Dalam lingkungan bisnis yang serba cepat saat ini, smartphone dan tablet telah menjadi alat yang sangat penting untuk pekerjaan perusahaan, memungkinkan produktivitas dan kolaborasi yang lancar dari hampir mana saja. Perangkat ini memungkinkan karyawan untuk mengakses data penting, berkomunikasi dengan tim, dan tetap produktif saat bepergian. Namun, kenyamanan ini membawa tantangan besar bagi perusahaan, termasuk peningkatan risiko keamanan dan kekhawatiran privasi. Dengan data perusahaan yang sensitif diakses melalui perangkat pribadi (BYOD) seperti smartphone dan tablet, organisasi menghadapi hambatan dalam melindungi aset mereka tanpa mengorbankan pengalaman pengguna. Menemukan keseimbangan yang tepat antara aksesibilitas dan keamanan kini lebih penting daripada sebelumnya di tempat kerja yang mengutamakan perangkat seluler. Prisma Access Browser untuk perangkat seluler menghadirkan rangkaian fitur canggih yang dirancang untuk mengatasi tantangan ini secara langsung. Prisma Access Browser untuk perangkat seluler memberikan tiga kemampuan utama untuk memungkinkan penggunaan perangkat seluler yang aman dalam perusahaan: akses aman untuk BYOD, fungsionalitas tablet yang ramah eksekutif, dan kontrol canggih untuk perangkat yang dikelola. Akses Aman ke Aplikasi Perusahaan, Termasuk Aplikasi Pribadi, pada BYOD Mengakses aplikasi perusahaan melalui perangkat seluler pribadi menghadirkan dilema: karyawan lebih suka kebebasan dan privasi menggunakan perangkat pribadi mereka, sementara perusahaan membutuhkan kerangka keamanan yang kuat untuk melindungi informasi sensitif. Kebanyakan karyawan enggan mendaftarkan perangkat mereka dalam solusi manajemen perangkat seluler (MDM) atau menambahkan layanan jaringan pribadi virtual (VPN) ke perangkat pribadi mereka. Solusi dan layanan ini dapat terasa mengganggu, memberi perusahaan kontrol atas aplikasi dan data pribadi. Hingga kini, menemukan keseimbangan ini sangat sulit untuk aplikasi pribadi, karena mengakses aplikasi tersebut pada BYOD hampir tidak mungkin. Namun, dengan tingkat keamanan perangkat tertentu, perusahaan dapat menghindari risiko paparan data, karena perangkat yang tidak sah atau terkompromi dapat dengan mudah mengakses sumber daya perusahaan yang sensitif. Untuk itu, perusahaan membutuhkan solusi yang memungkinkan mereka menerapkan kontrol keamanan yang diperlukan tanpa mengganggu data pribadi. Prisma Access Browser untuk perangkat seluler menawarkan pengalaman browser yang aman bagi karyawan untuk mengakses aplikasi web perusahaan, SaaS, dan aplikasi pribadi tanpa memerlukan MDM, profil VPN, atau sertifikat. Pengguna juga menikmati perlindungan phishing canggih, yang sangat penting mengingat adanya peningkatan 52% dalam serangan terhadap perangkat seluler pada tahun 2023 dibandingkan tahun 2022. Administrator juga memperoleh visibilitas dan kontrol yang lebih besar dengan perlindungan data berbasis konteks dan granular yang membantu menjaga data sensitif agar tidak bocor. Perlindungan data ini juga menggunakan verifikasi postur perangkat untuk memblokir akses dari perangkat yang terkompromi atau kedaluwarsa. Selain itu, administrator dapat menerapkan pembatasan perlindungan identitas untuk memastikan pengguna mengakses aplikasi perusahaan hanya melalui Prisma Access Browser yang aman, menciptakan penghalang pelindung di sekitar informasi sensitif sambil tetap menghormati privasi pribadi. 2. Pengalaman SaaS Lengkap pada Tablet BYOD untuk Eksekutif dan Tim Penjualan Eksekutif dan tim penjualan sering bepergian, mengandalkan tablet BYOD seperti iPad dan perangkat Android karena kemudahan dan kenyamanan. Tablet ini lebih ringan dari laptop, lebih disukai untuk bekerja dan bepergian, serta memungkinkan akses mudah ke aplikasi SaaS dan sumber daya perusahaan. Namun, dari sisi keamanan, tablet ini menimbulkan tantangan unik. Pemimpin senior adalah target berharga untuk serangan siber, dan tanpa keamanan yang tepat pada tablet pribadi ini, risiko pelanggaran data dan kebocoran meningkat. Tim TI dan keamanan kesulitan untuk memberlakukan standar keamanan yang ketat pada perangkat ini, yang membuat sulit untuk melindungi pengguna profil tinggi secara efektif. Prisma Access Browser untuk perangkat seluler mengatasi kebutuhan ini dengan memungkinkan pengalaman desktop yang sesungguhnya pada tablet BYOD, memastikan eksekutif dan tim penjualan dapat mengakses aplikasi SaaS lengkap dengan aman. Tablet dapat melewati pembatasan seluler, memungkinkan akses ke aplikasi yang biasanya diblokir pada browser seluler standar, seperti Microsoft Teams dan Zoom. Pengguna menikmati pengalaman desktop penuh pada aplikasi web di tablet mereka, menjaga konsistensi dukungan baca-tulis untuk aplikasi produktivitas seperti Microsoft 365 dan Google Workspace. Fungsionalitas ini mengurangi kebutuhan akan perangkat yang dikelola sambil memberikan pengalaman pengguna yang lancar bagi eksekutif senior dan tim penjualan yang perlu mengakses alat-alat penting tanpa mengorbankan keamanan. 3. Kontrol Granular dan Keamanan Ditingkatkan pada Perangkat yang Dikelola Mempertahankan kontrol dan wawasan atas tindakan pengguna tetap menjadi tantangan konstan bagi pelanggan yang menggunakan perangkat seluler yang dikelola. Solusi MDM standar sering menawarkan visibilitas terbatas, kurangnya kontrol kebijakan granular untuk aplikasi web yang berbeda, dan hanya mencakup fitur dasar pencegahan kehilangan data (DLP). Selain itu, pengguna yang membuka tautan dari aplikasi seluler asli bisa menjadi target serangan phishing konservatif, yang berfokus pada pencurian kredensial, dan serangan phishing OAuth yang berfokus pada penyalahgunaan izin. Organisasi membutuhkan solusi yang menawarkan visibilitas yang kuat, kontrol yang terperinci, dan perlindungan data yang komprehensif di seluruh perangkat seluler yang dikelola untuk mengatasi risiko-risiko ini. Dengan Prisma Access Browser yang diatur sebagai browser default di perangkat seluler yang dikelola, administrator memperoleh kemampuan untuk menegakkan aturan aplikasi khusus, DLP berbasis endpoint, dan visibilitas yang ditingkatkan atas tindakan pengguna. Kontrol ini meningkatkan keamanan, memungkinkan organisasi untuk menegakkan kebijakan keamanan penelusuran, melindungi data dengan DLP canggih, termasuk pembatasan tangkapan layar dan clipboard, serta mengamati perilaku penelusuran aplikasi secara rinci.
Tag: paloalto
Perkembangan Pesat dalam AI Generatif Memungkinkan Organisasi Membangun Aplikasi Canggih dengan Mengintegrasikan Model Dasar dengan Data dan Sistem Internal
Perkembangan pesat dalam AI generatif telah memungkinkan organisasi untuk membangun aplikasi yang kuat dengan mengintegrasikan model dasar dengan data dan sistem internal mereka. Potensi keuntungan sangat tinggi, namun risikonya juga besar—mulai dari paparan data sensitif dan pelanggaran kepatuhan hingga suntikan prompt dan serangan terhadap aplikasi yang telah diterapkan. Untuk mengurangi risiko terkait AI, organisasi memerlukan pendekatan komprehensif yang mencakup seluruh siklus hidup aplikasi, mulai dari pengumpulan data hingga keluaran model. Dalam posting blog kali ini, kami akan membahas keadaan terkini keamanan genAI dan bagaimana Prisma Cloud dari Palo Alto Networks dapat digunakan bersama dengan Amazon Bedrock untuk membangun, mengelola, dan menerapkan aplikasi yang aman dengan kekuatan AI. Prisma Cloud AI-SPM (Manajemen Postur Keamanan AI) dan Prisma Cloud DSPM (Manajemen Postur Keamanan Data) adalah kemampuan terintegrasi yang memberikan visibilitas, analisis risiko, dan kontrol keamanan untuk aset AI serta data sensitif di seluruh lingkungan cloud. Amazon Bedrock adalah layanan yang sepenuhnya dikelola yang menawarkan akses ke berbagai model dasar dan alat untuk membangun dan menerapkan aplikasi AI generatif dengan aman, termasuk penyesuaian, RAG, pengalaman pengembang, dan alat kustomisasi. Amazon Bedrock Guardrails, yang baru-baru ini tersedia sebagai API terpisah, menambahkan kemampuan perlindungan runtime yang, antara lain, memblokir konten berbahaya dan mengidentifikasi halusinasi dalam keluaran LLM. Tantangan Mengamankan GenAI Saat Beralih dari Fase Eksperimen ke Fitur Seiring organisasi beralih dari bereksperimen dengan AI generatif ke penerapan dalam skala besar, tiga tren utama telah muncul, masing-masing dengan implikasi terkait keamanan. Integrasi dengan Data dan Sistem Internal Menyoroti Risiko Data LLM “standar” perlu diperkaya dengan data milik perusahaan untuk menciptakan nilai yang signifikan bagi organisasi. Oleh karena itu, organisasi menyempurnakan model menggunakan data khusus domain atau menggunakan teknik seperti retrieval augmented generation (RAG) untuk menyuntikkan informasi relevan ke dalam prompt demi menciptakan asisten AI yang lebih disesuaikan dan mampu. Namun, integrasi ini menciptakan permukaan serangan baru. Data sensitif yang digunakan untuk penyesuaian atau yang diberikan pada model pada saat inferensi bisa tanpa sengaja terekspos dalam keluaran model. Misalnya, sebuah LLM yang disesuaikan dengan dokumen internal perusahaan mungkin akan mengungkapkan potongan informasi rahasia jika diberi prompt yang tepat. Organisasi harus secara cermat mengontrol akses ke data inferensi dan memantau input serta output model untuk mencegah pengeluaran data dan memastikan kepatuhan terhadap regulasi privasi data. Gambar 1 menggambarkan bagaimana data sensitif dapat terekspos oleh model yang telah disesuaikan. Risiko ini muncul selama proses penyesuaian dan tertanam dalam model. Satu-satunya cara untuk menghilangkan risiko setelahnya adalah dengan menerapkan kembali model tersebut. Gambar 1: Paparan data sensitif oleh model yang disesuaikan RAG juga membawa risiko paparan data lainnya. Contoh yang terlihat pada Gambar 2 lebih mudah diatasi dibandingkan contoh sebelumnya, karena paparan terjadi pada tahap “retrieval” dan bukan merupakan bagian dari model. Menghapus data sensitif dari data inferensi dapat menghilangkan risiko ini. Gambar 2: Paparan informasi identifikasi pribadi melalui RAG Proliferasi Model dan Kerangka Kerja Memperumit Upaya Pemerintahan yang Efektif API OpenAI dulunya adalah satu-satunya opsi yang layak untuk menambahkan kemampuan LLM ke aplikasi hanya beberapa tahun yang lalu. Saat ini, pengembang dapat memilih dari berbagai model dasar sumber terbuka—termasuk model khusus yang dirancang untuk pembuatan gambar, suara, atau video. Model penerapan juga semakin bervariasi. Selain API inferensi yang ditawarkan sebagai SaaS, model sekarang dapat diterapkan di lingkungan cloud pribadi, infrastruktur yang dikelola sendiri, dan dalam beberapa kasus, secara lokal. Keberagaman ini memungkinkan pengembang memilih model yang paling efisien dan efektif untuk setiap tugas, yang pada akhirnya mengurangi biaya dan meningkatkan kualitas. Namun, keberagaman ini juga membuat tugas tim keamanan semakin rumit. Penerapan AI bayangan dengan model yang tidak disetujui mungkin muncul, menyulitkan penilaian terhadap postur keamanan secara keseluruhan. Rantai pasokan model juga perlu mendapat perhatian. Misalnya, aktor jahat dapat menerbitkan model atau dataset yang terinfeksi dengan tujuan meracuni model downstream tempat model tersebut dilatih. Organisasi perlu memiliki cara untuk menemukan model yang diterapkan di lingkungan mereka dan melacak asal-usul serta silsilahnya. Peralihan dari Eksperimen ke Produksi Membutuhkan Kontrol Baru Seiring perusahaan bergerak melampaui pengembangan bukti konsep awal dan mulai menerapkan genAI dalam produksi, serangkaian risiko keamanan aplikasi baru muncul. Serangan suntikan prompt, di mana prompt teks yang dirancang dengan cerdik menyebabkan perilaku yang tidak diinginkan dari model, sudah menargetkan model dan asisten AI populer. Penyerang menggunakan teknik ini untuk menghindari filter konten, menipu sistem AI untuk mengakses sumber daya yang tidak sah, atau mengungkapkan informasi sensitif melalui keluaran model. Untuk mencegah serangan yang menargetkan model saat runtime, organisasi perlu secara proaktif mengidentifikasi kasus di mana model diterapkan tanpa kontrol keamanan dan keselamatan yang memadai (seperti pemantauan output). Mengidentifikasi masalah ini lebih awal dapat membantu mengurangi risiko yang lebih sulit dideteksi dan dicegah setelah aplikasi AI diterapkan di dunia nyata.
Cortex XDR Mencatat Deteksi 100% yang Tak Tertandingi di Evaluasi MITRE 2024
Palo Alto Networks Cortex XDR mencatat sejarah dalam Evaluasi MITRE ATT&CK tahun ini sebagai peserta pertama yang mencapai deteksi 100% dengan detail tingkat teknik dan tanpa perubahan konfigurasi atau penundaan. Deteksi tingkat teknik merupakan standar emas, memberikan informasi yang tepat kepada analis keamanan untuk mengidentifikasi serangan. Ini adalah tahun kedua berturut-turut Cortex XDR mencapai deteksi 100% tanpa perubahan konfigurasi atau penundaan, menunjukkan konsistensi yang tak tertandingi. Cortex XDR mencapai tingkat pencegahan tertinggi di antara semua vendor dengan nol false positive – suatu perbedaan yang sangat penting untuk keamanan endpoint. Pada tahap pencegahan, bahkan satu false positive pun dapat mengganggu proses bisnis yang sah, yang berdampak pada produktivitas. Evaluasi tahun ini lebih ketat dari sebelumnya, dengan memasukkan pengujian false positive, dukungan macOS, dan perluasan skenario Linux. Perlu dicatat, partisipasi vendor turun dari 29 menjadi 19, dengan beberapa vendor terkemuka memilih untuk mundur. Dari vendor yang diuji, dua pertiga mendeteksi kurang dari 50% langkah serangan – yang menekankan ketelitian evaluasi tahun ini. Kami sangat bangga dengan tim riset ancaman dan rekayasa kelas dunia kami yang telah memberikan keamanan endpoint yang luar biasa, memberdayakan pelanggan kami untuk tetap unggul dalam menghadapi musuh, seperti yang disimulasikan dalam evaluasi ini. Cortex XDR: Kinerja Keamanan Endpoint Terbaik di Industri dalam Putaran 6 Evaluasi MITRE ATT&CK Cortex XDR unggul dalam kedua skenario deteksi dan pencegahan dalam evaluasi, menetapkan tolok ukur baru untuk keamanan endpoint dan mendefinisikan kembali apa yang harus diharapkan organisasi dari solusi keamanan siber mereka. Dalam tiga skenario deteksi, Cortex XDR mencapai deteksi 100% tingkat teknik untuk semua langkah serangan yang disimulasikan tanpa perubahan konfigurasi atau deteksi yang tertunda. Hasil ini menegaskan komitmen kami untuk memberikan pertahanan yang paling komprehensif untuk setiap sistem operasi utama – Windows, macOS, dan Linux. Evaluasi MITRE ATT&CK juga menguji pencegahan, menilai kemampuan solusi untuk memblokir serangan sebelum dapat menyebabkan kerusakan. Ini adalah inti dari keamanan endpoint dunia nyata – mencegah sebanyak mungkin dan mendeteksi sisanya dengan cepat dan akurat. Pada Putaran 6, Cortex XDR berhasil mencegah 8 dari 10 langkah serangan sambil mempertahankan nol false positive. False positive pada tahap pencegahan dapat mengganggu operasi bisnis yang kritis dengan potensi kerusakan finansial yang signifikan. Kemampuan Cortex XDR untuk menggabungkan akurasi pencegahan yang tak tertandingi dengan tanpa gangguan menjadikannya solusi keamanan endpoint yang ideal untuk organisasi terbesar dan paling menuntut di dunia. Meskipun ada dua langkah serangan dalam uji pencegahan yang tidak memenuhi kriteria untuk dihitung sebagai pemblokiran oleh MITRE, tindakan nyata kami selama langkah-langkah ini akan melindungi pelanggan kami dan menghentikan pelanggaran. Pada langkah ketiga, serangan mencoba melakukan koneksi SSH dari host mencurigakan di China, yang seharusnya diikuti oleh langkah serangan MITRE. Kami memblokir koneksi SSH yang mencurigakan, menghentikan serangan pada tahap lebih awal. Pada langkah kelima, serangan mencoba untuk mengenkripsi data, dan tindakan enkripsi tersebut segera dibalik oleh agen Cortex XDR. Kami menghentikan serangan, memberikan satu-satunya hasil yang penting, yaitu menjaga pelanggan tetap aman. Apa itu Evaluasi MITRE ATT&CK? Evaluasi MITRE ATT&CK adalah uji yang paling ketat dalam dunia keamanan siber, yang dirancang untuk mengukur seberapa baik solusi keamanan endpoint mendeteksi dan mencegah ancaman dunia nyata. MITRE ATT&CK mempelajari dan meniru serangan yang dilakukan oleh musuh yang sangat canggih, menjadikannya patokan sejati untuk efektivitas keamanan. Evaluasi Enterprise 2024 tahun ini fokus pada dua sumber serangan yang berbeda dan sangat relevan: Ransomware: Menjelajahi perilaku umum dalam kampanye ransomware, seperti penyalahgunaan alat yang sah, mengenkripsi data, dan menonaktifkan layanan atau proses kritis. MITRE memilih untuk meniru teknik dari dua kelompok ransomware sebagai layanan yang terkenal – CLOP dan LockBit. Republik Rakyat Demokratik Korea (DPRK): Meniru serangan pada sistem macOS, terinspirasi oleh penggunaan malware modular DPRK untuk meningkatkan hak istimewa dan menargetkan kredensial. Bagaimana Palo Alto Networks Memantau Ancaman Terkenal Seperti Ransomware dan DPRK? Sebagai perpanjangan dari Unit 42, tim Penelitian Ancaman Cortex Palo Alto Networks memantau lanskap ancaman yang terus berkembang dan mengubah temuan mereka menjadi intelijen yang dapat ditindaklanjuti, yang secara langsung meningkatkan kemampuan deteksi dan pencegahan Cortex XDR. Selama tahun lalu, sebagai bagian dari upaya harian mereka untuk mempelajari taktik, teknik, dan prosedur (TTP) dari aktor ancaman, tim ini fokus pada kelompok APT yang terkait dengan DPRK, mengungkapkan kampanye dan malware baru yang digunakan untuk menyusup ke organisasi di seluruh dunia. DPRK dikenal dengan strategi perang sibernya yang dua sisi, yang berpusat pada spionase dan aktivitas kriminal siber besar-besaran yang bertujuan menghasilkan pendapatan untuk rezim Korea Utara. Penelitian kami menyoroti fokus DPRK yang semakin besar pada target pengguna dan endpoint macOS, serta upaya berkelanjutan untuk mencuri cryptocurrency dan informasi sensitif dari organisasi di seluruh dunia di berbagai industri. Sorotan dari penelitian tim ini telah dibagikan dengan komunitas dan tersedia di Pusat Penelitian Ancaman Unit 42, termasuk artikel penelitian berikut: Penilaian Ancaman: Kelompok Ancaman Korea Utara Wawancara Menular: Aktor Ancaman DPRK Menarik Pencari Kerja Industri Teknologi untuk Menginstal Varian Baru Malware BeaverTail dan InvisibleFerret Kampanye Paket Python Beracun Gleaming Pisces Menyebarkan Backdoor PondRAT untuk Linux dan MacOS Mengungkap Set Alat Sparkling Pisces: KLogEXE dan FPSpy Tim ini juga telah menerbitkan beberapa artikel penelitian tentang kelompok ransomware yang paling berbahaya aktif pada 2024. Penelitian ini menyoroti evolusi kelompok-kelompok ini, menunjukkan peningkatan kecanggihan dan agresi mereka. Penelitian ini lebih lanjut menunjukkan bagaimana kemampuan deteksi dan pencegahan Cortex XDR dapat secara otomatis menggagalkan operasi ini dan menghentikan enkripsi informasi sensitif. Untuk mempelajari lebih lanjut tentang kelompok ransomware ini, silakan lihat artikel-artikel berikut: Penilaian Ancaman: Howling Scorpius (Ransomware Akira) Dari RA Group ke RA World: Evolusi Kelompok Ransomware Penilaian Ancaman: BianLian Bagaimana Uji Tahun Ini Berubah? Evaluasi MITRE ATT&CK tahun ini memperkenalkan perubahan signifikan untuk mencerminkan lanskap ancaman yang berkembang dan lebih baik mengukur efektivitas keamanan endpoint. Cakupan Endpoint yang Diperluas: Untuk pertama kalinya, uji ini mencakup berbagai platform endpoint yang lebih luas, menargetkan lingkungan Windows, Linux, dan macOS. Lingkup yang diperluas ini memastikan bahwa solusi diuji terhadap sistem operasi yang beragam, memberikan pandangan yang lebih komprehensif tentang kemampuan pertahanan. Inklusi Positif Palsu: Penambahan besar lainnya adalah pelacakan positif palsu, faktor kritis dalam penerapan dunia nyata. Vendor tidak hanya dievaluasi berdasarkan kemampuannya mendeteksi ancaman, tetapi juga menghindari deteksi yang tidak akurat yang dapat…
MITRE ATT&CK 2024: Meningkatkan Standar untuk Pengujian Keamanan
Sejak 2018, MITRE telah melakukan evaluasi tahunan ATT&CK untuk menetapkan standar industri dalam mengukur kemampuan deteksi dan pencegahan ancaman dari vendor di pasar keamanan endpoint. Para ahli di MITRE mempelajari beberapa kelompok ancaman dunia nyata yang paling canggih, menganalisis metode mereka, dan mengembangkan alat kustom yang meniru teknik dan taktik yang digunakan oleh musuh untuk memeras ratusan juta dolar dari bisnis setiap tahunnya. Evaluasi tahun ini membawa perubahan besar yang lebih mendekati simulasi lanskap ancaman yang terus berkembang saat ini. Perubahan-perubahan ini memberikan tingkat ketelitian yang lebih tinggi dalam evaluasi, membuat hasil evaluasi menjadi jauh lebih berdampak. Mari kita jelajahi bagaimana evaluasi MITRE bekerja dan bagaimana tahun ini berbeda. Apa yang berbeda tahun ini? Peserta dalam evaluasi MITRE 2024 menghadapi tantangan evaluasi baru dan lebih banyak platform sistem operasi yang harus dipertahankan. Setiap perubahan ini menghasilkan gambaran yang lebih akurat mengenai efektivitas dunia nyata. False positives Dalam evaluasi tahun ini, vendor menghadapi tantangan untuk tidak memberikan peringatan atas 20 false positives di fase deteksi dan 30 false positives di fase perlindungan. Sinyal false positive ini meniru aktivitas bisnis normal yang seharusnya tidak dilaporkan atau dicegah sebagai ancaman. Siapa pun yang pernah bekerja di atau berdekatan dengan SOC tahu betapa pentingnya menilai false positives. Alat yang tidak menghasilkan peringatan yang tidak perlu pada aktivitas yang tidak berbahaya membuat pekerjaan analis menjadi jauh lebih mudah, memungkinkan mereka untuk fokus pada upaya respons terhadap apa yang benar-benar penting dan memprioritaskan insiden tersebut dengan lebih efektif. False positives pada tahap pencegahan memiliki dampak paling signifikan, karena dapat mengganggu proses yang sangat penting bagi bisnis yang berjalan pada endpoint. Mengukur false positives juga melindungi terhadap taktik spam dari peserta — yaitu, meningkatkan sensitivitas untuk menangkap perilaku jahat dalam evaluasi, tetapi dalam praktiknya menciptakan terlalu banyak kebisingan sehingga tidak berguna bagi seorang analis nyata. Model evaluasi berkelanjutan Tahun ini, evaluasi MITRE dijalankan selama beberapa hari tanpa jeda, bukan dalam tahapan yang terdefinisi dengan jelas seperti tahun-tahun sebelumnya. Dengan mengadopsi model ini, MITRE bertujuan untuk menilai bagaimana produk keamanan bekerja di bawah tekanan yang berkelanjutan, mirip dengan sifat ancaman siber modern yang tanpa henti. Model evaluasi berkelanjutan menguji kemampuan produk untuk mengkorelasikan peristiwa dari waktu ke waktu. Selain merespons serangan individual dengan segera, produk harus mampu beradaptasi dengan ancaman yang berkembang dan menciptakan gambaran yang paling lengkap tentang kampanye serangan dinamis yang sedang berlangsung. Cakupan yang diperluas MITRE menantang vendor dengan berbagai jenis serangan dan teknik musuh yang lebih beragam dalam evaluasi tahun ini, dengan serangan yang menargetkan sistem operasi Windows, Linux, dan macOS. Cakupan yang lebih luas ini menilai kemampuan peserta untuk menghadapi kecepatan, kecanggihan, dan skala serangan modern serta aktor ancaman yang paling berkualitas. Inklusi lingkungan cloud Evaluasi tahun ini mencakup lebih banyak skenario serangan berbasis cloud, yang mencerminkan pentingnya keamanan cloud yang terus berkembang dan tantangan unik yang dihadapi oleh lingkungan cloud. Mengingat lanskap hybrid dan multi-cloud saat ini, perubahan ini sangat penting bagi organisasi untuk lebih memahami bagaimana solusi ini bekerja dalam melindungi aset dan data cloud mereka — terutama mengingat fokus pada kinerja langsung dari solusi tersebut. Struktur Evaluasi MITRE Untuk menguji kinerja vendor alat yang berpartisipasi, MITRE meniru dua jenis musuh: Serangan Ransomware-as-a-Service terhadap sistem Windows dan Linux. Emulasi ini menunjukkan fitur umum di seluruh kampanye ransomware profil tinggi, seperti penyalahgunaan alat sah, enkripsi data, dan menonaktifkan layanan atau proses penting. Pola serangan yang ditunjukkan oleh Republik Rakyat Demokratik Korea (DPRK) terhadap macOS. Emulasi ini meniru malware bertahap dan modular dalam operasi yang melibatkan hak istimewa yang ditingkatkan dan penargetan kredensial. Mengapa dua emulasi ini? Ransomware tetap menjadi salah satu serangan paling populer dan cepat berkembang di seluruh dunia, berkat teknologi canggih dan model ransomware-as-a-service. Adapun DPRK, Korea Utara adalah salah satu musuh yang paling dinamis dan canggih, yang secara teratur menargetkan sistem dan organisasi bernilai tinggi.
Mengandalkan AI untuk Membela Sektor Layanan Keuangan
Seiring dengan berkembangnya ancaman siber, lembaga keuangan semakin memanfaatkan AI untuk memperkuat pertahanan, menyederhanakan operasi, dan melindungi aset mereka. Seperti halnya industri lain yang kaya data, sektor perbankan, pasar modal, asuransi, dan pembayaran menjadi target yang menguntungkan dengan informasi bernilai tinggi. Sebaliknya, aktor ancaman – mulai dari penjahat siber hingga negara-bangsa – memanfaatkan AI untuk merancang serangan yang lebih canggih, mengotomatiskan operasi mereka, dan menghindari langkah-langkah keamanan tradisional. Ini adalah perlombaan senjata modern, dan sektor keuangan menjadi target utama. Informasi identitas pribadi dan keuangan, yang sering digunakan untuk melakukan penipuan, tetap menjadi jenis informasi yang paling umum dicuri dari lembaga keuangan selama pelanggaran data —Departemen Keuangan AS, 2024 Sistem yang saling terhubung dan infrastruktur yang kompleks di sektor ini bisa menyulitkan dalam mengamankan potensi kerentanannya, menjadikan perusahaan layanan keuangan sebagai target menarik untuk meluncurkan ancaman siber yang canggih. Menurut Juniper Research, penipuan pembayaran online diperkirakan akan melebihi $362 miliar secara kumulatif pada tahun 2028, dengan kerugian mencapai $91 miliar pada 2028, yang menyoroti potensi keuntungan finansial yang besar. Untuk membahas masalah-masalah ini dan masalah keamanan lainnya yang dihadapi pasar ini, David Moulton, direktur pemasaran konten untuk Cortex dan Unit 42, berbincang dengan beberapa ahli dari Palo Alto Networks. Jason Meurer, arsitek solusi utama, Paul Leonhirth, penasihat global industri layanan keuangan (FSI), dan Tony Earley, manajer penjualan distrik, mengadakan diskusi meja bundar yang penuh semangat, yang mencakup beberapa prediksi. Meningkatkan Keamanan Siber dengan AI Seperti halnya industri lain, seperti OT/ICS atau perawatan kesehatan, lembaga keuangan semakin mengintegrasikan AI dalam strategi keamanan siber mereka. Meurer, yang fokus pada cloud dan AI, mencatat, “Kami melihat perubahan besar dalam hal musuh yang menggunakan AI untuk menciptakan hal-hal yang lebih baik, seperti skema phishing dan pesan ransomware, dan kemudian bagaimana kami sebagai pembela menggunakan AI untuk mendeteksi ancaman tersebut lebih cepat.” Observasi ini sejalan dengan laporan Departemen Keuangan AS: “Alat yang didorong oleh AI menggantikan atau meningkatkan pendekatan deteksi ancaman berbasis tanda tangan yang sudah ada pada banyak lembaga keuangan. Alat AI dapat membantu mendeteksi aktivitas berbahaya yang muncul tanpa tanda tangan yang spesifik dan dikenal. Kemampuan ini telah menjadi penting dalam menghadapi ancaman siber yang lebih canggih dan dinamis yang mungkin memanfaatkan alat administrasi sistem yang sah, misalnya, untuk menghindari deteksi tanda tangan.” Peralihan ke deteksi berbasis AI sangat penting dalam lingkungan di mana metode tradisional mungkin tidak memadai. Meurer lebih lanjut menjelaskan potensi AI dalam keamanan siber: “Kita akan melihat kemajuan dalam teknik deteksi dan respons seiring perkembangan industri. Industri ini sudah melawan api dengan api; itu akan mempercepat. Area baru yang kami pertimbangkan adalah data yang terlatih. Anda harus dapat menguji validitas data, bebas dari bias, dan memastikan bahwa respons yang diterima tidak hanya tepat tetapi juga spesifik untuk industri tersebut.” Melawan Penipuan dengan AI Canggih Di luar keamanan siber, AI terbukti sangat berharga dalam deteksi dan pencegahan penipuan. Leonhirth menekankan pentingnya AI di area ini: “Segala sesuatu yang kami lakukan sekarang harus sangat dikurasi untuk pelanggan FSI, karena jika tidak, mereka akan berpikir, ‘Mengapa ini berlaku untuk saya?’” Pendekatan yang disesuaikan untuk deteksi penipuan ini sejalan dengan temuan FS-ISAC, yang menyatakan, “Lembaga keuangan yang telah mengadopsi model AI dan pembelajaran mesin (ML) untuk deteksi penipuan telah melihat hasil yang transformatif.” Laporan Departemen Keuangan AS lebih lanjut menekankan hal ini, mengatakan, “Akurasi sistem berbasis ML dalam mengidentifikasi dan memodelkan pola perilaku penipuan berkorelasi langsung dengan skala, ruang lingkup (keragaman dataset), dan kualitas data yang tersedia bagi perusahaan.” Ini menyoroti peran penting data dalam meningkatkan kemampuan deteksi penipuan. Menghadapi Tantangan Implementasi AI Meskipun manfaat AI dalam layanan keuangan sudah jelas, implementasinya tidak tanpa tantangan. Earley mengemukakan masalah utama: “Anda harus membedakan antara penggunaan internal AI untuk melindungi sistem dan data versus manfaat dari perspektif pengalaman pelanggan.” Pembedaan ini sangat penting bagi lembaga keuangan saat mereka menyeimbangkan kebutuhan keamanan dengan perbaikan layanan pelanggan. Dia lebih lanjut menjelaskan aspek pengalaman pelanggan: “Pikirkan tentang betapa melelahkannya dan menyakitkannya harus menelepon dan berbicara dengan seseorang di pusat panggilan. Jadi, peran-peran tersebut tidak hanya akan dihilangkan, tetapi bisa sangat ditingkatkan menggunakan AI. Pikirkan tentang melakukan panggilan telepon tanpa harus diminta untuk memvalidasi semua kredensial Anda dan memiliki konteks hubungan Anda dengan bank, dan hanya untuk dapat menyederhanakan dan mempercepat masalah yang Anda miliki.”