AI tidak merusak keamanan. Kompleksitas memang demikian
Disajikan oleh SnowflakeTerlalu sering, sejarah keamanan perusahaan telah membuat segalanya lebih sulit untuk digunakan. Ancaman baru muncul, kendali baru diterapkan, dan dalam prosesnya, orang-orang mulai bekerja berdasarkan sistem yang dirancang untuk melindungi mereka. Sepanjang karier saya, saya telah melihat secara langsung bahwa penerapan keamanan jarang gagal karena orang tidak peduli dengan keamanan. Hal ini gagal karena jalur yang aman terasa lebih sulit dibandingkan jalur yang tidak aman. Di era AI, pelajaran tersebut menjadi lebih penting dari sebelumnya. AI memperluas jangkauan serangan dan meningkatkan batas kemampuan penyerang, sehingga penyederhanaan keamanan menjadi semakin penting. Kontrol keamanan yang memerlukan usaha atau ketidaknyamanan pada akhirnya diabaikan. Orang-orang menemukan solusi. Jawabannya adalah menjadikan jalur aman sebagai jalur yang paling mudah. Keamanan bekerja paling baik ketika tidak ada hambatan. Ketika keamanan lebih mudah digunakan daripada dihindari, orang akan mengadopsinya. Bertahun-tahun yang lalu, ketika industri meluncurkan autentikasi dua faktor dalam skala besar, tantangan terbesarnya bukanlah membangun keamanan itu sendiri, namun hambatan yang muncul saat menggunakannya. Orang-orang harus menghentikan apa yang mereka lakukan, mengambil ponsel, meluncurkan VPN, memasukkan kode, dan menghentikan alur kerja mereka hanya untuk login. Yang pada akhirnya mendorong adopsi bukanlah kebijakan, persyaratan kepatuhan, atau pelatihan keamanan. Itu adalah kesederhanaan. Kini, hal itu semudah memindai sidik jari atau wajah, sehingga orang dapat menggunakannya tanpa ragu-ragu. Prinsip yang sama mendorong pembuat browser untuk membuat keamanan lebih terlihat dan intuitif bagi pengguna sehari-hari. Daripada mengharapkan orang memeriksa URL secara manual, browser modern secara jelas menandai situs non-HTTPS sebagai tidak aman, sehingga membantu memandu pengguna menuju perilaku yang lebih aman secara default. Keamanan menjadi lebih kuat karena jalur aman juga menjadi lebih mudah dan jelas. Kompleksitas yang muncul dalam izin AIAgent adalah contoh bagus penerapan hal ini dalam sistem AI. Karyawan mengumpulkan banyak izin dari waktu ke waktu melalui proyek di sini, akses sistem di sana, peran yang tidak pernah dibersihkan setelah perubahan tim. Manusia mengetahui akses mana yang relevan dengan suatu tugas meskipun sistem tidak secara aktif menerapkannya. Agen tidak memiliki penilaian tersebut. Agen yang ditugaskan untuk suatu masalah akan menyelidiki setiap jalur yang tersedia. Jika ia dapat mengakses 12 sistem tetapi tugasnya hanya membutuhkan dua, ia mungkin masih mengeksplorasi 10 sistem lainnya. Ini hanya menyeluruh, namun hasilnya adalah potensi serangan yang jauh lebih besar daripada tugas yang diperlukan. Godaannya adalah untuk melibatkan manusia dengan menandai tindakan yang signifikan dan meminta persetujuan sebelum melanjutkan. Namun dalam praktiknya, agen mungkin meminta manusia untuk menyetujui tindakan yang sangat teknis tanpa konteks yang cukup untuk menilai apakah tindakan tersebut tepat atau tidak. Dalam kebanyakan kasus, mereka akan menyetujuinya hanya agar alur kerja tetap berjalan. Hal ini hanya menambah gesekan dan rasa pengawasan yang salah. Yang benar-benar dibutuhkan adalah model perizinan yang dibangun berdasarkan niat. Agen hanya boleh memiliki kredensial yang diperlukan untuk tugas tertentu, dan kredensial tersebut akan habis masa berlakunya setelah selesai. Industri ini sudah mulai bergerak menuju model yang lebih baik. Standar seperti OAuth berkembang untuk mendukung AI agen, memungkinkan agen untuk membawa identitas yang tercakup dalam tugas tertentu, bukan kumpulan izin penuh pengguna. Membuat keamanan AI mudah digunakanKemudahan penggunaan dimulai dengan visibilitas, jadi prioritas pertama adalah mengetahui apa yang sebenarnya terjadi. Di mana agen Anda terhubung? Data apa yang mereka sentuh? Izin apa yang mereka gunakan? Banyak perusahaan yang terkejut dengan jawabannya saat pertama kali melihatnya. Sebagian besar organisasi beroperasi dengan visibilitas dan kendali sekitar 80%. Masalahnya adalah 20% sisanya, karena di situlah risiko sebenarnya cenderung hidup. AI akan menemukan kesenjangan tersebut jauh lebih cepat dibandingkan manusia. Mulailah dengan pemantauan, meskipun Anda belum siap menerapkan apa pun. Gunakan AI untuk menyaring apa yang Anda temukan dan memprioritaskan perilaku berisiko tertinggi. Lalu tutup semuanya secara sistematis. Di sisi identitas, lanjutkan ke identitas beban kerja di mana pun Anda bisa. Model lama dalam membuat akun layanan, mengunduh kunci, dan mendistribusikannya ke seluruh infrastruktur Anda rapuh dan sulit untuk diaudit. Lingkungan cloud modern menawarkan pendekatan yang lebih baik: identitas beban kerja ditetapkan pada saat penerapan dan kredensial tidak pernah didistribusikan sebagai kunci statis. Beban pengelolaan berkurang dan permukaan serangan pun menyusut. Khususnya bagi agen, tahan godaan untuk memberi mereka izin luas dengan asumsi bahwa persetujuan manusia akan mengatasi masalah sebelum terjadi. Cakupan akses agen ke tugas yang ada dan pastikan izin tersebut kedaluwarsa setelah pekerjaan selesai. Untuk tim yang mengelola koneksi beberapa agen ke alat, gateway MCP muncul sebagai cara praktis untuk mengkodekan aturan tata kelola secara terpusat, bukan alat per alat. Selalu berikan informasi kepada manusia untuk melakukan tindakan yang bersifat konsekuensial, bukan setiap tindakan, terutama tindakan yang radius kesalahannya sangat berarti. Laju risiko semakin cepat Di era AI, kesenjangan antara keterpaparan dan eksploitasi dengan cepat menghilang, menyusut dari hari ke jam, dan dalam beberapa kasus, menit. Laporan Ancaman Global CrowdStrike tahun 2026 mendokumentasikan bahwa rata-rata waktu breakout penyerang telah meningkat sebesar 65% dari tahun ke tahun. Ketika AI menjadi lebih mampu mengidentifikasi kelemahan secara mandiri, tim keamanan yang mengandalkan proses respons manual akan tertinggal. Namun, jawabannya tidak berubah. Keamanan yang menimbulkan gesekan pada akhirnya akan diabaikan. Keamanan yang tertanam langsung ke dalam arsitektur, diterapkan secara default dan tidak terlihat dalam praktiknya, adalah jenis keamanan yang benar-benar berlaku. AI meningkatkan taruhannya, namun prinsipnya tetap sama: keamanan hanya berfungsi jika jalur aman juga merupakan jalur termudah. Mayank Upadhyay adalah Chief Security & Trust Officer di Snowflake. Artikel bersponsor adalah konten yang diproduksi oleh perusahaan yang membayar postingan tersebut atau memiliki hubungan bisnis dengan VentureBeat, dan artikel tersebut selalu ditandai dengan jelas. Untuk informasi lebih lanjut, hubungi sales@venturebeat.com.
Diterbitkan : 2026-06-01 07:00:00
sumber : venturebeat.com
