mundur dan menyatukan peristiwa terkait. Triage kasus dinamis kami memastikan investigasi berkembang seiring data baru masuk, menjaga SOC Anda tetap gesit dan efektif.   Hasil Nyata, Dampak Nyata Bayangkan mengurangi waktu respons insiden hingga setengahnya. Bayangkan analis Anda fokus pada ancaman prioritas tinggi alih-alih mengejar positif palsu. Dengan New-Scale Analytics dan Automation Management, Exabeam mewujudkan visi ini. Pengguna awal dan mitra desain kami sudah melaporkan peningkatan dramatis dalam produktivitas SOC dan akurasi deteksi ancaman.   Kesimpulan: Siap untuk Mengubah SOC Anda? Masa depan operasi keamanan sudah di sini, dan dimulai dengan Exabeam. New-Scale Analytics dan Automation Management memberikan alat yang Anda perlukan untuk tetap unggul dalam menghadapi ancaman yang berkembang, merampingkan alur kerja Anda, dan membuka potensi penuh SOC Anda. Lihat Catatan Rilis untuk daftar fitur lengkap yang diluncurkan. Rilis Exabeam Januari 2024 lebih dari sekadar pembaruan—ini adalah perubahan besar. Bergabunglah dengan kami saat kami menetapkan standar baru untuk efisiensi dan efektivitas SOC. Hubungi kami Logrhythm Indonesia untuk demo, POC. Kami siap untuk membantu mengamankan jaringan anda.

Saat kita memandang ke tahun 2025, lanskap keamanan siber diperkirakan akan tetap dinamis dan tidak dapat diprediksi. Dengan meningkatnya ketegangan geopolitik, maraknya serangan siber yang lebih canggih, dan lingkungan regulasi yang berkembang pesat, organisasi di seluruh dunia sedang mempersiapkan diri untuk gelombang ancaman dan peluang baru. Blog ini mengeksplorasi sembilan tren yang muncul yang dapat menentukan masa depan keamanan siber, mulai dari serangan “living off the land” dan rekayasa sosial deepfake hingga perubahan regulasi yang revolusioner dan ancaman yang semakin meningkat terhadap infrastruktur kritis. Setiap tren ini menantang kita untuk berpikir lebih jauh dari horizon yang ada, mengantisipasi risiko yang kompleks, dan memperkuat pertahanan kita untuk membangun masa depan digital yang lebih aman.   #1 – Ketegangan Geopolitik Memicu Serangan “Living Off the Land” Pada tahun 2025, kita dapat mengharapkan peningkatan serangan “living off the land”, di mana penyerang memanfaatkan alat dan proses sah yang ada dalam jaringan organisasi untuk menghindari deteksi. Seiring dengan meningkatnya ketegangan geopolitik, para penjahat siber dari negara-negara seperti Rusia, China, dan Iran kemungkinan akan meningkatkan penggunaan teknik ini, menyebar melalui jaringan, membangun banyak pintu belakang, dan memastikan mereka dapat kembali masuk jika titik akses awal terputus. Seiring dengan semakin canggihnya serangan ini, organisasi akan perlu menyempurnakan kemampuan mereka untuk membedakan antara operasi normal dan penyimpangan yang halus, dengan fokus pada perilaku dasar dan deteksi anomali. Penegak hukum dan agen keamanan siber, termasuk CISA, FBI, dan NSA, harus memperkuat upaya mereka untuk melawan ancaman yang berkembang ini, memastikan mereka dapat mengantisipasi dan mengurangi penyusupan yang licik seperti itu.   #2 – Gugatan Kelas Terkait Pelanggaran: CISOs Tidak Lagi Menjadi Sasaran Kemarahan Pada tahun yang akan datang, peran CISO akan beralih dari menjadi sasaran penyalahgunaan menjadi mitra strategis dalam mengelola dan menjelaskan insiden terkait pelanggaran. Dalam beberapa tahun terakhir, kita telah melihat para CISO menghadapi konsekuensi pribadi dan sepenuhnya disalahkan setelah serangan siber. Namun, di tahun mendatang, organisasi mulai mengenali CISO sebagai ‘Chief Explainers to Attacks’. Alih-alih menerima kesalahan atas pelanggaran, peran ini akan perlu menjelaskan nuansa dan kompleksitas dari pelanggaran yang terjadi, strategi pertahanan, serta keputusan terkait manajemen risiko. Perubahan ini mencerminkan pemahaman yang lebih luas bahwa insiden siber sering kali berasal dari masalah sistemik daripada kegagalan individu. Sebagai hasilnya, CISO akan bekerja sama dengan tim hukum dan eksekutif untuk mengatasi kerentanannya, mempromosikan transparansi, dan membimbing postur keamanan siber perusahaan, memastikan mereka dipandang sebagai mitra yang esensial dalam ketahanan daripada beban.   #3 – Tahun 2025 Akan Membawa Gelombang Serangan Triple Extortion yang Menargetkan Mitra dan Anak Perusahaan Hacker semakin serakah dan canggih. Pada tahun 2025, perusahaan tidak hanya akan menghadapi pencurian data dan permintaan tebusan—mereka juga akan melihat para penyerang memeras mitra, pemasok, dan bahkan pelanggan mereka. Setelah mengunci sistem dan mencuri data, hacker akan memeras tidak hanya perusahaan yang menjadi korban, tetapi juga seluruh ekosistem yang mereka kerjakan, dengan menuntut tebusan dari organisasi manapun yang memiliki hubungan dengan korban. Triple extortion akan menjadi metode terbaru untuk memaksimalkan keuntungan dari satu serangan, menyebabkan kekacauan di seluruh rantai pasokan.   #4 – Serangan Siber pada Infrastruktur Kritis Akan Mencapai Tingkat Krisis, Mengancam untuk Menstabilkan Seluruh Negara Serangan siber besar-besaran pada infrastruktur kritis—seperti jaringan listrik, utilitas, dan sistem kesehatan—akan mencapai tingkat yang belum pernah terjadi sebelumnya. Seiring dengan meningkatnya ketegangan geopolitik dan semakin berani para penjahat siber, penyerang akan semakin menargetkan layanan penting yang dapat melumpuhkan seluruh negara. Serangan-serangan ini akan dirancang untuk memaksimalkan gangguan dan memaksa korban untuk membayar tebusan yang besar.   #5 – Ketidakberdayaan Pemerintah Federal Akan Memaksa Negara Bagian di AS untuk Memimpin Regulasi AI Ketidakhadiran undang-undang privasi data dan AI yang komprehensif di tingkat federal akan membuat negara-negara bagian mengambil alih kendali. California, Colorado, dan negara bagian lainnya akan terus memperkenalkan regulasi AI, memaksa perusahaan untuk menavigasi standar hukum yang rumit. Seiring dengan semakin kuatnya integrasi AI dalam operasi bisnis, ketidakhadiran kerangka nasional akan menciptakan tantangan kepatuhan di berbagai industri. Tanpa tindakan cepat dari pemerintah federal, kita akan melihat lebih banyak negara bagian yang memberlakukan undang-undang penggunaan AI, dan perusahaan akan terjebak dalam lanskap regulasi yang semakin terfragmentasi.   #6 – Deepfakes Akan Memicu Gelombang Baru Serangan Rekayasa Sosial yang Menghancurkan Tidak lagi sekadar risiko teoretis, deepfake berbasis video akan terus berkembang menjadi hampir tidak dapat dibedakan dari kenyataan. Teknologi ini akan dijadikan senjata dalam serangan rekayasa sosial, memungkinkan para penjahat untuk menyamar sebagai eksekutif, memalsukan transaksi bernilai tinggi, dan menarik pembayaran besar dari korban yang tidak curiga. Dengan kemampuan AI yang dapat menghasilkan deepfakes luar biasa hanya dengan menekan tombol, potensi penipuan finansial akan meledak, memaksa organisasi untuk memikirkan ulang bagaimana mereka memverifikasi identitas dalam dunia yang semakin penuh dengan penipuan.   #7 – Siklus Eksploitasi yang Dipercepat Dengan kemampuan AI untuk mengidentifikasi kelemahan lebih cepat daripada yang bisa dilakukan manusia, waktu dari penemuan kerentanannya hingga eksploitasi akan menyusut secara signifikan. Penyerang akan memanfaatkan AI untuk mengotomatiskan penyusunan dan penerapan eksploitasi, membangun strategi serangan yang lebih kompleks dan ancaman yang semakin meningkat. Untuk tetap unggul, organisasi harus mengadopsi kemampuan prediktif AI dalam kerangka kerja keamanan siber mereka. Memanfaatkan alat yang menggunakan AI untuk mensimulasikan vektor serangan akan memungkinkan tim untuk mengidentifikasi dan memperbaiki kerentanannya secara proaktif, menjaga satu langkah di depan aktor ancaman. #8 – Adopsi dan Evolusi Software Bill of Materials (SBOM) pada 2025 Pada 2025, adopsi SBOM akan meluas melampaui perangkat lunak tradisional, dengan aplikasi AI dan ML yang mendorong permintaan untuk kerangka BOM yang lebih maju. Konsep seperti ML-BOM (sebagaimana didefinisikan oleh CycloneDX) perlu berevolusi dengan cepat untuk menangani kerumitan aplikasi LLM modern. Model-model ini bergantung pada rantai pasokan dinamis dan seringkali tidak transparan, di mana setiap komponen ML, set data, dan algoritma dapat memperkenalkan kerentanannya yang unik. Untuk organisasi pemerintah dan pertahanan, mengelola kompleksitas ini secara efektif akan membutuhkan standar ML-BOM yang lebih diperluas yang dapat mengakomodasi pembaruan berkelanjutan, ketergantungan yang kompleks, dan pelacakan asal-usul di seluruh sistem AI dan ML. Mencapai interoperabilitas di seluruh ekosistem akan tetap penting, tetapi otomatisasi, dikombinasikan dengan standar regulasi yang muncul, akan memainkan peran penting dalam menjaga kepatuhan dan keamanan di seluruh rantai pasokan AI yang semakin kompleks. #9 –…

LogRhythm Intelligence: Meningkatkan Keamanan dengan AI dalam SIEM Produk Security Information and Event Management (SIEM) sangat penting bagi tim keamanan. Namun, seiring pertumbuhan organisasi, jumlah data yang perlu dipantau dan kompleksitas lingkungan IT juga meningkat. Selain itu, sebagian besar pelanggaran melibatkan pencurian atau penyalahgunaan kredensial yang terlihat sebagai aktivitas anomali di titik akhir, server, dan aplikasi, yang bisa sulit terdeteksi. Itulah sebabnya kami mengembangkan LogRhythm Intelligence, sebuah add-on berbasis cloud untuk LogRhythm SIEM yang mendeteksi perilaku untuk meningkatkan aktivitas pengguna dan host yang mencurigakan dalam antarmuka LogRhythm SIEM. LogRhythm Intelligence adalah penawaran baru pertama dari Exabeam yang “baru”, dan kami sangat bersemangat untuk membagikannya dengan Anda. Selain itu, versi terbaru LogRhythm SIEM memperlihatkan upaya kami untuk membuat produk lebih kuat dan terus memindahkan lebih banyak fungsionalitas ke konsol web. Memperkenalkan LogRhythm Intelligence LogRhythm Intelligence menggunakan machine learning (ML) untuk menganalisis data LogRhythm SIEM dan mendeteksi anomali yang bisa menunjukkan ancaman dari dalam, akun yang terkompromi, penyalahgunaan hak administrator, dan penyalahgunaan kredensial. LogRhythm Intelligence bekerja dengan menetapkan dasar perilaku pengguna dan perangkat, lalu secara otomatis memberi skor pada peristiwa berdasarkan tingkat risikonya. Dengan wawasan dari 795 model perilaku dan 1.800 aturan berbasis fakta, analis dapat memanfaatkan deteksi dan pemantauan berbasis ML untuk membangun pencarian, dasbor, laporan, dan menggunakan orkestrasi keamanan serta respons otomatis (SOAR) dalam LogRhythm SIEM. Ini mengurangi kebutuhan untuk pembuatan aturan manual dan mengurangi tingkat positif palsu. LogRhythm Intelligence berfungsi sebagai sumber log perilaku entitas pengguna yang canggih, memungkinkan analis untuk mengintegrasikan analitik perilaku entitas dan pengguna (UEBA) ke dalam alur kerja mereka tanpa meninggalkan antarmuka LogRhythm SIEM. Untuk mempelajari lebih lanjut tentang LogRhythm Intelligence, baca lembar data produk atau jadwalkan demo. LogRhythm SIEM: Pengelolaan Syslog Tertunda di Konsol Web Kami terus berusaha untuk memudahkan pekerjaan analis, itulah sebabnya kami terus memindahkan lebih banyak fitur dan fungsionalitas dari Konsol Klien ke Konsol Web. Pada kuartal ini, kami menambahkan fungsi berikut di Konsol Web: Mengelola sumber log yang tertunda Menerima, menolak, dan menghapus sumber log yang tertunda Menangani sumber log yang tertunda dalam kelompok melalui Admin API Dengan menambahkan fitur-fitur ini, analis dapat langsung melihat sumber log yang tertunda, mempercepat proses onboarding, dan administrator kini dapat mengedit sumber log dengan lebih efisien melalui API. LogRhythm SIEM: Peningkatan Dasar Untuk lebih memperkuat upaya kami menjadikan LogRhythm SIEM sebagai SIEM self-hosted paling kuat di pasar, kami terus meningkatkan platform ini. Pada kuartal ini, kami merilis versi baru dari Elastic Search dan layanan Advanced Intelligence Engine untuk meningkatkan analitik, memungkinkan deteksi ancaman, investigasi, dan respons (TDIR) yang lebih cepat dan lebih akurat. Hasilnya termasuk: Peningkatan hingga 50% dalam throughput saluran deteksi Pemrosesan aturan pencocokan pola hingga 10x lebih cepat Pemuatan sumber log di konsol klien yang 87% lebih cepat Pada kuartal ini, kami juga menambahkan dukungan untuk lebih dari 60 sumber log baru dan yang ditingkatkan, termasuk Rubrik, Anomali, dan Akamai, memperluas pustaka kami menjadi lebih dari 1.000 sumber log yang sudah dikemas sebelumnya. Untuk daftar lengkap fitur dalam rilis kuartal ini, silakan merujuk ke Catatan Rilis LogRhythm SIEM atau periksa dalam produk. Tetap terupdate dengan berita terbaru dengan mengunjungi exabeam.com/whats-new. Untuk mempelajari lebih lanjut tentang LogRhythm SIEM, baca lembar data produk atau jadwalkan demo di sini.

Sebagai pengingat, kami lebih memahami true positive (TP) pada bagian pertama dari seri kami. Sekarang, rumus untuk true positive rate (TPR) adalah sebagai berikut: TPR = (TP + TP:B + TP:AR) ÷ (TP + TP:AR + TP:B + FP) Dengan false positive (FP) didefinisikan sebagai: FP = Total alert – (TP + TP:AR + TP:B) Penjelasan singkat: TP (True Positive) adalah jumlah ancaman yang benar-benar terdeteksi dan diklasifikasikan dengan benar sebagai ancaman. TP:B (True Positive: Behavioral) merujuk pada deteksi ancaman yang benar berdasarkan perilaku atau pola yang teridentifikasi. TP:AR (True Positive: Anomaly Recognition) adalah deteksi yang benar berdasarkan pengenalan anomali. FP (False Positive) adalah jumlah peringatan yang tidak valid atau yang salah terdeteksi sebagai ancaman, meskipun tidak ada ancaman yang nyata. Rumus ini memberi gambaran yang lebih jelas tentang efektivitas sistem deteksi dalam mengidentifikasi ancaman yang sebenarnya, serta mengukur seberapa sering sistem mengeluarkan peringatan yang salah (positif palsu). Jalur pengukuran dan pekerjaan Definisi baru untuk TPR dan FP di atas menciptakan jalur pengukuran dan pekerjaan sebagai berikut: True Positive Rate (TPR): Ini adalah metrik yang dapat dilaporkan, yang dibagi lagi menjadi wawasan yang lebih terperinci, seperti: Security Tool TPR: Kinerja TPR dari alat keamanan individu (misalnya, TPR CrowdStrike vs. TPR Exabeam). SOC Analyst TPR: Kami dapat melacak true positive yang dilaporkan oleh analis dibandingkan dengan tren overall true positive untuk mengidentifikasi analis yang berperforma lebih rendah atau lebih tinggi. Department TPR: TPR yang dibagi berdasarkan departemen organisasi untuk melihat apakah departemen tertentu lebih “berisiko” daripada yang lain. Apakah mereka cenderung menghasilkan lebih banyak true positive dibandingkan dengan departemen lainnya? Individual Rule TPR: Kinerja aturan keamanan tertentu. Apakah itu menghasilkan TPR yang lebih rendah dibandingkan dengan program lainnya? Jika ya, itu adalah kandidat yang baik untuk penyesuaian. Ini juga bisa diterapkan pada insinyur yang membuat alat-alat tersebut! False Positive (FP): Ini adalah pekerjaan prioritas kami. Kami bertujuan untuk mendekatkan pengukuran ini ke angka nol sebanyak mungkin. Sangat penting juga untuk memastikan bahwa tidak ada true positive yang tercampur dalam angka ini. Buat alur umpan balik di mana analis senior memeriksa false positive. True Positive (TP): Prioritas sekunder kami adalah menghasilkan alert berkualitas tinggi yang menghasilkan true positive secara konsisten. Saya tidak bisa menekankan cukup bahwa ini adalah pengukuran, bukan metrik. Tujuan di sini adalah untuk meningkatkan COUNT total true positive. Kami bisa menggunakan pengukuran lainnya untuk meningkatkan TPR keseluruhan kami. True Positive: Accepted Risk (TP:AR): Tidak banyak yang perlu dilakukan di sini selain memberi tekanan pada program pengecualian Anda. Risiko yang diterima bisa membawa tanggung jawab perusahaan dan pribadi, sehingga ini harus dipahami dengan baik dan memiliki rantai pengawasan untuk risiko yang diketahui dan diterima. True Positive: Benign (TP:B): Ini adalah area abu-abu yang dapat dievaluasi berdasarkan program per program. Jika Anda memiliki bandwidth untuk menangani volume alert yang lebih tinggi, memiliki TP:B yang lebih tinggi akan memberi Anda wawasan yang lebih baik tentang lingkungan Anda dan mengurangi false negative. Jika tidak, ini merupakan angka yang bisa disesuaikan. Tentukan alert mana yang berkontribusi paling besar pada tingkat ini dan sesuaikan dari sana. Pada akhirnya, ini bukan panduan lengkap tentang semua hal yang berkaitan dengan true positive vs. false positive. Namun, ini harus diperlakukan sebagai pengantar untuk membantu Anda mempertimbangkan bagaimana menggunakan metrik yang cukup kuat ini dalam program Anda. Polling Menarik Rekan industri saya, Josh Johnston, baru-baru ini melakukan polling terhadap koneksi LinkedIn-nya untuk memahami tingkat true positive (TPR) orang lain dalam program keamanan mereka. Ada 49 responden dari berbagai disiplin ilmu, tingkat keterampilan, dan industri. Berikut adalah polling yang disajikan di LinkedIn: Hasil polling: Polling ini (meskipun terbatas) mulai mengonfirmasi salah satu hipotesis saya tentang tingkat true positive. Adalah hal yang normal bagi tingkat ini untuk sangat rendah. Perasaan saya adalah bahwa sebagian besar program keamanan memiliki tingkat positif sekitar 3% atau kurang. Jika Anda mulai memecah berapa banyak alert yang Anda miliki setiap hari dalam program Anda, tingkat true positive 3% akan mengatakan bahwa untuk setiap 97 alert false positive, Anda mendapatkan tiga yang dapat ditindaklanjuti. Pikirkan tentang itu: Kita semua pernah memiliki alat yang menghasilkan RIBUAN alert setiap hari… apakah tingkat true positive 3% bahkan realistis? Saya rasa mengasumsikan bahwa beberapa organisasi memiliki tingkat true positive kurang dari <1% tidak akan terlalu berani. Tingkat kurang dari 5% bahkan mungkin menjadi standar di industri. Karena Josh bekerja untuk vendor di industri keamanan siber, kemungkinan besar dia terhubung dengan orang lain yang bekerja untuk vendor keamanan dalam jaringan LinkedIn-nya. Untuk bersenang-senang, dia memecah hasil polling berdasarkan jawaban dari vendor vs. non-vendor; hasilnya membuat saya sedikit tertawa. Berdasarkan polling ini, tidak terlalu berlebihan untuk menyimpulkan bahwa vendor cenderung sangat melebih-lebihkan jumlah true positive yang dihasilkan oleh alat mereka. Tindakan yang disarankan untuk tim keamanan berdasarkan definisi dan observasi yang diperbarui adalah sebagai berikut: Tambahkan klasifikasi baru ke alat kasus Anda. Hitung dan laporkan persentase aktual dari True Positives Rate dan pengukuran yang lebih mendetail untuk lingkungan Anda. Gunakan perhitungan ini untuk melibatkan dan mendidik pimpinan keamanan tentang kualitas peringatan. Evaluasi kembali tindakan dan kebutuhan pelatihan analis berdasarkan tingkat mereka. Buat umpan balik untuk analis agar memberi tahu tim rekayasa keamanan tentang masalah yang sedang berlangsung. Sertakan angka-angka ini dalam diskusi yang sedang berlangsung dengan vendor Anda, khususnya untuk meningkatkan efektivitas platform mereka. Berusaha untuk membagikan perhitungan ini dengan orang lain dalam komunitas pelanggan mereka.

#1 – Peningkatan Kerumitan Serangan yang Ditenagai AI Pada tahun 2025, peretas akan memiliki akses ke alat AI yang sangat maju, yang akan mengubah lanskap ancaman. AI generatif, dengan kemampuan penalaran yang jauh lebih baik, akan memungkinkan penyerang dunia maya untuk menjalankan skema phishing yang sangat realistis, termasuk suara deepfake dan avatar video. Harapkan peniruan yang hampir sempurna secara real-time dan pengujian kerentanannya yang sangat kompleks secara otomatis, yang bisa saja melumpuhkan pertahanan tradisional. Organisasi harus mengimplementasikan alat keamanan yang didorong oleh AI yang terus belajar dan beradaptasi dengan pola serangan yang muncul, terutama untuk menghadapi serangan rekayasa sosial yang canggih. Pelatihan karyawan untuk mengenali ancaman yang didorong oleh AI juga akan menjadi hal yang penting. #2 – Kemampuan Pertahanan yang Ditingkatkan dengan Copilot yang Didukung AI Di bidang pertahanan, copilot AI akan menjadi sangat penting dalam operasi keamanan siber, mempercepat deteksi ancaman, penyelidikan, dan respons. Pada tahun 2025, setiap operator keamanan siber kemungkinan akan dilengkapi dengan copilot AI generatif, yang menyederhanakan analisis kompleks dan memberikan wawasan yang dapat ditindaklanjuti secara real-time. Perusahaan harus mempersiapkan diri untuk mengintegrasikan copilot ini, memastikan kompatibilitas dengan infrastruktur keamanan yang ada, dan melatih operator untuk berkolaborasi secara efektif dengan bantuan AI. Pendekatan manusia-AI ganda ini akan meningkatkan kecepatan dan ketepatan respons, terutama dalam insiden dengan risiko tinggi. #3 – AI yang Ada di Setiap Aspek Operasi Keamanan Meskipun AI sudah umum digunakan dalam alat seperti SIEM dan UEBA, pada tahun 2025, AI generatif akan memperkuat hampir setiap lapisan keamanan siber, mulai dari perlindungan endpoint hingga intelijen ancaman. Keberadaan sistem-sistem ini akan memungkinkan postur keamanan yang jauh lebih dinamis dan tangguh, yang mampu menangani lanskap ancaman yang kompleks dengan kecepatan dan ketepatan. Organisasi harus berinvestasi sekarang dalam sertifikasi dan kerangka kerja keamanan AI, mempersiapkan diri untuk memenuhi persyaratan regulasi dan kepatuhan yang muncul terkait AI dalam keamanan siber. Dasar ini akan menjadi kunci saat lebih banyak sistem AI diintegrasikan ke dalam arsitektur keamanan. #4 – AI Akan Mendegradasikan Pembuatan Malware, Membuka Pintu bagi Kelas Baru Penjahat Siber Pada tahun 2025, Anda tidak perlu menjadi seorang pengkode untuk membuat malware canggih—AI yang akan melakukannya untuk Anda. Model AI generatif yang dilatih khusus untuk menghasilkan kode berbahaya akan berkembang di pasar gelap, memungkinkan siapa saja yang memiliki akses untuk menerapkan ransomware, spyware, dan jenis malware lainnya dengan sedikit usaha. Alat “hacker-in-a-box” ini akan mengotomatisasi segala hal mulai dari penulisan hingga penerapan serangan, mendemokratisasi kejahatan siber dan meningkatkan volume serta keragaman ancaman. #5 – “Zero Trust for AI” Akan Mulai Muncul Sebagai Pembicaraan Keamanan Kunci AI bisa menjadi sekutu yang kuat dalam keamanan, namun juga memperkenalkan risiko baru—terutama ketika pengguna menempatkan kepercayaan tanpa batas pada hasil yang dihasilkannya. Secara buta mempercayai output yang dihasilkan oleh AI akan menjadi kerentanannya yang signifikan bagi organisasi. Hal ini akan menyebabkan munculnya mandat baru dalam dunia siber: “Zero Trust untuk AI.” Berbeda dengan prinsip Zero Trust tradisional, Zero Trust untuk AI bukanlah prediksi untuk masa depan: ini adalah konsep yang siap untuk dibahas sekarang, dengan pendekatan yang lebih mendalam dalam mempercayai AI. Kerangka kerja ini akan mengharuskan organisasi untuk memverifikasi, memvalidasi, dan memeriksa fakta dari hasil AI sebelum membiarkannya mempengaruhi keputusan keamanan penting. Perubahan ini akan mendorong tim keamanan untuk memperkenalkan kepercayaan secara bertahap, memungkinkan integrasi AI yang lebih terkontrol dan aman. Pengawasan manusia akan menjadi komponen yang tidak bisa dinegosiasikan dalam penerapan AI di lingkungan keamanan. #6 – Perang Antara Penyerang yang Memanfaatkan AI dan Pembela yang Didukung AI Akan Meningkat Pelaku jahat akan semakin menggunakan AI generatif untuk menciptakan malware yang dapat berubah bentuk—kode yang beradaptasi dan bermutasi untuk menghindari deteksi, membuat pertahanan tradisional menjadi usang. Jenis malware baru yang dihasilkan oleh AI ini akan lebih efisien dan lebih sulit untuk dilacak. Pada saat yang sama, pembela akan mengandalkan alat AI untuk mempercepat deteksi ancaman, mengajukan pertanyaan yang lebih canggih dan menandai perilaku abnormal dengan lebih cepat. #7 – Analis SOC Tradisional Akan Beralih Keahlian Menjadi Spesialis AI Pada tahun 2025, peran analis pusat operasi keamanan (SOC) tradisional akan cepat berkurang seiring dengan dominasi AI dan pembelajaran mesin dalam mengerjakan tugas-tugas keamanan rutin. Organisasi akan memprioritaskan perekrutan spesialis AI yang dapat menginterpretasikan, mengelola, dan membimbing sistem keamanan canggih yang didorong oleh AI. Peran pemburu ancaman akan meningkat permintaannya, karena keahlian manusia dibutuhkan untuk memberikan konteks dan bertindak berdasarkan wawasan yang dihasilkan oleh AI. Perusahaan tidak akan lagi bergantung pada tim keamanan siber umum, melainkan akan mencari profesional yang sangat terampil untuk tetap unggul dalam menghadapi serangan yang semakin canggih yang didorong oleh AI. Masa depan pekerjaan di bidang keamanan siber akan bergantung pada keahlian manusia yang dipadukan dengan inovasi AI.

Bayangkan Memiliki Tim Profesional Keamanan Siber yang Didedikasikan Khusus untuk Pemburuan Ancaman dalam Perusahaan Bagi sebagian besar CISO dan Security Operations Centers (SOCs), hal ini masih merupakan impian daripada kenyataan. Kenyataannya, keamanan siber tidak menghasilkan pendapatan, sehingga CEO sering kali melihatnya sebagai pusat biaya. Peran Keamanan Informasi adalah untuk mencegah kerugian. Sebagai hasilnya, banyak SOC yang harus beroperasi dengan sumber daya minimal yang diperlukan untuk berfungsi. Karena sebagian besar pengambil keputusan dan analis keamanan harus menggabungkan pemburuan ancaman dengan tugas rutin mereka, pertanyaan penting yang muncul adalah: bagaimana melakukannya dengan cara yang paling efisien dan efektif? Berikut beberapa langkah yang dapat diambil untuk meningkatkan efektivitas pemburuan ancaman dalam organisasi yang memiliki keterbatasan sumber daya: Mengutamakan Prioritas Berdasarkan Risiko Dengan sumber daya yang terbatas, penting untuk mengidentifikasi dan memprioritaskan ancaman berdasarkan tingkat risikonya. Fokuskan pemburuan ancaman pada area yang paling rentan atau paling kritis bagi organisasi. Automatisasi untuk Efisiensi Menggunakan alat otomatisasi untuk menangani tugas-tugas rutin dan deteksi ancaman awal dapat mengurangi beban kerja tim dan mempercepat proses. Dengan demikian, analis dapat lebih fokus pada investigasi yang lebih mendalam dan serangan yang lebih kompleks. Menggunakan Analitik Canggih dan AI Pemanfaatan teknologi analitik berbasis kecerdasan buatan (AI) dan pembelajaran mesin (ML) dapat membantu tim menemukan pola yang mencurigakan dan potensi ancaman dengan lebih cepat. AI dapat mengidentifikasi potensi risiko yang tersembunyi dalam jumlah data besar, mengurangi waktu yang dibutuhkan untuk menemukan ancaman. Kolaborasi dan Pembagian Pengetahuan Mengoptimalkan kolaborasi antar tim dan membagikan wawasan secara efisien antara SOC, tim insiden, dan tim keamanan aplikasi akan mempercepat respons terhadap ancaman. Semakin banyak tim bekerja bersama, semakin cepat ancaman dapat dikenali dan ditanggapi. Pendidikan dan Pelatihan Berkelanjutan Pemburuan ancaman yang efektif bergantung pada keterampilan tim yang terus berkembang. Melakukan pelatihan berkala dan simulasi ancaman dapat membantu tim tetap tajam dan siap menghadapi ancaman yang semakin canggih. Meskipun memiliki tim pemburu ancaman yang berdedikasi penuh adalah tujuan ideal, dengan penerapan strategi yang efisien dan teknologi yang tepat, organisasi dapat mengoptimalkan sumber daya yang ada dan memperkuat pertahanan mereka terhadap ancaman siber. Pemburuan Ancaman yang Kuat Harus Dimulai dengan SIEM yang Kuat Salah satu hambatan terbesar dalam pemburuan ancaman yang sukses di Security Operations Center (SOC) adalah kurangnya proses yang distandarisasi dan terdokumentasi dengan baik. Jika selusin analis mengakses data dengan cara yang berbeda—atau menulis kode mereka sendiri dan membangun alat kustom—mereka akan mencapai kesimpulan yang berbeda meskipun sedang menyelidiki insiden yang sama. Kekurangan konsistensi dan keberulangan ini bisa menjadi bahaya nyata bagi program pemburuan ancaman yang efektif. Untuk mengatasi masalah ini, investasi dalam sistem Security Information and Event Management (SIEM) yang modern dan netral terhadap vendor sangat penting. Sistem SIEM yang baik dapat mengagregasi data dari seluruh lingkungan, memberikan wawasan yang lebih lengkap dan terintegrasi. Serangan yang paling canggih biasanya tidak berasal dari satu insiden saja, melainkan melibatkan serangkaian tindakan seiring waktu, dan melacak timeline ini sangat krusial. Pemburuan ancaman di lingkungan yang terisolasi, seperti Endpoint Detection and Response (EDR), VPN, atau firewall, tidak memberikan visibilitas atau nilai yang dibutuhkan oleh pemburu ancaman saat ini. Untuk infrastruktur yang kompleks dan saling terhubung, SIEM yang mampu menyerap semua log menjadi fondasi yang mendukung pemburuan ancaman yang efektif. Dengan SIEM yang tepat, tim keamanan dapat memantau dan menganalisis seluruh rentang aktivitas, dari permulaan serangan hingga dampaknya, dan mengidentifikasi ancaman yang lebih besar yang tersembunyi di balik serangkaian kejadian. Setiap Celah yang Ditemukan Adalah Peluang untuk Keamanan yang Lebih Kuat Jika visibilitas dan keberulangan adalah hal yang penting untuk program pemburuan ancaman yang tangguh, jelas mengapa solusi SIEM yang canggih adalah suatu keharusan. Namun, Security Operations Center (SOC) perlu melangkah lebih jauh dengan memahami aktivitas dan konteks yang terkait dengan pengguna dan perangkat, untuk mengidentifikasi perilaku yang tidak normal saat itu terjadi. Seperti yang sering dikatakan dalam dunia keamanan siber, “Tidak semua aktivitas anomalous itu berbahaya, tetapi semua aktivitas berbahaya itu anomalous.” User and Entity Behavior Analytics (UEBA) dapat menambah lapisan kuat di atas SIEM. Dengan menggunakan pembelajaran mesin (machine learning), UEBA membangun garis dasar aktivitas normal dan menandai tindakan yang menyimpang darinya. Alat-alat ini memberikan SOC kemampuan yang lebih besar untuk mendeteksi ancaman dalam lingkungan mereka. Yang lebih penting, ketika mereka membantu analis menemukan aktivitas mencurigakan, alat ini juga mengungkapkan kelemahan dalam pertahanan yang ada, yang memungkinkan pihak adversarial untuk lolos dari celah-celah yang ada. Salah satu tujuan utama dari program pemburuan ancaman adalah mengidentifikasi celah-celah dalam tumpukan keamanan. Setiap pemburuan ancaman yang positif—meskipun itu adalah false positive—menyoroti anomali yang tidak terdeteksi oleh sistem dan proses SOC. Hal ini memungkinkan analis untuk menerapkan alat atau proses baru untuk menutup celah-celah ini dan memperkuat postur keamanan organisasi. Namun, untuk menciptakan perubahan yang berarti, pihak lain di luar SOC perlu terlibat. Kerja Sama dan Koordinasi di Seluruh Bisnis Sangat Penting Tidak ada gunanya mengidentifikasi celah keamanan jika tim tidak dapat mendapatkan persetujuan untuk menerapkan solusi yang diperlukan untuk memperbaikinya. Inilah mengapa program pemburuan ancaman terbaik memerlukan dukungan dari tingkat eksekutif. Mengkomunikasikan dampak dan urgensi pemburuan ancaman kepada pembuat keputusan bisnis adalah tugas utama bagi CISO. Namun, dukungan eksekutif bukanlah satu-satunya kolaborasi yang harus dilakukan. SOC juga harus bekerja dengan tim lain yang dapat menyelidiki potensi ancaman berdasarkan intelijen yang dikumpulkan oleh analis. Misalnya, departemen HR bisa menjadi mitra yang berharga dalam program pemburuan ancaman yang efektif. Program pemburuan ancaman yang canggih harus bersifat holistik dan interdisipliner. Pemangku kepentingan di luar tim keamanan perlu terlibat dan berkomitmen. Selain itu, data aktivitas dan log harus dikumpulkan dan dipantau di seluruh lingkungan untuk mendeteksi segala hal mulai dari login yang tidak biasa hingga penyisipan USB yang tidak sah. Inilah mengapa sistem seperti SIEM dan UEBA sangat penting untuk menggabungkan semua informasi ini. Di atas segalanya, pemburuan ancaman harus konsisten dan dapat diulang, sehingga CISO dan pemimpin keamanan senior dapat mengadopsi solusi inovatif yang dapat digunakan dan dipahami oleh analis di semua tingkat. Tim keamanan harus membangun tidak hanya proses mereka, tetapi juga orang-orang mereka, dan solusi terbaik memungkinkan hal itu terjadi.