Tag: Logrhythm

Tantangan yang dihadapi oleh Security Operations Centers (SOC) semakin berkembang seiring dengan semakin kompleksnya lanskap keamanan siber. Analis dibebani dengan terlalu banyak pemberitahuan, alur kerja yang sudah usang, dan alat yang tidak terhubung, yang membuatnya semakin sulit untuk tetap unggul dalam menghadapi ancaman canggih. Di Exabeam, kami mengubah itu. Hari ini, kami meluncurkan Exabeam New-Scale Analytics dan pembaruan pada Automation Management, dua solusi yang akan meningkatkan standar operasi SOC. Rilis ini lebih dari sekadar pembaruan—ini memperkenalkan pendekatan baru dalam deteksi ancaman, investigasi, dan respons (TDIR). Dengan fitur-fitur seperti penilaian risiko dinamis, kompatibilitas dengan Open API Standard (OAS), dan integrasi telemetri jaringan tingkat lanjut, Exabeam menghadirkan platform yang menjadikan SOC lebih cerdas, lebih cepat, dan lebih efisien.   Manfaat Utama dari Rilis Ini Meningkatkan Deteksi Ancaman dengan Analitik Tingkat Lanjut Exabeam New-Scale Analytics memanfaatkan pembelajaran mesin dan analisis perilaku untuk mengungkap ancaman yang sering kali terlewatkan oleh SIEM tradisional. Penilaian risiko multi-lapis mempertimbangkan variabel dinamis seperti perilaku pengguna dan lokasi, memastikan Anda fokus pada ancaman yang paling mendesak.        2. Mengotomatiskan Segalanya dengan Dukungan Open API Pertama di Industri Exabeam Automation Management adalah platform SOC pertama yang mendukung Open API Standard (OAS), memberikan kekuatan kepada analis untuk membuat automasi tanpa kode yang terintegrasi dengan mulus dengan alat pihak ketiga. Ini menghilangkan proses manual dan mempercepat waktu respons.        3. Menghilangkan Kelelahan Pemberitahuan Dengan mengurangi kebisingan dan memprioritaskan pemberitahuan dengan akurasi yang tak tertandingi, Exabeam membantu analis menghabiskan lebih sedikit waktu untuk menyaring positif palsu dan lebih banyak waktu untuk menyelesaikan ancaman yang sah.       4. Menyatukan Operasi Keamanan Exabeam menghadirkan arsitektur berbasis cloud yang mengintegrasikan manajemen log, Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA), Threat Detection, Investigation, and Response (TDIR), serta Security Orchestration, Automation, and Response (SOAR). Platform end-to-end Exabeam menghilangkan silo dan dengan mudah berkembang untuk memenuhi kebutuhan yang terus berkembang, sambil memberikan pengalaman terpadu yang tak tertandingi bagi analis dan insinyur keamanan. Sorotan Fitur: Apa yang Membuat Rilis Ini Berbeda        5. Penilaian Risiko Multi-Lapis Pemberitahuan yang berlebihan dan aturan statis kini menjadi hal yang lalu. Penilaian risiko kami beradaptasi secara dinamis berdasarkan faktor kontekstual dan bisnis seperti peran pengguna dan lokasi. Dengan mengotomatiskan korelasi peristiwa, New-Scale Analytics memberikan akurasi yang tak tertandingi dalam mendeteksi ancaman dari dalam dan serangan berbasis kredensial.        6. Standar Open API untuk Automasi Automation Management meningkatkan produktivitas SOC ke level baru dengan dukungan OAS. Analis dapat dengan cepat menambahkan ribuan integrasi pihak ketiga dan membangun automasi tanpa perlu menulis kode. Bagi insinyur yang lebih suka kontrol lebih, Automation Management juga mendukung pembuatan integrasi dasar dan lanjutan menggunakan Python atau antarmuka klik-titik tanpa kode.        7. Triase Kasus Dinamis Investigasi yang terfragmentasi bukan lagi masalah. Sistem triase baru kami secara otomatis membuat kasus, mengelompokkan pemberitahuan, dan memasukkan data peristiwa yang datang terlambat, memastikan kasus Anda tetap terkini dan dapat ditindaklanjuti. Sistem otomatis ini mengurangi risiko dan memastikan analis dapat fokus pada deteksi ancaman yang akurat dan respons yang efisien.        8. Integrasi Telemetri Jaringan Platform New-Scale sekarang mendukung NetMon, menambahkan visibilitas jaringan yang mendalam ke kemampuan deteksi Anda. Dengan menganalisis anomali dalam lalu lintas jaringan, kami memberi Anda dimensi wawasan baru tentang potensi ancaman.        9. Pengalaman Pengembang yang Ditingkatkan Panduan Pengembang yang baru, Developer Playbook Designer, adalah perubahan besar dalam membangun otomatisasi. Dengan antarmuka modular dan klik-titik, bahkan pengguna non-teknis dapat membuat alur kerja yang kompleks. Untuk kasus penggunaan lanjutan, platform kami mendukung skrip Python dan kontrol versi.   Mengapa Ini Penting: Mengatasi Tantangan SOC yang Sebenarnya Alur Kerja yang Terpecah Tim SOC sering kesulitan untuk mengintegrasikan alat yang terpisah, yang menyebabkan ketidakefisienan dan peluang yang terlewatkan. Pendekatan terpadu dari platform kami menyelesaikan masalah ini dengan menawarkan interoperabilitas yang mulus di seluruh investasi keamanan Anda.   Banjir Peringatan SIEM tradisional membanjiri analis dengan peringatan yang tidak relevan. Dengan memprioritaskan peringatan berdasarkan pemeringkatan risiko dinamis, solusi kami memotong kebisingan, membantu tim untuk fokus pada ancaman yang sah.   Kasus Statis Sebagian besar SIEM membuat kasus insiden statis, memaksa analis untuk mundur dan menyatukan peristiwa terkait. Triage kasus dinamis kami memastikan investigasi berkembang seiring data baru masuk, menjaga SOC Anda tetap gesit dan efektif.   Hasil Nyata, Dampak Nyata Bayangkan mengurangi waktu respons insiden hingga setengahnya. Bayangkan analis Anda fokus pada ancaman prioritas tinggi alih-alih mengejar positif palsu. Dengan New-Scale Analytics dan Automation Management, Exabeam mewujudkan visi ini. Pengguna awal dan mitra desain kami sudah melaporkan peningkatan dramatis dalam produktivitas SOC dan akurasi deteksi ancaman.   Kesimpulan: Siap untuk Mengubah SOC Anda? Masa depan operasi keamanan sudah di sini, dan dimulai dengan Exabeam. New-Scale Analytics dan Automation Management memberikan alat yang Anda perlukan untuk tetap unggul dalam menghadapi ancaman yang berkembang, merampingkan alur kerja Anda, dan membuka potensi penuh SOC Anda. Lihat Catatan Rilis untuk daftar fitur lengkap yang diluncurkan. Rilis Exabeam Januari 2024 lebih dari sekadar pembaruan—ini adalah perubahan besar. Bergabunglah dengan kami saat kami menetapkan standar baru untuk efisiensi dan efektivitas SOC. Hubungi kami Logrhythm Indonesia untuk demo, POC. Kami siap untuk membantu mengamankan jaringan anda.

Saat kita memandang ke tahun 2025, lanskap keamanan siber diperkirakan akan tetap dinamis dan tidak dapat diprediksi. Dengan meningkatnya ketegangan geopolitik, maraknya serangan siber yang lebih canggih, dan lingkungan regulasi yang berkembang pesat, organisasi di seluruh dunia sedang mempersiapkan diri untuk gelombang ancaman dan peluang baru. Blog ini mengeksplorasi sembilan tren yang muncul yang dapat menentukan masa depan keamanan siber, mulai dari serangan “living off the land” dan rekayasa sosial deepfake hingga perubahan regulasi yang revolusioner dan ancaman yang semakin meningkat terhadap infrastruktur kritis. Setiap tren ini menantang kita untuk berpikir lebih jauh dari horizon yang ada, mengantisipasi risiko yang kompleks, dan memperkuat pertahanan kita untuk membangun masa depan digital yang lebih aman.   #1 – Ketegangan Geopolitik Memicu Serangan “Living Off the Land” Pada tahun 2025, kita dapat mengharapkan peningkatan serangan “living off the land”, di mana penyerang memanfaatkan alat dan proses sah yang ada dalam jaringan organisasi untuk menghindari deteksi. Seiring dengan meningkatnya ketegangan geopolitik, para penjahat siber dari negara-negara seperti Rusia, China, dan Iran kemungkinan akan meningkatkan penggunaan teknik ini, menyebar melalui jaringan, membangun banyak pintu belakang, dan memastikan mereka dapat kembali masuk jika titik akses awal terputus. Seiring dengan semakin canggihnya serangan ini, organisasi akan perlu menyempurnakan kemampuan mereka untuk membedakan antara operasi normal dan penyimpangan yang halus, dengan fokus pada perilaku dasar dan deteksi anomali. Penegak hukum dan agen keamanan siber, termasuk CISA, FBI, dan NSA, harus memperkuat upaya mereka untuk melawan ancaman yang berkembang ini, memastikan mereka dapat mengantisipasi dan mengurangi penyusupan yang licik seperti itu.   #2 – Gugatan Kelas Terkait Pelanggaran: CISOs Tidak Lagi Menjadi Sasaran Kemarahan Pada tahun yang akan datang, peran CISO akan beralih dari menjadi sasaran penyalahgunaan menjadi mitra strategis dalam mengelola dan menjelaskan insiden terkait pelanggaran. Dalam beberapa tahun terakhir, kita telah melihat para CISO menghadapi konsekuensi pribadi dan sepenuhnya disalahkan setelah serangan siber. Namun, di tahun mendatang, organisasi mulai mengenali CISO sebagai ‘Chief Explainers to Attacks’. Alih-alih menerima kesalahan atas pelanggaran, peran ini akan perlu menjelaskan nuansa dan kompleksitas dari pelanggaran yang terjadi, strategi pertahanan, serta keputusan terkait manajemen risiko. Perubahan ini mencerminkan pemahaman yang lebih luas bahwa insiden siber sering kali berasal dari masalah sistemik daripada kegagalan individu. Sebagai hasilnya, CISO akan bekerja sama dengan tim hukum dan eksekutif untuk mengatasi kerentanannya, mempromosikan transparansi, dan membimbing postur keamanan siber perusahaan, memastikan mereka dipandang sebagai mitra yang esensial dalam ketahanan daripada beban.   #3 – Tahun 2025 Akan Membawa Gelombang Serangan Triple Extortion yang Menargetkan Mitra dan Anak Perusahaan Hacker semakin serakah dan canggih. Pada tahun 2025, perusahaan tidak hanya akan menghadapi pencurian data dan permintaan tebusan—mereka juga akan melihat para penyerang memeras mitra, pemasok, dan bahkan pelanggan mereka. Setelah mengunci sistem dan mencuri data, hacker akan memeras tidak hanya perusahaan yang menjadi korban, tetapi juga seluruh ekosistem yang mereka kerjakan, dengan menuntut tebusan dari organisasi manapun yang memiliki hubungan dengan korban. Triple extortion akan menjadi metode terbaru untuk memaksimalkan keuntungan dari satu serangan, menyebabkan kekacauan di seluruh rantai pasokan.   #4 – Serangan Siber pada Infrastruktur Kritis Akan Mencapai Tingkat Krisis, Mengancam untuk Menstabilkan Seluruh Negara Serangan siber besar-besaran pada infrastruktur kritis—seperti jaringan listrik, utilitas, dan sistem kesehatan—akan mencapai tingkat yang belum pernah terjadi sebelumnya. Seiring dengan meningkatnya ketegangan geopolitik dan semakin berani para penjahat siber, penyerang akan semakin menargetkan layanan penting yang dapat melumpuhkan seluruh negara. Serangan-serangan ini akan dirancang untuk memaksimalkan gangguan dan memaksa korban untuk membayar tebusan yang besar.   #5 – Ketidakberdayaan Pemerintah Federal Akan Memaksa Negara Bagian di AS untuk Memimpin Regulasi AI Ketidakhadiran undang-undang privasi data dan AI yang komprehensif di tingkat federal akan membuat negara-negara bagian mengambil alih kendali. California, Colorado, dan negara bagian lainnya akan terus memperkenalkan regulasi AI, memaksa perusahaan untuk menavigasi standar hukum yang rumit. Seiring dengan semakin kuatnya integrasi AI dalam operasi bisnis, ketidakhadiran kerangka nasional akan menciptakan tantangan kepatuhan di berbagai industri. Tanpa tindakan cepat dari pemerintah federal, kita akan melihat lebih banyak negara bagian yang memberlakukan undang-undang penggunaan AI, dan perusahaan akan terjebak dalam lanskap regulasi yang semakin terfragmentasi.   #6 – Deepfakes Akan Memicu Gelombang Baru Serangan Rekayasa Sosial yang Menghancurkan Tidak lagi sekadar risiko teoretis, deepfake berbasis video akan terus berkembang menjadi hampir tidak dapat dibedakan dari kenyataan. Teknologi ini akan dijadikan senjata dalam serangan rekayasa sosial, memungkinkan para penjahat untuk menyamar sebagai eksekutif, memalsukan transaksi bernilai tinggi, dan menarik pembayaran besar dari korban yang tidak curiga. Dengan kemampuan AI yang dapat menghasilkan deepfakes luar biasa hanya dengan menekan tombol, potensi penipuan finansial akan meledak, memaksa organisasi untuk memikirkan ulang bagaimana mereka memverifikasi identitas dalam dunia yang semakin penuh dengan penipuan.   #7 – Siklus Eksploitasi yang Dipercepat Dengan kemampuan AI untuk mengidentifikasi kelemahan lebih cepat daripada yang bisa dilakukan manusia, waktu dari penemuan kerentanannya hingga eksploitasi akan menyusut secara signifikan. Penyerang akan memanfaatkan AI untuk mengotomatiskan penyusunan dan penerapan eksploitasi, membangun strategi serangan yang lebih kompleks dan ancaman yang semakin meningkat. Untuk tetap unggul, organisasi harus mengadopsi kemampuan prediktif AI dalam kerangka kerja keamanan siber mereka. Memanfaatkan alat yang menggunakan AI untuk mensimulasikan vektor serangan akan memungkinkan tim untuk mengidentifikasi dan memperbaiki kerentanannya secara proaktif, menjaga satu langkah di depan aktor ancaman. #8 – Adopsi dan Evolusi Software Bill of Materials (SBOM) pada 2025 Pada 2025, adopsi SBOM akan meluas melampaui perangkat lunak tradisional, dengan aplikasi AI dan ML yang mendorong permintaan untuk kerangka BOM yang lebih maju. Konsep seperti ML-BOM (sebagaimana didefinisikan oleh CycloneDX) perlu berevolusi dengan cepat untuk menangani kerumitan aplikasi LLM modern. Model-model ini bergantung pada rantai pasokan dinamis dan seringkali tidak transparan, di mana setiap komponen ML, set data, dan algoritma dapat memperkenalkan kerentanannya yang unik. Untuk organisasi pemerintah dan pertahanan, mengelola kompleksitas ini secara efektif akan membutuhkan standar ML-BOM yang lebih diperluas yang dapat mengakomodasi pembaruan berkelanjutan, ketergantungan yang kompleks, dan pelacakan asal-usul di seluruh sistem AI dan ML. Mencapai interoperabilitas di seluruh ekosistem akan tetap penting, tetapi otomatisasi, dikombinasikan dengan standar regulasi yang muncul, akan memainkan peran penting dalam menjaga kepatuhan dan keamanan di seluruh rantai pasokan AI yang semakin kompleks. #9 –…

LogRhythm Intelligence: Meningkatkan Keamanan dengan AI dalam SIEM Produk Security Information and Event Management (SIEM) sangat penting bagi tim keamanan. Namun, seiring pertumbuhan organisasi, jumlah data yang perlu dipantau dan kompleksitas lingkungan IT juga meningkat. Selain itu, sebagian besar pelanggaran melibatkan pencurian atau penyalahgunaan kredensial yang terlihat sebagai aktivitas anomali di titik akhir, server, dan aplikasi, yang bisa sulit terdeteksi. Itulah sebabnya kami mengembangkan LogRhythm Intelligence, sebuah add-on berbasis cloud untuk LogRhythm SIEM yang mendeteksi perilaku untuk meningkatkan aktivitas pengguna dan host yang mencurigakan dalam antarmuka LogRhythm SIEM. LogRhythm Intelligence adalah penawaran baru pertama dari Exabeam yang “baru”, dan kami sangat bersemangat untuk membagikannya dengan Anda. Selain itu, versi terbaru LogRhythm SIEM memperlihatkan upaya kami untuk membuat produk lebih kuat dan terus memindahkan lebih banyak fungsionalitas ke konsol web. Memperkenalkan LogRhythm Intelligence LogRhythm Intelligence menggunakan machine learning (ML) untuk menganalisis data LogRhythm SIEM dan mendeteksi anomali yang bisa menunjukkan ancaman dari dalam, akun yang terkompromi, penyalahgunaan hak administrator, dan penyalahgunaan kredensial. LogRhythm Intelligence bekerja dengan menetapkan dasar perilaku pengguna dan perangkat, lalu secara otomatis memberi skor pada peristiwa berdasarkan tingkat risikonya. Dengan wawasan dari 795 model perilaku dan 1.800 aturan berbasis fakta, analis dapat memanfaatkan deteksi dan pemantauan berbasis ML untuk membangun pencarian, dasbor, laporan, dan menggunakan orkestrasi keamanan serta respons otomatis (SOAR) dalam LogRhythm SIEM. Ini mengurangi kebutuhan untuk pembuatan aturan manual dan mengurangi tingkat positif palsu. LogRhythm Intelligence berfungsi sebagai sumber log perilaku entitas pengguna yang canggih, memungkinkan analis untuk mengintegrasikan analitik perilaku entitas dan pengguna (UEBA) ke dalam alur kerja mereka tanpa meninggalkan antarmuka LogRhythm SIEM. Untuk mempelajari lebih lanjut tentang LogRhythm Intelligence, baca lembar data produk atau jadwalkan demo. LogRhythm SIEM: Pengelolaan Syslog Tertunda di Konsol Web Kami terus berusaha untuk memudahkan pekerjaan analis, itulah sebabnya kami terus memindahkan lebih banyak fitur dan fungsionalitas dari Konsol Klien ke Konsol Web. Pada kuartal ini, kami menambahkan fungsi berikut di Konsol Web: Mengelola sumber log yang tertunda Menerima, menolak, dan menghapus sumber log yang tertunda Menangani sumber log yang tertunda dalam kelompok melalui Admin API Dengan menambahkan fitur-fitur ini, analis dapat langsung melihat sumber log yang tertunda, mempercepat proses onboarding, dan administrator kini dapat mengedit sumber log dengan lebih efisien melalui API. LogRhythm SIEM: Peningkatan Dasar Untuk lebih memperkuat upaya kami menjadikan LogRhythm SIEM sebagai SIEM self-hosted paling kuat di pasar, kami terus meningkatkan platform ini. Pada kuartal ini, kami merilis versi baru dari Elastic Search dan layanan Advanced Intelligence Engine untuk meningkatkan analitik, memungkinkan deteksi ancaman, investigasi, dan respons (TDIR) yang lebih cepat dan lebih akurat. Hasilnya termasuk: Peningkatan hingga 50% dalam throughput saluran deteksi Pemrosesan aturan pencocokan pola hingga 10x lebih cepat Pemuatan sumber log di konsol klien yang 87% lebih cepat Pada kuartal ini, kami juga menambahkan dukungan untuk lebih dari 60 sumber log baru dan yang ditingkatkan, termasuk Rubrik, Anomali, dan Akamai, memperluas pustaka kami menjadi lebih dari 1.000 sumber log yang sudah dikemas sebelumnya. Untuk daftar lengkap fitur dalam rilis kuartal ini, silakan merujuk ke Catatan Rilis LogRhythm SIEM atau periksa dalam produk. Tetap terupdate dengan berita terbaru dengan mengunjungi exabeam.com/whats-new. Untuk mempelajari lebih lanjut tentang LogRhythm SIEM, baca lembar data produk atau jadwalkan demo di sini.

Sebagai pengingat, kami lebih memahami true positive (TP) pada bagian pertama dari seri kami. Sekarang, rumus untuk true positive rate (TPR) adalah sebagai berikut: TPR = (TP + TP:B + TP:AR) ÷ (TP + TP:AR + TP:B + FP) Dengan false positive (FP) didefinisikan sebagai: FP = Total alert – (TP + TP:AR + TP:B) Penjelasan singkat: TP (True Positive) adalah jumlah ancaman yang benar-benar terdeteksi dan diklasifikasikan dengan benar sebagai ancaman. TP:B (True Positive: Behavioral) merujuk pada deteksi ancaman yang benar berdasarkan perilaku atau pola yang teridentifikasi. TP:AR (True Positive: Anomaly Recognition) adalah deteksi yang benar berdasarkan pengenalan anomali. FP (False Positive) adalah jumlah peringatan yang tidak valid atau yang salah terdeteksi sebagai ancaman, meskipun tidak ada ancaman yang nyata. Rumus ini memberi gambaran yang lebih jelas tentang efektivitas sistem deteksi dalam mengidentifikasi ancaman yang sebenarnya, serta mengukur seberapa sering sistem mengeluarkan peringatan yang salah (positif palsu). Jalur pengukuran dan pekerjaan Definisi baru untuk TPR dan FP di atas menciptakan jalur pengukuran dan pekerjaan sebagai berikut: True Positive Rate (TPR): Ini adalah metrik yang dapat dilaporkan, yang dibagi lagi menjadi wawasan yang lebih terperinci, seperti: Security Tool TPR: Kinerja TPR dari alat keamanan individu (misalnya, TPR CrowdStrike vs. TPR Exabeam). SOC Analyst TPR: Kami dapat melacak true positive yang dilaporkan oleh analis dibandingkan dengan tren overall true positive untuk mengidentifikasi analis yang berperforma lebih rendah atau lebih tinggi. Department TPR: TPR yang dibagi berdasarkan departemen organisasi untuk melihat apakah departemen tertentu lebih “berisiko” daripada yang lain. Apakah mereka cenderung menghasilkan lebih banyak true positive dibandingkan dengan departemen lainnya? Individual Rule TPR: Kinerja aturan keamanan tertentu. Apakah itu menghasilkan TPR yang lebih rendah dibandingkan dengan program lainnya? Jika ya, itu adalah kandidat yang baik untuk penyesuaian. Ini juga bisa diterapkan pada insinyur yang membuat alat-alat tersebut! False Positive (FP): Ini adalah pekerjaan prioritas kami. Kami bertujuan untuk mendekatkan pengukuran ini ke angka nol sebanyak mungkin. Sangat penting juga untuk memastikan bahwa tidak ada true positive yang tercampur dalam angka ini. Buat alur umpan balik di mana analis senior memeriksa false positive. True Positive (TP): Prioritas sekunder kami adalah menghasilkan alert berkualitas tinggi yang menghasilkan true positive secara konsisten. Saya tidak bisa menekankan cukup bahwa ini adalah pengukuran, bukan metrik. Tujuan di sini adalah untuk meningkatkan COUNT total true positive. Kami bisa menggunakan pengukuran lainnya untuk meningkatkan TPR keseluruhan kami. True Positive: Accepted Risk (TP:AR): Tidak banyak yang perlu dilakukan di sini selain memberi tekanan pada program pengecualian Anda. Risiko yang diterima bisa membawa tanggung jawab perusahaan dan pribadi, sehingga ini harus dipahami dengan baik dan memiliki rantai pengawasan untuk risiko yang diketahui dan diterima. True Positive: Benign (TP:B): Ini adalah area abu-abu yang dapat dievaluasi berdasarkan program per program. Jika Anda memiliki bandwidth untuk menangani volume alert yang lebih tinggi, memiliki TP:B yang lebih tinggi akan memberi Anda wawasan yang lebih baik tentang lingkungan Anda dan mengurangi false negative. Jika tidak, ini merupakan angka yang bisa disesuaikan. Tentukan alert mana yang berkontribusi paling besar pada tingkat ini dan sesuaikan dari sana. Pada akhirnya, ini bukan panduan lengkap tentang semua hal yang berkaitan dengan true positive vs. false positive. Namun, ini harus diperlakukan sebagai pengantar untuk membantu Anda mempertimbangkan bagaimana menggunakan metrik yang cukup kuat ini dalam program Anda. Polling Menarik Rekan industri saya, Josh Johnston, baru-baru ini melakukan polling terhadap koneksi LinkedIn-nya untuk memahami tingkat true positive (TPR) orang lain dalam program keamanan mereka. Ada 49 responden dari berbagai disiplin ilmu, tingkat keterampilan, dan industri. Berikut adalah polling yang disajikan di LinkedIn: Hasil polling: Polling ini (meskipun terbatas) mulai mengonfirmasi salah satu hipotesis saya tentang tingkat true positive. Adalah hal yang normal bagi tingkat ini untuk sangat rendah. Perasaan saya adalah bahwa sebagian besar program keamanan memiliki tingkat positif sekitar 3% atau kurang. Jika Anda mulai memecah berapa banyak alert yang Anda miliki setiap hari dalam program Anda, tingkat true positive 3% akan mengatakan bahwa untuk setiap 97 alert false positive, Anda mendapatkan tiga yang dapat ditindaklanjuti. Pikirkan tentang itu: Kita semua pernah memiliki alat yang menghasilkan RIBUAN alert setiap hari… apakah tingkat true positive 3% bahkan realistis? Saya rasa mengasumsikan bahwa beberapa organisasi memiliki tingkat true positive kurang dari <1% tidak akan terlalu berani. Tingkat kurang dari 5% bahkan mungkin menjadi standar di industri. Karena Josh bekerja untuk vendor di industri keamanan siber, kemungkinan besar dia terhubung dengan orang lain yang bekerja untuk vendor keamanan dalam jaringan LinkedIn-nya. Untuk bersenang-senang, dia memecah hasil polling berdasarkan jawaban dari vendor vs. non-vendor; hasilnya membuat saya sedikit tertawa. Berdasarkan polling ini, tidak terlalu berlebihan untuk menyimpulkan bahwa vendor cenderung sangat melebih-lebihkan jumlah true positive yang dihasilkan oleh alat mereka. Tindakan yang disarankan untuk tim keamanan berdasarkan definisi dan observasi yang diperbarui adalah sebagai berikut: Tambahkan klasifikasi baru ke alat kasus Anda. Hitung dan laporkan persentase aktual dari True Positives Rate dan pengukuran yang lebih mendetail untuk lingkungan Anda. Gunakan perhitungan ini untuk melibatkan dan mendidik pimpinan keamanan tentang kualitas peringatan. Evaluasi kembali tindakan dan kebutuhan pelatihan analis berdasarkan tingkat mereka. Buat umpan balik untuk analis agar memberi tahu tim rekayasa keamanan tentang masalah yang sedang berlangsung. Sertakan angka-angka ini dalam diskusi yang sedang berlangsung dengan vendor Anda, khususnya untuk meningkatkan efektivitas platform mereka. Berusaha untuk membagikan perhitungan ini dengan orang lain dalam komunitas pelanggan mereka.

#1 – Peningkatan Kerumitan Serangan yang Ditenagai AI Pada tahun 2025, peretas akan memiliki akses ke alat AI yang sangat maju, yang akan mengubah lanskap ancaman. AI generatif, dengan kemampuan penalaran yang jauh lebih baik, akan memungkinkan penyerang dunia maya untuk menjalankan skema phishing yang sangat realistis, termasuk suara deepfake dan avatar video. Harapkan peniruan yang hampir sempurna secara real-time dan pengujian kerentanannya yang sangat kompleks secara otomatis, yang bisa saja melumpuhkan pertahanan tradisional. Organisasi harus mengimplementasikan alat keamanan yang didorong oleh AI yang terus belajar dan beradaptasi dengan pola serangan yang muncul, terutama untuk menghadapi serangan rekayasa sosial yang canggih. Pelatihan karyawan untuk mengenali ancaman yang didorong oleh AI juga akan menjadi hal yang penting. #2 – Kemampuan Pertahanan yang Ditingkatkan dengan Copilot yang Didukung AI Di bidang pertahanan, copilot AI akan menjadi sangat penting dalam operasi keamanan siber, mempercepat deteksi ancaman, penyelidikan, dan respons. Pada tahun 2025, setiap operator keamanan siber kemungkinan akan dilengkapi dengan copilot AI generatif, yang menyederhanakan analisis kompleks dan memberikan wawasan yang dapat ditindaklanjuti secara real-time. Perusahaan harus mempersiapkan diri untuk mengintegrasikan copilot ini, memastikan kompatibilitas dengan infrastruktur keamanan yang ada, dan melatih operator untuk berkolaborasi secara efektif dengan bantuan AI. Pendekatan manusia-AI ganda ini akan meningkatkan kecepatan dan ketepatan respons, terutama dalam insiden dengan risiko tinggi. #3 – AI yang Ada di Setiap Aspek Operasi Keamanan Meskipun AI sudah umum digunakan dalam alat seperti SIEM dan UEBA, pada tahun 2025, AI generatif akan memperkuat hampir setiap lapisan keamanan siber, mulai dari perlindungan endpoint hingga intelijen ancaman. Keberadaan sistem-sistem ini akan memungkinkan postur keamanan yang jauh lebih dinamis dan tangguh, yang mampu menangani lanskap ancaman yang kompleks dengan kecepatan dan ketepatan. Organisasi harus berinvestasi sekarang dalam sertifikasi dan kerangka kerja keamanan AI, mempersiapkan diri untuk memenuhi persyaratan regulasi dan kepatuhan yang muncul terkait AI dalam keamanan siber. Dasar ini akan menjadi kunci saat lebih banyak sistem AI diintegrasikan ke dalam arsitektur keamanan. #4 – AI Akan Mendegradasikan Pembuatan Malware, Membuka Pintu bagi Kelas Baru Penjahat Siber Pada tahun 2025, Anda tidak perlu menjadi seorang pengkode untuk membuat malware canggih—AI yang akan melakukannya untuk Anda. Model AI generatif yang dilatih khusus untuk menghasilkan kode berbahaya akan berkembang di pasar gelap, memungkinkan siapa saja yang memiliki akses untuk menerapkan ransomware, spyware, dan jenis malware lainnya dengan sedikit usaha. Alat “hacker-in-a-box” ini akan mengotomatisasi segala hal mulai dari penulisan hingga penerapan serangan, mendemokratisasi kejahatan siber dan meningkatkan volume serta keragaman ancaman. #5 – “Zero Trust for AI” Akan Mulai Muncul Sebagai Pembicaraan Keamanan Kunci AI bisa menjadi sekutu yang kuat dalam keamanan, namun juga memperkenalkan risiko baru—terutama ketika pengguna menempatkan kepercayaan tanpa batas pada hasil yang dihasilkannya. Secara buta mempercayai output yang dihasilkan oleh AI akan menjadi kerentanannya yang signifikan bagi organisasi. Hal ini akan menyebabkan munculnya mandat baru dalam dunia siber: “Zero Trust untuk AI.” Berbeda dengan prinsip Zero Trust tradisional, Zero Trust untuk AI bukanlah prediksi untuk masa depan: ini adalah konsep yang siap untuk dibahas sekarang, dengan pendekatan yang lebih mendalam dalam mempercayai AI. Kerangka kerja ini akan mengharuskan organisasi untuk memverifikasi, memvalidasi, dan memeriksa fakta dari hasil AI sebelum membiarkannya mempengaruhi keputusan keamanan penting. Perubahan ini akan mendorong tim keamanan untuk memperkenalkan kepercayaan secara bertahap, memungkinkan integrasi AI yang lebih terkontrol dan aman. Pengawasan manusia akan menjadi komponen yang tidak bisa dinegosiasikan dalam penerapan AI di lingkungan keamanan. #6 – Perang Antara Penyerang yang Memanfaatkan AI dan Pembela yang Didukung AI Akan Meningkat Pelaku jahat akan semakin menggunakan AI generatif untuk menciptakan malware yang dapat berubah bentuk—kode yang beradaptasi dan bermutasi untuk menghindari deteksi, membuat pertahanan tradisional menjadi usang. Jenis malware baru yang dihasilkan oleh AI ini akan lebih efisien dan lebih sulit untuk dilacak. Pada saat yang sama, pembela akan mengandalkan alat AI untuk mempercepat deteksi ancaman, mengajukan pertanyaan yang lebih canggih dan menandai perilaku abnormal dengan lebih cepat. #7 – Analis SOC Tradisional Akan Beralih Keahlian Menjadi Spesialis AI Pada tahun 2025, peran analis pusat operasi keamanan (SOC) tradisional akan cepat berkurang seiring dengan dominasi AI dan pembelajaran mesin dalam mengerjakan tugas-tugas keamanan rutin. Organisasi akan memprioritaskan perekrutan spesialis AI yang dapat menginterpretasikan, mengelola, dan membimbing sistem keamanan canggih yang didorong oleh AI. Peran pemburu ancaman akan meningkat permintaannya, karena keahlian manusia dibutuhkan untuk memberikan konteks dan bertindak berdasarkan wawasan yang dihasilkan oleh AI. Perusahaan tidak akan lagi bergantung pada tim keamanan siber umum, melainkan akan mencari profesional yang sangat terampil untuk tetap unggul dalam menghadapi serangan yang semakin canggih yang didorong oleh AI. Masa depan pekerjaan di bidang keamanan siber akan bergantung pada keahlian manusia yang dipadukan dengan inovasi AI.

Bayangkan Memiliki Tim Profesional Keamanan Siber yang Didedikasikan Khusus untuk Pemburuan Ancaman dalam Perusahaan Bagi sebagian besar CISO dan Security Operations Centers (SOCs), hal ini masih merupakan impian daripada kenyataan. Kenyataannya, keamanan siber tidak menghasilkan pendapatan, sehingga CEO sering kali melihatnya sebagai pusat biaya. Peran Keamanan Informasi adalah untuk mencegah kerugian. Sebagai hasilnya, banyak SOC yang harus beroperasi dengan sumber daya minimal yang diperlukan untuk berfungsi. Karena sebagian besar pengambil keputusan dan analis keamanan harus menggabungkan pemburuan ancaman dengan tugas rutin mereka, pertanyaan penting yang muncul adalah: bagaimana melakukannya dengan cara yang paling efisien dan efektif? Berikut beberapa langkah yang dapat diambil untuk meningkatkan efektivitas pemburuan ancaman dalam organisasi yang memiliki keterbatasan sumber daya: Mengutamakan Prioritas Berdasarkan Risiko Dengan sumber daya yang terbatas, penting untuk mengidentifikasi dan memprioritaskan ancaman berdasarkan tingkat risikonya. Fokuskan pemburuan ancaman pada area yang paling rentan atau paling kritis bagi organisasi. Automatisasi untuk Efisiensi Menggunakan alat otomatisasi untuk menangani tugas-tugas rutin dan deteksi ancaman awal dapat mengurangi beban kerja tim dan mempercepat proses. Dengan demikian, analis dapat lebih fokus pada investigasi yang lebih mendalam dan serangan yang lebih kompleks. Menggunakan Analitik Canggih dan AI Pemanfaatan teknologi analitik berbasis kecerdasan buatan (AI) dan pembelajaran mesin (ML) dapat membantu tim menemukan pola yang mencurigakan dan potensi ancaman dengan lebih cepat. AI dapat mengidentifikasi potensi risiko yang tersembunyi dalam jumlah data besar, mengurangi waktu yang dibutuhkan untuk menemukan ancaman. Kolaborasi dan Pembagian Pengetahuan Mengoptimalkan kolaborasi antar tim dan membagikan wawasan secara efisien antara SOC, tim insiden, dan tim keamanan aplikasi akan mempercepat respons terhadap ancaman. Semakin banyak tim bekerja bersama, semakin cepat ancaman dapat dikenali dan ditanggapi. Pendidikan dan Pelatihan Berkelanjutan Pemburuan ancaman yang efektif bergantung pada keterampilan tim yang terus berkembang. Melakukan pelatihan berkala dan simulasi ancaman dapat membantu tim tetap tajam dan siap menghadapi ancaman yang semakin canggih. Meskipun memiliki tim pemburu ancaman yang berdedikasi penuh adalah tujuan ideal, dengan penerapan strategi yang efisien dan teknologi yang tepat, organisasi dapat mengoptimalkan sumber daya yang ada dan memperkuat pertahanan mereka terhadap ancaman siber. Pemburuan Ancaman yang Kuat Harus Dimulai dengan SIEM yang Kuat Salah satu hambatan terbesar dalam pemburuan ancaman yang sukses di Security Operations Center (SOC) adalah kurangnya proses yang distandarisasi dan terdokumentasi dengan baik. Jika selusin analis mengakses data dengan cara yang berbeda—atau menulis kode mereka sendiri dan membangun alat kustom—mereka akan mencapai kesimpulan yang berbeda meskipun sedang menyelidiki insiden yang sama. Kekurangan konsistensi dan keberulangan ini bisa menjadi bahaya nyata bagi program pemburuan ancaman yang efektif. Untuk mengatasi masalah ini, investasi dalam sistem Security Information and Event Management (SIEM) yang modern dan netral terhadap vendor sangat penting. Sistem SIEM yang baik dapat mengagregasi data dari seluruh lingkungan, memberikan wawasan yang lebih lengkap dan terintegrasi. Serangan yang paling canggih biasanya tidak berasal dari satu insiden saja, melainkan melibatkan serangkaian tindakan seiring waktu, dan melacak timeline ini sangat krusial. Pemburuan ancaman di lingkungan yang terisolasi, seperti Endpoint Detection and Response (EDR), VPN, atau firewall, tidak memberikan visibilitas atau nilai yang dibutuhkan oleh pemburu ancaman saat ini. Untuk infrastruktur yang kompleks dan saling terhubung, SIEM yang mampu menyerap semua log menjadi fondasi yang mendukung pemburuan ancaman yang efektif. Dengan SIEM yang tepat, tim keamanan dapat memantau dan menganalisis seluruh rentang aktivitas, dari permulaan serangan hingga dampaknya, dan mengidentifikasi ancaman yang lebih besar yang tersembunyi di balik serangkaian kejadian. Setiap Celah yang Ditemukan Adalah Peluang untuk Keamanan yang Lebih Kuat Jika visibilitas dan keberulangan adalah hal yang penting untuk program pemburuan ancaman yang tangguh, jelas mengapa solusi SIEM yang canggih adalah suatu keharusan. Namun, Security Operations Center (SOC) perlu melangkah lebih jauh dengan memahami aktivitas dan konteks yang terkait dengan pengguna dan perangkat, untuk mengidentifikasi perilaku yang tidak normal saat itu terjadi. Seperti yang sering dikatakan dalam dunia keamanan siber, “Tidak semua aktivitas anomalous itu berbahaya, tetapi semua aktivitas berbahaya itu anomalous.” User and Entity Behavior Analytics (UEBA) dapat menambah lapisan kuat di atas SIEM. Dengan menggunakan pembelajaran mesin (machine learning), UEBA membangun garis dasar aktivitas normal dan menandai tindakan yang menyimpang darinya. Alat-alat ini memberikan SOC kemampuan yang lebih besar untuk mendeteksi ancaman dalam lingkungan mereka. Yang lebih penting, ketika mereka membantu analis menemukan aktivitas mencurigakan, alat ini juga mengungkapkan kelemahan dalam pertahanan yang ada, yang memungkinkan pihak adversarial untuk lolos dari celah-celah yang ada. Salah satu tujuan utama dari program pemburuan ancaman adalah mengidentifikasi celah-celah dalam tumpukan keamanan. Setiap pemburuan ancaman yang positif—meskipun itu adalah false positive—menyoroti anomali yang tidak terdeteksi oleh sistem dan proses SOC. Hal ini memungkinkan analis untuk menerapkan alat atau proses baru untuk menutup celah-celah ini dan memperkuat postur keamanan organisasi. Namun, untuk menciptakan perubahan yang berarti, pihak lain di luar SOC perlu terlibat. Kerja Sama dan Koordinasi di Seluruh Bisnis Sangat Penting Tidak ada gunanya mengidentifikasi celah keamanan jika tim tidak dapat mendapatkan persetujuan untuk menerapkan solusi yang diperlukan untuk memperbaikinya. Inilah mengapa program pemburuan ancaman terbaik memerlukan dukungan dari tingkat eksekutif. Mengkomunikasikan dampak dan urgensi pemburuan ancaman kepada pembuat keputusan bisnis adalah tugas utama bagi CISO. Namun, dukungan eksekutif bukanlah satu-satunya kolaborasi yang harus dilakukan. SOC juga harus bekerja dengan tim lain yang dapat menyelidiki potensi ancaman berdasarkan intelijen yang dikumpulkan oleh analis. Misalnya, departemen HR bisa menjadi mitra yang berharga dalam program pemburuan ancaman yang efektif. Program pemburuan ancaman yang canggih harus bersifat holistik dan interdisipliner. Pemangku kepentingan di luar tim keamanan perlu terlibat dan berkomitmen. Selain itu, data aktivitas dan log harus dikumpulkan dan dipantau di seluruh lingkungan untuk mendeteksi segala hal mulai dari login yang tidak biasa hingga penyisipan USB yang tidak sah. Inilah mengapa sistem seperti SIEM dan UEBA sangat penting untuk menggabungkan semua informasi ini. Di atas segalanya, pemburuan ancaman harus konsisten dan dapat diulang, sehingga CISO dan pemimpin keamanan senior dapat mengadopsi solusi inovatif yang dapat digunakan dan dipahami oleh analis di semua tingkat. Tim keamanan harus membangun tidak hanya proses mereka, tetapi juga orang-orang mereka, dan solusi terbaik memungkinkan hal itu terjadi.

Ransomware: Ancaman Besar bagi Bisnis Kecil Tidak ada cara untuk menghindarinya; ransomware adalah salah satu ancaman paling tangguh bagi bisnis kecil. Ransomware adalah jenis perangkat lunak jahat yang dirancang untuk memblokir akses ke sistem komputer atau data sampai sejumlah uang dibayarkan. Serangan siber ini dapat sangat merusak, menyebabkan kerugian finansial yang signifikan, gangguan operasional, dan kerusakan reputasi. Bisnis kecil, yang sering dianggap kurang siap dan lebih rentan daripada perusahaan besar, semakin menjadi target utama untuk serangan ransomware. Di seluruh dunia, 48% dari bisnis kecil dan menengah telah mengalami insiden keamanan siber dalam setahun terakhir. 73% dari pemilik bisnis kecil di AS melaporkan serangan siber tahun lalu. Mungkin lebih mengejutkan lagi, 25% mengatakan mereka telah mengalami lebih dari satu insiden dalam setahun terakhir. Penelitian yang sama menyatakan bahwa diperkirakan 90% pelanggaran keamanan siber di seluruh dunia terjadi pada bisnis kecil. Satu insiden ransomware yang berhasil dapat mengganggu operasional bisnis selama beberapa hari, bahkan minggu, dan biaya pemulihan dapat sangat besar. Potensi kehilangan data sensitif, dikombinasikan dengan pembayaran tebusan yang diminta oleh penyerang, dapat menimbulkan beban keuangan yang sangat besar pada bisnis kecil. Menurut Laporan Investigasi Pelanggaran Data Verizon 2023, biaya median per serangan ransomware adalah $26.000. Sayangnya, ini kadang-kadang menyebabkan penutupan permanen. Pentingnya pertahanan ransomware yang kuat tidak dapat dilebih-lebihkan. Implementasi langkah-langkah keamanan siber yang efektif sangat penting bagi bisnis kecil untuk melindungi aset digital mereka, mempertahankan kepercayaan pelanggan, dan memastikan keberlanjutan jangka panjang. Dalam memahami perlindungan ransomware untuk bisnis kecil, baca tips untuk meningkatkan pertahanan ransomware, melindungi data kritis, dan mengurangi risiko yang terkait dengan serangan jahat ini. Memahami Ransomware Untuk secara efektif melawan ransomware, sangat penting untuk memahami berbagai bentuknya dan bagaimana serangan ini biasanya terjadi. Berikut beberapa jenis serangan ransomware yang paling umum. Jenis Ransomware Ransomware Kripto: Serangan ini mengenkripsi file pada sistem korban, sehingga file tersebut tidak dapat diakses. Korban harus membayar tebusan untuk menerima kunci dekripsi. Ransomware Locker: Serangan ini mengunci pengguna dari perangkat mereka secara keseluruhan. Pada layar kunci, korban sering melihat permintaan tebusan. Scareware: Jenis ransomware ini meniru perangkat lunak yang sah dan mengklaim telah mendeteksi masalah pada sistem korban. Pelaku ancaman menuntut pembayaran untuk menyelesaikan masalah yang tidak ada, mengandalkan taktik ketakutan untuk kesuksesan. Doxware (atau Leakware): Serangan ini mengancam untuk menerbitkan data yang dicuri kecuali tebusan dibayar. Korban menghadapi tidak hanya kehilangan data, tetapi juga potensi paparan publik informasi sensitif. Double atau Secondary Extortion: Double atau secondary extortion dalam ranah ransomware mengacu pada taktik di mana penjahat siber tidak hanya mengenkripsi data korban untuk menuntut tebusan untuk dekripsi, tetapi juga mengancam untuk membocorkan atau menerbitkan data yang dicuri jika tebusan tidak dibayar. Sebelum atau selama proses enkripsi, penyerang mengekstraksi (mencuri) salinan data sensitif korban. Pendekatan ini meningkatkan tekanan pada korban untuk membayar tebusan, karena konsekuensi tidak membayar tidak terbatas pada kehilangan data tetapi juga termasuk potensi kerusakan reputasi, konsekuensi hukum, dan kerugian keuangan dari paparan informasi sensitif. Sayangnya, jenis double extortion ini telah menjadi strategi yang umum dan efektif bagi kelompok ransomware karena secara signifikan meningkatkan pengaruh yang mereka miliki atas korban, menyebabkan kemungkinan pembayaran tebusan yang lebih tinggi. Bagaimana Serangan Ransomware Bekerja Langkah #1 Infeksi: Ransomware biasanya menyusup ke dalam sistem melalui email phishing, lampiran berbahaya, situs web yang terinfeksi, atau kerentanan dalam perangkat lunak. Penyerang sering menggunakan teknik rekayasa sosial untuk menipu pengguna agar mengunduh dan menjalankan malware. Langkah #2 Eksekusi: Setelah berada di dalam sistem, ransomware menjalankan payload-nya, mengenkripsi file atau mengunci perangkat. Beberapa varian ransomware dapat menyebar ke seluruh jaringan, menginfeksi beberapa sistem dan drive yang dibagikan. Langkah #3 Notifikasi: Korban menerima catatan tebusan, biasanya ditampilkan di layar atau sebagai file teks, menuntut pembayaran dalam cryptocurrency. Catatan tersebut sering kali mencakup batas waktu untuk pembayaran, dengan ancaman penghancuran data atau peningkatan tebusan jika tidak dibayar tepat waktu. Langkah #4 Tuntutan Pembayaran: Instruksi diberikan tentang cara membayar tebusan, biasanya dalam Bitcoin atau cryptocurrency lain untuk memastikan anonimitas. Setelah pembayaran, penyerang mungkin atau tidak memberikan kunci dekripsi. Namun, penting untuk menyadari bahwa membayar tebusan tidak menjamin pemulihan data. Langkah #5 Pemulihan: Jika kunci dekripsi diberikan, korban dapat mendekripsi dan memulihkan file mereka. Jika tidak ada kunci yang diberikan atau tebusan tidak dibayar, korban harus mengandalkan cadangan, jika tersedia, untuk memulihkan data mereka. Jika Anda pikir ini tidak bisa terjadi pada bisnis kecil Anda, pikirkan lagi. Ada banyak statistik yang mengatakan sebaliknya. Penelitian Verizon menyatakan bahwa 82% dari semua serangan ransomware menargetkan bisnis kecil. Seorang karyawan bisnis kecil dengan kurang dari 100 karyawan akan menerima 350% lebih banyak serangan rekay asa sosial daripada karyawan perusahaan besar. Antara tahun 2020 dan 2022, volume serangan siber terhadap bisnis kecil meningkat sebesar 150%, mencapai 31.000 serangan per hari secara global. Pertahanan Terbaik terhadap Ransomware untuk Bisnis Kecil Cadangan Data Teratur Salah satu pertahanan paling efektif terhadap ransomware untuk bisnis kecil adalah memelihara cadangan yang sering dan komprehensif. Cadangan teratur memastikan bahwa dalam kejadian serangan ransomware, data kritis dapat dipulihkan tanpa tunduk pada tuntutan tebusan. Langkah proaktif ini meminimalkan gangguan operasional dan mengurangi dampak keuangan yang terkait dengan kehilangan data. Cadangan yang komprehensif yang mencakup semua data dan sistem penting memungkinkan bisnis untuk cepat pulih dan melanjutkan operasi normal, secara signifikan mengurangi gangguan yang disebabkan oleh serangan. Jenis Cadangan yang Berbeda Jenis cadangan yang berbeda memainkan peran penting dalam strategi perlindungan data yang kuat. Cadangan lokal melibatkan penyimpanan salinan data pada perangkat fisik seperti hard drive eksternal atau perangkat penyimpanan yang terhubung ke jaringan (NAS). Cadangan ini mudah diakses dan dapat memberikan pemulihan yang cepat, tetapi rentan terhadap kerusakan fisik dan ransomware yang menyebar ke seluruh jaringan. Pelatihan dan Kesadaran Karyawan Mendidik karyawan tentang serangan phishing dan rekayasa sosial sangat penting bagi bisnis kecil dalam melawan ransomware. Berita AP mengatakan bahwa elemen manusia adalah penyebab 74% dari pelanggaran. Pelatihan keamanan siber karyawan yang efektif dapat secara signifikan mengurangi risiko serangan ransomware yang berhasil. Praktik Terbaik untuk Pelatihan Sesi Pelatihan Teratur: Lakukan sesi pelatihan keamanan siber secara teratur untuk memastikan bahwa karyawan tetap up-to-date dengan ancaman terbaru dan teknik pencegahan. Sertakan contoh nyata dari email phishing dan skenario rekayasa sosial untuk membantu karyawan mengenali aktivitas…

Di balik setiap peluncuran produk LogRhythm, tim kami selalu memprioritaskan kebutuhan pelanggan. Ini merupakan bagian dari komitmen kami kepada Anda setiap 90 hari. Dalam rilis kuartalan kami yang kesembilan berturut-turut, kami telah memperluas kemampuan LogRhythm SIEM dengan memungkinkan setiap agen JSON yang mendukung protokol Lumberjack untuk mengirimkan data ke LogRhythm. LogRhythm 7.17 memperluas kapabilitas pengumpulan log dengan mengakomodasi sumber log pihak ketiga dalam SIEM. Rilis kali ini juga memperkenalkan JSON Policy Builder yang baru, yang memudahkan pembuatan aturan normalisasi tanpa memerlukan keterampilan pemrograman atau bahasa skrip lainnya. Selain itu, installer yang diperbarui mengurangi langkah-langkah instalasi menjadi setengahnya, memberikan Anda fleksibilitas lebih besar dalam memilih komponen yang dapat diinstal saat memperbarui arsitektur XM dan Linux DX, serta menambahkan endpoint detail lisensi baru di Admin API. Mengumpulkan Sumber Log JSON Pihak Ketiga Kami menyadari bahwa mengirimkan data ke SIEM bisa menjadi tantangan jika LogRhythm belum memiliki Beat bawaan untuk sumber log yang Anda perlukan. Kami telah mendengarkan permintaan Anda, dan dengan LogRhythm 7.17, kami mempermudah pengiriman sumber log JSON ke LogRhythm SIM. Kini, LogRhythm SIEM memungkinkan System Monitor Agent untuk menerima log JSON dari sumber yang mendukung protokol Lumberjack, memungkinkan Anda menyesuaikan aturan normalisasi bawaan maupun khusus. “Lumberjack” adalah pengirim log ringan yang merupakan bagian dari ekosistem Elastic Stack (sebelumnya dikenal sebagai ELK Stack). Metode Arsitektur Pengumpulan Terbuka kami memungkinkan analis keamanan menggunakan alat pihak ketiga untuk mengumpulkan log keamanan penting dari sumber yang belum didukung oleh LogRhythm secara bawaan. Anda tidak perlu lagi menunggu LogRhythm merilis alat resmi untuk mengumpulkan log spesifik yang Anda butuhkan. Jika Anda menggunakan versi lama LogRhythm SIEM, ini adalah waktu yang tepat untuk memperbarui instance LogRhythm Anda! Dengan versi 7.17, Anda dapat menyesuaikan aturan bawaan dan membuat aturan normalisasi khusus, memungkinkan Anda untuk mengimpor sumber log baru dengan lebih cepat dari sebelumnya. Menyederhanakan Kustomisasi dengan JSON Policy Builder Bagi setiap analis dan administrator SIEM, pemahaman tentang pengkodean adalah hal penting saat harus menormalkan pesan log JSON. Namun, pembuatan kebijakan normalisasi sering kali membingungkan, sulit divisualisasikan, dan memakan waktu. Untuk mempermudah proses ini, LogRhythm 7.17 memperkenalkan JSON Policy Builder, sebuah alat berbasis web yang memungkinkan Anda memetakan nilai JSON ke dalam skema LogRhythm dengan mudah dan mengekspor file kebijakan untuk digunakan pada System Monitor Agent. Melalui wizard berbasis GUI, LogRhythm secara otomatis mengekstrak data, dan Anda dapat memetakan bidang tertentu ke skema LogRhythm menggunakan menu drop-down. JSON Policy Builder dapat diakses langsung dari Web Console. Untuk menjaga agar aturan normalisasi kustom yang Anda buat tetap aman, System Monitor Agent kini dilengkapi dengan folder khusus untuk menyimpan file kebijakan kustom. Folder kebijakan normalisasi kustom ini memungkinkan pelanggan dan mitra untuk menyimpan aturan normalisasi yang telah dimodifikasi atau dibuat tanpa risiko kehilangan kustomisasi, serta menghilangkan kekhawatiran tentang kemungkinan tertimpanya aturan atau dampak selama proses pembaruan. Meningkatkan Pengalaman Instalasi dan Pembaruan Dalam komitmen kami untuk meningkatkan kualitas layanan, kami telah memprioritaskan penyederhanaan dan optimalisasi proses instalasi serta pembaruan. Dengan rilis terbaru ini, kami telah memangkas langkah-langkah yang diperlukan dan memberikan fleksibilitas lebih dalam pemilihan komponen yang akan diinstal. Proses instalasi kini lebih cepat dan efisien, memungkinkan Anda untuk melakukan pembaruan pada arsitektur XM dan Linux DX dengan lebih mudah. Kami juga menambahkan endpoint baru untuk detail lisensi dalam Admin API, memberikan transparansi dan kontrol yang lebih baik dalam manajemen lisensi. Kami berkomitmen untuk mempermudah pengalaman Anda dalam menginstal dan memperbarui sistem kami, sehingga Anda dapat lebih fokus pada pencapaian tujuan bisnis dengan dukungan teknologi yang optimal. Meningkatkan Pengalaman Instalasi dan Pembaruan Pelanggan yang menginginkan fleksibilitas dalam proses instalasi dan pembaruan sering kali menghadapi opsi instalasi yang kaku dan tidak dapat disesuaikan. Biasanya, mereka harus menjalankan LogRhythm Install Wizard beberapa kali untuk menginstal komponen yang diperlukan jika konfigurasi mereka tidak tersedia dalam wizard tersebut. Dengan LogRhythm 7.17, kami memperkenalkan installer baru yang lebih efisien, memungkinkan Anda untuk memilih komponen yang akan diinstal dalam satu perangkat. Administrator kini dapat memilih untuk tidak menginstal data indexer pada perangkat keras yang sama dengan komponen LogRhythm lainnya. Dengan pembaruan ini, proses instalasi menjadi lebih sederhana, memungkinkan Anda untuk memperbarui LogRhythm SIEM dengan separuh langkah yang diperlukan sebelumnya. Ini memberikan kontrol yang lebih besar dan membantu mempercepat proses pembaruan. Manfaatkan API Lisensi Platform Baru Bagi Administrator SIEM yang menggunakan API untuk memantau dan melacak implementasi, memperoleh informasi lisensi adalah hal yang penting. Namun, biasanya ini melibatkan akses ke Client Console, yang bisa merepotkan. Untuk memudahkan akses detail tersebut, LogRhythm SIEM kini memungkinkan Administrator untuk mengambil dan memantau informasi lisensi dan versi LogRhythm SIEM menggunakan endpoint detail lisensi baru di Admin API. Sekarang, Administrator dapat dengan cepat membandingkan MPS yang dilisensikan dengan statistik volume yang tersedia melalui Metrics API untuk memantau penggunaan. Selain itu, tim dapat mengurangi overhead dan mengotomatiskan pengambilan data di berbagai lingkungan. Peningkatan pada Lebih dari 70 Sumber Log Kami terus berkomitmen untuk melakukan peningkatan berkelanjutan. Ini termasuk memperbarui aturan Message Processor Engine (MPE) setiap kuartal. Normalisasi pesan log adalah komponen krusial dalam menjaga postur keamanan yang sehat, karena memastikan Anda dapat memanfaatkan data log yang diambil oleh LogRhythm secara optimal dan mendapatkan wawasan keamanan yang mendalam melalui Machine Data Intelligence (MDI) Fabric dari LogRhythm. Dalam tiga bulan terakhir, LogRhythm telah memperbarui lebih dari 70 sumber log. Pembaruan ini mencakup beberapa kategori utama: – Sistem Operasi : Pada kuartal ini, kami telah meningkatkan pengumpulan log untuk memastikan visibilitas aktivitas tingkat sistem operasi, membantu mendeteksi ancaman dan pelanggaran pada AIX, BSD, Linux, HP-UX, Solaris, dan Microsoft Windows. – Keamanan Firewall: Kami juga telah melakukan perbaikan untuk firewall seperti Palo Alto Networks, Fortinet FortiGate, Cisco Firepower, dan Checkpoint. Peningkatan ini memungkinkan pelanggan untuk mendapatkan nilai lebih dari pengayaan log dan meningkatkan pertahanan terhadap ancaman. – Aplikasi : LogRhythm telah menyempurnakan dan menyelaraskan semua titik data untuk memastikan koneksi yang kohesif di seluruh SIEM, mengaitkan data dengan serangan dan kompromi untuk Mimecast Email, Microsoft Exchange, Fortinet Fortimail, dan Trend Micro Email Security. Ingin tahu lebih banyak mengenai logrhythm, silahkan hubungi logrhythm@ilogoindonesia.id