Paling buruk keamanan pelanggaran jarang dimulai dengan kemeriahan. Sebaliknya, serangan yang paling berbahaya adalah serangan yang secara diam-diam menyelinap melewati perimeter dan mulai menyebar sementara pihak yang bertahan tidak menyadarinya. Ini adalah waktu yang dihabiskan penyerang di bawah radar di dalam sistem yang mengubah intrusi menjadi bencana.
Namun, meskipun sudah bertahun-tahun berinvestasi dalam alat pencegahan, kami masih melihat banyak organisasi yang secara konsisten kesulitan mendeteksi dan menahan penyerang begitu mereka masuk.
Wakil Presiden Strategi Industri di Illumio.
Seringkali, kekurangannya bukanlah kurangnya visibilitas atau peringatan keamanan, namun kurangnya kejelasan. Dalam lingkungan hibrid saat ini, ketahanan tidak terlalu bergantung pada upaya memblokir setiap ancaman, namun lebih bergantung pada upaya mengenali ancaman yang sudah ada dalam jangkauan.
Kesenjangan yang semakin besar antara deteksi dan visibilitas nyata
Bukan rahasia lagi bahwa tim keamanan merasa semakin kewalahan, dan mudah untuk mengetahui alasannya ketika Anda mulai menelusuri angka-angkanya.
Riset kami menunjukkan bahwa sebuah organisasi biasanya menghadapi lebih dari 2.000 peringatan setiap hari, dan sebagian besar dari peringatan ini hanya memberikan sedikit manfaat nyata.
Para analis menghabiskan lebih dari 14 jam setiap minggu untuk mencari hasil positif palsu, dan dua pertiga pemimpin perusahaan mengakui bahwa tim mereka tidak dapat mengimbanginya. Peringatan yang terlewatkan dengan cepat berubah menjadi peluang yang hilang untuk menghentikan penyerang sejak dini.
Kompleksitas perkakas menambah masalah. Meskipun sebagian besar organisasi sekarang menggunakan banyak awan platform deteksi dan respons, kami menemukan bahwa hampir semua (92%) masih melaporkan kesenjangan kemampuan yang signifikan.
Lagi data tidak selalu berarti deteksi yang lebih baik, dan sistem yang tumpang tindih menciptakan visibilitas yang terfragmentasi dan informasi yang saling bertentangan. Tanpa konteks yang bermakna untuk menyatukan sinyal-sinyal ini, para pembela HAM hanya akan mengumpulkan potongan-potongan cerita dibandingkan melihat apa yang benar-benar penting.
Mengapa gerakan lateral tetap menjadi titik buta favorit penyerang
Tantangan yang luas dalam memisahkan sinyal dari kebisingan merupakan keuntungan besar bagi pelaku ancaman, yang semakin memilih taktik yang pelan-pelan. Begitu berada di suatu organisasi, alih-alih langsung bertindak, mereka sering kali menyusup ke dalam jaringan, meningkatkan hak istimewa, menyelidiki beban kerja, dan mencari sistem sensitif.
Pergerakan lateral ini adalah saat pelanggaran kecil meningkat menjadi krisis operasional yang besar, dan ini masih merupakan salah satu tahapan serangan yang paling sulit untuk dideteksi.
Hal ini membuahkan hasil bagi para penyerang dunia maya, dengan hampir 9 dari 10 organisasi mengatakan kepada kami bahwa mereka mengalami insiden yang melibatkan pergerakan lateral pada tahun lalu. Rata-rata, pelanggaran ini mengakibatkan waktu henti selama lebih dari tujuh jam, dengan gangguan operasional yang berkelanjutan dan pemulihan penuh yang memakan waktu lebih lama lagi.
Insiden ini terus terjadi karena lalu lintas timur-barat di lingkungan hibrid modern masih kurang dipahami. Bahkan ketika organisasi meyakini hal tersebut memang demikian pemantauan komunikasi internal secara efektif, hampir 40% dari lalu lintas tersebut tidak memiliki konteks yang diperlukan untuk analisis yang percaya diri.
Penyerang berkembang ketika pembela HAM kelebihan beban, tidak yakin, atau tidak mampu membedakan aktivitas yang sah dari tanda-tanda awal penyebaran intrusi melalui jaringan.
Pentingnya observasi
Pertahanan yang efektif terhadap ancaman-ancaman ini memerlukan pengamatan yang mendalam. Ada dorongan yang terus-menerus ke arah ini dari badan-badan industri, seperti Pusat Keamanan Siber Nasional (NCSC) di Inggris, yang baru-baru ini mengeluarkan panduan.
NCSC menekankan bahwa organisasi tidak dapat mencari ancaman yang tidak dapat mereka lihat, dan indikator kompromi tradisional saja tidak lagi cukup. Sebaliknya, para pembela HAM memerlukan visibilitas di seluruh perilaku, pola, identitas, beban kerja, dan lalu lintas timur-barat untuk mengungkap sinyal halus yang mengungkap bahwa penyerang sedang bergerak.
Hal ini sejalan dengan analisis kami mengenai kurangnya konteks untuk lalu lintas internal, meskipun ada kepercayaan luas terhadap kemampuan pemantauan.
Observabilitas harus lebih dari sekadar mengumpulkan lebih banyak kayu gelondongan. Hal ini memerlukan pemahaman bagaimana sistem berhubungan, berperilaku, dan berubah seiring waktu, dan menghubungkan wawasan tersebut sebelum penyerang melakukannya.
Mengapa konteks, korelasi, dan pengendalian harus menggantikan perburuan kewaspadaan
Selama bertahun-tahun, kami telah melihat program keamanan bereaksi terhadap peningkatan volume serangan dengan mengumpulkan lebih banyak data. Namun pendekatan ini sering kali hanya berfungsi untuk memperparah kelelahan akibat kewaspadaan.
Karena sebagian besar jaringan lalu lintas masih belum memiliki konteks yang diperlukan untuk penyelidikan yang berarti, sehingga para analis akhirnya memilah-milah peringatan yang tidak diprioritaskan daripada berfokus pada perilaku penyerang.
Yang dibutuhkan tim keamanan adalah pandangan yang terhubung terhadap lingkungan mereka, bukan sinyal yang terisolasi. Model kontekstual, seperti grafik keamanan, membantu memetakan hubungan antara beban kerja, identitas, perangkat, dan aliran data.
Mereka mengubah indikator yang tersebar menjadi gambaran yang koheren. Peringatan tingkat rendah pada satu sistem bisa tiba-tiba menjadi masuk akal ketika dikaitkan dengan perilaku mencurigakan di tempat lain, sehingga mengungkap niat penyerang, bukan anomali yang terisolasi.
Peralihan dari jalur kewaspadaan ke jalur pemahaman ini penting untuk membendung pelanggaran. Ketika pembela HAM dapat melihat bagaimana sistem berinteraksi dan di mana aset paling sensitif berada, mereka dapat mengidentifikasi rute yang mungkin diambil oleh penyerang.
Kejelasan tersebut memungkinkan tim untuk bertindak dengan percaya diri, memperlambat atau menghentikan gerakan lateral sebelum menyebar.
AI, otomatisasi, dan penskalaan penilaian manusia secara bertanggung jawab
Seiring berkembangnya lingkungan, volume dan kompleksitas data keamanan telah melampaui apa yang dapat dikelola sendiri oleh analis manusia. Di sinilah AI dan otomatisasi memainkan peran penting.
Banyak organisasi yang beralih ke AI dan pembelajaran mesin untuk meningkatkan akurasi deteksi dan mempercepat waktu respons, karena kemampuan ini penting untuk mendeteksi pergerakan lateral lebih awal dan mengurangi beban kelelahan saat waspada.
Namun, salah jika kita percaya bahwa berinvestasi pada AI akan menyelesaikan masalah dengan sendirinya. AI paling efektif jika menambah, bukan menggantikan, keahlian manusia. Sistem otomatis dapat mengkorelasikan sinyal di seluruh lingkungan hibrid, memperkayanya dengan konteks, dan menyaring kebisingan, sehingga memberikan titik awal yang lebih tepat bagi para analis.
Dikombinasikan dengan pendekatan grafik keamanan, misalnya, analisis yang didukung AI dapat terus memetakan setiap beban kerja dan koneksi secara real-time, menyoroti pola perilaku yang tidak mungkin muncul secara manual.
Hal ini menciptakan pengganda kekuatan yang memungkinkan pengambilan keputusan yang lebih cepat dan lebih percaya diri serta mendukung pengendalian cepat yang dituntut oleh ketahanan modern.
Grafik keamanan yang didukung AI dapat menghubungkan titik-titik peristiwa jaringan yang tampaknya berbeda, sehingga menciptakan narasi yang terhubung sehingga analis manusia yang sibuk mungkin melihat peringatan yang terisolasi.
Misalnya, beban kerja mengakses a basis data yang belum pernah diakses sebelumnya dapat ditelusuri kembali ke identitas yang salah dikonfigurasi, sehingga mengungkap jalur serangan yang telah dieksploitasi.
Artinya bagi para pemimpin bisnis dan TI
Bagi para pemimpin, langkah ke depan dimulai dengan menyadari bahwa ketahanan bergantung pada apa yang terjadi setelah penyerang masuk. Hal ini berarti berinvestasi pada kemampuan observasi di seluruh kawasan hybrid, tidak hanya log perimeter, namun juga identitas, beban kerja, layanan awan dan lalu lintas timur-barat yang mengungkap bagaimana serangan terjadi.
Hal ini juga memerlukan pergeseran strategi deteksi ke arah perilaku dan hubungan, yang didukung oleh perburuan ancaman dan penyelidikan berdasarkan hipotesis. Otomatisasi dan AI dapat membantu, tetapi hanya jika didasarkan pada data kontekstual dan berkualitas tinggi.
Yang terakhir, keberhasilan tidak diukur dari jumlah ancaman yang berhasil diblok, namun dari seberapa cepat organisasi dapat mendeteksi, membendung, dan memulihkan diri dari suatu intrusi.
Pelanggaran kini menjadi bagian yang tak terelakkan dalam pengoperasian di lingkungan hibrid yang bergerak cepat. Yang penting adalah seberapa cepat sebuah organisasi dapat mengenali jika ada sesuatu yang salah dan membatasi dampaknya.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
