SOC Otonom: Sebuah Visi yang Terbukti untuk Masa Depan Kecepatan Mesin, Pertahanan Siber yang Digunakan oleh AI, atau Hanya Mimpi Belaka? Sedikit konsep dalam keamanan modern yang telah menjadi sepolarizing, dengan pihak-pihak yang terbagi menjadi dua kelompok besar: “para penganut” dan “para skeptis”, masing-masing dengan klaim yang semakin mengandung hiperbola. Di SentinelOne, Anda akan mendengar kami dan pelanggan kami membicarakan SOC otonom dan pergeseran mendasar yang akan dibawanya ke operasi keamanan sehari-hari. Hari ini, kami ingin menjelaskan secara jelas apa yang kami maksud ketika kami mengatakannya. Seperti halnya segala sesuatu dalam keamanan siber, yang penting bukanlah definisi setengah kalimat, tetapi aplikasi dunia nyata. Kebenarannya adalah ini: Kami sebagai komunitas keamanan memiliki lebih banyak kesamaan satu sama lain mengenai visi AI dan otomatisasi serta di mana kami berada dalam perjalanan ini, dibandingkan dengan apa yang mungkin diyakini oleh para pakar dan pihak-pihak yang hanya berpura-pura. Menyelaraskan Masalah Umum Poin utama yang menjadi kesamaan adalah realitas yang dihadapi oleh SOC modern. Tim keamanan saat ini menghadapi tantangan yang semakin kompleks, termasuk lonjakan serangan canggih, meningkatnya volume peringatan, berkembangnya permukaan serangan, dan kekurangan tenaga ahli. Tidak berlebihan untuk mengatakan bahwa tidak pernah sebelumnya tim SOC lebih sulit untuk dengan cepat dan efektif menangani, menyelidiki, dan merespons ancaman daripada saat ini. Pada saat yang sama, pekerjaan yang kita tahu akan memberikan perbedaan signifikan dalam skala besar, seperti manajemen postur proaktif dan tindakan perburuan ancaman, sering kali terpinggirkan karena waktu dan keahlian yang dibutuhkan. Memberdayakan Perjalanan Autonomous SOC Visi dan konsep Autonomous SOC tertanam kuat dalam prinsip pengembangan produk SentinelOne. Kami percaya masa depan keamanan siber terletak pada pemberdayaan tim keamanan dengan alat AI dan otomatisasi yang terintegrasi secara mulus di setiap alur kerja SOC untuk meningkatkan kecepatan dan dampak manusia. Inovasi AI kami dirancang secara khusus untuk melengkapi analis SOC sehingga tim keamanan dapat dengan percaya diri mengadopsi kemampuan otonom sesuai keinginan mereka, sambil memastikan investasi keamanan mereka tetap relevan di masa depan. SentinelOne percaya ada tahapan penting dalam perjalanan Autonomous SOC yang mengarah pada ideal kami untuk menghadirkan kemampuan SecOps otonom – masing-masing dirancang untuk selaras dengan evolusi alami operasi keamanan. Dengan memperkenalkan inovasi dan perbaikan secara bertahap, termasuk otomatisasi berbasis aturan, deteksi yang ditingkatkan AI, triase dan investigasi otonom, dan lainnya, kami membantu organisasi secara perlahan membangun keamanan yang sangat otonom. Pendekatan bertahap ini memastikan pelanggan kami memiliki alat untuk memajukan perjalanan Autonomous SOC mereka sendiri sesuai kecepatan dan arah yang mereka pilih. Memetakan Model Maturitas Autonomous SOC Di SentinelOne, kami memandang Autonomous SOC melalui perspektif model maturitas. Kami menyambut diskusi mengenai posisi kita, sebagai sebuah industri, dalam revolusi evolusioner ini. Kami berharap sebagian besar setuju bahwa pendekatan ini lebih baik untuk melihat inovasi dan adopsi Autonomous SOC—jauh lebih baik daripada perdebatan biner, semuanya atau tidak sama sekali, yang telah lama mendominasi blog analis, vendor, dan pengamat industri, serta pidato utama mereka. Model lima tahap kami menguraikan peran penting otomatisasi dan AI dalam mendorong kemajuan serta tugas-tugas keamanan konkret yang dapat diotomatisasi oleh tim keamanan. Tingkat 0 | Operasi Manual Pada Tingkat 0 dalam Model Maturitas Autonomous SOC, operasi keamanan sangat bergantung pada proses manual dan logika deteksi sederhana dari satu sumber. Sebagai contoh, skenario umum mungkin melibatkan peringatan dari firewall Fortinet FortiGate yang mendeteksi lalu lintas mencurigakan, memicu investigasi manual yang panjang. Analis harus mengumpulkan konteks dari berbagai sumber, seperti log jaringan atau data endpoint, untuk merekonstruksi kejadian. Tindakan remediasi, seperti memblokir IP atau mengisolasi perangkat yang terkompromi, dilakukan secara manual. Threat hunting pada tingkat maturitas ini membutuhkan keahlian mendalam dan analisis yang memakan waktu, seperti menyaring log jaringan untuk mengidentifikasi pola yang tidak biasa. Tanpa bantuan otomatisasi atau AI, pendekatan yang mengandalkan kerja manual ini memperlambat deteksi dan respons, meningkatkan risiko ancaman canggih yang lolos dari deteksi dan berkembang menjadi pelanggaran keamanan. Tingkat 1 | Operasi Berbasis Aturan Pada Tingkat 1 dalam Model Maturitas Autonomous SOC, organisasi mulai menggunakan sistem deteksi dan respons berbasis aturan. SOC memanfaatkan aturan korelasi untuk menggabungkan data dari berbagai sumber, meningkatkan akurasi deteksi ancaman. Platform Security Orchestration, Automation, and Response (SOAR) mulai mengotomatisasi sebagian proses investigasi dan respons, sehingga mengurangi beban kerja manual. Pada tingkat ini, tim keamanan mungkin mengonfigurasi aturan yang mengaitkan beberapa upaya login yang gagal dengan lonjakan tiba-tiba lalu lintas jaringan keluar dari alamat IP yang sama. Hal ini memicu sistem SOAR untuk secara otomatis menyelidiki apakah IP tersebut terkait dengan ancaman yang diketahui dan, jika diperlukan, mengarantina endpoint. Namun, meskipun ada perbaikan ini, keahlian manusia tetap penting untuk merancang aturan deteksi dan mengelola playbook respons. Untuk mengikuti perkembangan ancaman yang terus berubah, tim SOC harus terus-menerus menyempurnakan aturan-aturan ini agar otomatisasi di Tingkat 1 tetap relevan. Tingkat 2 | Operasi Keamanan yang Didukung AI Pada Tingkat 2 dalam Model Maturitas Autonomous SOC, kecerdasan buatan (AI) dan pembelajaran mesin (ML) diperkenalkan untuk meningkatkan operasi SOC melampaui aturan statis. Model AI dalam mesin deteksi dapat menyetel sendiri berdasarkan umpan balik yang diawasi atau pembelajaran tanpa pengawasan, meningkatkan akurasi dan mengurangi positif palsu. Sebagai contoh, mesin Static AI SentinelOne yang dilatih dengan lebih dari setengah miliar sampel malware, dapat secara otomatis memprediksi apakah sebuah file atau objek merupakan malware berdasarkan karakteristiknya. Asisten AI memanfaatkan generative AI untuk menyederhanakan tugas penting seperti rekayasa deteksi, triase, investigasi, dan respons, memungkinkan analis fokus pada aktivitas bernilai lebih tinggi. Sebagai contoh, asisten AI atau analis keamanan virtual seperti Purple AI dapat melakukan investigasi atau pencarian ancaman berbasis bahasa alami. Analis dapat mengajukan pertanyaan sederhana seperti, “Apakah ada upaya login yang tidak biasa di seluruh jaringan?” Asisten AI menafsirkan pertanyaan tersebut, memindai sumber data, mengidentifikasi pola, dan memberikan hasil yang diprioritaskan, menghilangkan kebutuhan pengguna akhir untuk menulis kueri kompleks atau memahami pemetaan data atau bidang-bidang di baliknya. Hal ini menyederhanakan proses investigasi dan membuat pencarian ancaman lebih mudah diakses, bahkan untuk anggota tim yang kurang berpengalaman. Dengan memperkenalkan AI, Tingkat 2 memungkinkan respons yang lebih cepat dan akurat sambil terus belajar dari kejadian sebelumnya untuk beradaptasi dengan ancaman yang terus berkembang. Tingkat 3 | Otonomi Parsial Pada Tingkat 3 dalam Model Maturitas Autonomous SOC, operasi keamanan bergerak menuju…
Category: Blog
S Ventures Berinvestasi di Poolside, Kecerdasan Buatan Generasi Berikutnya untuk Rekayasa Perangkat Lunak.
Pada Oktober 2024, divisi investasi SentinelOne, S Ventures, melakukan investasi strategis di poolside, sebagai bagian dari putaran pendanaan Seri B startup AI untuk asistensi pengkodean senilai $500 juta. Investasi ini menjadi salah satu langkah penting S Ventures dalam mendukung startup AI generatif (GenAI), menyusul investasi serupa pada platform LLM (Large Language Models) terkemuka seperti Anthropic dan Cohere, serta Scale, sebuah startup yang berfokus pada pengembangan dan alat lapisan AI, dan Galileo, platform intelijen evaluasi terkemuka untuk tim AI. Putaran pendanaan ini melibatkan Bain Capital Ventures, Citi Ventures, NVIDIA, serta sejumlah firma investasi dan ventura ternama lainnya. Lalu, apa yang membuat poolside menjadi salah satu startup GenAI yang paling diperhatikan dan bernilai tinggi? Poolside menarik perhatian karena pendekatannya yang inovatif dalam menghadirkan solusi AI generasi berikutnya untuk rekayasa perangkat lunak. Startup ini menggabungkan kemampuan AI asistif untuk pengkodean dengan teknologi canggih yang mendukung efisiensi, skalabilitas, dan personalisasi pengembangan perangkat lunak. Hal ini menjadikan poolside bukan hanya sebagai pemain di sektor AI, tetapi juga sebagai pemimpin potensial dalam mendefinisikan ulang bagaimana perangkat lunak dirancang dan dikembangkan. Kombinasi pendanaan besar dari investor ternama, visi teknologi yang menjanjikan, dan posisi strategis di pasar AI generatif, membuatnya menjadi sorotan utama. Peluang Pasar untuk Poolside Permintaan akan perangkat lunak terus melampaui ketersediaan pengembang yang terampil. Lebih buruknya lagi, banyak tugas pengkodean saat ini bersifat repetitif dan memakan waktu, sehingga menyita waktu berharga dari para pengembang yang sudah terbebani – waktu yang seharusnya dapat digunakan untuk menyelesaikan masalah strategis dan menciptakan inovasi. Oleh karena itu, tidak mengherankan jika banyak yang melihat ini sebagai peluang alami untuk menggunakan AI sebagai pengganda kekuatan, yang secara drastis mempercepat inovasi dan meningkatkan skala tim pengembang. Dunia AI terus berkembang pesat, dengan kualitas dan jumlah data pelatihan yang menjadi pusat perkembangannya. Data ini menjadi kunci dalam menentukan seberapa efektif model AI bekerja, terutama di bidang kompleks seperti pengembangan perangkat lunak. Namun, ini lebih mudah diucapkan daripada dilakukan. Seperti semua hal dalam AI generatif (GenAI), efektivitasnya, terutama di bidang kompleks seperti pengembangan perangkat lunak, sangat bergantung pada kualitas, volume, dan jenis data yang memberi makan model dasarnya. Dengan mengatasi tantangan ini melalui pendekatan inovatif, poolside memiliki peluang besar untuk merevolusi cara pengembangan perangkat lunak dilakukan, memberikan solusi yang lebih efisien, dan memberdayakan tim pengembang secara global. Reinforcement Learning | Pendekatan Unik Poolside Filosofi poolside sederhana namun kuat: AI yang efektif untuk pengembangan perangkat lunak harus dibangun di atas data pelatihan berkualitas tinggi dan spesifik, serta pemahaman mendalam tentang cara kerja kode dalam dunia nyata. Dengan merancang sendiri pipeline dan strategi kurasinya, poolside menetapkan standar baru untuk inovasi perangkat lunak berbasis AI. Saat ini, sebagian besar model AI hanya mampu memahami kode. Sebaliknya, model poolside dilatih untuk menulis kode secara otonom, mengubah dinamika tradisional antara pengembang dan AI menjadi sesuatu yang melampaui peran asisten pengkodean biasa yang hanya memberikan saran mekanis. Komitmen pada pengembangan internal ini menghasilkan metodologi pelatihan baru yang dikenal sebagai Reinforcement Learning from Code Execution Feedback (RLCEF). RLCEF bekerja dengan memaparkan model pada tantangan pengkodean nyata yang ditemukan dalam basis kode yang luas. Alih-alih hanya belajar dari contoh statis, model menerima umpan balik berbasis eksekusi yang mencerminkan lingkungan pemrograman sesungguhnya. Reinforcement Learning (RL) digunakan melalui kerangka kerja skala besar off-policy, di mana poolside mengoptimalkan pelatihan modelnya. Model secara terus-menerus belajar dari hasil eksekusi kode untuk meningkatkan kemampuan mereka dalam memberikan solusi yang fungsional dan efisien. Pendekatan inovatif ini memungkinkan poolside tidak hanya membantu pengembang tetapi juga memimpin transformasi cara perangkat lunak dirancang dan ditulis. Bukan Sekadar Teknologi | Suite Produk Berbasis AI dari Poolside Pengembangan perangkat lunak menjadi tonggak penting dalam kemajuan jaringan saraf, dan poolside AI membuka jalan menuju kemampuan yang mulai menyaingi kecerdasan manusia. Poolside memanfaatkan sifat terstruktur bahasa pemrograman—berfokus pada sintaksis, pemeriksaan saat kompilasi, dan hasil eksekusi—untuk melatih model AI-nya. Hasilnya? Data yang terdefinisi dengan baik, dapat diverifikasi, dan presisi tinggi. Kualitas data yang unggul ini memungkinkan AI poolside memahami struktur program yang kompleks, sehingga pengembang dapat meningkatkan skala pemecahan masalah mereka secara signifikan. Poolside telah membangun rangkaian produk yang dirancang untuk memenuhi kebutuhan berbagai pengguna sepanjang siklus pengembangan perangkat lunak: Poolside Assistant Dirancang untuk pengembang, asisten ini terintegrasi mulus ke dalam lingkungan pengkodean dan membantu dalam penulisan, debugging, serta pemeliharaan perangkat lunak. Ini adalah “anggota tim virtual” yang siap mendukung setiap langkah. Poolside Enterprise Produk ini memungkinkan pengguna menyesuaikan solusi AI dengan memilih sumber data yang ingin digunakan model (seperti repositori dan basis pengetahuan). Hal ini memastikan semua tugas selaras dengan tujuan bisnis dan kebijakan keamanan spesifik. Poolside Platform API Untuk mendukung pengembangan aplikasi, API ini memungkinkan pengguna memanfaatkan berbagai model AI milik poolside, memberikan fleksibilitas bagi mereka yang ingin membangun solusi khusus berdasarkan kemampuan poolside. Dengan pendekatan holistik ini, poolside tidak hanya menciptakan alat berbasis teknologi, tetapi juga menghadirkan ekosistem inovatif yang mampu mendukung pengembang, perusahaan, dan pemangku kepentingan lainnya untuk mencapai efisiensi dan hasil yang lebih baik. Komitmen Mendalam terhadap Perbaikan Berkelanjutan Model AI poolside didukung oleh komitmen perusahaan terhadap perbaikan berkelanjutan, dengan investasi simultan dalam penskalaan model, data, dan infrastruktur. Pelatihan model dilakukan menggunakan GPU berperforma tinggi, yang mendorong batasan kemampuan AI pengkodean saat ini. Dari sisi sumber data, poolside menggabungkan hasil pengindeksan eksklusif di internet dengan data dari CommonCrawl, yang secara total mencakup lebih dari 50 triliun token. Selain itu, lebih dari 350 juta repositori kode dari platform seperti GitHub, GitLab, dan Bitbucket telah diindeks. Data ini diperkaya dengan metadata dan melalui proses pembersihan ketat untuk menghapus kode berkualitas rendah, informasi rahasia, serta data pribadi. Hanya contoh berkualitas tinggi yang digunakan untuk menghasilkan data sintetik, memastikan set pelatihan model memiliki kualitas terbaik. Komitmen ini didukung oleh tim inovatif yang bertekad memberdayakan tim pengembang secara global. Dua pendiri utama, Jason Warner (CEO) dan Eiso Kant (CTO), membawa pengalaman puluhan tahun dalam membangun perusahaan dan solusi inovatif. Mereka sebelumnya berkontribusi pada GitHub, Ubuntu, serta menciptakan Athenian (platform rekayasa berbasis data) dan source{d} (perusahaan pertama yang menerapkan AI pada kode dan perangkat lunak). Saat ini, tim poolside terdiri dari 35 anggota berbakat, dengan keahlian unik di bidang penelitian terapan untuk model bahasa besar (LLM), reinforcement…
Kabar Baik, Kabar Buruk dan Kabar Tidak Menyenangkan di Cybersecurity
Yang Baik | Mata-mata China Dijatuhi Hukuman Penjara 4 Tahun Ini adalah kabar penting untuk keamanan nasional. Vonis terhadap Ping Li menyoroti kekhawatiran yang terus ada terkait spionase dan ancaman siber terhadap kepentingan AS, terutama ketika aktor asing seperti Kementerian Keamanan Negara China (MSS) terlibat. Tindakan Li, yang melibatkan pembocoran informasi sensitif tentang keamanan siber, serangan siber SolarWinds, dan kelompok dissiden China, menunjukkan masalah yang lebih luas tentang spionase di sektor teknologi dan dampaknya terhadap keamanan perusahaan serta hubungan internasional. Durasi panjang kegiatan spionase yang dilakukan Li, yang diperkirakan dimulai sejak 2012, mempertegas risiko yang terus ada dari dalam perusahaan besar yang dapat dimanfaatkan oleh pemerintah asing untuk keuntungan strategis. Denda yang dijatuhkan, bersama dengan hukuman penjara, juga mengirimkan pesan kuat tentang konsekuensi yang dihadapi oleh siapa saja yang terlibat dalam spionase terhadap Amerika Serikat. Ini adalah pengingat penting bahwa keamanan nasional tidak hanya dijaga melalui tindakan eksternal, tetapi juga dengan memeriksa ancaman yang berasal dari dalam negeri. Act as Agent of Chinese Government : https://justice.gov/opa/pr/florida-telecommunications-and-information-technology-worker-sentenced-conspiring-act-agent Kasus yang diajukan oleh Departemen Kehakiman (DoJ) ini merupakan bagian dari upaya yang lebih luas dari Amerika Serikat untuk melawan spionase China. Baru-baru ini, Shujun Wang, agen rahasia China lainnya, dijatuhi hukuman karena menyusup ke sebuah kelompok pro-demokrasi yang berbasis di New York sementara diam-diam melaporkan kepada Kementerian Keamanan Negara China (MSS). Menurut sebuah laporan, spionase China telah dikaitkan dengan lebih dari 55 kasus di 20 negara bagian AS, yang melibatkan rahasia militer, pencurian perdagangan, dan penindasan terhadap dissiden. Antara tahun 2000 dan 2023, tercatat 224 insiden spionase China, termasuk pencurian informasi militer yang sensitif, rahasia dagang, serta penindasan terhadap dissiden China. Yang Buruk | Kampanye Phishing Cloud Menargetkan Kredensial OneDrive Operasi canggih yang dirancang untuk mencuri kredensial OneDrive dirinci oleh para peneliti minggu ini, yang menyoroti meningkatnya minat para penjahat siber untuk menyerang sumber daya cloud perusahaan. Dikenal dengan nama “Beluga,” kampanye phishing ini menggunakan lampiran email yang disesuaikan dan halaman login palsu OneDrive yang sudah terisi dengan alamat email target dan logo perusahaan. Para peneliti mengatakan bahwa ketika penerima membuka file .htm yang terlampir, mereka akan disajikan dengan halaman yang meminta mereka untuk melihat PDF palsu berjudul “Protected Document 043.pdf.” Mengklik tombol bertuliskan “VIEW DOCUMENT” akan mengarah ke formulir login palsu. Kolom email sudah terisi otomatis dan tidak dapat diedit, sementara kolom kata sandi selalu menampilkan pesan kesalahan terlepas dari apa yang dimasukkan, sebuah trik yang sering digunakan oleh penipu untuk membuat korban memasukkan kata sandi berulang kali. Di balik layar, kredensial yang dimasukkan dikirim melalui HTTPS ke bot Telegram, yang juga menerima alamat email dan alamat IP korban. Bot Telegram semakin sering digunakan oleh penjahat siber untuk mengumpulkan kredensial dan mengelola kampanye karena kemudahan penggunaannya dan kemampuan otomatisasinya. Akun OneDrive yang terkompromi menimbulkan risiko signifikan bagi organisasi karena biasanya digunakan untuk menyimpan informasi sensitif. Karena kemampuan mereka untuk menyinkronkan file dengan perangkat lokal, serta melakukan operasi seperti penghapusan dan enkripsi file, akun tersebut juga dapat menjadi vektor bagi serangan ransomware berbasis cloud. Yang Buruk | APT Rusia Mengeksploitasi Zero-Day di Firefox dan Windows Peneliti menjelaskan minggu ini bagaimana grup aktor ancaman yang terkait dengan Rusia, yang dikenal luas sebagai RomCom (juga dikenal sebagai Storm-0978, Tropical Scorpius, UNC2596), telah mengeksploitasi kerentanannya di produk Mozilla, termasuk browser Firefox yang populer, untuk menginfeksi pengguna Windows dengan malware. Rantai eksploitasi ini mencakup pemanfaatan bug eskalasi hak istimewa di sistem operasi Microsoft. Bug-bug tersebut, yang kini sudah diperbaiki, tidak diketahui oleh kedua vendor pada saat eksploitasi pertama kali dilakukan. CVE-2024-9680 adalah kerentanannya yang kritis di Firefox, Thunderbird, dan Tor browser yang memungkinkan eksekusi kode di dalam browser saat pengguna mengunjungi situs web berbahaya. CVE‑2024‑49039 adalah bug di Windows 10, 11, dan versi Server yang memungkinkan kode tersebut melarikan diri dari sandbox browser. Menurut peneliti dari ESET, APT yang terkait dengan Rusia ini menggabungkan dua kerentanannya untuk menginfeksi pengunjung situs web yang dikendalikan oleh aktor dengan pintu belakang RomCom. Korban hanya perlu mengunjungi halaman web berbahaya untuk terinfeksi, tanpa memerlukan interaksi lebih lanjut dari pengguna. Meskipun tidak jelas bagaimana tautan ke situs web berbahaya tersebut disebarkan ke target, diperkirakan kampanye ini cukup luas dan melibatkan server palsu dari situs web sah yang mengarahkan pengguna untuk menyebarkan eksploitasi tersebut. Peneliti menyebutkan bahwa target utama kampanye ini sebagian besar berada di Eropa dan Amerika Utara. Kerentanan tersebut telah diperbaiki oleh Mozilla dan Microsoft pada tanggal 9 Oktober dan 12 November, masing-masing, dan pengguna sangat disarankan untuk memperbarui kedua produk tersebut tanpa penundaan.
CISO Strategis | Bagaimana Prinsip-Prinsip Manajemen Risiko Mendorong Kesuksesan
Teknologi yang berkembang pesat telah mengubah peran CISO (Chief Information Security Officer) menjadi lebih strategis dalam pertumbuhan perusahaan. Kini, CISO diharapkan menjadi pengambil keputusan utama yang memengaruhi strategi perusahaan dan membimbing organisasi melalui kompleksitas era modern. Mereka sedang beralih dari peran ahli teknis dalam arsitektur keamanan, operasi keamanan, keamanan infrastruktur, dan keamanan jaringan, menjadi visioner dalam keamanan siber strategis dan pertumbuhan bisnis. Dalam proses transisi ini, pemahaman mendalam tentang dasar-dasar manajemen risiko menjadi semakin penting bagi para CISO. Meskipun banyak elemen manajemen risiko umum sudah diterapkan di organisasi sebagai bagian dari proses mitigasi risiko atau karena persyaratan kepatuhan dan regulasi, beberapa prinsip dasar manajemen risiko masih perlu dipahami dengan baik oleh CISO saat mereka memasuki peran strategis ini. Seiring dengan bertambahnya tanggung jawab strategis, CISO harus menerapkan prinsip-prinsip risiko siber saat berkolaborasi dengan pemimpin eksekutif lainnya untuk mengimplementasikan langkah-langkah keamanan holistik di seluruh organisasi. Artikel ini mengeksplorasi pentingnya dasar-dasar manajemen risiko siber di seluruh operasi bisnis, serta memberikan wawasan tentang bagaimana hal tersebut dapat membantu CISO saat ini dan di masa depan meraih kesuksesan. Tantangan dalam Mencentralisasi Manajemen Risiko di Seluruh Organisasi Secara tradisional, manajemen risiko dipandang sebagai keterampilan non-teknis yang tidak termasuk dalam cakupan tradisional seorang praktisi keamanan. Meskipun manajemen risiko bukanlah konsep baru bagi tim non-TI atau non-keamanan, seringkali hal ini dianggap sebagai wilayah yang asing bagi para profesional TI dan keamanan. Bagi para pemimpin keamanan, sering kali tidak ada pelatihan formal atau penekanan pada pemahaman dasar-dasar manajemen risiko. Bahkan, banyak yang mempelajari keterampilan ini secara langsung di lapangan sambil menghadapi masalah tanggung jawab dan persyaratan risiko yang terfragmentasi di berbagai unit bisnis. Berdasarkan kematangan siber organisasi, tim Cyber Governance, Risk & Compliance (GRC) biasanya memimpin dalam mengelola risiko siber. Namun, mereka sering melakukannya secara terpisah dari aktivitas manajemen risiko perusahaan yang lebih luas, yang dapat menciptakan kesenjangan antara tim keamanan dan strategi bisnis secara keseluruhan. Pendekatan terisolasi ini dapat memberikan kesan bahwa manajemen risiko tidak penting untuk kesuksesan tim keamanan. Meskipun CISO memiliki keahlian dalam area teknologi khusus, yang kurang adalah pendekatan holistik yang menyelaraskan keputusan bisnis berbasis risiko di seluruh organisasi. Kesenjangan pengetahuan ini menjadi semakin jelas ketika CISO berinteraksi dengan eksekutif dan tugas menerjemahkan risiko siber ke dalam istilah bisnis mulai mengesampingkan diskusi lainnya. Dari UKM hingga Perusahaan Besar | Mengintegrasikan Risiko Siber ke dalam Strategi Bisnis Secara umum, manajemen risiko sering kali merupakan inisiatif yang dipicu oleh tim keuangan atau hukum untuk memenuhi persyaratan kepatuhan standar. Hal ini terutama terlihat pada usaha kecil dan menengah (UKM) yang tidak memiliki tim manajemen risiko perusahaan khusus atau sumber daya yang memadai untuk mengkoordinasikan manajemen risiko di seluruh unit bisnis. Dalam situasi semacam ini, keamanan sering kali dikelola secara terpisah, dan para pihak yang bertanggung jawab sering kali tidak berusaha menghubungkan manajemen risiko dengan langkah-langkah mitigasi yang diperlukan. Kesenjangan ini dapat menghambat tim keamanan dalam mendapatkan anggaran dan dukungan yang dibutuhkan dari manajemen senior. Terkadang, manajemen risiko siber baru dibahas setelah terjadi insiden keamanan atau saat munculnya tren baru dalam ancaman siber. Pendekatan reaktif seperti ini tidak lagi memadai untuk menjaga keamanan dan profitabilitas bisnis. Tantangan dan kesenjangan ini kini lebih terasa dibandingkan sebelumnya, terutama karena semakin banyak CISO yang terlibat dalam diskusi strategis. CISO memiliki peran penting dalam memfasilitasi kolaborasi antar departemen dan memastikan bahwa kontrol keamanan diterapkan secara efektif dan sejalan dengan tujuan keseluruhan organisasi. Mengatasi Kesenjangan dalam Manajemen Risiko Perusahaan Seiring dengan berkembangnya lanskap risiko dan adopsi teknologi yang cepat di berbagai industri, ketergantungan yang semakin besar pada sistem teknologi menempatkan evaluasi risiko siber sebagai bagian krusial dari strategi manajemen risiko organisasi. Mengintegrasikan risiko siber ke dalam manajemen risiko perusahaan memerlukan upaya kolaboratif, di mana pemimpin organisasi menetapkan manajemen risiko yang terpusat. Pendekatan ini kemudian mendukung unit bisnis untuk mengimplementasikan sub-strategi respons risiko yang sesuai dengan tanggung jawab masing-masing. Menurut NIST, Manajemen Risiko Perusahaan (ERM) melibatkan identifikasi dan pemahaman berbagai jenis risiko yang dihadapi perusahaan. Ini mencakup penentuan probabilitas terjadinya risiko tersebut dan perkiraan dampaknya. Agar program ERM efektif, diperlukan partisipasi dari setiap departemen serta siklus hidup manajemen risiko yang terstruktur dengan baik. Risiko siber merupakan bagian penting dari ERM dan telah mendapatkan perhatian lebih seiring dengan meningkatnya digitalisasi. Jika pendekatan manajemen risiko dalam organisasi belum terintegrasi dengan baik, CISO dapat bekerja sama dengan departemen lain untuk membahas perlunya program manajemen risiko. Berkonsultasi dengan departemen seperti keuangan dan hukum, misalnya, akan membantu memastikan bahwa pemimpin fungsional dapat membuat keputusan yang tepat mengenai komponen manajemen risiko dalam anggaran keamanan dan diskusi ROI. Memahami Terminologi Risiko, Konsep, & Siklus Hidup Manajemen Risiko Selera Risiko dan Toleransi Risiko Dua konsep dasar dalam manajemen risiko adalah selera risiko dan toleransi risiko. Menurut NIST, selera risiko adalah jenis dan jumlah risiko yang, secara umum, bersedia diterima oleh organisasi dalam upayanya mencapai nilai. Selera risiko ditetapkan oleh manajemen senior dan memberikan arahan untuk penetapan strategi dan tujuan. Toleransi risiko adalah kesiapan organisasi atau pemangku kepentingan untuk menanggung risiko yang tersisa setelah merespons atau mempertimbangkan risiko untuk mencapai tujuannya. Istilah-istilah ini merupakan dasar bagi pengambilan keputusan CISO dan membantu menjelaskan mengapa keputusan respons risiko tertentu dibuat serta bagaimana sumber daya dialokasikan untuk melaksanakan keputusan tersebut. Pentingnya Daftar Risiko Seiring dengan kematangan proses manajemen risiko organisasi, CISO sering kali membuat daftar risiko untuk mengkomunikasikan risiko siber secara efektif dan mengintegrasikannya ke dalam proses manajemen risiko perusahaan secara keseluruhan. Daftar risiko adalah repositori informasi risiko yang mencakup data yang dipahami tentang risiko dari waktu ke waktu. Bagi seorang CISO, ini adalah alat yang berfungsi sebagai dokumen komprehensif yang menangkap dan mengorganisir risiko-risiko saat ini, yang muncul, dan yang potensial dihadapi oleh organisasi mereka. Daftar risiko bekerja dengan menilai semua risiko yang teridentifikasi, termasuk deskripsi risiko, dampak potensial, kemungkinan terjadinya, dan strategi mitigasi yang ada untuk mengatasinya. CISO juga dapat menggunakan daftar risiko untuk berkomunikasi dan berkolaborasi dengan unit bisnis lain, termasuk menetapkan tugas, tanggung jawab, dan akuntabilitas manajemen risiko kepada pemilik tertentu serta melacak tinjauan dan pembaruan yang berkelanjutan. Di organisasi di mana daftar risiko tidak digunakan, program pelatihan dan kesadaran perlu dilakukan di antara semua departemen yang relevan, termasuk tim TI…
SentinelOne Meningkatkan Kapabilitas SOC dengan Keamanan Native Cloud (CNS)
Sebagai organisasi yang berorientasi cloud dan menyediakan perangkat lunak keamanan siber untuk ribuan bisnis di seluruh dunia, SentinelOne memiliki persyaratan dan standar keamanan cloud yang sangat tinggi di Pusat Operasi Keamanannya. Menjamin keamanan pelanggan adalah bagian penting dari misi kami. Oleh karena itu, tim keamanan kami terus berupaya untuk meningkatkan dan menetapkan standar operasi keamanan kelas dunia melalui aspek manusia, proses, dan teknologi. Untuk melindungi lingkungan cloud dan kontainer saat runtime, SentinelOne menggunakan Cloud Workload Security (CWS) yang terdepan di industri, berkinerja tinggi, dan skalabel dengan dukungan kecerdasan buatan sebagai bagian dari Platform Singularity. Platform perlindungan beban kerja cloud real-time (CWPP) ini dibangun di atas kerangka kerja eBPF, yang berarti beroperasi sepenuhnya di ruang pengguna untuk memastikan stabilitas dan kinerja maksimum. CWS menawarkan perlindungan, deteksi, dan respons berbasis AI untuk beban kerja cloud yang menjalankan Platform Singularity – dasar dari semua layanan keamanan siber cloud-native SentinelOne. Tulisan ini menjelaskan bagaimana akuisisi SentinelOne terhadap PingSafe, yang kini dikenal sebagai Singularity Cloud Native Security, menghadirkan manajemen sikap keamanan, pemindaian rahasia, dan pemindaian infrastruktur-sebagai-kode (IaC) tanpa memerlukan berbagai solusi perangkat lunak pihak ketiga. Bukti Konsep Sebagai bagian dari evaluasi berkala untuk meningkatkan postur keamanan SentinelOne, Wakil CISO SentinelOne, Josh Blackwelder, memimpin upaya lintas fungsi yang melibatkan tim SOC, Teknik Keamanan Cloud, Penilaian Kerentanan, Keamanan Aplikasi, dan GRC. Upaya ini bertujuan untuk meninjau ulang persyaratan keamanan cloud guna mengkonsolidasikan berbagai alat pihak ketiga yang digunakan untuk memberikan kemampuan CNAPP tanpa agen. Tim khusus mengidentifikasi serangkaian hasil keamanan cloud sebagai pedoman proyek. Tujuan utamanya adalah meningkatkan produktivitas di antara tim yang terlibat dalam pemeliharaan postur keamanan cloud dan mengurangi metrik waktu-kunci. Idealnya, SentinelOne berharap mencapai hasil finansial yang menguntungkan, mengingat bahwa investasi keamanan cloud yang tumpang tindih sebelumnya menunjukkan potensi optimasi. Kriteria evaluasi untuk platform CNAPP tanpa agen dibuat, mencakup kemampuan yang dibutuhkan, area yang diinginkan untuk perbaikan, dan kemampuan baru. Kemampuan inti yang perlu ditinjau ulang meliputi: – Manajemen Postur Keamanan Cloud (CSPM) – Pemindaian Rahasia – Pemindaian Template IaC – Manajemen Kerentanan – Keamanan Gambar Kontainer – Manajemen Postur Keamanan Kontainer & Kubernetes – Inventaris Aset Cloud – Fungsionalitas Implementasi, Tata Kelola, Integrasi, dan Pencarian Selain kemampuan inti, SentinelOne juga ingin meningkatkan kemampuan di tiga area berikut: – Prioritas temuan misconfigurasi cloud di luar tingkat keparahan – Kemampuan untuk memprioritaskan kerentanan pada tingkat OS dan aplikasi – Memiliki mesin kebijakan keamanan kustom yang fleksibel sesuai dengan konteks SentinelOne Selain itu, perusahaan juga ingin menambahkan kemampuan baru: – Pembuktian dan validasi risiko di luar umpan pelaporan industri – Kemampuan untuk berburu ancaman berdasarkan metadata cloud spesifik – Mengotomatiskan pencarian kredensial yang bocor atau terkompromi Hasil dari evaluasi ini dikumpulkan, dan beberapa area peluang yang jelas diidentifikasi. Kami Sangat Menyukainya, Kami Membeli Perusahaannya Seiring dengan upaya ini, tim Produk SentinelOne, yang dipimpin oleh Jane Wong, SVP Manajemen Produk, berencana memperluas portofolio keamanan cloud kami untuk menyediakan serangkaian kemampuan yang lebih luas bagi pelanggan yang mengandalkan SentinelOne untuk kebutuhan keamanan perusahaan mereka. Salah satu target akuisisi yang menarik perhatian, karena inovasi teknisnya, adalah startup yang berbasis di India, PingSafe. Didirikan oleh peretas etis terkenal dan pemburu bug, Anand Prakash, CNAPP tanpa agen PingSafe dirancang dengan pola pikir penyerang untuk lebih menyoroti masalah keamanan cloud yang benar-benar menjadi risiko eksploitasi bagi pelanggan. Sekarang, PingSafe telah bergabung dengan Platform Singularity dan tersedia bagi pelanggan sebagai Singularity Cloud Native Security. Sebelum akuisisi PingSafe, Pusat Operasi Keamanan (SOC) SentinelOne telah menerapkan dua solusi alternatif dari pasar, Wiz dan Orca, untuk menyediakan kemampuan CNAPP tanpa agen. Penerapan PingSafe (sekarang Singularity Cloud Native Security) mampu menggantikan kedua solusi tersebut dan juga menemukan informasi konteks keamanan yang sebelumnya tidak diketahui, meningkatkan visibilitas, dan memperbaiki postur keamanan kami. Dengan bukti konsep (PoC) yang mendalam dari tim SOC dan kemampuan mereka untuk membandingkan PingSafe dengan solusi pihak ketiga lainnya, termasuk Wiz dan Orca Security yang sebelumnya diterapkan, Kepala AI/ML dan Keamanan Cloud SentinelOne, Ely Kahn, meminta agar PingSafe dimasukkan dalam evaluasi untuk memberikan tim Produk pandangan lengkap tentang akuisisi target. PingSafe dengan cepat muncul sebagai pilihan unggul dalam proses evaluasi. CNAPP tanpa agen ini dengan cepat diintegrasikan ke seluruh lingkungan cloud untuk PoC dan segera memberikan hasil yang mengejutkan. PingSafe tidak hanya menyamai investasi keamanan cloud yang ada di SOC, tetapi juga menunjukkan beberapa kemampuan yang lebih baik dalam mengidentifikasi, memprioritaskan, dan menangani risiko cloud serta berburu ancaman. Perbedaan yang mencolok adalah kemampuan pemindaian rahasia PingSafe untuk mencegah dan mendeteksi kebocoran kredensial. “Fitur unggulan PingSafe yang sangat menonjol adalah kemampuannya untuk memindai rahasia. PingSafe dapat memindai berbagai jenis kredensial dengan cakupan yang lebih luas. Sementara solusi lain hanya terbatas pada pemindaian repositori yang terhubung dengan organisasi dan pengembang kami, PingSafe mampu memindai seluruh repositori publik. Dalam uji coba, kami menerima peringatan tentang informasi sensitif di repositori publik (yang sengaja disiapkan untuk pengujian) dalam waktu kurang dari dua menit. Kemampuan deteksi hampir waktu nyata ini menyoroti kekuatan dan kecepatan pemindaian rahasia PingSafe.” — Josh Blackwelder, Wakil CISO, SentinelOne Yang paling penting, PingSafe berhasil mengidentifikasi risiko dan kerentanan cloud yang terlewatkan oleh solusi pihak ketiga sebelumnya, seperti Wiz dan Orca Security. Selain menemukan masalah yang sebelumnya tidak terdeteksi, termasuk risiko pengambilalihan subdomain, platform PingSafe memverifikasi temuan yang diprioritaskan dengan bukti konkret. Dengan mengorelasikan dan memberikan konteks pada aset cloud, PingSafe dengan cepat menunjukkan hubungan antara aset, ketidakamanannya, dan jalur publiknya dalam antarmuka grafis yang intuitif. Tampilan ini, yang mencakup aset cloud, hubungan, akses, dan potensi misconfigurasi cloud atau Kubernetes serta kerentanan di tingkat OS atau aplikasi, dikenal sebagai Jalur Serangan. PingSafe melangkah lebih jauh dengan menggunakan Offensive Security Engine™ otomatis yang menghasilkan Verified Exploit Paths™ yang mewakili risiko yang dapat dieksploitasi dan telah terverifikasi. Mesin ini mensimulasikan serangan secara aman dan mengembalikan bukti, termasuk taktik serangan dan hasil yang diamati (misalnya, tangkapan layar dari dalam sumber daya cloud yang terkompromi). Pola pikir penyerang ini memotong kebisingan dari misconfigurasi minor dan kerentanan, mengubah sejumlah besar jalur serangan teoretis menjadi jalur eksploitasi yang dapat diambil tindakan dengan laporan bebas dari positif palsu yang disertai bukti yang diperoleh. Generasi CNAPP sebelumnya seringkali memerlukan dua tahap investigasi yang terpisah, berurutan,…
Managed Detection and Response ( MDR ) Salah Satu Solusi Selain Endpoint
Endpoint Detection and Response (EDR) telah menjadi teknologi dasar dari program deteksi dan tanggap yang efektif selama bertahun-tahun, memberikan tim keamanan dengan kemampuan visibilitas dan respons yang tak tertandingi di seluruh sistem pengguna akhir, beban kerja cloud, dan server. Meskipun hal ini tetap benar hingga saat ini, pusat operasi keamanan (SOC) dan tim respons insiden (IR) memerlukan kemampuan tambahan ‘di luar endpoint’ untuk melindungi lingkungan perusahaan modern. Dalam posting blog ini, pelajari bagaimana SentinelOne memperluas cakupan layanan MDR kami untuk menyediakan cakupan deteksi dan respons 24×7 melintasi endpoint, cloud, identitas, email, jaringan, dan lebih dari itu. Evolusi Deteksi Endpoint Di awal era pemantauan keamanan dan respons insiden, tim keamanan mengandalkan telemetri jaringan untuk mengidentifikasi dan menyelidiki serangan cyber. Visibilitas langsung terhadap aktivitas di endpoint dan server sangat terbatas, sehingga analis SOC dan responder insiden harus menyimpulkan apa yang terjadi dalam lingkungan mereka berdasarkan lalu lintas jaringan ke dan dari sistem-sistem tersebut. Pendekatan yang difokuskan pada jaringan ini cukup efektif pada waktu itu, terutama karena sebagian besar lalu lintas jaringan tidak dienkripsi, sehingga menambah jumlah ‘noise’ peringatan dan membuat ancaman nyata sulit terlewatkan. Namun, seiring ancaman terus berkembang dan lalu lintas jaringan yang dienkripsi menjadi norma, para pembela kesulitan mempertahankan visibilitas ke infrastruktur yang mereka tanggung jawab untuk melindungi. Perlindungan endpoint yang efektif dan deteksi dan respons endpoint (EPP/EDR) mengubah segalanya. Para pembela mendapatkan visibilitas penuh terhadap aktivitas di endpoint, seperti deteksi malware dan aktivitas berbahaya lainnya, eksekusi proses, akses sistem file, dan telemetri jaringan. Begitu ancaman teridentifikasi, para pembela dapat beralih cepat ke respons insiden, mengumpulkan artefak forensik tambahan, menghentikan proses berbahaya, dan mengisolasi sistem yang tercompromi dari jaringan untuk membatasi ruang lingkup dan dampak insiden lebih lanjut. Meskipun EPP/EDR menyediakan visibilitas yang sangat dibutuhkan, ini tidak memecahkan masalah lain – kurangnya ahli terampil untuk mengoperasikan dan memantau teknologi baru ini sepanjang waktu. Kemudian hadir Managed Detection and Response (MDR). Layanan-layanan ini mengambil tanggung jawab untuk mendeteksi, menyelidiki, dan merespons ancaman atas nama pelanggan. Sebagian besar layanan ini dibangun di atas teknologi deteksi dan respons endpoint. Layanan MDR dari SentinelOne tidak terkecuali. Analis MDR kami mengidentifikasi dan merespons aktivitas mencurigakan dengan memanfaatkan sepenuhnya teknologi endpoint dan beban kerja cloud kami. Kami memprioritaskan dan menyelidiki semua aktivitas mencurigakan di workstations, server, dan beban kerja cloud, mengambil tindakan containment dan remediasi segera untuk membatasi ruang lingkup dan dampak ancaman yang terkonfirmasi, bahkan sebelum pelanggan dihubungi dengan ringkasan insiden dan langkah-langkah selanjutnya yang direkomendasikan. Proses kami sangat efektif sehingga 99,6% ancaman dapat diselesaikan sepenuhnya tanpa perlu eskalasi kepada pelanggan kami. Baca lebih lanjut tentang bagaimana para ahli MDR kami mampu melindungi pelanggan kami dengan sinyal yang lebih banyak dan noise yang lebih sedikit dalam Evaluasi Layanan Terkelola MITRE yang terbaru. Argumen untuk Deteksi dan Respons di Luar Endpoint Deteksi dan respons endpoint tetap tak tergantikan. Bahkan, organisasi yang tidak memiliki solusi endpoint modern dan tim ahli 24×7 untuk menyelidiki dan merespons ancaman endpoint tidak siap untuk mendeteksi dan merespons pelanggaran sebelum kerusakan terjadi. Seiring dengan evolusi lanskap ancaman, para pembela membangun fondasi ini dengan kemampuan deteksi dan respons lebih lanjut ‘di luar endpoint’. Sebagai contoh: – Pertimbangkan identitas sebagai batas baru. Lebih dari sepertiga dari semua pelanggaran dimulai dengan penggunaan kredensial yang dikompromi untuk mendapatkan akses awal, menurut Laporan Investigasi Pelanggaran Data Verizon 2024. – Penyerang mengincar infrastruktur cloud termasuk sumber daya cloud tanpa server dan papan kontrol Cloud Service Provider (CSP). – Meskipun cakupan endpoint yang lengkap adalah tujuan, tidak memungkinkan untuk menyematkan agen EPP/EDR ke setiap sistem di lingkungan yang besar dan kompleks, terutama yang memiliki sistem warisan atau infrastruktur Teknologi Operasional (OT). Mengapa MDR? | Platform Teknologi Penting Mengapa MDR? | Platform Teknologi Sangat Penting Layanan MDR hanya sebaik teknologi yang digunakan untuk membangunnya. Banyak layanan terkelola disampaikan menggunakan teknologi SIEM dan keamanan endpoint warisan. Lebih buruk lagi, beberapa penyedia mengambil pendekatan ‘netral terhadap teknologi’, mengklaim dapat memberikan deteksi ancaman dan respons yang efektif menggunakan platform teknologi apa pun yang tersedia di lingkungan pelanggan mereka. Analis SOC mereka kesulitan memahami banjir peringatan dan telemetri yang bermacam-macam tanpa fondasi teknologi inti untuk mengembangkan keahlian dan memfokuskan waktu serta perhatian mereka yang terbatas. Pendekatan ini telah dicoba dan ternyata tidak berhasil. Itulah mengapa layanan MDR kami dibangun di atas fondasi terbuka dan dapat diperluas – Platform SentinelOne Singularity. Platform ini memberikan para analis MDR kami dengan: – Pencegahan, deteksi, dan respons beban kerja endpoint dan cloud yang terdepan di pasar. – Deteksi dan gangguan serangan identitas. – Danau data keamanan yang memberikan visibilitas end-to-end melintasi berbagai telemetri keamanan. – Hiper otomatisasi untuk mempercepat penyelidikan dan respons, memanfaatkan tindakan containment dan remediasi bawaan serta pihak ketiga untuk membatasi ruang lingkup dan dampak insiden. – Didukung oleh PurpleAI untuk memberdayakan analis dan pelanggan kami untuk merespons ancaman dengan lebih efektif dan efisien. Analis-analis kami bekerja bersama pelanggan di Singularity Operations Center, memberikan transparansi penuh terhadap catatan dan temuan analis. Selain itu, otomatisasi yang kuat serta EDR bawaan dan intelijen ancaman membantu mengoptimalkan analis kami untuk melakukan penyelidikan lebih cepat dan lebih terinformasi, menghasilkan lebih sedikit eskalasi dan rekomendasi remediasi yang lebih berdampak. Membangun Atas Fondasi Ini Layanan MDR kami bukanlah ‘netral terhadap teknologi’. Sebaliknya, para analis MDR kami adalah pengguna ahli dari Platform Singularity, dan fokus ini adalah yang menghasilkan hasil yang lebih efektif bagi pelanggan kami. Sebagai pelengkap proteksi Singularity Complete dan Singularity Cloud Workload yang sudah ada untuk mendeteksi dan merespons ancaman, kami memperluas cakupan layanan MDR kami ‘di luar endpoint’ dengan: – Penambahan Cakupan Deteksi – Para analis MDR kami akan melakukan triase dan menyelidiki peringatan ‘di luar endpoint’, dimulai dengan peringatan dari Singularity Identity dan kemudian diperluas ke teknologi keamanan pihak ketiga tertentu. – Penyelidikan yang Diperkaya – Analis-analis kami akan memanfaatkan telemetri tambahan di Singularity Data Lake dari integrasi jaringan, email, dan identitas tertentu. Konteks tambahan ini akan membantu analis kami membuat keputusan yang lebih terinformasi mengenai aktivitas mencurigakan atau berbahaya yang terdeteksi di lingkungan pelanggan kami. – Peningkatan Kemampuan Respons – Ketika sebuah insiden teridentifikasi, para analis kami akan mengambil tindakan respons tambahan ‘di luar endpoint’ untuk…
Deteksi Malware dan Ransomware Real-Time yang Didorong AI untuk NetApp
Perangkat penyimpanan yang terhubung ke jaringan seperti NetApp mengandung data-data yang vital untuk operasi bisnis. Dengan akses yang luas oleh banyak pengguna, melindungi penyimpanan NetApp dari malware menjadi krusial untuk stabilitas dan integritas operasional. Organisasi di seluruh dunia menghadapi aktor-aktor ancaman yang semakin canggih. Deteksi ancaman yang didukung AI dapat menyeimbangkan keadaan, melindungi data bisnis, dan menghentikan serangan sebelum mereka dimulai. Dengan Deteksi Ancaman untuk NetApp, SentinelOne membawa perlindungan malware yang didukung AI yang terbukti ke penyimpanan NetApp. Tantangan Solusi AV tradisional telah lama mendominasi keamanan penyimpanan untuk NetApp. Namun, inovasi keamanan tidak sejalan dengan sektor lain seperti EDR dan keamanan cloud, sementara aktor-aktor ancaman berkembang dengan cepat. Ancaman modern dari hacker berbayar atau aktor ancaman yang didukung negara dengan mudah menghindari antivirus berbasis tanda tangan. Ya, tanda tangan berguna untuk mengidentifikasi malware yang diketahui atau umum, tetapi tidak mampu mendeteksi malware baru. Selain mudah dihindari, tanda tangan dapat menciptakan masalah administratif. Administrator keamanan penyimpanan bisa terjebak dalam siklus tanpa akhir, memastikan daftar blokir mereka selalu diperbarui dengan tanda tangan terbaru. Faktor lain yang menantang adalah akses luas ke data yang disimpan di array NetApp. Bisnis mengandalkan akses yang siap terhadap data ini untuk berfungsi. Mengingat akses yang luas dan kemudahan file berbahaya menghindari deteksi berbasis tanda tangan, dapat dipahami betapa pentingnya untuk mengamankan penyimpanan NetApp untuk kelangsungan bisnis. Solusi Kami: Deteksi Ancaman untuk NetApp Deteksi Ancaman untuk NetApp Saat mempertimbangkan solusi terkini untuk mengamankan array NetApp Anda, berikut adalah beberapa faktor yang membedakan SentinelOne dan TD4NA dari alternatif lainnya: Kinerja Tinggi dengan Latensi Rendah: NetApp menginvestasikan banyak dalam optimasi kinerja sehingga solusi penyimpanan mereka menawarkan akses data berkecepatan tinggi dengan latensi rendah. Hal yang sama juga dilakukan oleh SentinelOne. TD4NA memanfaatkan Mesin AI Statis milik SentinelOne yang dioptimalkan untuk kinerja dan efektivitas keamanan, telah dilatih dengan hampir 1 miliar sampel malware selama satu dekade terakhir. Keputusan Cepat dalam Milidetik: TD4NA memberikan keputusan dalam milidetik, memungkinkan akses pengguna ke data mereka tanpa bottleneck kinerja dan tanpa mengorbankan keamanan. Ketika sebuah file dianggap sebagai malware, itu secara otomatis dienkripsi dan dikarantina untuk menghentikan potensi penyebaran sebelum memiliki kesempatan untuk mulai. Sepenuhnya Kompatibel dengan ONTAP: NetApp menggunakan sistem operasi propietari yang disebut “ONTAP” untuk array penyimpanan mereka. Karena itu, ONTAP tidak kompatibel dengan agen endpoint tradisional. Namun, Threat Detection for NetApp dari SentinelOne sepenuhnya kompatibel dengan protokol ONTAP. Inovasi Terbukti dan Terpercaya: SentinelOne membawa teknologi deteksi malware yang terbukti ke pasar keamanan penyimpanan data yang telah didominasi selama bertahun-tahun oleh antivirus warisan. Berbeda dengan solusi AV warisan yang mengandalkan tanda tangan dan pembaruan frekuensi, solusi SentinelOne menawarkan keamanan tanpa kompromi terhadap malware baru dan tidak dikenal tanpa perlu khawatir tentang pembaruan tanda tangan yang konstan. Bagaimana Cara Kerjanya Agen SentinelOne TD4NA diinstal di “Vscan server” yang, sesuai dengan arsitektur NetApp ONTAP, didedikasikan untuk pemindaian malware. Persyaratan sistem untuk server Vscan didokumentasikan di basis pengetahuan SentinelOne. Memungkinkan untuk mengonfigurasi lebih dari satu agen TD4NA di satu server Vscan, tergantung pada kebutuhan pelanggan untuk redundansi atau kinerja IOPS. Ketika pengguna mengirim permintaan file, array NetApp secara otomatis mengirimkan permintaan pemindaian melalui protokol ONTAP ke server Vscan. Solusi TD4NA kemudian bekerja sebagai berikut: – Memindai file. – Melaporkan hasilnya, baik ke konsol manajemen SentinelOne maupun ke array NetApp. Setelah pemindaian selesai, array NetApp memberikan atau menolak permintaan pengguna, tergantung pada keputusan pemindaian. Jika hasil pemindaian menunjukkan malware, permintaan pengguna ditolak dan file secara otomatis dienkripsi dan dikarantina oleh solusi ini. Kesimpulan Dengan Threat Detection for NetApp yang didukung AI dari SentinelOne, malware diidentifikasi dan dimitigasi secara real-time, thereby minimizing dwell time and downstream data risk. Semua file dipindai secara lokal sehingga tidak ada data sensitif yang keluar dari jaringan Anda, dan TD4NA dikelola dari Platform Singularity yang sama yang dikenal pelanggan SentinelOne. Untuk mempelajari lebih lanjut tentang Threat Detection for NetApp, kunjungi halaman Cloud Data Security kami. Di sana Anda akan menemukan lembar data, studi kasus pelanggan, dan lebih banyak lagi. Cari tau dan konsultasikan dengan kami, hubungi [email protected]
SentinelOne Turut Serta Perkuat Keamanan Siber AS serta Internasional
California – SentinelOne, perusahaan platform keamanan siber otonom, baru saja mengumumkan keanggotaannya dalam Joint Cyber Defense Collaborative (JCDC). Mereka turut serta mendukung strategi pemerintah AS maupun internasional dalam memperkuat keamanan siber dan infrastruktur penting. Didirikan pada tahun 2021, oleh Cybersecurity and Infrastructure Security Agency (CISA), JCDC dirancang untuk menyatukan komunitas siber seluruh dunia dalam pertahanan kolektif keamanan siber. Platform keamanan siber otonom SentinelLabs dan SentinelOne akan membantu JCDC mengumpulkan, menganalisis, dan berbagi informasi tentang ancaman siber. SentinelOne dan SentinelLabs Siap Mendukung JCDC “JCDC melampaui kemitraan publik-swasta lainnya, menghadirkan keterlibatan kolaboratif antara pemikir dunia maya terkemuka di US yang fokus pada perencanaan, tindakan, dan mitigasi ,” kata Jared Phipps, Americas Sales and Solution Engineering dari SentinelOne. “Dengan kecepatan, skala, dan kecerdasan yang luar biasa, tim dan teknologi kami akan memainkan peran penting dalam kesuksesan berkelanjutan organisasi. Kami telah bermitra erat dengan CISA selama bertahun-tahun dan berharap dapat melanjutkan hubungan tersebut, membantu melindungi aset dan informasi paling penting di dunia,” tambahnya. Sebagai bagian dari keanggotaannya, JCDC akan memanfaatkan keahlian SentinelLabs , tim peneliti keamanan kelas dunia yang mengidentifikasi dan menganalisis kerentanan kritis, vektor serangan baru, jenis malware, dan pelaku ancaman. Sebagai bagian dari kolaborasi, SentinelOne akan memberi JCDC wawasan dan dukungan dalam perencanaan dan saran strategis. Kemitraan ini akan memberi JCDC visibilitas tak tertandingi ke dalam ancaman yang muncul dan membantu mereka tetap berada di depan serangan potensial. JCDC terdiri dari berbagai kelompok perusahaan keamanan siber, pemilik infrastruktur penting, dan mitra pemerintah, termasuk Komando Siber AS, Badan Keamanan Nasional, Biro Investigasi Federal, Departemen Kehakiman, Kantor Direktur Intelijen Nasional, Kantor Departemen Pertahanan AS, Dinas Rahasia AS, dan Departemen Keamanan Dalam Negeri. Tentang Cybersecurity and Infrastructure Security Agency (CISA) Cybersecurity and Infrastructure Security Agency (CISA) sendiri adalah agensi federal di Amerika Serikat yang berfokus pada meningkatkan keamanan infrastruktur nasional melalui pencegahan, deteksi, dan respon terhadap ancaman cyber. CISA didirikan pada 2018 sebagai bagian dari Departemen Keamanan Dalam Negeri AS dan memiliki mandat untuk mengelola risiko cyber terhadap infrastruktur kritis di AS, termasuk sistem energi, transportasi, pemerintah, dan komunikasi. CISA juga bertanggung jawab untuk memberikan dukungan teknis dan analitis kepada organisasi pemerintah dan swasta dalam mengelola risiko cyber. CISA bekerja sama dengan berbagai pihak termasuk industri, pemerintah, dan organisasi internasional untuk meningkatkan kesadaran cyber dan meningkatkan kapasitas pertahanan cyber. Tentang Kolaborasi Pertahanan Siber Gabungan Berdasarkan otoritas baru dari Kongres, Cybersecurity and Infrastructure Security Agency (CISA) mendirikan JCDC pada Agustus 2021 untuk mengubah kemitraan publik-swasta tradisional menjadi kolaborasi operasional swasta-publik secara real-time dan mengubah paradigma dari bereaksi terhadap ancaman dan kerentanan menjadi perencanaan secara proaktif dan mengambil langkah-langkah untuk menguranginya. JCDC menggabungkan visibilitas, wawasan, dan inovasi sektor swasta dengan kemampuan dan otoritas ekosistem dunia maya federal untuk secara kolektif menurunkan risiko dunia maya pada skala nasional. Pelajari lebih lanjut tentang JCDC di CISA.gov/JCDC . Tentang SentinelOne Solusi keamanan siber SentinelOne mencakup pencegahan, deteksi, respons, dan perburuan bertenaga AI di seluruh titik akhir, kontainer, beban kerja cloud, dan perangkat IoT dalam satu platform XDR otonom.
Apakah Kontrol Keamanan Anda Efektif? Ikuti 4 Langkah ini!
Di era sebelumnya, sebuah bisnis atau perusahaan mungkin dapat lolos dari para pelaku kejahatan siber hanya dengan firewall dan software antivirus sebagai pertahanan utama. Namun, hal itu sebenarnya sudah lama berlalu. Bertahan melawan ancaman siber seperti saat ini membutuhkan pendekatan yang lebih aktif yang mampu berkembang bersama penyerang dan taktik mereka yang selalu berubah. Alat keamanan dengan format “Atur lalu lupakan” takkan lagi menjadi opsi yang baik. Saat ini, sebuah Organisasi harus selalu mengevaluasi efektivitas dari kontrol keamanan mereka. Lalu kemudian mengidentifikasi potensi kelemahan, kerentanan, masalah kepatuhan, dan masalah lainnya . Namun, menentukan keefektifan perangkat ini tidak selalu mudah. Terlebih lagi, para pemimpin perusahaan umumnya tertarik untuk mengetahui lebih dari sekadar bagaimana solusi keamanan menghadapi ancaman. Mereka ingin memahami nilai yang diberikan dan apakah perangkat tersebut menghasilkan ROI yang cukup untuk pengunaan berkelanjutan. Berikut adalah beberapa langkah yang dapat dilakukan untuk melakukan pengukuran kontrol keamanan. 1. Mengukur Kesadaran Permukaan Serangan Membangun firewall untuk mencegah serangan siber tentunya tidak cukup. Pada akhirnya, satu atau lebih serangan akan masuk. Tidak mungkin menghentikan 100% ancaman, artinya keamanan harus beralih dari fokus pada perlindungan perimeter ke sebuah deteksi dalam jaringan. Agar hal ini efektif, tentunya memerlukan kesadaran akan hal-hal seperti kredensial yang terbuka, kesalahan konfigurasi, jalur serangan potensial, dan kerentanan lain yang kemungkinan besar akan dieksploitasi oleh penyerang . Ada berbagai macam alat yang tersedia yang dapat membantu. Alat Endpoint Detection and Response (EDR) memberikan visibilitas ke dalam serangan pada titik akhir, sementara alat Extended Detection and Response (XDR) memperluas kemampuan tersebut dengan mengintegrasikan dengan solusi lain. Penyerang hampir selalu mencari cara untuk mengkompromikan Active Directory (layanan yang menangani autentikasi di seluruh perusahaan), yang terkenal sulit untuk diamankan. Alat deteksi yang mampu mengidentifikasi kueri AD yang mencurigakan dan aktivitas serangan potensial lainnya dapat membantu mencegah skenario mimpi buruk dari AD yang disusupi. Organisasi dapat menilai tingkat kesadaran yang mereka miliki dalam jaringan. Kontrol identitas tanpa perlindungan titik akhir dapat membuat jaringan mereka sangat rentan, seperti halnya perlindungan titik akhir dengan keamanan AD. Dan karena semakin banyak organisasi yang menggunakan cloud, lingkungan cloud baru akan semakin memperluas permukaan serangan. Tentunya upayan paling pertama adalah memastikan visibilitas yang memadai di seluruh jaringan merupakan langkah penting pertama dalam menilai efektivitas alat organisasi. 2. Menyelidiki Izin dan Kepemilikan Overprovisioning adalah masalah yang tidak bisa dianggap remeh. Tim TI umumnya tidak ingin mengganggu operasi bisnis, yang berarti lebih mudah untuk memberikan lebih banyak izin kepada pengguna dan identitas lain daripada yang mereka butuhkan daripada risiko menghambat fungsi pekerjaan seseorang. Sayangnya, identitas seringkali berakhir dengan hak yang jauh melebihi apa yang sebenarnya mereka butuhkan untuk melakukan pekerjaan mereka. Akibatnya, ketika penyerang mengkompromikan identitas tersebut, mereka juga memiliki akses ke lebih banyak data daripada yang seharusnya mereka miliki. Menerapkan Zero Trust Architecture (ZTA) adalah salah satu cara untuk mengatasi tantangan ini, memberikan identitas hanya dengan tingkat akses minimum yang mereka butuhkan untuk berfungsi dan terus memvalidasi bahwa mereka adalah siapa atau apa yang mereka katakan. Untuk itu, organisasi memerlukan alat untuk mengidentifikasi izin yang berlebihan dan potensi kerentanan lainnya di seluruh jaringan. Organisasi harus secara teratur mengaudit dan memperbarui izin ini untuk memastikannya tetap sesuai, dan bahwa seseorang dapat memeriksa audit tersebut. 3. Mengukur dan Meningkatkan Akurasi Deteksi Review keamanan yang baik, terkadang menunjukkan bahwa alat keamanan berfungsi dengan benar dan mendeteksi ancaman. Sayangnya, hal itu seringkali tidak selalu terjadi. Aktivitas yang tampak mencurigakan seringkali ternyata tidak berbahaya, menghasilkan alarm palsu yang membuang waktu tim keamanan dengan penyelidikan yang tidak berguna. False Alarm ini dapat menyebabkan kejenuhan peringatan , dengan alarm palsu yang berlebihan menghilangkan ancaman sebenarnya yang membutuhkan perbaikan. Melacak tingkat pelaporan positif palsu (FPRR) dapat membantu petugas keamanan memahami kualitas peringatan mereka. Jika FPRR terlalu tinggi, mungkin sudah waktunya untuk mencari alat yang lebih baru dan lebih akurat. Teknologi pendeteksian saat ini sering dilengkapi dengan kemampuan kecerdasan buatan dan pembelajaran mesin (AI dan ML) yang memungkinkan mereka untuk belajar dari waktu ke waktu dan memperkuat peringatan sebelum meneruskannya ke tim keamanan. Lansiran fidelitas tinggi ini mengurangi keseluruhan volume lansiran dan memungkinkan pembela jaringan untuk fokus pada ancaman aktual daripada mengejar hantu. 4. Memahami Efektivitas Otomasi Otomasi berguna lebih dari sekadar mengurangi alarm palsu . Tidak selalu layak untuk memulihkan semua ancaman secara manual pada volume serangan saat ini. Untungnya, alat saat ini dapat secara otomatis mengkorelasikan informasi serangan dari berbagai sumber dan menampilkannya di satu dasbor untuk penilaian. Dengan membuat pedoman untuk jenis aktivitas serangan tertentu, alat ini dapat secara otomatis memulihkan ancaman tertentu bahkan sebelum membawanya ke perhatian pembela. Otomatisasi ini mempercepat dan menyederhanakan respons insiden, menangani ancaman segera setelah terdeteksi dan menghentikannya. Volume respons insiden adalah cara yang baik untuk mengukur seberapa efektif kontrol ini. Jumlah insiden yang dilaporkan terbuka, tertutup, atau tertunda dapat memberikan wawasan tentang seberapa baik alat otomatis menangani ancaman. Terlalu banyak insiden terbuka atau tertunda bukan pertanda baik, tetapi sejumlah besar kasus yang dapat diverifikasi dan ditutup berarti sistem melakukan tugasnya. Kesimpulan Ancaman saat ini begitu luas, dan para penjahat siber yang modern tidak hanya berfokus pada organisasi besar. Setiap orang berisiko, dan organisasi besar dan kecil perlu memiliki perlindungan yang sesuai dan pengetahuan serta sumber daya yang diperlukan untuk mengukur keefektifannya. Untungnya, menilai hal-hal seperti visibilitas jaringan, manajemen hak, dan pelaporan insiden dan alarm palsu dapat membantu organisasi menentukan kesehatan jaringan mereka secara keseluruhan dan seberapa baik kinerja pertahanan mereka. Artikel ini dilansir dari website sentinel One
