Teknik keamanan berbasis aturan tradisional yang berpusat pada tanda tangan malware dan perlindungan perimeter semakin tidak mampu mengatasi ancaman terbaru yang lebih canggih.
Mengambil pendekatan yang lebih berbasis perilaku untuk menemukan aktivitas yang tidak biasa atau berisiko menawarkan solusi, tetapi apa yang diperlukan untuk membuatnya bekerja? Kami berbicara dengan Sanjay Raja, VP pemasaran produk dan solusi di spesialis keamanan siber Gurucul , untuk mencari tahu.
SR: Analisis risiko perilaku memeriksa jaringan, aplikasi, cloud, pengguna, dan aktivitas perangkat untuk perilaku yang tidak biasa dan berisiko tinggi. Ini memerlukan model pembelajaran mesin (ML) yang mendasari perilaku normal dan mencari anomali. Tetapi tidak semua aktivitas yang tidak biasa berisiko.
Misalnya, pertimbangkan karyawan pemasaran mengakses materi pemasaran dari drive SharePoint untuk pertama kalinya dalam beberapa bulan. Ini tidak biasa dibandingkan dengan perilaku normalnya, tetapi kemungkinan risikonya relatif rendah. Tetapi karyawan yang sama yang mengakses repositori kode dari lokasi yang tidak dikenal di tengah malam ketika sebagian besar karyawan offline jauh lebih berisiko dan harus ditandai.
Jika berhasil dilakukan, analisis risiko perilaku dapat meningkatkan efisiensi, mengurangi kesalahan positif, dan mendeteksi ancaman orang dalam dan serangan zero-day yang tidak dapat dilakukan metode deteksi ancaman lainnya. Sebagai manfaat sampingan, analisis ML yang terlibat juga dapat menghasilkan data berharga tentang bagaimana sistem dan perangkat digunakan (misalnya, melihat pola penggunaan normal untuk suatu sistem atau sekumpulan perangkat dapat memberi tahu tim TI waktu terbaik untuk menutup turun untuk pembaruan).
BN: Apa yang membuat perangkat lunak analitik perilaku baik?
SR: Teknologi di balik perangkat lunaklah yang benar-benar membuatnya efektif.
Sistem analisis perilaku yang baik akan memanfaatkan ML yang sebenarnya untuk mendeteksi dan beradaptasi dengan ancaman yang diketahui dan tidak diketahui dengan melakukan analisis risiko.
Melakukan analisis risiko melibatkan penentuan tingkat risiko perilaku, yang memerlukan pengumpulan sejumlah besar data kontekstual (biasanya ke dalam data lake), menghubungkan dan menautkan data tersebut ke pengguna dan entitas unik, menjalankan analisis perilaku yang didukung oleh ML, menghitung skor risiko berdasarkan data tersebut, melihat anomali berdasarkan skor risiko tersebut, dan memprioritaskannya.
Ini membantu mengurangi positif palsu (perilaku yang tidak biasa, tetapi risiko rendah sering memicu peringatan positif palsu dalam solusi yang kurang canggih). Informasi kontekstual ini adalah kunci untuk mengidentifikasi perilaku apa yang berisiko atau tidak. Data kontekstual dapat mencakup informasi yang relevan dengan insiden seperti peristiwa, segmen jaringan, aset, atau akun yang terlibat.
BN: Apa perbedaan antara pembelajaran berbasis aturan dan pembelajaran mesin dalam analitik perilaku?
SR: Meskipun analitik perilaku berbasis aturan dan pembelajaran mesin mungkin tampak serupa di permukaan, mereka sebenarnya berfungsi sangat berbeda.
Deteksi berbasis aturan sering dijual sebagai AI atau ML tetapi sama sekali bukan AI atau ML yang sebenarnya. Deteksi berbasis aturan pada dasarnya adalah diagram alur yang melewati serangkaian langkah atau tes (input) yang telah ditetapkan sebelumnya terlepas dari konteksnya dan menghasilkan peringatan (atau keluaran) jika kriteria yang telah ditentukan terpenuhi.
Mesin pembelajaran mesin akan mempertimbangkan konteks dan menilai seberapa berisiko dan seberapa tidak biasa suatu perilaku tertentu. Misalnya, mesin pembelajaran mesin menggunakan garis dasar, analitik kelompok sebaya, dan deteksi anomali untuk mengidentifikasi perilaku yang tidak biasa, seperti pengguna mengakses jaringan dari alamat IP yang tidak dikenal, pengguna mengunduh sejumlah besar IP dari penyimpanan dokumen sensitif yang tidak terkait dengan peran mereka,Perbedaan utama pertama antara kedua mesin pendeteksi ini adalah kemampuannya untuk beradaptasi dengan varian baru serangan siber.
Sistem deteksi berbasis aturan mengalami kesulitan dalam mendeteksi dan beradaptasi dengan varian malware baru dan perlu diperbarui secara manual dengan setiap varian baru yang menyerang sistem. Ini menghasilkan perangkat lunak analitik perilaku yang lebih lambat yang seringkali terlambat mendeteksi serangan.
Sedangkan sistem pembelajaran mesin akan mendeteksi varian baru malware dengan memperhatikan aktivitas jaringan mencurigakan yang terkait dengannya, bahkan jika file itu sendiri tidak diketahui berbahaya, dan menandai tim keamanan untuk menganalisis ancaman lebih lanjut.Perbedaan penting lainnya antara kedua pendekatan ini adalah kebutuhan akan interaksi manusia. Sistem deteksi berbasis aturan harus terus diperbarui secara manual oleh vendor atau tim keamanan.
Bergantung pada seberapa responsif vendor atau seberapa berpengalaman tim keamanan, proses ini dapat memakan waktu berhari-hari atau bahkan berminggu-minggu. Hal ini pada gilirannya dapat mengakibatkan data perusahaan dieksploitasi lebih lanjut, yang menimbulkan biaya besar dan lebih banyak pekerjaan manual untuk perusahaan dan tim keamanan mereka.
Dengan pembelajaran mesin, kebutuhan interaksi dan pembaruan manusia sangat berkurang karena sistem akan secara otomatis belajar dan beradaptasi dengan serangan baru dan variannya.
BN: Bagaimana teknologi analitik perilaku berubah dalam beberapa tahun terakhir dan peningkatan apa yang akan terjadi?
SR: Teknologi analitik perilaku telah berkembang secara signifikan selama bertahun-tahun dengan penerapan pembelajaran mesin yang sebenarnya (bergerak melewati pendekatan berbasis aturan) yang memanfaatkan teknik pembelajaran yang terawasi, tidak terawasi, dan mendalam.
Karena malware menjadi lebih maju dan taktik seperti kebingungan kode menjadi lebih umum, sistem berbasis aturan mengalami kesulitan beradaptasi dengan lanskap malware baru. Karena model pembelajaran mesin menjadi lebih canggih, analitik perilaku telah meningkat secara bersamaan.
Penggunaan ML memungkinkan tim keamanan untuk mendeteksi berbagai jenis ancaman dan mengurangi biaya dengan cara yang belum pernah dilakukan sebelumnya. Analisis risiko perilaku memiliki potensi besar untuk membuat deteksi ancaman lebih efisien dan menjaga organisasi lebih aman. Membangun analitik ML yang kuat yang diambil dari data input yang memadai akan menjadi kunci keberhasilan pendekatan ini selama beberapa tahun ke depan karena teknologi ini menjadi lebih standar dalam sistem keamanan generasi berikutnya.
BN: Apa saja pilihan yang dimiliki bisnis saat memilih dan menerapkan deteksi ancaman dan apa yang harus mereka lakukan agar berhasil?
SR: Dengan semua jenis deteksi ancaman yang tersedia, dapat membingungkan dan membingungkan bagi bisnis untuk menemukan dan memilih produk keamanan yang tepat yang sesuai dengan kebutuhan, tingkat keterampilan, dan anggaran mereka. Salah satu hal terbaik yang dapat dilakukan CISO adalah menentukan kebutuhan keamanan mereka dan mengomunikasikannya dengan jelas kepada tim keamanan.
Saat mengevaluasi solusi deteksi ancaman dari vendor, bisnis harus mengajukan pertanyaan penting seperti:Apakah tim saya harus melakukan banyak korelasi manual, dan bagaimana mereka dapat melakukannya dengan acara yang berlangsung berminggu-minggu atau bahkan berbulan-bulan?Apakah tim saya harus mencari melalui beberapa alat dan menyusun konteks mereka sendiri untuk melihat pola yang akan membantu merumuskan respons yang lebih baik saat bekerja dengan tim TI lain?Bagaimana platform deteksi ancaman saya dapat mengotomatiskan tugas-tugas tertentu dan membawa konteks yang tepat ke depan?Bagaimana ini dapat memberikan konteks yang diperlukan yang dapat membantu analis yang kurang berpengalaman belajar dari waktu ke waktu dan semakin menambah nilai?
BN: Masalah atau hambatan apa yang mencegah organisasi menggunakan analitik perilaku dengan sukses dalam program deteksi ancaman?
SR: Salah satu masalah utama yang menghambat banyak organisasi adalah tidak mengumpulkan cukup data untuk menyediakan alat pendeteksi ancaman.
Jika alat ini tidak memiliki jaringan atau data perangkat yang lengkap, maka masalah keamanan dapat lolos dari titik buta tersebut. Data yang terlalu sedikit juga berarti bahwa deteksi ancaman tidak bisa setepat atau kontekstual, yang pada gilirannya berarti lebih banyak peringatan positif palsu dan lebih banyak pekerjaan bagi analis SOC untuk menyelidiki dan menanggapi ancaman yang sebenarnya. Organisasi mungkin membatasi data input mereka karena mereka secara keliru percaya bahwa melakukan hal-hal seperti menyalakan NetFlow akan memperlambat kinerja jaringan.
Orang lain mungkin memiliki solusi deteksi ancaman yang mengenakan biaya berdasarkan volume data yang diserapnya, sehingga mereka membatasi input untuk menekan biaya. Tambahan,Masalah kedua adalah kualitas model ML yang diandalkan oleh analisis perilaku. Semakin banyak model yang dimiliki suatu solusi, semakin detail masing-masingnya. Ini berarti mereka akan lebih akurat dan solusinya akan mencakup ancaman keamanan yang lebih luas secara keseluruhan.
Solusi analitik perilaku yang kuat harus memiliki ratusan model ML. Banyak solusi juga memiliki model ML eksklusif yang tidak dapat diverifikasi atau disesuaikan. Ini juga membuat penghalang pandang karena pengguna tidak dapat memverifikasi bahwa model berfungsi sebagaimana dimaksud dan tidak dapat memodifikasinya untuk merespons ancaman baru.
Pilihan yang lebih baik adalah memilih vendor yang menawarkan analitik terbuka sehingga perusahaan dapat menyesuaikan model pembelajaran mesin vendor atau membangunnya sendiri.
Editor by : AMS Star
Tanya & Beli Program?