Pada tahun 2017, sebuah perusahaan es teh yang berbasis di New York mengatakan bahwa mereka "beralih ke blockchain," dan sahamnya melonjak sebesar 200%.
Saya menyampaikan hal ini karena, enam tahun kemudian, AI adalah sebagai buzzy hari ini seperti halnya blockchain dulu. Departemen pemasaran telah mengooptasi istilah ini sampai-sampai apa arti 'AI' - dan yang lebih penting lagi, bagaimana AI benar-benar dapat menciptakan keamanan siber yang lebih kuat - dapat hilang dalam kebisingan.
Hal ini bahkan terlihat jelas bagi saya di KuppingerCole Konferensi Identitas dan Cloud Eropa 2023, di mana saya mempresentasikan potensi AI untuk mencegah pengambilalihan akun. Ada banyak hal tentang AI yang lebih dari sekadar hype, tetapi nilai nyatanya dalam menciptakan keamanan siber yang lebih kuat dan membuat organisasi semakin dekat dengan zero trust dapat tenggelam oleh semua hiruk-pikuknya.
Jadi, mari kita mendefinisikan istilah-istilah kita dan membahasnya. Mari kita tinjau beberapa cara keamanan siber benar-benar dapat menggunakan AI untuk memproses otentikasi, hak, dan data penggunaan. Dan mari kita tentukan jenis AI yang dapat bekerja paling baik untuk meningkatkan posisi keamanan siber organisasi.
Keamanan siber cenderung dibagi lagi menjadi kompetensi inti: otentikasi multi-faktor (MFA) untuk mengamankan akses, tata kelola dan administrasi identitas (IGA) untuk menegakkan hak istimewa yang paling sedikit, manajemen insiden dan peristiwa keamanan (SIEM) untuk memantau penggunaan, dan lain-lain.
Masing-masing kompetensi tersebut sangat terspesialisasi, menggunakan alat bantu mereka sendiri, dan melindungi dari risiko yang berbeda. Kesamaan dari semua kompetensi tersebut adalah bahwa mereka semua menghasilkan tumpukan data.
Lihatlah identitas, yang menambahkan lebih banyak pengguna, perangkat, hak, dan lingkungan daripada sebelumnya. Dalam sebuah 2021 survei, lebih dari 80% responden mengatakan bahwa jumlah identitas yang mereka kelola meningkat lebih dari dua kali lipat, dan 25% melaporkan peningkatan 10 kali lipat.
Identitas dengan cepat menjadi masalah data: ada lebih banyak informasi daripada yang dapat ditangani manusia. Dan itulah mengapa AI dapat menjadi aset yang sangat penting: AI dapat memahami data dalam jumlah besar dengan cepat jika Anda menyusun pertanyaan dengan benar dan mengetahui apa yang harus Anda tanyakan kepada AI.
Berikut adalah tiga pertanyaan yang dapat digunakan oleh para profesional keamanan siber untuk mencegah risiko dan mendeteksi ancaman:
#1. Autentikasi: gunakan AI untuk memahami siapa yang mencoba masuk
AI dapat memproses data autentikasi untuk menilai siapa yang mencoba mengautentikasi ke dalam sistem Anda. Hal ini dilakukan dengan melihat konteks setiap pengguna, termasuk perangkat yang mereka gunakan, waktu mereka mencoba mengaksesnya, lokasi mereka mengaksesnya, dan banyak lagi.
Langkah selanjutnya adalah menggunakan informasi terkini dan membandingkannya dengan perilaku masa lalu dari pengguna tersebut: jika saya mengautentikasi dari laptop yang sama, pada jam yang sama, dan dari alamat IP yang sama minggu ini seperti yang saya lakukan minggu lalu, maka konteks saya mungkin akan terlihat cukup bagus.
Atau, jika seseorang yang mengaku sebagai saya mencoba masuk dari perangkat baru pada pukul 3 pagi dan dari alamat IP baru, maka AI harus mengotomatiskan autentikasi tingkat lanjut untuk menentang perilaku mencurigakan tersebut.
Yang penting, keputusan tentang apa yang menjadi 'konteks yang baik' dan 'konteks yang buruk' tidaklah statis: sebaliknya, AI harus terus mengevaluasi kembali keputusannya untuk mencerminkan perilaku pengguna dan organisasi secara keseluruhan dan beradaptasi dengan apa pun yang 'normal'. Perilaku pengguna selalu berubah dan AI harus selalu memperhitungkannya.
Kumpulan aturan statis tidak cukup detail untuk memperhitungkan konteks individual dan tidak memiliki kedalaman data referensi yang diperlukan untuk mengotomatiskan tindakan dengan percaya diri.
Atau, dengan kata lain: kumpulan aturan statis tidak akan bisa mengetahui apakah normal bagi saya-khususnya saya-untuk mencoba masuk ke 8th dalam waktu 60 menit dari Jerman pada pukul 23:00. Mungkin itu adalah perilaku yang normal bagi saya, atau mungkin mencurigakan. Apa pun itu, perangkat aturan statis tidak akan bisa membedakannya.
Selama hampir 20 tahun, RSA telah menggunakan algoritme pembelajaran mesin dan analisis perilaku untuk membantu pelanggan mendefinisikan konteks 'baik' dan 'buruk' dan mengotomatiskan respons terhadap perilaku pengguna. RSA Risiko AI memproses sejumlah besar data yang dihasilkan pengguna untuk melengkapi teknik otentikasi dan akses tradisional dan membantu bisnis membuat keputusan akses yang lebih cerdas, lebih cepat, dan lebih aman dalam skala besar.
#2 Akun dan Hak: gunakan AI untuk mempelajari apa yang dapat diakses seseorang
AI memproses data autentikasi untuk mengetahui yang sedang mencoba untuk mendapatkan akses. Ini meninjau data akun dan otorisasi untuk menjawab pertanyaan yang berbeda: apa bisa akses seseorang?
Bot menjawab hal ini dengan melihat akun dan hak untuk berbagai aplikasi. Dengan melakukan hal ini, organisasi dapat beralih ke hak yang paling sedikit (blok bangunan penting dari zero trust). Dengan melakukan hal ini juga dapat membantu organisasi mengidentifikasi pelanggaran pemisahan tugas.
Bagi manusia, memproses informasi akun dan hak hampir tidak mungkin dilakukan: catatan hak dapat dengan cepat mencapai jutaan. Meninjau data tersebut secara manual pasti akan gagal-peninjau manusia kemungkinan besar akan menekan "Setujui Semua" dan selesai.
Namun, meskipun melakukan tinjauan hak secara menyeluruh membutuhkan usaha yang besar, hal ini juga bernilai tinggi-khususnya dalam mengembangkan sikap keamanan siber yang lebih kuat. Karena manusia begitu cepat menekan tombol "Setujui Semua", kita membuat akun yang memiliki hak yang jauh lebih banyak daripada yang mereka butuhkan: hanya 2% hak yang digunakan.
Skala risiko hak tersebut meningkat seiring dengan semakin banyaknya organisasi yang mengintegrasikan lingkungan cloud: Gartner memprediksi bahwa "manajemen identitas, akses, dan hak istimewa yang tidak memadai akan menyebabkan 75% kegagalan keamanan cloud" tahun ini, dan setengah dari perusahaan akan secara keliru mengekspos beberapa sumber daya mereka secara langsung ke publik.
Organisasi dapat menemukan wawasan yang berharga-seperti pengguna outlier-dengan mencari melalui data hak mereka. Pengguna outlier terlihat sangat mirip dengan kelompok pengguna lainnya, namun memiliki beberapa kombinasi hak yang membuat mereka berbeda. Perbedaan tersebut mungkin tidak sejelas pemisahan pelanggaran hak, tetapi masih cukup signifikan untuk dikenali oleh AI. Tinjauan akses akan fokus pada pengguna yang tidak lazim tersebut-dan bukan pada 99% pengguna lain yang haknya dianggap berisiko lebih rendah atau yang memiliki hak yang sama yang telah disetujui sebelumnya.
Menemukan jarum-jarum kecil di antara tumpukan jerami yang menjulang tinggi itu mudah bagi AI, tetapi mustahil bagi manusia.
#3. Penggunaan Aplikasi: Gunakan AI untuk mempelajari apa yang sebenarnya dilakukan seseorang
AI melihat data otentikasi untuk menentukan yang mencoba untuk mendapatkan akses. Ini melihat data hak untuk memahami apa yang seseorang bisa akses.
Ketika berbicara tentang data penggunaan aplikasi, AI mencoba menjawab apa yang sebenarnya seseorang tidak.
Ada aliran data real-time yang sangat berguna di semua aplikasi dan komponen infrastruktur organisasi: AI dapat melihat sumber daya apa yang benar-benar saya gunakan untuk menulis postingan blog ini, siapa yang saya mintai bantuan, data yang saya konsultasikan, aplikasi yang saya gunakan, dan seterusnya. Hal ini memberi tahu organisasi saya tentang apa yang saya lakukan dan langkah-langkah yang saya perlukan untuk menyelesaikannya.
Yang penting, analisis tersebut juga dapat mengungkapkan aktivitas yang salah, ilegal, tidak sesuai, atau berisiko: hanya karena pengguna secara sah memiliki hak, bukan berarti mereka harus. AI dapat memproses data penggunaan aplikasi untuk menemukan kesalahan-kesalahan tersebut dan mengatasinya. Tentu saja, Anda memiliki hak akses ke situs SharePoint yang sensitif itu, tetapi mengapa Anda mengunduh sejumlah besar file dari situs itu selama 30 menit terakhir?
Ada dua jenis utama AI: deterministik dan non-deterministik. Machine Learning sebagian besar adalah AI deterministik. AI ini paling baik dalam memproses data terstruktur. Deep Learning sering kali merupakan jenis AI non-deterministik yang paling baik dalam memproses data tidak terstruktur.
Cara lain untuk menjelaskannya: Deep Learning akan dapat melihat gambar ini dan menjawab "Di manakah kucing dalam gambar tersebut?"
Machine Learning akan dapat melihat file log dan menjawab "Apa yang terjadi di Timestamp 168235198?"
Dalam hal keamanan, baik saat Anda mencoba menggunakan AI untuk menilai autentikasi, hak, atau data penggunaan aplikasi, informasi yang kita lihat hampir seluruhnya adalah data terstruktur.
Artinya, sebagian besar, kami ingin menggunakan Machine Learning, atau AI deterministik, dalam keamanan siber. AI deterministik dapat menangani input yang kita berikan dengan lebih transparan daripada AI non-deterministik. "Lebih transparan" karena, mari kita akui saja: tidak semua dari kita (termasuk saya) memiliki pengetahuan matematika tingkat lanjut untuk mengetahui semua detailnya. Namun, banyak orang yang memilikinya, dan model ML deterministik dapat dijelaskan kepada mereka secara keseluruhan.
Ada penelitian terjadi untuk mendapatkan pemahaman yang lebih besar tentang cara kerja AI non-deterministik. Saya ingin tahu ke mana arahnya dan apakah kita akan benar-benar memahami bagaimana jaringan saraf dan AI non-deterministik lainnya bekerja.
Sama pentingnya dengan menangani input terstruktur tersebut adalah output yang dihasilkan oleh AI deterministik. AI non-deterministik lebih seperti kotak hitam: kita manusia tidak bisa memastikan bagaimana AI non-deterministik menghasilkan gambar tertentu, misalnya. Ada input di awal, output di akhir, dan jika Anda membuka kotak hitam di tengahnya, Anda akan melihat sebuah negeri fantasi dengan naga dan unicorn: ini adalah sebuah misteri.
Dengan AI deterministik, kita dapat mengetahui bagaimana model kita sampai pada jawabannya. Secara teoritis, kita dapat memeriksa hasil kerja AI deterministik dan secara manual memasukkan input yang sama untuk mendapatkan jawaban yang sama. Hanya saja, melakukan hal tersebut secara manual akan membutuhkan banyak kertas catatan, kopi, dan kewarasan, serta tidak dapat dilakukan secara real-time.
Untuk tim keamanan dan audit, memiliki transparansi dan memahami cara kerja AI Anda sangat penting untuk menjaga kepatuhan dan mengajukan sertifikasi.
Bukan berarti tidak ada peran untuk algoritme pembelajaran non-deterministik/dalam dalam keamanan siber. Ada: deep learning dapat menemukan jawaban yang tidak kita cari dan dapat digunakan untuk meningkatkan model deterministik. Para profesional keamanan siber perlu menaruh kepercayaan yang besar pada kotak hitam itu - dan apa yang dihasilkannya.
Kami bertaruh besar pada AI dan berpikir bahwa AI dapat memiliki peran penting dalam menciptakan keamanan siber yang lebih kuat.
Namun, sama pentingnya dengan AI adalah membuat semua komponen identitas Anda bekerja sama: autentikasi, akses, tata kelola, dan siklus hidup harus berkolaborasi untuk melindungi seluruh siklus hidup identitas.
Menggabungkan fungsi-fungsi ini menjadi platform identitas terpadu membantu organisasi melindungi titik-titik buta yang dihasilkan dari solusi titik; ini juga menciptakan lebih banyak input data untuk melatih AI menjadi sesuatu yang lebih cerdas.
