Sepuluh tahun yang lalu, keamanan email ROI sederhana: terapkan sistem pencocokan pola, terima beberapa kesalahan positif, sediakan SOC untuk eskalasi. Perhitungannya berhasil karena serangan mengikuti pola yang bisa dipelajari mesin.
AI memecahkan model itu.
Perusahaan keamanan tim sekarang menghabiskan 25% waktu analis untuk menyelidiki kesalahan positif keamanan email. Itu adalah seperempat dari kapasitas keamanan Anda pada pekerjaan yang tidak menghasilkan apa-apa. Riset industri menunjukkan 65% peringatan keamanan email merupakan hasil positif palsu.
Masing-masing membutuhkan waktu 33 menit untuk menyelidikinya. Sementara itu, AI-Serangan yang dihasilkan berhasil karena tim keamanan tenggelam dalam kebisingan, tidak dapat fokus pada ancaman yang tidak sesuai dengan pola historis.
Bagi para pemimpin TI yang mengelola anggaran tetap, hal ini bukan berarti memerlukan lebih banyak investasi. Arsitekturnya sendiri tidak lagi menghasilkan keuntungan yang dapat diterima.
Masalah ekonomi
AI mengubah ekonomi penyerang. Penelitian Harvard baru-baru ini menunjukkan bahwa AI dapat menipu lebih dari 50% manusia sekaligus mengurangi biaya serangan sebesar 95% dan meningkatkan profitabilitas hingga 50 kali lipat. Kemampuan pembela belum bisa mengimbangi—setidaknya tidak jika Anda menggunakan keamanan yang dibangun untuk ancaman pra-AI.
Keamanan email saat ini menimbulkan beban operasional yang dapat diprediksi:
65% peringatan merupakan positif palsu (Praktik Terbaik SOC, 2025)
25% waktu analis mengejar kesalahan positif (Ponemon/Exabeam, 2024)
Investigasi rata-rata 33 menit per peringatan (VMRay/Microsoft2025)
Hal ini disesuaikan dengan ukuran organisasi namun tetap mempertahankan inefisiensi. SOC pasar menengah yang terdiri dari 5 orang kehilangan 1,25 FTE karena penyelidikan positif palsu. SOC perusahaan yang beranggotakan 40 orang kehilangan 10 FTE—kira-kira $1,2-1,7 juta dalam kapasitas analis tahunan tanpa menyelidiki apa pun.
Dampaknya sama pada setiap skala: bisnis penyusupan email yang menargetkan para eksekutif mengantri selama berjam-jam sementara tim keamanan menyelidiki alarm palsu. SOC beroperasi pada kapasitas 105-175% sebelum pekerjaan keamanan proaktif dilakukan. Organisasi yang lebih besar tidak luput dari hal ini. Mereka hanya menyia-nyiakan lebih banyak.
Mengapa perbaikan bertahap tidak berhasil
Beberapa organisasi mempekerjakan lebih banyak analis. Ini tidak menyelesaikan masalah arsitektur. Hal ini meningkatkan inefisiensi. Jika 65% peringatan merupakan positif palsu yang menghabiskan 25% waktu analis, mempekerjakan lebih banyak orang berarti 25% waktu mereka juga terbuang percuma. ROI tidak pernah meningkat. Struktur biaya berskala linear dengan masalahnya.
Yang lain menyesuaikan ambang batas deteksi atau menambahkan lebih banyak aturan. Perangkap yang berbeda: ketegangan positif palsu/negatif palsu tidak dapat diselesaikan dalam sistem yang hanya mencari ancaman.
Jadikan deteksi agresif untuk menangkap serangan canggih, dan Anda mengkarantina komunikasi bisnis yang sah. Berhati-hatilah untuk mengurangi kesalahan positif, dan serangan baru akan berhasil. Pertukaran zero-sum. Meningkatkan satu metrik akan menurunkan metrik lainnya.
Masalahnya adalah arsitektur. Keamanan email dibangun berdasarkan pencocokan pola (Generasi 1) atau pembelajaran mesin (Generasi 2) memiliki keterbatasan yang sama: ia hanya dapat mengevaluasi sinyal ancaman. Ini mencari pola yang mencurigakan tetapi tidak memiliki cara untuk memvalidasi legitimasi bisnis.
Ketika penyerang menggunakan kembali templat dan taktik, hal ini berhasil. Pencocokan pola menangkap 60-70% ancaman. Pekerjaan yang tersisa dapat dikelola.
AI mengubah permainan. Penyerang kini menghasilkan varian unik tanpa batas, disesuaikan dengan konteks organisasi, tanpa preseden historis. Setiap serangan adalah hal baru. Pencocokan pola gagal secara matematis—Anda tidak dapat mencocokkan pola yang tidak berulang.
Pembelajaran mesin gagal dengan cara yang sama—Anda tidak dapat melatih model berdasarkan pola serangan yang belum terlihat.
Kesalahan alokasi sumber daya
Hal ini menciptakan masalah bagi kepemimpinan TI. Sumber daya keamanan Anda yang paling berharga—analis ahli dengan pengalaman 7-15 tahun yang seharusnya memburu ancaman dan membangun kemampuan deteksi—terjebak dalam menyelidiki kesalahan positif.
Analis ini harus:
- Menilai implikasi keamanan dari adopsi alat AI di seluruh unit bisnis
- Membangun program intelijen ancaman yang menginformasikan pengambilan keputusan
- Latihan lari di atas meja mempersiapkan kepemimpinan untuk serangan
- Memungkinkan adopsi platform komunikasi dan alat bisnis baru secara aman
Sebaliknya, 25% waktu mereka memvalidasi apakah faktur vendor yang sah merupakan phishing. Dengan kompensasi penuh sebesar $85-120K per analis, ini merupakan kesalahan alokasi sumber daya keamanan yang signifikan.
Pergeseran ke arsitektur berbasis penalaran
Arsitektur keamanan email generasi ketiga sedang muncul yang mengubah model ekonomi dengan menyelesaikan alokasi sumber daya secara arsitektural.
Daripada hanya mencari sinyal ancaman, sistem ini mengevaluasi email dalam dua dimensi sekaligus: indikator ancaman dan pola legitimasi bisnis. Ini memecah ketegangan positif palsu/negatif palsu.
Untuk setiap email, sistem menjalankan penyelidikan paralel. Pemeriksaan pengumpulan sinyal ancaman otentikasi kegagalan, jalur relai yang mencurigakan, dan taktik manipulasi.
Pada saat yang sama, analisis legitimasi bisnis mengevaluasi apakah pola komunikasi sesuai dengan hubungan organisasi yang sudah ada, apakah permintaan sesuai dengan alur kerja persetujuan yang terdokumentasi, dan apakah perilaku pengirim sesuai dengan norma historis.
Lapisan penalaran—menggunakan model bahasa besar sebagai arsitektur orkestrasi, bukan fitur langsung—mempertimbangkan semua bukti dan mengambil keputusan.
Komunikasi vendor yang sah dengan karakteristik yang tidak biasa (domain baru, pengirim pertama kali, bahasa mendesak) dapat dirilis secara otomatis karena sinyal legitimasi bisnis lebih besar daripada tanda ancaman kecil.
Email yang terlihat bersih secara teknis namun melanggar logika bisnis (CFO meminta transfer kawat melewati alur kerja persetujuan standar) memicu eskalasi prioritas tinggi.
Hal ini mengubah perekonomian. Daripada 65% tingkat positif palsu menghabiskan 25% kapasitas analis, sistem yang dibangun berdasarkan arsitektur berbasis penalaran dapat melepaskan 70-80% positif palsu secara otomatis, menangani secara otomatis 15-20% ancaman berisiko rendah yang ada, dan hanya meningkatkan 5-10% serangan kompleks dengan paket investigasi lengkap.
Beban kerja analis beralih dari 25% kapasitas pada triase positif palsu ke kapasitas 3-5% untuk memvalidasi eskalasi keyakinan tinggi—peningkatan 5-8x dalam produktivitas analis yang dapat disesuaikan dengan ukuran organisasi mana pun.
Untuk SOC pasar menengah yang terdiri dari 5 orang, ini memulihkan 1 FTE untuk pekerjaan lain. Untuk SOC perusahaan yang beranggotakan 40 orang, hal ini memulihkan 8 FTE—perbedaan antara menjalankan triase peringatan secara konstan dan membangun program perburuan ancaman yang proaktif.
Kerangka evaluasi untuk kepemimpinan TI
Saat mengevaluasi arsitektur keamanan email, fokuslah pada hasil ekonomi, bukan daftar fitur. Tanyakan kepada vendor:
Berapa persentase deteksi yang tidak pernah sampai ke tangan analis manusia?
Jika jawabannya bukan “70-80% dirilis secara otomatis atau ditangani secara otomatis”, maka arsitekturnya belum menyelesaikan masalah alokasi sumber daya. Anda membeli sistem yang akan menggunakan 25% kapasitas analis dengan harga saat ini.
Bagaimana sistem tersebut memodelkan legitimasi bisnis, bukan sekadar sinyal ancaman?
Vendor yang hanya dapat mengartikulasikan kemampuan deteksi ancaman menjual sistem yang melanggengkan krisis positif palsu. Sistem yang dapat menjelaskan cara memvalidasi konteks bisnis, alur kerja persetujuan, dan pola komunikasi memiliki arsitektur yang berbeda.
Pekerjaan investigasi apa yang dilakukan sebelum eskalasi SOC?
Sistem lama mengirimkan peringatan: “Email mencurigakan terdeteksi.” Sistem berbasis penalaran harus memberikan paket yang siap mengambil keputusan: pengumpulan bukti lengkap, analisis multidimensi, perhitungan risiko dengan mempertimbangkan otoritas target dan dampak bisnis, tindakan yang direkomendasikan dengan dasar pemikiran yang mendukung.
Jika analis memulai penyelidikan dari awal, Anda membayar untuk pekerjaan yang seharusnya dilakukan sistem keamanan secara otomatis.
Berapa total biaya kepemilikan?
Hitung: biaya lisensi + waktu analis untuk menyelidiki positif palsu (25% kapasitas × biaya tim) + gangguan bisnis dari email sah yang dikarantina + biaya pelanggaran akibat ancaman yang terlewat. Arsitektur yang mengurangi beban analis sebesar 80%+ dapat membenarkan biaya lisensi yang lebih tinggi karena total keuntungan ekonomi yang lebih baik.
Jendelanya tertutup
Organisasi mempunyai waktu yang terbatas sebelum serangan yang didukung AI menjadi arus utama. Pada tahun 2026-2027, alat dan teknik tersebut akan dikomoditisasi, sehingga memperluas kelompok pelaku ancaman.
Organisasi yang bermigrasi ke keamanan email berbasis logika kini memiliki keunggulan operasional—deteksi ancaman yang lebih baik, namun yang lebih penting, alokasi sumber daya yang lebih baik. Tim keamanan dapat fokus pada pekerjaan nyata daripada melakukan triase peringatan. Operasi bisnis menghadapi lebih sedikit hambatan akibat karantina positif palsu.
Struktur biaya meningkat sebagai analis produktivitas meningkat.
Organisasi yang menunda transisi ini akan menghabiskan waktu tahun 2027-2028 untuk mengelola gangguan bisnis yang dapat dicegah sementara pesaing beroperasi dengan lebih efisien.
Pergeseran arsitektur dari pencocokan pola ke penalaran konteks bisnis menentukan apakah keamanan email menjadi sebuah keuntungan atau pusat biaya yang terus berkembang. Keamanan email telah berevolusi dari kebersihan infrastruktur hingga tantangan alokasi sumber daya.
Pertanyaan bagi kepemimpinan TI bukanlah apakah akan berinvestasi lebih banyak—tetapi apakah akan berinvestasi secara berbeda, pada arsitektur yang memberikan keuntungan ekonomi yang lebih baik daripada biaya penskalaan linier.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
