- AI agentif meningkatkan otomatisasi SOC dengan mengotomatisasi tugas-tugas berpikir yang kompleks.
- AI agentif memungkinkan SOC untuk mencapai keuntungan signifikan dalam efisiensi operasional dan moral tim.
- Implementasi AI agentif memerlukan pertimbangan yang tepat, namun manfaatnya jauh lebih besar daripada tantangannya.
pibitek.biz -AI agentif (Agentic AI) menjanjikan solusi baru untuk mengatasi keterbatasan sistem orkestrasi, otomatisasi, dan respons keamanan (Security Orchestration, Automation, and Response, SOAR) dalam memenuhi janjinya untuk merevolusi pusat operasi keamanan (SOC). SOAR, yang diperkenalkan pada pertengahan 2010-an, bertujuan untuk mengotomatisasi tugas-tugas di SOC, meningkatkan produktivitas, dan memperpendek waktu respons. Namun, meskipun telah berkembang melalui tiga generasi teknologi dan sepuluh tahun kemajuan, SOAR belum sepenuhnya memenuhi potensinya, membuat SOC masih menghadapi banyak tantangan yang sama.
2 – AI: Ancaman Baru bagi Keamanan Siber 2 – AI: Ancaman Baru bagi Keamanan Siber
3 – Ransomware BianLian Serang Rumah Sakit Anak Boston 3 – Ransomware BianLian Serang Rumah Sakit Anak Boston
Generasi pertama SOAR berfokus pada otomatisasi tugas-tugas umum seperti penyebaran intelijen ancaman. Generasi kedua menggabungkan alur kerja yang terprogram untuk mengotomatisasi tugas-tugas yang lebih kompleks. Generasi ketiga, yang muncul saat ini, menggabungkan machine learning untuk meningkatkan efisiensi dan efektivitas otomatisasi. Meskipun SOAR telah berevolusi, janji inti dari otomatisasi SOC tetap tidak terpenuhi. Masalahnya terletak pada fokus SOAR pada melakukan tugas daripada berpikir tugas.
Tugas-tugas dalam SOC dapat dikategorikan ke dalam melakukan dan berpikir. Melakukan tugas melibatkan tindakan-tindakan seperti mengirim email, memblokir IP, atau memperbarui firewall. SOAR sangat efektif dalam mengotomatisasi tugas-tugas ini. Namun, berpikir adalah tugas yang melibatkan penilaian, analisis, dan penarikan simpulan, tetap merupakan tantangan bagi SOAR. Tugas-tugas berpikir ini meliputi triage, investigasi, dan pengambilan keputusan, yang membutuhkan interpretasi konteks, analisis data, dan pengambilan keputusan yang kompleks.
Kegagalan SOAR dalam mengotomatisasi berpikir tugas menyebabkan beberapa masalah. Pertama, analisa manual masih diperlukan untuk memeriksa dan menyelidiki setiap peringatan. Kedua, proses ini memakan waktu dan tidak dapat diskalakan, menghambat efektivitas dan efisiensi SOC. Ketiga, beban kerja manual menyebabkan kelelahan dan frustasi di antara para analis. Keempat, SOAR hanya dapat mengotomatisasi tugas-tugas yang terstruktur dan dapat diprediksi, yang membatasi potensi dan manfaat otomatisasi.
Untuk memenuhi janji awal SOAR, yaitu meningkatkan kecepatan, skala, dan produktivitas SOC, berpikir tugas harus diotomatisasi. Otomatisasi investigasi dapat menyederhanakan rekayasa keamanan dengan memungkinkan alur kerja untuk berfokus pada tindakan korektif daripada menangani triage. Hal ini juga memungkinkan alur penanganan peringatan yang sepenuhnya otonom, yang secara drastis mengurangi waktu rata-rata untuk merespons (MTTR). AI telah muncul sebagai solusi yang menjanjikan untuk mengotomatisasi berpikir tugas di SOC.
LLM dan AI generatif telah mampu melakukan tugas-tugas yang rumit seperti interpretasi peringatan, analisis data, dan pengambilan keputusan. LLM dapat dilatih dengan basis pengetahuan keamanan seperti MITRE ATT&CK, teknik investigasi, dan pola perilaku perusahaan, sehingga meniru keahlian analis manusia. Meskipun potensi LLM untuk SOC, ada sejumlah kesalahan konsepsi dan hype yang mengelilingi implementasi AI di SOC. LLM hanya satu dari berbagai bentuk AI yang digunakan dalam keamanan siber. Ada tiga kategori utama implementasi AI di SOC:
1. Chatbot:
Chatbot menggunakan LLM untuk menyediakan antarmuka percakapan untuk menganalisis data, mencari ancaman, dan memberikan wawasan.
2. Model analitik:
Model analitik menggunakan machine learning untuk mendeteksi anomali, mengklasifikasikan ancaman, dan membuat prediksi tentang perilaku ancaman.
3. AI agentif:
AI agentif menggunakan LLM dan model analitik untuk mengotomatisasi seluruh proses triage dan investigasi, sehingga memungkinkan analisis peringatan tanpa campur tangan manusia. AI agentif muncul sebagai solusi yang paling menjanjikan untuk mengotomatisasi SOC.
Sistem ini meniru proses investigasi, alur kerja, dan pengambilan keputusan analis manusia. Ketika peringatan keamanan dipicu oleh produk deteksi, peringatan tersebut terlebih dahulu dikirim ke AI, bukan langsung ke SOC. AI kemudian menginterpretasikan arti dari peringatan tersebut menggunakan LLM. AI mengubah peringatan menjadi serangkaian hipotesis keamanan, yang menguraikan apa yang mungkin terjadi. Untuk memperkaya analisisnya, AI menarik data dari sumber eksternal, seperti umpan intelijen ancaman dan konteks perilaku dari model analitik, untuk menambahkan konteks berharga pada peringatan.
Berdasarkan informasi ini, AI secara dinamis memilih uji khusus untuk memvalidasi atau menyanggah setiap hipotesis. Setelah uji ini selesai, AI mengevaluasi hasilnya untuk mencapai putusan tentang sifat jahat dari peringatan atau mengulangi prosesnya dengan data yang baru dikumpulkan hingga mencapai simpulan yang jelas. Setelah menyelesaikan investigasi, AI menyintesis temuannya menjadi laporan terperinci yang dapat dibaca manusia. Laporan ini mencakup putusan tentang sifat jahat dari peringatan, ringkasan insiden, cakupannya, analisis akar penyebab, dan rencana tindakan dengan panduan preskriptif untuk containment dan perbaikan.
Laporan yang komprehensif ini memberi analis manusia semua yang mereka butuhkan untuk memahami dan meninjau insiden dengan cepat, mengurangi waktu dan upaya yang diperlukan untuk investigasi manual. AI agentif juga menawarkan kemampuan otomatisasi tingkat lanjut melalui integrasi API dengan alat keamanan, yang memungkinkannya untuk melakukan tindakan respons secara otomatis. Setelah analis manusia meninjau laporan insiden, otomatisasi dapat dilanjutkan dalam mode semi-otomatis, di mana analis mengklik tombol untuk memulai alur kerja respons, atau dalam mode sepenuhnya otomatis, di mana tidak diperlukan intervensi manusia.
Fleksibilitas ini memungkinkan organisasi untuk menyeimbangkan pengawasan manusia dengan otomatisasi, memaksimalkan efisiensi dan keamanan. AI agentif menawarkan pendekatan yang lebih menyeluruh, akurat, dan transparan untuk otomatisasi SOC, memberikan tim keamanan tingkat kepercayaan yang tinggi pada kemampuannya. AI dapat dilatih pada kumpulan data yang luas, memperluas basis pengetahuan dan keahliannya. AI memiliki memori dan akses ke data yang jauh lebih besar daripada manusia, sehingga mampu mendeteksi pola dan anomali yang mungkin terlewatkan oleh manusia.
AI transparan tentang proses pengambilan keputusannya, memberikan audit trail yang komprehensif yang dapat digunakan untuk memverifikasi dan meningkatkan akurasinya. AI agentif memungkinkan SOC untuk mencapai keuntungan signifikan yang meningkatkan efisiensi operasional dan moral tim. AI agentif mengurangi waktu yang dihabiskan untuk tugas-tugas operasional repetitif, memungkinkan analis untuk berfokus pada tugas-tugas strategis dan analitis yang lebih kompleks. AI agentif mengurangi kesalahan manusia, meningkatkan akurasi, dan mengurangi waktu respons.
AI agentif menyediakan wawasan yang lebih dalam tentang ancaman dan membantu tim keamanan untuk mengambil langkah-langkah proaktif untuk mengurangi risiko. Dengan menggunakan AI agentif, organisasi dapat mengatasi kekurangan yang ada di SOAR, mencapai otomatisasi tingkat lanjut, dan secara signifikan meningkatkan kemampuan dan efisiensi SOC mereka. Implementasi AI agentif memerlukan beberapa pertimbangan, seperti memilih platform yang tepat, melatih AI dengan data yang relevan, dan menetapkan proses untuk mengelola dan mengawasi AI.
Namun, manfaat yang ditawarkan AI agentif jauh lebih besar daripada tantangannya. AI agentif mewakili pergeseran paradigma dalam keamanan siber, mengubah cara kerja SOC. Alih-alih bergantung pada analisis manusia untuk menangani setiap peringatan, organisasi dapat mengandalkan AI untuk melakukan tugas-tugas rutin dan membiarkan para analis fokus pada tugas-tugas yang lebih strategis. AI agentif memungkinkan SOC untuk berskala, lebih cepat merespons, dan lebih proaktif dalam menanggapi ancaman yang terus berkembang.
Ini bukan hanya tentang otomatisasi tugas; ini tentang meningkatkan kemampuan dan efektivitas SOC secara keseluruhan. AI agentif adalah masa depan SOC, memungkinkan organisasi untuk memanfaatkan kekuatan AI untuk meningkatkan keamanan siber mereka. Dengan mengadopsi pendekatan AI agentif, organisasi dapat membuka potensi penuh SOAR, mengatasi kelemahan yang ada, dan membangun SOC yang lebih efisien, efektif, dan tangguh.
