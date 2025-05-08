Pusat operasi keamanan (SoC) telah menghadapi tantangan berkelanjutan untuk deteksi dan respons ancaman selama bertahun-tahun. Tantangan-tantangan ini termasuk membedakan sinyal keamanan asli dari kebisingan latar belakang, konteks yang tidak memadai untuk penyelidikan peringatan, kurangnya otomatisasi menyeluruh, hambatan alur kerja dan kelelahan peringatan, hanya untuk menyebutkan beberapa.
Selama bertahun-tahun saya telah mengatakan bahwa operasi keamanan, atau manajemen ancaman dunia maya dalam bentuk apa pun, perlu mengalami perubahan besar seperti maskapai komersial di pertengahan abad ke-20: mesin menerbangkan pesawat komersial, dan pilot campur tangan dalam situasi terbatas. Demikian pula, SOC baru akan menjalankan operasi otonom dengan keterlibatan manusia minimal.
Analis SOC kemudian akan menjadi pilot SOC, memilih di mana dan kapan mereka terlibat, sementara mesin virtual menangani operasi standar.
Keamanan siber berdiri sendiri dalam bergulat dengan fenomena "hari-0" yang penuh teka-teki: kerentanan yang baru digali dalam perangkat lunak atau perangkat keras, yang sebelumnya tidak terdeteksi oleh komunitas keamanan. Konsep ini merangkum ketidakpastian seputar munculnya ancaman berikutnya, termasuk sumber, waktu dan metodologinya.
Ketika ketidakpastian terwujud, pilot SOC (analis manusia) mengambil alih komando, dengan menggunakan keahlian mereka untuk melawan dan menetralkan ancaman baru ini.
Jadi mengapa kita belum memiliki SoC yang dapat berfungsi dengan intervensi manusia minimal? Selama bertahun-tahun, vendor perangkat lunak keamanan telah mendorong otomatisasi ke dalam produk mereka. Tim SOC telah mendorong batas-batas otomatisasi, terkadang mengembangkan solusi canggih yang dikembangkan sendiri untuk mempercepat dan meningkatkan kemanjuran deteksi dan respons ancaman. Tetapi SoC membutuhkan lebih dari sekadar otomatisasi. Mereka membutuhkan otonomi digital.
Artificial Intelligence (AI) dapat mereplikasi proses pengambilan keputusan manusia. Teknologi ini dapat memfasilitasi perubahan transformatif dalam operasi keamanan siber, terutama dalam operasi keamanan rutin.
Deteksi ancaman sudah menggunakan kemampuan AI seperti machine learning (ML). Berbagai teknologi SOC menggunakan ML untuk tugas-tugas mulai dari mengidentifikasi ancaman hingga mengkategorikan peringatan, berkat integrasi oleh vendor perangkat lunak utama. Namun, mengotomatisasi operasi keamanan tunduk pada kendala tertentu.
Sebagian besar tim operasi keamanan memiliki aturan keterlibatan, yang membutuhkan tingkat kepastian sebelum eksekusi. Kepastian ini menjelaskan mengapa otomatisasi umum terjadi pada sistem tertutup seperti sistem deteksi dan respons titik akhir (EDR). Baik perangkat lunak titik akhir maupun konsol akrab dengan semua variabel yang relevan dan dapat mengotomatiskan respons secara efektif.
Seorang spesialis keamanan di hyperscaler utama memberikan contoh praktis. Perusahaan mereka membutuhkan keterlibatan SOC minimal karena pemahamannya yang mendalam tentang setiap teknologi dan aset dalam tumpukan mereka. Pengaturan mereka pada dasarnya berfungsi sebagai sistem tertutup, memungkinkan otomatisasi ekstensif.
Untuk organisasi tanpa sistem tertutup seperti itu, terutama perusahaan yang berurusan dengan sistem informasi keamanan dan manajemen acara (SIEM), skenarionya berbeda. Di sini, pedoman aplikasi orkestrasi keamanan, otomatisasi dan respons (SOAR) mengelola otomatisasi.
Misalnya, buku pedoman respons otomatis dapat diprogram untuk mengkarantina host jika itu bukan server dan menjalankan aktivitas berbahaya yang dikenali. Namun, otomatisasi ini tidak dapat diaktifkan kecuali identitas aset diketahui, seperti apakah itu server penting atau workstation.
Konteks sangat penting dalam mengotomatiskan fungsi keamanan, dan di sinilah analis SOC manusia bersinar. Melalui pengumpulan, penilaian, dan analisis data "kursi putar" secara manual, mereka memberikan konteks yang diperlukan untuk otomatisasi untuk beroperasi secara efektif dalam sistem terbuka. Operasi kursi putar perlu memberi jalan bagi paradigma baru operasi otonom multi-agen.
Masuk ke dalam kerangka kerja multi-agen yang otonom. Layanan keamanan siber IBM® menggunakan AI untuk memahami kebutuhan akan konteks, mengumpulkan konteks, memutuskan, dan memungkinkan otomatisasi menyelesaikan atau sepenuhnya menangani otomatisasi—bahkan melewati SOAR.
Orkestrator tenaga kerja digital kami, mesin operasi ancaman otonom (ATOM), mengembangkan daftar tugas untuk penyelidikan peringatan. Jika ATOM menentukan konteks aset tidak memadai, agen AI lain digunakan untuk mengumpulkan informasi yang hilang.
Untuk memajukan analogi kursi putar kami, ketika ATOM deteksi konteks aset yang hilang, ATOM bertindak. Ini secara proaktif berinteraksi dengan agen yang terkait dengan manajemen kerentanan, manajemen eksposur, basis data manajemen konfigurasi (CMDB), dan EDR atau sistem deteksi dan respons yang diperluas (XDR) untuk mengumpulkan konteks itu.
ATOM kemudian menentukan bahwa aset tertentu, berdasarkan nama host dan lokasi jaringannya, selaras dengan pola workstation yang khas, dan menyimpulkan bahwa itu memang workstation. Alasan ini adalah jenis logika yang sama yang akan diterapkan oleh analis manusia.
Setelah membuat keputusan kontekstual, ATOM merumuskan respons unik terhadap peringatan spesifik itu. Misalnya, dapat menentukan apakah panggilan antarmuka pemrograman aplikasi (API) ke konsol EDR adalah tindakan terbaik atau apakah alur kerja harus kembali ke sistem SOAR.
Apakah AI akan memungkinkan personel SOC untuk pindah ke kursi pilot SOC masih belum diketahui. Namun, kemampuan kerja digital multi-agen yang diorkestrasi lebih dekat dengan apa yang dibutuhkan untuk operasi SOC otonom daripada teknologi apa pun yang pernah kami kerjakan di IBM® sebelumnya. Sementara transisi penuh ke SoC yang sepenuhnya otonom belum terwujud, perjalanan menuju model SOC intervensi manusia minimal yang efisien ini secara signifikan maju dengan munculnya AI agen.
Perubahan besar ini menjanjikan untuk merevolusi manajemen ancaman dengan memungkinkan tim keamanan memprioritaskan inisiatif strategis daripada dibebani oleh berbagai tugas berulang. Ketika AI melanjutkan berkembang, kami menantikan masa depan di mana SoC kami tidak hanya otomatis tetapi benar-benar otonom, siap untuk terbang dan menyerahkan hal-hal duniawi kepada mesin.
