Rangga keamanan terburuk jarang dimulai dengan menggelegar, namun serangan yang paling berbahaya adalah serangan yang diam-diam keluar dari perimeter dan mulai menyebar tanpa para pembela menyadari. Ini adalah jumlah waktu yang dihabiskan para penyerang di bawah radar sistem yang mengubah intrusi menjadi bencana.
Namun, meskipun bertahun-tahun berinvestasi dalam alat pencegahan, kita masih melihat organisasi terus berjuang untuk mendeteksi dan menahan penyerang, sekali di dalamnya.
Navigasi di tautan sosial
Wakil Presiden Strategi Industri Illumio.
Seringkali, kekurangan bukanlah kurangnya visibilitas atau peringatan keamanan, melainkan kurangnya kejelasan. Di lingkungan hibrida saat ini, ketahanan kurang bergantung pada pengendalian semua ancaman dan lebih bergantung pada deteksi ancaman yang tersedia.
Anda mungkin suka
Kesenjangan antara deteksi dan visibilitas nyata semakin meningkat
Bukan rahasia lagi bahwa tim keamanan merasa semakin tertekan dan mudah untuk memahami mengapa ketika Anda mulai menganalisis angka.
Penelitian kami menunjukkan bahwa organisasi yang biasa terkena lebih dari 2.000 peringatan setiap hari, banyak dari mereka adalah suara yang tidak memberikan nilai nyata.
Para analis menghabiskan lebih dari 14 jam seminggu mengejar positif palsu, dan dua pertiga pemimpin mengakui bahwa tim mereka tidak dapat mengikuti. Peringatan yang hilang diterjemahkan ke dalam kesempatan yang hilang untuk mencegah penyerang lebih awal.
Kompleksitas instrumentasi memperburuk masalah ini. Meskipun sebagian besar organisasi saat ini menggunakan beberapa platform deteksi dan respons cloud, kami menemukan bahwa hampir semua (92%) masih melaporkan kekurangan kapasitas yang signifikan.
Daftarlah ke buletin TechRadar Pro untuk menerima semua berita, analisis, fitur, dan panduan yang dibutuhkan perusahaan Anda untuk sukses!
Lebih banyak data tidak berarti deteksi yang lebih baik, dan sistem yang ditumpuk menciptakan visibilitas terpecah dan informasi yang saling bertentangan. Tanpa konteks yang signifikan untuk menyatukan sinyal ini, pendukung dipaksa untuk menggabungkan potongan-potongan dari sebuah cerita daripada melihat apa yang benar-benar penting.
Mengapa gerakan samping tetap menjadi titik buta favorit penyerang
Tantangan untuk memisahkan sinyal dari suara adalah luas bagi para pelaku ancaman, yang semakin bergantung pada taktik yang rendah dan rendah. Setelah berada di dalam organisasi, daripada bertindak segera, mereka cenderung melaluinya melalui jaringan, meningkatkan hak istimewa, menganalisis beban kerja, dan mencari sistem rahasia.
Gangguan kecil dalam gerakan samping ini berubah menjadi krisis operasional besar dan tetap menjadi salah satu fase serangan yang paling sulit dideteksi.
Anda mungkin suka
Ini sangat berharga untuk serangan cyber, dengan hampir 9 dari 10 organisasi memberi tahu kami bahwa mereka mengalami insiden pergerakan samping tahun lalu, rata-rata, pelanggaran ini mengakibatkan lebih dari tujuh jam tidak aktif, memperpanjang gangguan operasi terus menerus dan pemulihan total.
Insiden ini terus berlanjut karena lalu lintas timur-barat dalam lingkungan hibrida modern masih kurang dipahami. Bahkan ketika organisasi percaya bahwa mereka secara efektif memantau komunikasi internal, hampir 40% lalu lintas ini tidak memiliki konteks yang diperlukan untuk analisis yang dapat diandalkan.
Penyerang berkembang ketika penjaga yang terbebani, ragu atau tidak dapat membedakan aktivitas yang sah dari tanda-tanda pertama intrusi yang menyebar ke jaringan.
Pentingnya keteladanan
Pertahanan yang efektif terhadap ancaman ini membutuhkan pengamatan yang mendalam. Ada dorongan yang terus-menerus dari badan-badan industri, dengan Pusat Keamanan Siber Nasional (NCSC) Inggris, misalnya, baru-baru ini mengeluarkan pedoman.
NCSC menekankan bahwa organisasi tidak dapat mencari ancaman yang tidak dapat mereka lihat dan indikator keterlibatan tradisional tidak mencukupi. Sebaliknya, pembela membutuhkan visibilitas perilaku, pola, identitas, beban kerja, dan lalu lintas timur-barat untuk menemukan tanda-tanda halus yang menunjukkan penyerang yang sudah dalam tindakan.
Hal ini konsisten dengan analisis kita tentang kurangnya konteks untuk lalu lintas internal, meskipun ketergantungan yang luas pada kemampuan pemantauan.
Observasi harus melampaui mengumpulkan lebih banyak catatan, dan kita harus memahami bagaimana sistem saling berhubungan, berperilaku, dan berubah dari waktu ke waktu dan menghubungkan wawasan ini sebelum penyerang dapat melakukannya.
Mengapa konteks, korespondensi, dan pengendalian harus menggantikan pencarian peringatan
Selama bertahun-tahun, kita telah melihat program keamanan bereaksi terhadap peningkatan volume serangan dengan mengumpulkan lebih banyak data. Tapi jauh dari mengendalikannya, pendekatan ini seringkali hanya berfungsi untuk meningkatkan kelelahan dalam keadaan waspada.
Karena sebagian besar lalu lintas jaringan masih tidak memiliki konteks yang diperlukan untuk penyelidikan yang signifikan, analis menganalisis peringatan prioritas rendah daripada fokus pada perilaku penyerang.
Apa yang dibutuhkan tim keamanan adalah pandangan yang terhubung dari lingkungan mereka, bukan sinyal yang terisolasi. Model kontekstual, seperti grafik keamanan, membantu memetakan hubungan antara beban kerja, identitas, perangkat, dan aliran data.
Mereka mengubah indikator yang tersebar ke dalam gambar yang konsisten. Alert tingkat rendah di satu sistem dapat masuk akal ketika terkait dengan perilaku yang mencurigakan di tempat lain, mengungkapkan niat penyerang daripada anomali yang terisolasi.
Bertukar dari mencari peringatan ke memahami jalan adalah penting untuk menahan pelanggaran. Ketika pembela dapat melihat bagaimana sistem berinteraksi dan di mana aset yang paling rahasia berada, mereka dapat mengidentifikasi jalan yang dapat diambil oleh penyerang.
Kejelasan ini memungkinkan tim untuk bermain dengan percaya diri, mengurangi atau menghentikan gerakan samping sebelum berkembang.
Dimensi yang bertanggung jawab dari AI, otomatisasi dan feedback manusia
Saat lingkungan berkembang, volume dan kompleksitas data keamanan melampaui apa yang dapat ditangani oleh analis manusia sendiri. Di sinilah AI dan otomatisasi memainkan peran penting.
Banyak organisasi menggunakan AI dan pembelajaran mesin untuk meningkatkan ketepatan deteksi dan mempercepat waktu respons, mengingat ini merupakan sumber daya penting untuk mendeteksi gerakan lateral lebih awal dan meringankan beban kelelahan peringatan.
Namun, salahnya percaya bahwa berinvestasi dalam AI akan menyelesaikan semuanya sendiri. AI lebih efektif ketika meningkatkan, dan tidak menggantikan, pengalaman manusia. Sistem otomatis dapat menghubungkan sinyal di lingkungan hibrida, memperkaya mereka dengan konteks dan menyaring suara, memberikan analisa titik awal yang lebih tepat.
Digabungkan dengan pendekatan grafik keamanan, misalnya, analisis berbasis AI dapat secara terus menerus memetakan semua beban kerja dan koneksi secara real-time, menyoroti pola perilaku yang tidak mungkin ditemukan secara manual.
Hal ini menciptakan perkalian kekuatan yang memungkinkan keputusan yang lebih cepat dan lebih aman dan mendukung pengendalian cepat yang dibutuhkan oleh ketahanan modern.
Grafik keamanan yang didukung AI dapat menghubungkan titik-titik peristiwa jaringan dan menghubungkannya, menciptakan narasi di mana analis manusia yang sibuk dapat melihat peringatan terisolasi.
Misalnya, beban kerja yang mengakses database yang belum pernah diakses sebelumnya dapat diarahkan ke identitas yang tidak dikonfigurasi dengan baik, mengekspos jalur serangan yang sudah dieksploitasi.
Apa artinya bagi para pemimpin bisnis dan IT
Bagi para pemimpin, semuanya dimulai dengan pengakuan bahwa ketahanan tergantung pada apa yang terjadi setelah penyerang masuk, yang berarti berinvestasi dalam keteladanan di seluruh rangkaian hibrida, tidak hanya dalam catatan perimeter, tetapi juga dalam identitas, beban kerja, layanan cloud, dan lalu lintas timur-barat yang menunjukkan bagaimana serangan berlangsung.
Ini juga membutuhkan perubahan dalam strategi mendeteksi perilaku dan hubungan, didukung oleh ancaman dan penelitian berdasarkan hipotesis. Otomatisasi dan AI dapat membantu, tetapi hanya jika mereka didasarkan pada data kontekstual berkualitas tinggi.
Akhirnya, keberhasilan tidak harus diukur oleh jumlah ancaman yang terkunci, tetapi dengan seberapa cepat organisasi dapat mendeteksi, menahan, dan memulihkan intrusi.
Perlanggaran tidak dapat dihindari untuk beroperasi di lingkungan hybrid mobile saat ini, yang penting adalah seberapa cepat sebuah organisasi dapat mengenali ketika sesuatu yang salah dan membatasi dampaknya.
Kami menyajikan perangkat lunak enkripsi terbaik.
Artikel ini diproduksi sebagai bagian dari TechRadarPro’s Expert Insights channel, di mana kami menyajikan pikiran terbaik dan paling cemerlang di industri teknologi saat ini.
