SOC Otonom: Sebuah Visi yang Terbukti untuk Masa Depan Kecepatan Mesin, Pertahanan Siber yang Digunakan oleh AI, atau Hanya Mimpi Belaka?
Sedikit konsep dalam keamanan modern yang telah menjadi sepolarizing, dengan pihak-pihak yang terbagi menjadi dua kelompok besar: “para penganut” dan “para skeptis”, masing-masing dengan klaim yang semakin mengandung hiperbola.
Di SentinelOne, Anda akan mendengar kami dan pelanggan kami membicarakan SOC otonom dan pergeseran mendasar yang akan dibawanya ke operasi keamanan sehari-hari. Hari ini, kami ingin menjelaskan secara jelas apa yang kami maksud ketika kami mengatakannya.
Seperti halnya segala sesuatu dalam keamanan siber, yang penting bukanlah definisi setengah kalimat, tetapi aplikasi dunia nyata. Kebenarannya adalah ini: Kami sebagai komunitas keamanan memiliki lebih banyak kesamaan satu sama lain mengenai visi AI dan otomatisasi serta di mana kami berada dalam perjalanan ini, dibandingkan dengan apa yang mungkin diyakini oleh para pakar dan pihak-pihak yang hanya berpura-pura.
Menyelaraskan Masalah Umum
Poin utama yang menjadi kesamaan adalah realitas yang dihadapi oleh SOC modern. Tim keamanan saat ini menghadapi tantangan yang semakin kompleks, termasuk lonjakan serangan canggih, meningkatnya volume peringatan, berkembangnya permukaan serangan, dan kekurangan tenaga ahli. Tidak berlebihan untuk mengatakan bahwa tidak pernah sebelumnya tim SOC lebih sulit untuk dengan cepat dan efektif menangani, menyelidiki, dan merespons ancaman daripada saat ini. Pada saat yang sama, pekerjaan yang kita tahu akan memberikan perbedaan signifikan dalam skala besar, seperti manajemen postur proaktif dan tindakan perburuan ancaman, sering kali terpinggirkan karena waktu dan keahlian yang dibutuhkan.
Memberdayakan Perjalanan Autonomous SOC
Visi dan konsep Autonomous SOC tertanam kuat dalam prinsip pengembangan produk SentinelOne. Kami percaya masa depan keamanan siber terletak pada pemberdayaan tim keamanan dengan alat AI dan otomatisasi yang terintegrasi secara mulus di setiap alur kerja SOC untuk meningkatkan kecepatan dan dampak manusia. Inovasi AI kami dirancang secara khusus untuk melengkapi analis SOC sehingga tim keamanan dapat dengan percaya diri mengadopsi kemampuan otonom sesuai keinginan mereka, sambil memastikan investasi keamanan mereka tetap relevan di masa depan.
SentinelOne percaya ada tahapan penting dalam perjalanan Autonomous SOC yang mengarah pada ideal kami untuk menghadirkan kemampuan SecOps otonom – masing-masing dirancang untuk selaras dengan evolusi alami operasi keamanan. Dengan memperkenalkan inovasi dan perbaikan secara bertahap, termasuk otomatisasi berbasis aturan, deteksi yang ditingkatkan AI, triase dan investigasi otonom, dan lainnya, kami membantu organisasi secara perlahan membangun keamanan yang sangat otonom. Pendekatan bertahap ini memastikan pelanggan kami memiliki alat untuk memajukan perjalanan Autonomous SOC mereka sendiri sesuai kecepatan dan arah yang mereka pilih.
Memetakan Model Maturitas Autonomous SOC
Di SentinelOne, kami memandang Autonomous SOC melalui perspektif model maturitas. Kami menyambut diskusi mengenai posisi kita, sebagai sebuah industri, dalam revolusi evolusioner ini. Kami berharap sebagian besar setuju bahwa pendekatan ini lebih baik untuk melihat inovasi dan adopsi Autonomous SOC—jauh lebih baik daripada perdebatan biner, semuanya atau tidak sama sekali, yang telah lama mendominasi blog analis, vendor, dan pengamat industri, serta pidato utama mereka.
Model lima tahap kami menguraikan peran penting otomatisasi dan AI dalam mendorong kemajuan serta tugas-tugas keamanan konkret yang dapat diotomatisasi oleh tim keamanan.
Tingkat 0 | Operasi Manual
Pada Tingkat 0 dalam Model Maturitas Autonomous SOC, operasi keamanan sangat bergantung pada proses manual dan logika deteksi sederhana dari satu sumber. Sebagai contoh, skenario umum mungkin melibatkan peringatan dari firewall Fortinet FortiGate yang mendeteksi lalu lintas mencurigakan, memicu investigasi manual yang panjang. Analis harus mengumpulkan konteks dari berbagai sumber, seperti log jaringan atau data endpoint, untuk merekonstruksi kejadian. Tindakan remediasi, seperti memblokir IP atau mengisolasi perangkat yang terkompromi, dilakukan secara manual.
Threat hunting pada tingkat maturitas ini membutuhkan keahlian mendalam dan analisis yang memakan waktu, seperti menyaring log jaringan untuk mengidentifikasi pola yang tidak biasa. Tanpa bantuan otomatisasi atau AI, pendekatan yang mengandalkan kerja manual ini memperlambat deteksi dan respons, meningkatkan risiko ancaman canggih yang lolos dari deteksi dan berkembang menjadi pelanggaran keamanan.
Tingkat 1 | Operasi Berbasis Aturan
Pada Tingkat 1 dalam Model Maturitas Autonomous SOC, organisasi mulai menggunakan sistem deteksi dan respons berbasis aturan. SOC memanfaatkan aturan korelasi untuk menggabungkan data dari berbagai sumber, meningkatkan akurasi deteksi ancaman. Platform Security Orchestration, Automation, and Response (SOAR) mulai mengotomatisasi sebagian proses investigasi dan respons, sehingga mengurangi beban kerja manual.
Pada tingkat ini, tim keamanan mungkin mengonfigurasi aturan yang mengaitkan beberapa upaya login yang gagal dengan lonjakan tiba-tiba lalu lintas jaringan keluar dari alamat IP yang sama. Hal ini memicu sistem SOAR untuk secara otomatis menyelidiki apakah IP tersebut terkait dengan ancaman yang diketahui dan, jika diperlukan, mengarantina endpoint.
Namun, meskipun ada perbaikan ini, keahlian manusia tetap penting untuk merancang aturan deteksi dan mengelola playbook respons. Untuk mengikuti perkembangan ancaman yang terus berubah, tim SOC harus terus-menerus menyempurnakan aturan-aturan ini agar otomatisasi di Tingkat 1 tetap relevan.
Tingkat 2 | Operasi Keamanan yang Didukung AI
Pada Tingkat 2 dalam Model Maturitas Autonomous SOC, kecerdasan buatan (AI) dan pembelajaran mesin (ML) diperkenalkan untuk meningkatkan operasi SOC melampaui aturan statis. Model AI dalam mesin deteksi dapat menyetel sendiri berdasarkan umpan balik yang diawasi atau pembelajaran tanpa pengawasan, meningkatkan akurasi dan mengurangi positif palsu. Sebagai contoh, mesin Static AI SentinelOne yang dilatih dengan lebih dari setengah miliar sampel malware, dapat secara otomatis memprediksi apakah sebuah file atau objek merupakan malware berdasarkan karakteristiknya.
Asisten AI memanfaatkan generative AI untuk menyederhanakan tugas penting seperti rekayasa deteksi, triase, investigasi, dan respons, memungkinkan analis fokus pada aktivitas bernilai lebih tinggi. Sebagai contoh, asisten AI atau analis keamanan virtual seperti Purple AI dapat melakukan investigasi atau pencarian ancaman berbasis bahasa alami. Analis dapat mengajukan pertanyaan sederhana seperti, “Apakah ada upaya login yang tidak biasa di seluruh jaringan?” Asisten AI menafsirkan pertanyaan tersebut, memindai sumber data, mengidentifikasi pola, dan memberikan hasil yang diprioritaskan, menghilangkan kebutuhan pengguna akhir untuk menulis kueri kompleks atau memahami pemetaan data atau bidang-bidang di baliknya.
Hal ini menyederhanakan proses investigasi dan membuat pencarian ancaman lebih mudah diakses, bahkan untuk anggota tim yang kurang berpengalaman. Dengan memperkenalkan AI, Tingkat 2 memungkinkan respons yang lebih cepat dan akurat sambil terus belajar dari kejadian sebelumnya untuk beradaptasi dengan ancaman yang terus berkembang.
Tingkat 3 | Otonomi Parsial
Pada Tingkat 3 dalam Model Maturitas Autonomous SOC, operasi keamanan bergerak menuju otonomi parsial, dengan sistem berbasis LLM (Large Language Model) yang memprediksi serangan baru dan secara otomatis membuat logika deteksi. Ini adalah tahap kemajuan logis berikutnya bagi pemimpin industri. Sistem AI juga akan memanfaatkan pendekatan agen untuk melakukan tindakan respons berisiko rendah, seperti membuat tiket atau memaksa re-autentikasi, sementara analis manusia berfokus pada pengawasan output AI dan menangani tugas-tugas yang memerlukan penilaian kontekstual yang lebih dalam.
Sebagai contoh, selama serangan ransomware yang belum pernah terlihat sebelumnya, sistem berbasis LLM dapat menganalisis perilaku malware, menghasilkan aturan deteksi, menyarankan keputusan, dan merespons secara mandiri dengan membuat tiket untuk pemilik aset tanpa memerlukan pengguna untuk menulis kueri kompleks atau memahami pemetaan data. Sementara itu, analis manusia akan meninjau temuan yang dihasilkan AI, menyesuaikan logika deteksi jika diperlukan, dan memvalidasi strategi respons secara keseluruhan. Para ahli manusia akan menangani keputusan berisiko lebih tinggi, seperti menentukan apakah akan meningkatkan tindakan atau melakukan upaya penanggulangan insiden yang lebih luas, memastikan keselarasan AI dengan strategi keamanan.
Tingkat 4 | Otonomi Tinggi
Pada Tingkat 4, yang berpotensi menjadi tahap akhir dari Model Maturitas Autonomous SOC, operasi keamanan mencapai tingkat otonomi tinggi. Secara umum, disepakati bahwa waktu dan kemungkinan pencapaian tahap ini masih dipertanyakan, dengan potensi Tingkat 4 bergantung pada perkembangan model AI menuju penalaran logis dan kecerdasan umum buatan penuh (AGI).
Namun, dalam skenario hipotetis masa depan ini, pendekatan berbasis agen akan menangani seluruh proses SOC, mulai dari deteksi dan investigasi hingga respons dan remediasi, dengan intervensi manusia yang minimal. Analis manusia akan berperan lebih strategis, membimbing dan menyempurnakan AI agar dapat beradaptasi dengan ancaman baru dan mempertahankan ketahanan.
Model ini akan memungkinkan pendekatan keamanan 24/7 yang sepenuhnya otomatis, secara drastis mengurangi waktu respons dan meminimalkan dampak serangan. Sebagai contoh, dalam SOC dengan otonomi tinggi, sistem AI dapat secara mandiri mendeteksi ancaman, menyelidikinya, dan memulai tindakan remediasi seperti memulihkan sistem yang terinfeksi malware, mencabut kredensial yang dikompromikan, dan memperbarui aturan firewall.
Perjalanan Menuju SOC Otonom
Perjalanan dari operasi manual menuju otonomi yang lebih tinggi dalam SecOps memerlukan perencanaan yang cermat, investasi dalam AI, dan peningkatan berkelanjutan. Selain itu, diperlukan keselarasan pemahaman bersama dan debat yang rasional.
Kami percaya bahwa kemajuan menuju SOC Otonom adalah masa depan dunia keamanan siber, di mana AI dan otomatisasi mengurangi beban kerja, meningkatkan akurasi deteksi, dan mempercepat waktu respons. Mencapai tingkat otonomi tinggi membutuhkan perubahan perspektif yang mendasar. Seiring kemajuan SOC, peran analis keamanan akan bergeser dari tugas-tugas monoton dan investigasi manual yang melelahkan menjadi pengawasan dan optimalisasi sistem. Kami melihat para profesional keamanan memanfaatkan inovasi AI dan SOC Otonom sebagai penguatan keahlian mereka, bukan sebagai pengganti, sehingga menciptakan lingkungan digital yang lebih aman dan tangguh.
Alat untuk memulai perjalanan ini sudah tersedia saat ini. SentinelOne adalah salah satu perusahaan yang berinovasi di bidang ini melalui investasi dalam solusi AI dan Otomatisasi seperti Purple AI, AI SIEM, dan platform Singularity yang lebih luas.
Bersama-sama, dengan dilengkapi inovasi terbaru dan keahlian manusia, serta didukung oleh pemahaman yang sama, kita dapat melewati sensasi yang berlebihan dan fokus pada pemberdayaan SOC untuk melindungi organisasi, data, dan orang-orang kita.
Artikel ini bertujuan untuk memberikan wawasan kepemimpinan pemikiran dan ide terbaru kami tentang masa depan keamanan siber dan tidak dimaksudkan sebagai deskripsi fitur SentinelOne yang tersedia saat ini.
