Analisis perilaku, yang sudah lama dikaitkan dengan deteksi ancaman (yaitu UEBA atau UBA), sedang mengalami kebangkitan. Dulunya digunakan untuk mengidentifikasi aktivitas mencurigakan, kini teknologi ini dirancang ulang sebagai teknologi pasca-deteksi yang canggih yang meningkatkan proses respons insiden. Dengan memanfaatkan wawasan perilaku selama triase dan investigasi peringatan, SOC dapat mengubah alur kerja mereka menjadi lebih akurat, efisien, dan berdampak. Untungnya, banyak produk keamanan siber baru seperti analis AI SOC yang mampu menggabungkan teknik ini ke dalam kemampuan investigasi mereka, sehingga memungkinkan SOC untuk memanfaatkannya dalam proses respons mereka.
Posting ini akan memberikan ikhtisar singkat tentang analisis perilaku, lalu membahas 5 cara yang diciptakan kembali untuk menggoyahkan penyelidikan SOC dan pekerjaan respons insiden.
Analisis Perilaku Kembali, Tapi Mengapa?
Analisis perilaku adalah topik hangat pada tahun 2015, menjanjikan untuk merevolusi deteksi SIEM statis dan SOC dengan deteksi anomali dinamis untuk mengungkap “hal-hal yang tidak diketahui”. Dalam setahun, platform perilaku pengguna dengan cepat diakuisisi oleh penyedia SIEM, dan konsep lensa perilaku dalam data keamanan segera menyebar ke banyak kategori produk deteksi lainnya.
Jadi mengapa hal ini tidak lagi menimbulkan gelombang?
Analisis perilaku mirip dengan gelombang mikro dalam arti terkadang penerapan pertama suatu teknologi bukanlah yang terbaik. Ketika insinyur Amerika Percy Spencer secara tidak sengaja menemukan teknologi gelombang mikro dengan melihat coklat meleleh di sakunya saat melakukan eksperimen teknologi radio, dia mungkin tidak menyangka bahwa teknologi tersebut akan merevolusi dapur di seluruh dunia. Awalnya, gelombang mikro tidak dimaksudkan untuk memasak, namun seiring berjalannya waktu, kegunaannya untuk memanaskan makanan menjadi jelas, sehingga mengubah cara kita berpikir tentang penggunaannya. Demikian pula, analisis perilaku pada awalnya dirancang sebagai alat pendeteksi keamanan siber, yang bertujuan untuk mengenali ancaman secara real-time. Namun, penggunaan awal ini memerlukan pengaturan dan pemeliharaan ekstensif dan sering kali membuat tim keamanan kewalahan dengan hasil positif palsu. Kini, analisis perilaku telah menemukan peran yang jauh lebih efektif dalam analisis pasca deteksi. Dengan mempersempit ruang lingkup analisis untuk memberikan wawasan tentang peringatan keamanan tertentu, sistem ini memberikan informasi bernilai tinggi dengan lebih sedikit alarm palsu, menjadikannya bagian yang sangat berharga dalam proses respons insiden dibandingkan sumber kebisingan yang terus-menerus.
5 Cara Analisis Perilaku Merevolusi Respons Insiden
Berikut lima cara utama analisis perilaku meningkatkan respons insiden, membantu tim keamanan merespons dengan lebih cepat dan tepat.
1. Meningkatkan Akurasi dalam Investigasi Insiden
Salah satu tantangan terbesar dalam respons terhadap insiden adalah menyaring positif palsu untuk mengidentifikasi ancaman nyata. Dengan analisis perilaku pasca-deteksi, analis dapat menjawab pertanyaan-pertanyaan kontekstual utama yang memberikan kejelasan dalam penyelidikan insiden. Tanpa memahami bagaimana perilaku pengguna, entitas, atau sistem secara normal, sulit untuk membedakan apakah peringatan menunjukkan aktivitas yang sah atau potensi ancaman.
Misalnya, peringatan “perjalanan yang tidak mungkin”, yang sering kali menimbulkan kesalahan positif, menandai login dari lokasi yang secara manusiawi tidak mungkin dijangkau dalam waktu singkat (misalnya, login di New York diikuti dengan login di Singapura lima menit kemudian). Garis dasar perilaku dan aktivitas memberikan data yang berguna untuk mengevaluasi peringatan ini secara efektif, seperti:
- Apakah perjalanan ke lokasi ini biasa dilakukan pengguna ini?
- Apakah perilaku loginnya biasa?
- Apakah perangkatnya familier?
- Apakah mereka menggunakan proxy atau VPN, dan apakah itu normal?
Analisis perilaku menjadi berguna dalam penyelidikan dengan menyediakan konteks yang memungkinkan analis menyaring kesalahan positif dengan mengonfirmasi perilaku yang diharapkan, terutama dengan peringatan seperti identitas yang jika tidak dilakukan akan sulit untuk diselidiki. Dengan cara ini, tim SOC dapat fokus pada hal-hal positif dengan akurasi dan kepercayaan diri yang lebih besar.
2. Menghilangkan Kebutuhan untuk Menghubungi Pengguna Akhir
Beberapa peringatan, terutama yang terkait dengan perilaku pengguna, mengharuskan analis SOC menghubungi pengguna akhir untuk mendapatkan informasi tambahan. Interaksi ini bisa menjadi lambat, membuat frustrasi, dan terkadang tidak membuahkan hasil jika pengguna ragu untuk merespons atau tidak memahami apa yang ditanyakan. Dengan menggunakan model perilaku yang menangkap pola-pola umum, alat SOC yang didukung AI dapat secara otomatis menjawab banyak pertanyaan kontekstual ini. Daripada menunggu untuk bertanya kepada pengguna, “Apakah Anda sedang bepergian ke Prancis?” atau “apakah Anda menggunakan Chrome?” sistem sudah mengetahuinya, memungkinkan analis untuk melanjutkan tanpa gangguan pengguna akhir, sehingga menyederhanakan penyelidikan.
3. Waktu Respons Lebih Cepat (MTTR)
Kecepatan respons insiden ditentukan oleh tugas yang paling lambat dalam prosesnya. Alur kerja tradisional sering kali melibatkan tugas manual yang berulang untuk setiap peringatan, seperti menggali data historis, memverifikasi pola normal, atau berkomunikasi dengan pengguna akhir. Dengan alat AI yang mampu melakukan analisis perilaku pasca-deteksi, kueri dan pemeriksaan ini dilakukan secara otomatis, yang berarti analis tidak perlu lagi menjalankan kueri manual yang lambat untuk memahami pola perilaku. Hasilnya, tim SOC dapat melakukan triage dan menyelidiki peringatan dalam waktu yang lebih singkat, sehingga secara signifikan mengurangi Mean Time to Respond (MTTR) dari hitungan hari menjadi hanya hitungan menit.
4. Peningkatan Wawasan untuk Investigasi Lebih Dalam
Analisis perilaku memungkinkan SOC menangkap berbagai wawasan yang mungkin belum dijelajahi. Misalnya, memahami perilaku aplikasi, pola eksekusi proses (seperti menjalankan firefox.exe dari lokasi tertentu), atau interaksi pengguna dapat memberikan konteks yang berharga selama penyelidikan. Meskipun wawasan ini seringkali sulit atau memakan waktu lama untuk dikumpulkan secara manual, alat SOC dengan analisis perilaku pasca-deteksi yang tertanam dapat secara otomatis menganalisis dan memasukkan informasi ini ke dalam penyelidikan. Hal ini memberdayakan para analis dengan wawasan yang tidak mereka miliki sebelumnya, memungkinkan pengambilan keputusan yang lebih tepat selama triase peringatan dan respons insiden.
5. Peningkatan Pemanfaatan Sumber Daya
Membangun dan memelihara model perilaku adalah proses yang menghabiskan banyak sumber daya, sering kali memerlukan penyimpanan data, kekuatan pemrosesan, dan waktu analis yang signifikan. Banyak SOC yang tidak memiliki keahlian, sumber daya, atau kapasitas untuk memanfaatkan wawasan perilaku untuk tugas pasca deteksi. Namun, solusi AI SOC yang dilengkapi dengan analisis perilaku otomatis memungkinkan organisasi mengakses manfaat ini tanpa menambah biaya infrastruktur atau beban kerja manusia. Kemampuan ini menghilangkan kebutuhan akan penyimpanan tambahan dan kueri kompleks, memberikan wawasan perilaku untuk setiap peringatan dalam hitungan menit dan membebaskan analis untuk fokus pada tugas-tugas yang bernilai lebih tinggi.
Gambar 1- Contoh kueri Splunk yang mendasari negara-negara yang digunakan oleh pengguna di departemen penjualan dan menemukan anomali. |
Analisis perilaku dan analitik mendefinisikan ulang cara SOC mendekati respons insiden. Dengan beralih dari alat pendeteksi garis depan ke alat yang canggih pasca-deteksi, analisis perilaku memberikan konteks yang diperlukan untuk membedakan ancaman nyata dari kebisingan, menghindari gangguan pada pengguna akhir, dan mempercepat waktu respons. Tim SOC mendapatkan keuntungan dari investigasi yang lebih cepat dan akurat, wawasan yang lebih baik, dan alokasi sumber daya yang dioptimalkan, sekaligus mendapatkan keunggulan proaktif dalam deteksi ancaman. Ketika SOC terus mengadopsi analisis perilaku berbasis AI, respons terhadap insiden akan menjadi lebih efektif, tangguh, dan berdampak dalam menghadapi lanskap ancaman yang dinamis saat ini.
Unduh panduan ini untuk mempelajari lebih lanjut cara membuat SOC lebih efisien, atau ikuti tur produk interaktif untuk mempelajari lebih lanjut tentang analis AI SOC.