Baik dalam hal defensif maupun ofensif, keamanan siber selalu mengalami perubahan. Dalam lanskap industri saat ini, konvergensi teknologi operasional (OT), sistem kontrol industri (ICS), dan teknologi informasi (IT) sedang mengubah cara manufaktur dan infrastruktur kritis dijalankan. Konvergensi ini, meskipun membawa efisiensi dan inovasi yang belum pernah terjadi sebelumnya, juga membuka sistem yang sebelumnya terisolasi terhadap risiko keamanan baru, menciptakan ekosistem yang kompleks di mana AI muncul sebagai sekutu yang kuat untuk mengamankan lingkungan ini. Kami baru-baru ini mewawancarai Del Rodillas, manajer produk terkemuka di Palo Alto Networks, yang fokus pada keamanan OT dan ICS, mengembangkan peta jalan solusi, dan bekerja erat dengan tim produk. Keahliannya juga mencakup kolaborasi dengan tim penjualan untuk membantu mereka memberikan layanan yang lebih baik kepada klien dan mendidik pelanggan. Pengalaman panjang dan wawasan Del menjadikannya aset yang sangat berharga dalam menavigasi lanskap konvergensi OT-IT dan tantangan keamanan siber yang muncul di sektor manufaktur dan industri. Perubahan Wajah Keamanan OT Saat ini, sektor manufaktur sedang mengalami transformasi digital dengan kecepatan yang tak tertandingi. Pada tahun 2026, organisasi industri diperkirakan akan mengoperasikan lebih dari 15 miliar aset baru dan lama yang terhubung ke 5G, internet, dan cloud. Seperti yang bisa dibayangkan, adopsi teknologi baru yang cepat ini tidak tanpa risiko. Permukaan serangan dari sebuah organisasi manufaktur menjadi semakin luas seiring dengan semakin banyaknya perangkat yang diterapkan. Permukaan serangan yang lebih luas ini, ditambah dengan kerentanannya sistem OT lama, menciptakan badai sempurna bagi para penjahat siber yang kini mengincar sistem-sistem ini, memanfaatkan teknik canggih yang didorong oleh AI untuk melancarkan serangan. Seperti yang dicatat oleh Rodillas: “Konvergensi OT-IT memainkan peran besar dalam lanskap ancaman siber karena memungkinkan penyerang dengan ‘playbook’ atau seperangkat alat yang lebih canggih yang membuat kemampuan mereka lebih maju, tetapi juga meningkatkan kecepatan dan volume serangan mereka.” Jalinan konektivitas digital yang semakin kompleks ini telah menjadikan sistem OT target utama bagi penjahat siber. Pada tahun 2021, 35% dari serangan siber OT yang dilaporkan memiliki konsekuensi fisik, dengan perkiraan kerugian $140 juta per insiden. Statistik yang mengkhawatirkan ini menyoroti kebutuhan mendesak akan langkah-langkah keamanan OT yang tangguh yang dapat mengikuti perkembangan ancaman yang terus berubah. AI — Pendorong Perubahan dalam Keamanan OT Seperti di banyak area lain dalam keamanan siber, AI terbukti menjadi sekutu yang tangguh dalam melawan ancaman siber di lingkungan OT. Rodillas menekankan pentingnya AI dalam menghadapi tantangan unik dalam keamanan OT: “AI memainkan peran besar dalam lanskap ancaman siber… Saya rasa AI mengubah pemikiran bahwa itu tidak relevan dengan OT. Itu sangat relevan karena adanya siklus serangan yang terintegrasi antara IT dan OT. Dari sudut pandang kecanggihan, saya rasa khususnya dalam fase rekayasa sosial, orang harus ingat bahwa serangan terhadap OT terutama berasal dari IT dan kemudian beralih ke OT. AI Generatif khususnya dapat digunakan untuk mengotomatisasi riset dan pembuatan email untuk kampanye spear phishing yang lebih terarah dan meyakinkan. Dan kemampuan adaptasinya, saya rasa, menjadi hal lain dalam lanskap ancaman, di mana malware dapat terus berkembang, membuatnya lebih sulit dideteksi dan dinetralkan. Saya rasa tidak berlebihan untuk mengatakan bahwa AI akan diterapkan untuk pergerakan lateral yang lebih efisien dan tersembunyi dalam OT, sehingga memperpendek waktu untuk mengkompromikan aset kritis.” Mengingat ancaman yang terus berkembang ini, AI bukan hanya alat, tetapi suatu kebutuhan dalam keamanan OT modern. Area Kunci di Mana AI Membuat Dampak dalam Melindungi Lingkungan Industri Deteksi dan Respon Ancaman yang Ditingkatkan Alat yang didorong oleh AI merevolusi cara organisasi mendeteksi dan merespons ancaman di lingkungan manufaktur. Rodillas menyoroti pentingnya User and Entity Behavior Analytics (UEBA), dengan mengatakan, “Dalam manufaktur, aspek perangkat dari UEBA menjadi sangat menarik karena sekarang Anda berbicara tentang perangkat OT, perangkat IoT industri, perangkat IoT, perangkat IT, banyak perangkat di lantai produksi.” Dengan memanfaatkan algoritma pembelajaran mesin, alat-alat ini dapat menetapkan dasar perilaku normal dan dengan cepat mengidentifikasi anomali yang mungkin menunjukkan ancaman keamanan. Kemampuan ini sangat penting di lingkungan OT, di mana alat keamanan IT tradisional mungkin tidak memahami protokol industri khusus. Menjembatani Kesenjangan Keamanan IT-OT Salah satu tantangan terbesar dalam keamanan OT adalah ketidakselarasan antara tim IT dan OT. AI membantu menjembatani kesenjangan ini dengan menyediakan bahasa umum dan pandangan yang terintegrasi tentang lanskap keamanan. Rodillas menjelaskan, “Organisasi menjadi lebih baik karena ada konektivitas yang lebih tinggi antara kedua lingkungan tersebut. OT semakin mirip dengan IT dari sudut pandang teknologi… AI bisa menjadi salah satu teknologi ini, semacam kemampuan pemersatu.” Dengan menerapkan analitik AI di kedua lingkungan IT dan OT, organisasi dapat mendeteksi ancaman lebih awal dan memetakan serangan ke kerangka kerja seperti MITRE ATT&CK, memungkinkan identifikasi aktor ancaman yang lebih baik dan strategi respons yang lebih efektif. Menangani Kesenjangan Keterampilan Kekurangan keterampilan dalam keamanan siber sangat terasa di sektor OT. AI membantu mengatasi keterbatasan ini dengan mengotomatisasi tugas-tugas rutin dan memungkinkan staf yang kurang berpengalaman menangani operasi keamanan yang lebih kompleks. Seperti yang dicatat Rodillas, “Anda memerlukan AI untuk mengambil beban ini dari manusia dan AI bisa melakukannya 24/7 secara otomatis, dan hanya melibatkan personel Anda ketika ada sinyal kritis dan berkualitas tinggi yang lebih baik ditangani oleh manusia.” Automasi ini tidak hanya membantu mengatasi kesenjangan keterampilan, tetapi juga memungkinkan tim keamanan untuk fokus pada inisiatif strategis daripada terjebak dalam pengelolaan peringatan sehari-hari. Tantangan dan Pertimbangan Meskipun AI menawarkan potensi besar dalam keamanan OT, teknologi ini tidak tanpa tantangan. Salah satu kekhawatiran utama adalah risiko positif palsu yang dapat menyebabkan gangguan operasional yang tidak perlu. Rodillas memperingatkan, “Jika Anda bertindak berdasarkan positif palsu dan menutup sesuatu, dan itu menyebabkan waktu henti atau masalah keselamatan, itu seperti, ‘obatnya lebih buruk dari masalahnya.’” Untuk mengurangi risiko ini, Rodillas menyarankan penerapan mekanisme bantuan keputusan yang memberikan konteks dan tindakan yang direkomendasikan kepada operator manusia, alih-alih mengandalkan pengendalian otomatis sepenuhnya.
Category: Blog
Mengintegrasikan Deteksi Ancaman dengan XDR di Google Cloud
Pendahuluan Google Cloud IDS yang baru diumumkan adalah layanan deteksi intrusi generasi berikutnya dan berbasis cloud yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, dan serangan command-and-control. Layanan native Google Cloud ini – dibangun dengan teknologi deteksi ancaman dari Palo Alto Networks – menangkap ancaman berbasis tanda tangan di level jaringan, memberikan visibilitas lengkap di Layer 7 untuk lalu lintas aplikasi antar dan dalam VPC, serta membantu Anda untuk memenuhi persyaratan kepatuhan dengan mudah. Hingga saat ini, mendeteksi ancaman dalam lalu lintas antara beban kerja di dalam batas kepercayaan VPC telah menjadi tantangan besar bagi tim keamanan. Selain itu, mengambil tindakan terhadap ancaman tersebut bahkan lebih sulit karena informasi dari host dan endpoint sulit diakses dalam skala besar, yang menghalangi tim untuk merespons dengan cepat. Dengan diperkenalkannya Cloud IDS, tim keamanan jaringan cloud akhirnya memiliki layanan deteksi ancaman native untuk lingkungan Google Cloud mereka. Integrasi lebih lanjut dengan layanan Google Cloud Logging memungkinkan log ancaman yang dihasilkan dari layanan ini untuk dikirim ke layanan pesan Google Cloud Pub/Sub. Oleh karena itu, jika Anda menggunakan layanan pesan Pub/Sub dari Global Cloud, Anda kini dapat mengirim log dan data dari instance Google Cloud Anda ke Cortex XDR. Ini memungkinkan data dan informasi dari Google Cloud dapat dicari di Cortex XDR, memberikan detail dan konteks tambahan untuk penyelidikan ancaman. Cortex XDR memberikan perlindungan holistik dengan mengintegrasikan semua data keamanan utama untuk menghentikan serangan canggih. Ini menyederhanakan penyelidikan ancaman dengan mengorelasikan log dari Cloud IDS untuk mengungkap korban dan garis waktu ancaman. Hal ini memungkinkan Anda untuk dengan mudah mengidentifikasi akar penyebab dari setiap peringatan. Dengan integrasi layanan IDS baru ini dan aplikasi XDR, Anda memiliki kemampuan unik untuk melakukan tindakan respons segera berdasarkan data ancaman. Selain perilaku reaktif, Anda juga dapat memandang ke masa depan dan mendefinisikan indikator kompromi (IOCs), atau indikator kompromi berbasis perilaku (BIOCs) untuk deteksi dan respons terhadap aktivitas berbahaya. Cara Mengonfigurasi Integrasi Membuat Topik dan Langganan Pub/Sub Masuk ke akun Google CloudGCP Anda. Pilih Logging > Logs Router. Pilih Buat Sink > Topik Cloud Pub/Sub dan kemudian klik Berikutnya. Untuk memfilter hanya jenis data tertentu, pilih filter atau sumber daya yang diinginkan. Anda dapat mengatur filter untuk memilih log ancaman Cloud IDS. Di konfigurasi Edit Sink, tentukan Nama Sink yang deskriptif. Pilih Tujuan Sink > Buat topik Cloud Pub/Sub baru. Masukkan Nama deskriptif yang mengidentifikasi tujuan sink untuk Cortex XDR, kemudian klik Buat. Pilih Buat Sink dan kemudian Tutup setelah selesai. Pilih menu hamburger di G Cloud, kemudian pilih Pub/Sub > Topik. Pilih nama topik yang Anda buat di langkah sebelumnya. Gunakan filter jika perlu. Pilih Buat Langganan > Langganan. Masukkan ID Langganan yang unik. Pilih Pull sebagai Jenis Pengiriman. Buat langganan tersebut. Di detail langganan, identifikasi dan catat Nama Langganan Anda.
Amankan BYOD dengan Prisma Access Browser untuk Perangkat Seluler
Dalam lingkungan bisnis yang serba cepat saat ini, smartphone dan tablet telah menjadi alat yang sangat penting untuk pekerjaan perusahaan, memungkinkan produktivitas dan kolaborasi yang lancar dari hampir mana saja. Perangkat ini memungkinkan karyawan untuk mengakses data penting, berkomunikasi dengan tim, dan tetap produktif saat bepergian. Namun, kenyamanan ini membawa tantangan besar bagi perusahaan, termasuk peningkatan risiko keamanan dan kekhawatiran privasi. Dengan data perusahaan yang sensitif diakses melalui perangkat pribadi (BYOD) seperti smartphone dan tablet, organisasi menghadapi hambatan dalam melindungi aset mereka tanpa mengorbankan pengalaman pengguna. Menemukan keseimbangan yang tepat antara aksesibilitas dan keamanan kini lebih penting daripada sebelumnya di tempat kerja yang mengutamakan perangkat seluler. Prisma Access Browser untuk perangkat seluler menghadirkan rangkaian fitur canggih yang dirancang untuk mengatasi tantangan ini secara langsung. Prisma Access Browser untuk perangkat seluler memberikan tiga kemampuan utama untuk memungkinkan penggunaan perangkat seluler yang aman dalam perusahaan: akses aman untuk BYOD, fungsionalitas tablet yang ramah eksekutif, dan kontrol canggih untuk perangkat yang dikelola. Akses Aman ke Aplikasi Perusahaan, Termasuk Aplikasi Pribadi, pada BYOD Mengakses aplikasi perusahaan melalui perangkat seluler pribadi menghadirkan dilema: karyawan lebih suka kebebasan dan privasi menggunakan perangkat pribadi mereka, sementara perusahaan membutuhkan kerangka keamanan yang kuat untuk melindungi informasi sensitif. Kebanyakan karyawan enggan mendaftarkan perangkat mereka dalam solusi manajemen perangkat seluler (MDM) atau menambahkan layanan jaringan pribadi virtual (VPN) ke perangkat pribadi mereka. Solusi dan layanan ini dapat terasa mengganggu, memberi perusahaan kontrol atas aplikasi dan data pribadi. Hingga kini, menemukan keseimbangan ini sangat sulit untuk aplikasi pribadi, karena mengakses aplikasi tersebut pada BYOD hampir tidak mungkin. Namun, dengan tingkat keamanan perangkat tertentu, perusahaan dapat menghindari risiko paparan data, karena perangkat yang tidak sah atau terkompromi dapat dengan mudah mengakses sumber daya perusahaan yang sensitif. Untuk itu, perusahaan membutuhkan solusi yang memungkinkan mereka menerapkan kontrol keamanan yang diperlukan tanpa mengganggu data pribadi. Prisma Access Browser untuk perangkat seluler menawarkan pengalaman browser yang aman bagi karyawan untuk mengakses aplikasi web perusahaan, SaaS, dan aplikasi pribadi tanpa memerlukan MDM, profil VPN, atau sertifikat. Pengguna juga menikmati perlindungan phishing canggih, yang sangat penting mengingat adanya peningkatan 52% dalam serangan terhadap perangkat seluler pada tahun 2023 dibandingkan tahun 2022. Administrator juga memperoleh visibilitas dan kontrol yang lebih besar dengan perlindungan data berbasis konteks dan granular yang membantu menjaga data sensitif agar tidak bocor. Perlindungan data ini juga menggunakan verifikasi postur perangkat untuk memblokir akses dari perangkat yang terkompromi atau kedaluwarsa. Selain itu, administrator dapat menerapkan pembatasan perlindungan identitas untuk memastikan pengguna mengakses aplikasi perusahaan hanya melalui Prisma Access Browser yang aman, menciptakan penghalang pelindung di sekitar informasi sensitif sambil tetap menghormati privasi pribadi. 2. Pengalaman SaaS Lengkap pada Tablet BYOD untuk Eksekutif dan Tim Penjualan Eksekutif dan tim penjualan sering bepergian, mengandalkan tablet BYOD seperti iPad dan perangkat Android karena kemudahan dan kenyamanan. Tablet ini lebih ringan dari laptop, lebih disukai untuk bekerja dan bepergian, serta memungkinkan akses mudah ke aplikasi SaaS dan sumber daya perusahaan. Namun, dari sisi keamanan, tablet ini menimbulkan tantangan unik. Pemimpin senior adalah target berharga untuk serangan siber, dan tanpa keamanan yang tepat pada tablet pribadi ini, risiko pelanggaran data dan kebocoran meningkat. Tim TI dan keamanan kesulitan untuk memberlakukan standar keamanan yang ketat pada perangkat ini, yang membuat sulit untuk melindungi pengguna profil tinggi secara efektif. Prisma Access Browser untuk perangkat seluler mengatasi kebutuhan ini dengan memungkinkan pengalaman desktop yang sesungguhnya pada tablet BYOD, memastikan eksekutif dan tim penjualan dapat mengakses aplikasi SaaS lengkap dengan aman. Tablet dapat melewati pembatasan seluler, memungkinkan akses ke aplikasi yang biasanya diblokir pada browser seluler standar, seperti Microsoft Teams dan Zoom. Pengguna menikmati pengalaman desktop penuh pada aplikasi web di tablet mereka, menjaga konsistensi dukungan baca-tulis untuk aplikasi produktivitas seperti Microsoft 365 dan Google Workspace. Fungsionalitas ini mengurangi kebutuhan akan perangkat yang dikelola sambil memberikan pengalaman pengguna yang lancar bagi eksekutif senior dan tim penjualan yang perlu mengakses alat-alat penting tanpa mengorbankan keamanan. 3. Kontrol Granular dan Keamanan Ditingkatkan pada Perangkat yang Dikelola Mempertahankan kontrol dan wawasan atas tindakan pengguna tetap menjadi tantangan konstan bagi pelanggan yang menggunakan perangkat seluler yang dikelola. Solusi MDM standar sering menawarkan visibilitas terbatas, kurangnya kontrol kebijakan granular untuk aplikasi web yang berbeda, dan hanya mencakup fitur dasar pencegahan kehilangan data (DLP). Selain itu, pengguna yang membuka tautan dari aplikasi seluler asli bisa menjadi target serangan phishing konservatif, yang berfokus pada pencurian kredensial, dan serangan phishing OAuth yang berfokus pada penyalahgunaan izin. Organisasi membutuhkan solusi yang menawarkan visibilitas yang kuat, kontrol yang terperinci, dan perlindungan data yang komprehensif di seluruh perangkat seluler yang dikelola untuk mengatasi risiko-risiko ini. Dengan Prisma Access Browser yang diatur sebagai browser default di perangkat seluler yang dikelola, administrator memperoleh kemampuan untuk menegakkan aturan aplikasi khusus, DLP berbasis endpoint, dan visibilitas yang ditingkatkan atas tindakan pengguna. Kontrol ini meningkatkan keamanan, memungkinkan organisasi untuk menegakkan kebijakan keamanan penelusuran, melindungi data dengan DLP canggih, termasuk pembatasan tangkapan layar dan clipboard, serta mengamati perilaku penelusuran aplikasi secara rinci.
Perkembangan Pesat dalam AI Generatif Memungkinkan Organisasi Membangun Aplikasi Canggih dengan Mengintegrasikan Model Dasar dengan Data dan Sistem Internal
Perkembangan pesat dalam AI generatif telah memungkinkan organisasi untuk membangun aplikasi yang kuat dengan mengintegrasikan model dasar dengan data dan sistem internal mereka. Potensi keuntungan sangat tinggi, namun risikonya juga besar—mulai dari paparan data sensitif dan pelanggaran kepatuhan hingga suntikan prompt dan serangan terhadap aplikasi yang telah diterapkan. Untuk mengurangi risiko terkait AI, organisasi memerlukan pendekatan komprehensif yang mencakup seluruh siklus hidup aplikasi, mulai dari pengumpulan data hingga keluaran model. Dalam posting blog kali ini, kami akan membahas keadaan terkini keamanan genAI dan bagaimana Prisma Cloud dari Palo Alto Networks dapat digunakan bersama dengan Amazon Bedrock untuk membangun, mengelola, dan menerapkan aplikasi yang aman dengan kekuatan AI. Prisma Cloud AI-SPM (Manajemen Postur Keamanan AI) dan Prisma Cloud DSPM (Manajemen Postur Keamanan Data) adalah kemampuan terintegrasi yang memberikan visibilitas, analisis risiko, dan kontrol keamanan untuk aset AI serta data sensitif di seluruh lingkungan cloud. Amazon Bedrock adalah layanan yang sepenuhnya dikelola yang menawarkan akses ke berbagai model dasar dan alat untuk membangun dan menerapkan aplikasi AI generatif dengan aman, termasuk penyesuaian, RAG, pengalaman pengembang, dan alat kustomisasi. Amazon Bedrock Guardrails, yang baru-baru ini tersedia sebagai API terpisah, menambahkan kemampuan perlindungan runtime yang, antara lain, memblokir konten berbahaya dan mengidentifikasi halusinasi dalam keluaran LLM. Tantangan Mengamankan GenAI Saat Beralih dari Fase Eksperimen ke Fitur Seiring organisasi beralih dari bereksperimen dengan AI generatif ke penerapan dalam skala besar, tiga tren utama telah muncul, masing-masing dengan implikasi terkait keamanan. Integrasi dengan Data dan Sistem Internal Menyoroti Risiko Data LLM “standar” perlu diperkaya dengan data milik perusahaan untuk menciptakan nilai yang signifikan bagi organisasi. Oleh karena itu, organisasi menyempurnakan model menggunakan data khusus domain atau menggunakan teknik seperti retrieval augmented generation (RAG) untuk menyuntikkan informasi relevan ke dalam prompt demi menciptakan asisten AI yang lebih disesuaikan dan mampu. Namun, integrasi ini menciptakan permukaan serangan baru. Data sensitif yang digunakan untuk penyesuaian atau yang diberikan pada model pada saat inferensi bisa tanpa sengaja terekspos dalam keluaran model. Misalnya, sebuah LLM yang disesuaikan dengan dokumen internal perusahaan mungkin akan mengungkapkan potongan informasi rahasia jika diberi prompt yang tepat. Organisasi harus secara cermat mengontrol akses ke data inferensi dan memantau input serta output model untuk mencegah pengeluaran data dan memastikan kepatuhan terhadap regulasi privasi data. Gambar 1 menggambarkan bagaimana data sensitif dapat terekspos oleh model yang telah disesuaikan. Risiko ini muncul selama proses penyesuaian dan tertanam dalam model. Satu-satunya cara untuk menghilangkan risiko setelahnya adalah dengan menerapkan kembali model tersebut. Gambar 1: Paparan data sensitif oleh model yang disesuaikan RAG juga membawa risiko paparan data lainnya. Contoh yang terlihat pada Gambar 2 lebih mudah diatasi dibandingkan contoh sebelumnya, karena paparan terjadi pada tahap “retrieval” dan bukan merupakan bagian dari model. Menghapus data sensitif dari data inferensi dapat menghilangkan risiko ini. Gambar 2: Paparan informasi identifikasi pribadi melalui RAG Proliferasi Model dan Kerangka Kerja Memperumit Upaya Pemerintahan yang Efektif API OpenAI dulunya adalah satu-satunya opsi yang layak untuk menambahkan kemampuan LLM ke aplikasi hanya beberapa tahun yang lalu. Saat ini, pengembang dapat memilih dari berbagai model dasar sumber terbuka—termasuk model khusus yang dirancang untuk pembuatan gambar, suara, atau video. Model penerapan juga semakin bervariasi. Selain API inferensi yang ditawarkan sebagai SaaS, model sekarang dapat diterapkan di lingkungan cloud pribadi, infrastruktur yang dikelola sendiri, dan dalam beberapa kasus, secara lokal. Keberagaman ini memungkinkan pengembang memilih model yang paling efisien dan efektif untuk setiap tugas, yang pada akhirnya mengurangi biaya dan meningkatkan kualitas. Namun, keberagaman ini juga membuat tugas tim keamanan semakin rumit. Penerapan AI bayangan dengan model yang tidak disetujui mungkin muncul, menyulitkan penilaian terhadap postur keamanan secara keseluruhan. Rantai pasokan model juga perlu mendapat perhatian. Misalnya, aktor jahat dapat menerbitkan model atau dataset yang terinfeksi dengan tujuan meracuni model downstream tempat model tersebut dilatih. Organisasi perlu memiliki cara untuk menemukan model yang diterapkan di lingkungan mereka dan melacak asal-usul serta silsilahnya. Peralihan dari Eksperimen ke Produksi Membutuhkan Kontrol Baru Seiring perusahaan bergerak melampaui pengembangan bukti konsep awal dan mulai menerapkan genAI dalam produksi, serangkaian risiko keamanan aplikasi baru muncul. Serangan suntikan prompt, di mana prompt teks yang dirancang dengan cerdik menyebabkan perilaku yang tidak diinginkan dari model, sudah menargetkan model dan asisten AI populer. Penyerang menggunakan teknik ini untuk menghindari filter konten, menipu sistem AI untuk mengakses sumber daya yang tidak sah, atau mengungkapkan informasi sensitif melalui keluaran model. Untuk mencegah serangan yang menargetkan model saat runtime, organisasi perlu secara proaktif mengidentifikasi kasus di mana model diterapkan tanpa kontrol keamanan dan keselamatan yang memadai (seperti pemantauan output). Mengidentifikasi masalah ini lebih awal dapat membantu mengurangi risiko yang lebih sulit dideteksi dan dicegah setelah aplikasi AI diterapkan di dunia nyata.
Cortex XDR Mencatat Deteksi 100% yang Tak Tertandingi di Evaluasi MITRE 2024
Palo Alto Networks Cortex XDR mencatat sejarah dalam Evaluasi MITRE ATT&CK tahun ini sebagai peserta pertama yang mencapai deteksi 100% dengan detail tingkat teknik dan tanpa perubahan konfigurasi atau penundaan. Deteksi tingkat teknik merupakan standar emas, memberikan informasi yang tepat kepada analis keamanan untuk mengidentifikasi serangan. Ini adalah tahun kedua berturut-turut Cortex XDR mencapai deteksi 100% tanpa perubahan konfigurasi atau penundaan, menunjukkan konsistensi yang tak tertandingi. Cortex XDR mencapai tingkat pencegahan tertinggi di antara semua vendor dengan nol false positive – suatu perbedaan yang sangat penting untuk keamanan endpoint. Pada tahap pencegahan, bahkan satu false positive pun dapat mengganggu proses bisnis yang sah, yang berdampak pada produktivitas. Evaluasi tahun ini lebih ketat dari sebelumnya, dengan memasukkan pengujian false positive, dukungan macOS, dan perluasan skenario Linux. Perlu dicatat, partisipasi vendor turun dari 29 menjadi 19, dengan beberapa vendor terkemuka memilih untuk mundur. Dari vendor yang diuji, dua pertiga mendeteksi kurang dari 50% langkah serangan – yang menekankan ketelitian evaluasi tahun ini. Kami sangat bangga dengan tim riset ancaman dan rekayasa kelas dunia kami yang telah memberikan keamanan endpoint yang luar biasa, memberdayakan pelanggan kami untuk tetap unggul dalam menghadapi musuh, seperti yang disimulasikan dalam evaluasi ini. Cortex XDR: Kinerja Keamanan Endpoint Terbaik di Industri dalam Putaran 6 Evaluasi MITRE ATT&CK Cortex XDR unggul dalam kedua skenario deteksi dan pencegahan dalam evaluasi, menetapkan tolok ukur baru untuk keamanan endpoint dan mendefinisikan kembali apa yang harus diharapkan organisasi dari solusi keamanan siber mereka. Dalam tiga skenario deteksi, Cortex XDR mencapai deteksi 100% tingkat teknik untuk semua langkah serangan yang disimulasikan tanpa perubahan konfigurasi atau deteksi yang tertunda. Hasil ini menegaskan komitmen kami untuk memberikan pertahanan yang paling komprehensif untuk setiap sistem operasi utama – Windows, macOS, dan Linux. Evaluasi MITRE ATT&CK juga menguji pencegahan, menilai kemampuan solusi untuk memblokir serangan sebelum dapat menyebabkan kerusakan. Ini adalah inti dari keamanan endpoint dunia nyata – mencegah sebanyak mungkin dan mendeteksi sisanya dengan cepat dan akurat. Pada Putaran 6, Cortex XDR berhasil mencegah 8 dari 10 langkah serangan sambil mempertahankan nol false positive. False positive pada tahap pencegahan dapat mengganggu operasi bisnis yang kritis dengan potensi kerusakan finansial yang signifikan. Kemampuan Cortex XDR untuk menggabungkan akurasi pencegahan yang tak tertandingi dengan tanpa gangguan menjadikannya solusi keamanan endpoint yang ideal untuk organisasi terbesar dan paling menuntut di dunia. Meskipun ada dua langkah serangan dalam uji pencegahan yang tidak memenuhi kriteria untuk dihitung sebagai pemblokiran oleh MITRE, tindakan nyata kami selama langkah-langkah ini akan melindungi pelanggan kami dan menghentikan pelanggaran. Pada langkah ketiga, serangan mencoba melakukan koneksi SSH dari host mencurigakan di China, yang seharusnya diikuti oleh langkah serangan MITRE. Kami memblokir koneksi SSH yang mencurigakan, menghentikan serangan pada tahap lebih awal. Pada langkah kelima, serangan mencoba untuk mengenkripsi data, dan tindakan enkripsi tersebut segera dibalik oleh agen Cortex XDR. Kami menghentikan serangan, memberikan satu-satunya hasil yang penting, yaitu menjaga pelanggan tetap aman. Apa itu Evaluasi MITRE ATT&CK? Evaluasi MITRE ATT&CK adalah uji yang paling ketat dalam dunia keamanan siber, yang dirancang untuk mengukur seberapa baik solusi keamanan endpoint mendeteksi dan mencegah ancaman dunia nyata. MITRE ATT&CK mempelajari dan meniru serangan yang dilakukan oleh musuh yang sangat canggih, menjadikannya patokan sejati untuk efektivitas keamanan. Evaluasi Enterprise 2024 tahun ini fokus pada dua sumber serangan yang berbeda dan sangat relevan: Ransomware: Menjelajahi perilaku umum dalam kampanye ransomware, seperti penyalahgunaan alat yang sah, mengenkripsi data, dan menonaktifkan layanan atau proses kritis. MITRE memilih untuk meniru teknik dari dua kelompok ransomware sebagai layanan yang terkenal – CLOP dan LockBit. Republik Rakyat Demokratik Korea (DPRK): Meniru serangan pada sistem macOS, terinspirasi oleh penggunaan malware modular DPRK untuk meningkatkan hak istimewa dan menargetkan kredensial. Bagaimana Palo Alto Networks Memantau Ancaman Terkenal Seperti Ransomware dan DPRK? Sebagai perpanjangan dari Unit 42, tim Penelitian Ancaman Cortex Palo Alto Networks memantau lanskap ancaman yang terus berkembang dan mengubah temuan mereka menjadi intelijen yang dapat ditindaklanjuti, yang secara langsung meningkatkan kemampuan deteksi dan pencegahan Cortex XDR. Selama tahun lalu, sebagai bagian dari upaya harian mereka untuk mempelajari taktik, teknik, dan prosedur (TTP) dari aktor ancaman, tim ini fokus pada kelompok APT yang terkait dengan DPRK, mengungkapkan kampanye dan malware baru yang digunakan untuk menyusup ke organisasi di seluruh dunia. DPRK dikenal dengan strategi perang sibernya yang dua sisi, yang berpusat pada spionase dan aktivitas kriminal siber besar-besaran yang bertujuan menghasilkan pendapatan untuk rezim Korea Utara. Penelitian kami menyoroti fokus DPRK yang semakin besar pada target pengguna dan endpoint macOS, serta upaya berkelanjutan untuk mencuri cryptocurrency dan informasi sensitif dari organisasi di seluruh dunia di berbagai industri. Sorotan dari penelitian tim ini telah dibagikan dengan komunitas dan tersedia di Pusat Penelitian Ancaman Unit 42, termasuk artikel penelitian berikut: Penilaian Ancaman: Kelompok Ancaman Korea Utara Wawancara Menular: Aktor Ancaman DPRK Menarik Pencari Kerja Industri Teknologi untuk Menginstal Varian Baru Malware BeaverTail dan InvisibleFerret Kampanye Paket Python Beracun Gleaming Pisces Menyebarkan Backdoor PondRAT untuk Linux dan MacOS Mengungkap Set Alat Sparkling Pisces: KLogEXE dan FPSpy Tim ini juga telah menerbitkan beberapa artikel penelitian tentang kelompok ransomware yang paling berbahaya aktif pada 2024. Penelitian ini menyoroti evolusi kelompok-kelompok ini, menunjukkan peningkatan kecanggihan dan agresi mereka. Penelitian ini lebih lanjut menunjukkan bagaimana kemampuan deteksi dan pencegahan Cortex XDR dapat secara otomatis menggagalkan operasi ini dan menghentikan enkripsi informasi sensitif. Untuk mempelajari lebih lanjut tentang kelompok ransomware ini, silakan lihat artikel-artikel berikut: Penilaian Ancaman: Howling Scorpius (Ransomware Akira) Dari RA Group ke RA World: Evolusi Kelompok Ransomware Penilaian Ancaman: BianLian Bagaimana Uji Tahun Ini Berubah? Evaluasi MITRE ATT&CK tahun ini memperkenalkan perubahan signifikan untuk mencerminkan lanskap ancaman yang berkembang dan lebih baik mengukur efektivitas keamanan endpoint. Cakupan Endpoint yang Diperluas: Untuk pertama kalinya, uji ini mencakup berbagai platform endpoint yang lebih luas, menargetkan lingkungan Windows, Linux, dan macOS. Lingkup yang diperluas ini memastikan bahwa solusi diuji terhadap sistem operasi yang beragam, memberikan pandangan yang lebih komprehensif tentang kemampuan pertahanan. Inklusi Positif Palsu: Penambahan besar lainnya adalah pelacakan positif palsu, faktor kritis dalam penerapan dunia nyata. Vendor tidak hanya dievaluasi berdasarkan kemampuannya mendeteksi ancaman, tetapi juga menghindari deteksi yang tidak akurat yang dapat…