ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
Pilih tab untuk menavigasi konten.
Perkenalan
Studi Kasus: Google dan Mandiant
Studi Kasus: Microsoft
Studi Kasus: IBM
Ringkasan
Sumber daya
Penerapan AI dalam intelijen ancaman menjadi semakin lazim dalam skenario dunia nyata, dengan beberapa perusahaan terkemuka yang memimpin penerapannya. Pelajaran ini mengkaji studi kasus organisasi, termasuk Google, Microsoft, dan IBM, untuk menunjukkan bagaimana mereka memanfaatkan AI untuk meningkatkan kemampuan intelijen ancaman mereka.
Pada akhir pelajaran ini, Anda akan mampu
Jelajahi cara Google, Microsoft, dan IBM menggunakan AI untuk intelijen ancaman
Google menggunakan AI untuk menganalisis miliaran sinyal keamanan setiap hari untuk mengidentifikasi potensi ancaman. Pemodelan tingkat lanjut memungkinkan pelanggan Google menciptakan alur kerja yang kompleks dan proses respons yang andal dan dapat diulang. Dengan menggabungkan analisis data dan sumber daya komputasi Google yang canggih serta pengetahuan keamanan selama puluhan tahun yang diperoleh melalui akuisisi Mandiant pada tahun 2022, pelanggan dapat dengan cepat mendeteksi indikator penyusupan, merespons, dan memitigasi ancaman.
Mandiant, yang terkenal dengan keahlian garis depan dan intelijen ancamannya yang terdepan di industri, telah berada di garis depan dalam memerangi pelanggaran keamanan selama 18 tahun terakhir. Dengan akuisisi Mandiant, Google juga memperoleh pengetahuan domain dan keahlian lebih dari 900 konsultan dan analis. Solusi pertahanan siber dinamis yang Mandiant berikan kepada Google dengan perlindungan dari ancaman siber dan tim yang sangat terampil untuk memandu manajemen respons insiden ketika pelanggaran keamanan dan serangan siber terjadi.
Popularitas komputasi awan dalam beberapa tahun terakhir telah menimbulkan kekhawatiran berbeda terhadap lanskap keamanan siber. Sifat lingkungan cloud yang saling terhubung memerlukan langkah-langkah keamanan siber yang kuat untuk menjaga integritas, kerahasiaan, dan ketersediaan data.
Organisasi seperti Google Cloud harus memastikan kerahasiaan informasi sensitif, melindungi dari akses tidak sah, mencegah pelanggaran data, dan menjaga kepatuhan terhadap persyaratan peraturan. Selain itu, mereka harus bertahan melawan ancaman yang terus berkembang seperti malware, ransomware, serangan phishing, dan ancaman orang dalam yang menargetkan sistem cloud.
Konsekuensi dari keamanan siber yang tidak memadai di cloud bisa sangat parah. Pelanggaran dapat mengakibatkan kerugian finansial yang signifikan, kerusakan reputasi, implikasi hukum, dan hilangnya kepercayaan pelanggan. Selain itu, karena lingkungan cloud sering kali menampung infrastruktur dan layanan penting, gangguan atau akses tidak sah dapat berdampak luas bagi bisnis dan pelanggan mereka. Untuk mengatasi tantangan ini, organisasi harus memprioritaskan langkah-langkah keamanan siber yang disesuaikan dengan lanskap komputasi awan. Hal ini termasuk penerapan kontrol akses yang kuat, enkripsi, keamanan jaringan, dan solusi pemantauan ancaman. Penilaian keamanan rutin, pemindaian kerentanan, dan pelatihan kesadaran karyawan juga penting untuk mengidentifikasi dan memitigasi risiko secara efektif.
Kolaborasi antara Google Cloud dan Mandiant akan memungkinkan penyampaian kecerdasan dan keahlian dalam skala besar melalui platform Mandiant Advantage Software-as-a-Service (SaaS), melengkapi portofolio keamanan Google Cloud yang sudah ada. Dengan menggabungkan kekuatan, kedua organisasi ini bertujuan untuk memberikan dampak yang signifikan dalam mengamankan cloud, mempromosikan adopsi komputasi awan, dan mendorong lingkungan digital yang lebih aman.
Security Copilot, yang akan membahas tiga masalah utama yang dihadapi analis keamanan:
Kompleksitas Serangan
Sistem yang kompleks dapat merugikan selama serangan. Dengan menggabungkan data dari berbagai sumber dan mengubahnya menjadi wawasan yang lugas dan praktis, analis dapat merespons insiden dalam hitungan menit dibandingkan terus-menerus diserang dalam waktu lama.
Taktik Penghindaran Halus
Dalam menghadapi taktik penghindaran halus yang digunakan oleh penyerang, Copilot dengan cepat menganalisis sinyal dengan kecepatan tinggi menggunakan pembelajaran mesin. Ini mengidentifikasi ancaman pada tahap awal dan memperoleh panduan proaktif untuk secara efektif melawan tindakan penyerang di masa depan.
Kesenjangan Bakat
Kelangkaan talenta menimbulkan tantangan karena permintaan akan pakar keamanan terampil jauh melebihi pasokan. Copilot dapat membantu tim dalam memaksimalkan efektivitas dan meningkatkan kemampuan mereka melalui petunjuk langkah demi langkah yang terperinci untuk memitigasi risiko.
Copilot berupaya menggabungkan pembelajaran mesin dan kecerdasan manusia ke dalam sistem kohesif yang membantu organisasi dari semua ukuran secara efektif mengelola ancaman menggunakan layanan perangkat lunak. Microsoft menggunakan AI untuk melacak aktivitas pelaku ancaman dan menilai risiko serangan dengan memantau dan menganalisis masukan dari sistem deteksi, masukan pelanggan, dan data respons. Kemudian, analis Microsoft Security Research Center (MSRC), dapat secara efisien memverifikasi dan mengevaluasi dampak pengajuan penelitian independen ke portal bug bounty mereka menggunakan alat AI dan ML, sehingga mengurangi beban keamanan pada masing-masing organisasi.
Dengan Security Copilot, Microsoft memungkinkan tim keamanan pelanggan, pemburu ancaman, dan analis malware untuk berkolaborasi secara real-time, menyelidiki ancaman, dan meningkatkan waktu respons dengan membuat pedoman dan prosedur berdasarkan insiden dan respons sebelumnya.
IBM memanfaatkan kekuatan teknologi Watson AI dalam platform manajemen insiden dan peristiwa keamanan (SIEM) andalan mereka dengan solusi yang disebut QRadar Advisor.
Jadi bagaimana cara kerjanya? QRadar Advisor adalah asisten AI yang membantu pusat operasi keamanan (SOC) mengikuti membanjirnya informasi dengan secara otomatis merangkai berbagai insiden dengan cara yang membantu analis melihat gambaran besarnya dan tidak salah mengabaikan suatu peristiwa.
Pusat Operasi Keamanan (SOC), juga dikenal sebagai pusat operasi keamanan informasi (ISOC), adalah tim profesional keamanan TI yang bekerja baik secara internal maupun eksternal untuk memantau seluruh infrastruktur TI organisasi sepanjang waktu. Tujuan utama mereka adalah mengidentifikasi insiden keamanan siber secara real-time dan meresponsnya dengan cepat dan efisien.
Dengan mengotomatiskan praktik-praktik utama di SOC mereka, QRadar dapat membantu organisasi mengatasi tantangan umum berikut:
Lebih Banyak Ancaman dan Tidak Cukup Waktu untuk Menemukannya - Informasi berharga sering kali luput dari perhatian karena para analis kesulitan untuk menghubungkan titik-titik tersebut. Hal ini menyulitkan dalam memperoleh wawasan yang dapat ditindaklanjuti, sehingga menyebabkan para analis hanya berfokus pada kasus-kasus yang mereka yakini. Sayangnya, pendekatan ini dapat mengakibatkan investigasi yang terlewat dan membuat organisasi terkena risiko.
Kelebihan Informasi - Banyaknya volume, variasi, dan kecepatan analisis membuat sulit untuk memprioritaskan pekerjaan dan mengidentifikasi akar penyebab masalah. Tantangan ini mempengaruhi perusahaan-perusahaan dari semua ukuran. Para analis kesulitan memahami konteks lokal dengan cepat, sehingga membuat mereka kewalahan dengan tugas yang berulang-ulang.
Dwell Times - Dwell time, yang mengacu pada durasi antara terjadinya insiden keamanan hingga deteksi dan responsnya, merupakan metrik penting yang diandalkan oleh pakar keamanan untuk mengevaluasi efektivitasnya dalam menjaga dan mempertahankan data. Secara khusus, dua pengukuran utama, yaitu MTTD (waktu rata-rata untuk mendeteksi) dan MTTR (waktu rata-rata untuk merespons) , digunakan secara luas untuk menilai keberhasilan ini. Meskipun tersedia lebih banyak solusi dan data, rata-rata waktu tunggu saat ini dapat berkisar antara 50 hingga 200 hari. Kurangnya investigasi yang konsisten dan berkualitas tinggi dengan informasi kontekstual berkontribusi pada kegagalan proses yang ada, sehingga meningkatkan risiko bagi organisasi.
Kurangnya Bakat Keamanan Siber dan Kelelahan Kerja - Analis keamanan sering kali mendapati diri mereka terlalu banyak bekerja, kekurangan staf, dan kewalahan karena meluasnya lanskap ancaman dan tugas operasional sehari-hari. Ketika data terus bertambah secara eksponensial, kesenjangan keterampilan semakin melebar, dan masalahnya pun akan semakin besar.
Keuntungan utama mengotomatisasi bagian-bagian SOC Anda adalah ia menyatukan dan mengoordinasikan alat, praktik, dan respons insiden keamanan organisasi. Integrasi ini biasanya mengarah pada peningkatan tindakan pencegahan, peningkatan kebijakan keamanan, deteksi ancaman yang lebih cepat, dan respons yang lebih cepat, lebih efektif, dan hemat biaya terhadap insiden keamanan. Selain itu, SOC dapat meningkatkan kepercayaan pelanggan dan menyederhanakan kepatuhan terhadap peraturan privasi industri, nasional, dan global. Solusi ini mendorong respons yang konsisten, memprioritaskan peringatan paling parah dan memetakan tindakan penyerang ke kerangka MITRE ATT&CK.
Kerangka kerja MITER ATT&CK, yang dikembangkan oleh MITER Corporation, adalah basis pengetahuan komprehensif yang mengkatalogkan taktik, teknik, dan prosedur dunia nyata yang digunakan oleh penyerang dalam intrusi dunia maya. Ini menawarkan pendekatan terstruktur dan terstandarisasi untuk menganalisis berbagai tahap serangan dan mencakup berbagai vektor ancaman seperti jaringan, titik akhir, cloud, dan platform seluler. ATT&CK terdiri dari matriks yang mengatur taktik dan teknik penyerang, memberikan wawasan tentang tujuan dan metode. Banyak digunakan oleh para profesional keamanan siber, sistem ini meningkatkan kemampuan deteksi dan respons terhadap ancaman, membantu organisasi memahami taktik musuh, mengembangkan pertahanan yang efektif, dan meningkatkan ketahanan siber secara keseluruhan.
Penerapan AI dalam intelijen ancaman telah mendapatkan daya tarik yang signifikan, seperti yang ditunjukkan oleh studi kasus di perusahaan-perusahaan terkemuka seperti Google, Microsoft, dan IBM. Vendor keamanan terkemuka lainnya seperti Cisco, CrowdStrike, dan Palo Alto, juga memanfaatkan teknologi AI dan ML untuk meningkatkan deteksi dan menghentikan serangan terhadap pelanggan mereka. Organisasi-organisasi ini memanfaatkan AI untuk meningkatkan kemampuan intelijen ancaman mereka, memungkinkan mereka menganalisis sinyal keamanan dalam jumlah besar, mendeteksi potensi ancaman, dan merespons dengan cepat.
Kolaborasi antara Google dan Mandiant menyatukan kemampuan analisis data Google dengan keahlian Mandiant, sehingga menawarkan solusi pertahanan siber tingkat lanjut dan panduan respons insiden. Alat Microsoft yang didukung AI, Security Copilot, mengatasi kompleksitas, taktik penghindaran, dan kesenjangan bakat yang dihadapi oleh analis keamanan, sehingga memfasilitasi manajemen ancaman proaktif. IBM menggunakan teknologi Watson AI dalam solusi QRadar Advisor-nya, mengotomatiskan praktik-praktik utama di pusat operasi keamanan (SOC) untuk mengatasi tantangan seperti kelebihan informasi, waktu tunggu, dan kekurangan personel keamanan siber. Integrasi pendekatan berbasis AI ini dengan kerangka kerja MITRE ATT&CK semakin meningkatkan kemampuan organisasi untuk mendeteksi, merespons, dan mempertahankan diri dari ancaman dunia maya, yang pada akhirnya mendorong lingkungan digital yang lebih aman.
Saat Anda menjalani latihan dalam kursus ini, pertimbangkan studi kasus berikut dan bagaimana alat AI dapat membantu mengatasi beberapa tantangan ini bagi organisasi Anda.
Intelijen Ancaman AI Google Cloud
Salinan Keamanan Microsoft Keamanan IBM
Palo Alto Networks- Nilai AI/ML dalam Lingkungan Keamanan: Melampaui Hype
