Memikirkan Kembali MDR sebagai Penyerang dan Pembela yang Merangkul AI

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Selama sebagian besar dekade terakhir, deteksi dan respons terkelola adalah jawaban atas permasalahan nyata.

Selama sebagian besar dekade terakhir, deteksi dan respons terkelola adalah jawaban atas permasalahan nyata. Tim keamanan tidak dapat memiliki staf sepanjang waktu, tidak dapat mempekerjakan cukup banyak analis, dan membutuhkan orang lain untuk menangani antrean peringatan. MDR turun tangan. Ini bekerja dengan cukup baik. Sampai sekarang.

Lanskap ancaman telah berubah lebih cepat dibandingkan kemampuan model MDR untuk beradaptasi. Penyerang menggunakan AI untuk bergerak lebih cepat, menghasilkan phishing yang lebih meyakinkan dalam skala besar, mengotomatiskan pengintaian, dan membuat varian malware yang menghindari deteksi berbasis tanda tangan. Permukaan serangan telah meluas dari titik akhir ke cloud, identitas, dan jaringan secara bersamaan. Namun MDR masih melakukan apa yang selalu dilakukannya. Mengarahkan peringatan kepada analis manusia yang melakukan triase atas apa yang mereka bisa, agar mereka dapat mencapainya.

Bahkan untuk peringatan yang ditinjau, kualitas investigasi MDR tidak konsisten. Hal ini dibatasi oleh pengalaman analis yang bertugas, kedalaman antrian pada saat itu, waktu, dan apakah tim memiliki staf penuh. P1 pada jam 3 pagi mendapat investigasi yang berbeda dari peringatan yang sama pada jam 10 pagi.

Masalah intinya adalah arsitektur. Rekayasa investigasi dan deteksi MDR beroperasi dalam silo terpisah. Ketika seorang analis menyelidiki suatu peringatan dan menyimpulkannya sebagai positif palsu, informasi tersebut jarang dimasukkan kembali ke dalam sistem deteksi. Aturan yang dilanggar tetap dilanggar. Aturan yang berisik terus menimbulkan kebisingan. Teknik penyerang baru hadir tanpa deteksi yang cocok.

Hal ini menimbulkan dua masalah. Pertama, organisasi yang berpindah penyedia layanan memulai dari awal, membangun kembali pengetahuan kelembagaan yang membutuhkan waktu bertahun-tahun untuk dikembangkan. Kedua, organisasi yang ingin menerapkan operasi keamanan secara internal, sebuah tren yang semakin cepat seiring dengan semakin matangnya alat AI SOC, mendapati bahwa mereka memulainya tanpa landasan.

Selain hal-hal di atas, MDR juga memiliki sejumlah kesenjangan kecil yang semakin bertambah seiring berjalannya waktu. Setiap pelanggan mendapatkan pedoman umum yang sama terlepas dari profil risiko spesifik, kewajiban kepatuhan, atau sensitivitas data mereka. Alat integrasi seperti SOAR, yang seharusnya menyederhanakan temuan MDR ke dalam alur kerja internal, sebagian besar gagal memenuhi janji tersebut karena penyelidikan yang dilakukan oleh manusia tidak menghasilkan keluaran yang terstruktur dan konsisten yang diperlukan oleh otomatisasi. Dan ketika insiden nyata muncul dan pelanggan perlu berbicara dengan seseorang yang memahami lingkungannya, mereka sering kali menghubungi chatbot AI atau antrean tiket, bukan seseorang.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com