CISO Insider: Edisi 2

Penyerang ransomware menarget aset paling berharga milik Anda, area yang mendatangkan paling banyak uang bagi mereka, baik area paling disruptif atau berharga untuk diambil, atau hal paling sensitif untuk mereka lansir.

Industri adalah penentu penting dalam profil risiko organisasi—pemimpin manufaktur menyebut disrupsi bisnis sebagai kekhawatiran utama, sementara CISO layanan finansial dan retail memprioritaskan proteksi informasi sensitif pada pengidentifikasi pribadi; organisasi layanan kesehatan, di sisi lain, sama-sama rentan di kedua sisi masalah. Menanggapi hal ini, pemimpin keamanan secara agresif mengubah profil risiko mereka untuk menghindari kehilangan data dan paparan data, melalui penegasan perimeter, pencadangan data vital, sistem redundan, dan enkripsi yang lebih baik.

Disrupsi bisnis kini menjadi fokus utama bagi banyak pemimpin. Bisnis akan mengalami kerugian bahkan jika gangguan itu singkat. Seorang CISO layanan kesehatan belum lama ini memberi tahu saya, bahwa secara operasional, ransomware tidak ada bedanya dengan pemadaman daya utama. Sekalipun sistem pencadangan memadai dapat membantu memulihkan daya dengan cepat, Anda masih mengalami waktu henti yang mengganggu bisnis. Seorang CISO lain menyebutkan, bahwa mereka tengah berpikir tentang bagaimana disrupsi dapat meluas melampaui jaringan korporat utama hingga mencapai masalah operasional, seperti kendala pipeline atau efek sekunder berupa pemadaman pemasok utama oleh ransomware.

Taktik mengelola disrupsi dapat mencakup sistem redundan dan segmentasi untuk membantu meminimalkan waktu henti, sehingga organisasi dapat mengalihkan lalu lintas ke bagian jaringan berbeda seraya membendung dan memulihkan segmen terdampak. Walaupun demikian, bahkan pencadangan atau proses pemulihan bencana paling tangguh tidak bisa sepenuhnya menyelesaikan ancaman disrupsi bisnis atau paparan data. Pencegahan merupakan sisi sebaliknya dari mitigasi.

Banyak CISO yang berbincang dengan saya mengambil pendekatan palet untuk menyerang pencegahan dan deteksi, memanfaatkan solusi vendor berlapis yang meliputi pengujian kerentanan, pengujian perimeter, pengawasan terautomasi, keamanan titik akhir, proteksi identitas, dll. Bagi sejumlah orang, ini merupakan redundansi yang disengaja, berharap pendekatan berlapis akan menutupi semua celah—seperti tumpukan keju Swiss, berharap lubang keju tidak berderet menjadi satu garis.

Pengalaman kami menunjukkan, bahwa keberagaman ini dapat merumitkan upaya remediasi, berpotensi menciptakan paparan risiko yang lebih luas. Seperti dicatat oleh satu CISO, kekurangan dari penggabungan solusi majemuk adalah kurangnya visibilitas akibat fragmentasi: “Saya memang memiliki pendekatan bisnis terbaik, yang dengan sendirinya mengandung tantangan tertentu, sebab sesudah itu wawasan risiko agregat akan berkurang. Ketika Anda memiliki konsol mandiri yang mengelola ancaman, dan Anda tidak memperoleh tampilan agregat tentang apa yang terjadi di tempat Anda.” (Layanan kesehatan, 1.100 karyawan) Dengan penyerang menjalin jejaring kompleks yang tersebar pada solusi majemuk terpisah, akan sulit untuk mendapatkan gambaran lengkap kill-chain, mengidentifikasi jangkauan penyusupan, dan mencabut payload program jahat hingga ke akarnya. Menghentikan serangan yang tengah berproses memerlukan kemampuan untuk dapat melihat seluruh vektor majemuk, untuk mendeteksi, menghambat, dan membendung/meremediasi serangan secara real time.

Janji XDR masih belum terealisasi bagi kebanyakan orang. Banyak CISO yang berbincang dengan kami telah mengimplementasi titik awal tangguh di EDR. EDR adalah aset yang telah terbukti; kami sudah melihat bagaimana pengguna deteksi dan respons titik akhir memperoleh rekam jejak pendeteksian dan penghentian ransomware yang lebih cepat.

Namun, karena XDR merupakan evolusi dari EDR, beberapa CISO masih skeptis tentang utilitas XDR. Apakah XDR sama seperti EDR, hanya saja dengan penambahan sejumlah solusi titik? Apakah saya benar-benar perlu menggunakan solusi terpisah sepenuhnya? Atau EDR saya pada akhirnya akan menawarkan kemampuan yang sama? Saat ini, pasar solusi XDR semakin menambahkan kebingungan karena vendor berlomba-lomba untuk menambahkan penawaran XDR pada portofolio produk. Beberapa vendor memperluas alat EDR mereka untuk menginkorporasikan data ancaman tambahan, sementara vendor lain lebih berfokus pada pembangunan platform XDR yang berdedikasi. Opsi yang kedua dibangun dari awal untuk menghadirkan kemampuan dan integrasi out-of-the-box yang berpusat di seputar kebutuhan analis keamanan, menyisakan segelintir celah saja untuk tim Anda tutup secara manual.

Menghadapi kurangnya talenta keamanan dan adanya kebutuhan untuk merespons cepat dalam membendung ancaman, kami mengajak pemimpin untuk memakai automasi dalam membantu membebaskan tim mereka, agar tim berfokus mempertahankan diri dari ancaman terburuk dan bukan tugas biasa seperti mengatur ulang kata sandi. Menariknya, banyak pemimpin keamanan yang berbincang dengan saya menyebutkan, bahwa mereka belum memanfaatkan kemampuan terautomasi secara maksimal. Di dalam beberapa kasus, pemimpin keamanan tidak sepenuhnya menyadari peluang ini; yang lainnya bimbang untuk merangkul automasi karena takut kehilangan kendali, menimbulkan ketidakakuratan, atau mengorbankan visibilitas ancaman. Alasan yang terakhir merupakan kekhawatiran yang sangat valid. Namun, kami melihat bahwa pengguna automasi yang efektif malah mencapai hal sebaliknya—kendali yang lebih kuat, positif palsu yang lebih sedikit, berkurangnya kebisingan, dan wawasan yang lebih dapat ditindaklanjuti—dengan mengerahkan automasi bersama-sama tim keamanan untuk memandu dan memfokuskan upaya tim.

Automasi mencakup beragam kemampuan, mulai dari tugas administratif dasar yang terautomasi, hingga penilaian risiko yang diaktifkan oleh pembelajaran mesin cerdas. Sebagian besar CISO melaporkan bahwa mereka mengadopsi automasi yang telah ada sebelumnya, yakni automasi berbasis peraturan atau automasi yang diperintah oleh kejadian. Namun, hanya sebagian kecil yang memanfaatkan kecerdasan buatan bawaan dan kemampuan pembelajaran mesin yang mengaktifkan keputusan akses berbasis risiko real time. Tentu saja, mengautomasi tugas rutin akan membantu membebaskan tim keamanan agar dapat berfokus pada pemikiran yang lebih strategis, yang diperuntukkan bagi keunggulan manusia. Tetapi, di jagat raya strategis ini—antara lain, dalam melaksanakan triase respons insiden—automasi berpotensi tertinggi untuk memberdayakan tim keamanan sebagai mitra cerdas yang mengolah data dan mencocokkan pola. Contohnya, AI dan automasi lihai mengaitkan sinyal keamanan untuk mendukung respons dan deteksi komprehensif terhadap pelanggaran. Belum lama ini, sekitar setengah dari praktisi keamanan yang kami survei mengatakan, bahwa mereka harus mengaitkan sinyal secara manual. 1   Ini akan luar biasa memakan waktu, memberikan respons cepat untuk membendung serangan menjadi nyaris mustahil. Dengan penerapan automasi yang tepat—seperti korelasi sinyal keamanan—serangan sering kali dapat dideteksi mendekati real time.

Kami menemukan bahwa banyak tim keamanan tidak secara maksimal memanfaatkan automasi yang telah dibangun pada solusi yang mereka pakai sebelumnya. Di dalam banyak kasus, menerapkan automasi adalah mudah (dan berdampak tinggi!), hanya perlu mengonfigurasi fitur yang tersedia, seperti mengganti kebijakan akses beraturan tetap dengan kebijakan akses bersyarat berbasis risiko, membuat playbook untuk merespons, dll.

CISO yang memilih untuk menyingkirkan peluang automasi sering melakukannya karena tidak percaya, mengemukakan kekhawatiran bahwa sistem akan menimbulkan kesalahan yang tidak dapat dipulihkan saat beroperasi tanpa pengawasan manusia. Beberapa kemungkinan skenario termasuk sistem yang keliru menghapus data pengguna, mengakibatkan ketidaknyamanan bagi eksekutif yang perlu mengakses sistem, atau yang terburuk, menyebabkan hilangnya kendali atau visibilitas mengenai kerentanan yang telah dieskploitasi.

Tetapi, keamanan cenderung menjadi keputusan berimbang, antara pilihan ketidaknyamanan kecil sehari-hari atau ancaman konstan bencana serangan. Automasi berpotensi untuk menjadi sistem peringatan dini bagi serangan semacam ini, dan ketidaknyamanan akibat hal tersebut dapat dimitigasi atau dieliminasi. Dan selain itu, automasi terbaik bukan berjalan sendiri tetapi berdampingan dengan operator manusia, kecerdasan buatan dapat memberikan informasi sekaligus diperiksa oleh kecerdasan manusia.

Untuk membantu memastikan kelancaran penyebaran, kami telah menambahkan mode khusus laporan pada solusi kami untuk menawarkan pelaksanaan uji coba sebelum peluncuran. Dengan ini, tim keamanan dapat mengimplementasi automasi secepat yang mereka inginkan, memodifikasi aturan automasi, serta memonitor performa alat yang diautomasi.

Sebagai cara yang paling efektif, pemimpin keamanan menggunakan automasi secara berdampingan dengan tim mereka, untuk menutup celah dan menjadikannya lini pertahanan pertama. Seperti yang seorang CISO katakan baru-baru ini kepada saya, bahwa nyaris mustahil dan tak terjangkau mahalnya jika tim keamanan harus berfokus di semua tempat sepanjang waktu—dan sekalipun memungkinkan, tim keamanan akan sering dan rentan berganti karyawan. Automasi memberikan lapisan kontinuitas dan konsistensi yang selalu aktif dalam mendukung tim keamanan di area yang membutuhkan konsistensi, seperti pengawasan lalu lintas serta sistem peringatan dini. Saat dikerahkan di dalam kapasitas pendukung seperti ini, automasi akan membantu membebaskan tim dari peninjauan log dan sistem secara manual, menjadikan mereka lebih proaktif. Automasi tidak menggantikan manusia—automasi adalah alat yang memberdayakan tim Anda untuk memprioritaskan peringatan dan memfokuskan upaya mereka pada hal terpenting.