Pusat Inovasi Data baru-baru ini berbicara dengan Karen Nguyen, CEO PELANGGARANsebuah perusahaan berbasis di Delaware yang berspesialisasi dalam tim merah otonom yang menguji kerentanan keamanan di infrastruktur cloud perusahaan. Nguyen menjelaskan bagaimana OFFFENSAI menggunakan model berbasis AI untuk mensimulasikan serangan cyber, menghasilkan data baru tentang perilaku penyerang, pertahanan mana yang gagal, dan apa yang perlu diperbaiki oleh tim keamanan sebelum terjadi pelanggaran.
David Kertai: Masalah apa yang dipecahkan oleh OFFENSAI?
Karen Nguyen: Sebagian besar lingkungan cloud menggunakan beberapa alat keamanan untuk memblokir ancaman dan mengingatkan tim akan aktivitas mencurigakan. Masalahnya adalah peringatan ini sering kali tidak akurat atau menyesatkan, sehingga memaksa tim keamanan menghabiskan waktu berjam-jam untuk menyelidiki kejadian rutin, seperti pembaruan perangkat lunak atau karyawan yang masuk dari lokasi baru, yang ternyata tidak berbahaya. Sementara itu, ancaman nyata dapat menyatu dengan aktivitas normal dan menghindari deteksi.
Pengujian keamanan tradisional, seperti pengujian penetrasi berkala, lambat dan mahal, sehingga sebagian besar organisasi hanya menjalankannya sekali atau dua kali setahun. Hal ini menyisakan waktu yang panjang dimana kerentanan baru dapat muncul. OFFENSAI mengatasi kesenjangan tersebut dengan platform yang dibangun berdasarkan dua model tim merah berbasis AI yang terus menganalisis lingkungan cloud dan menghasilkan bukti nyata mengenai risiko yang dapat dieksploitasi, mengungkap kerentanan kritis dan menunjukkan tindakan yang diperlukan untuk memperbaikinya. Mesin Automated Attack Path Discovery menggunakan model AI untuk mengidentifikasi dan menguji dengan aman langkah-langkah tepat yang dapat digunakan penyerang sebenarnya untuk menyusup ke lingkungan cloud, sedangkan Evasion Engine menggunakan model AI adaptif untuk melakukan serangan dengan cara berbeda, mengubah waktu, pola lalu lintas, dan teknik, untuk menguji apakah pertahanan mendeteksi serangan tersebut.
Waktu: Bagaimana cara kerja mesin Automated Attack Path Discovery Anda dengan infrastruktur cloud yang ada?
Nguyen: Kami menerapkan model tersebut langsung di dalam lingkungan cloud pelanggan, tempat mereka beroperasi sebagai musuh yang terkendali. Hal ini memastikan model hanya dapat bertindak dalam batasan yang sama dengan serangan sebenarnya. Mesin Penemuan Jalur Serangan Otomatis dimulai dari perspektif akun yang disusupi, dengan asumsi penyerang telah memperoleh pijakan awal, dan kemudian menjelajahi lingkungan hanya dengan menggunakan identitas, izin, dan konfigurasi yang benar-benar ada. Hal ini memungkinkan model AI mempelajari bagaimana risiko muncul dari konfigurasi nyata, bukan asumsi teoretis.
Mesin Automated Attack Path Discovery kemudian memetakan sumber daya, izin, dan hubungan cloud, mengidentifikasi titik lemah, dan menentukan apakah kelemahan tersebut dapat digabungkan—artinya akses yang diperoleh dari satu kelemahan memungkinkan eksploitasi kelemahan lainnya—ke dalam jalur serangan yang layak. Misalnya, hal ini mungkin dimulai dengan keranjang penyimpanan terbuka—repositori berbasis cloud untuk file dan data sensitif—lalu beralih ke peran identitas yang terlalu permisif, dan meningkatkan hak istimewa untuk menjangkau data sensitif. Model ini mengeluarkan data terstruktur dan visualisasi yang menunjukkan langkah-langkah ini secara menyeluruh di platform kami, sehingga memberikan gambaran jelas kepada tim keamanan tentang bagaimana penyerang dapat bergerak melalui lingkungannya.
Waktu: Bagaimana Evasion Engine Anda menggunakan jalur serangan yang ditemukan model pertama Anda untuk menguji pertahanan perusahaan?
Nguyen: Setelah mesin Automated Attack Path Discovery mengidentifikasi jalur serangan, Evasion Engine mengambil langkah-langkah tersebut dan menguji bagaimana jalur tersebut akan muncul selama aktivitas cloud normal sehari-hari. Dengan menggunakan AI untuk mengadaptasi eksekusi secara real-time, AI memadukan tindakannya ke dalam operasi rutin dan melacak bagaimana perilaku tersebut muncul dalam sistem pemantauan. Hal ini memungkinkan tim melihat bukti yang didukung data tentang bagaimana alat keamanan mereka merespons dan apakah mereka dapat mendeteksi perilaku yang halus dan mengelak, bukan hanya serangan yang terlihat jelas.
Evasion Engine menyoroti langkah-langkah mana yang memicu peringatan, langkah mana yang luput dari perhatian, dan seberapa jauh penyusup dapat bergerak di dalam lingkungan, memberikan tim gambaran yang realistis dan terukur tentang kinerja pertahanan mereka dalam kondisi dunia nyata.
Waktu: Wawasan apa yang diperoleh pengguna dari proses kerja sama tim merah Anda?
Nguyen: Pengguna mendapatkan perspektif tingkat penyerang tentang bagaimana lingkungan cloud mereka dapat disusupi dan dampak nyata dari pelanggaran tersebut. Mereka melihat bagaimana kesalahan konfigurasi kecil, seperti izin yang berlebihan atau sumber daya yang tidak aman, dapat menimbulkan risiko yang serius, seberapa jauh penyusup dapat bergerak ke samping, dan sistem atau data mana yang pada akhirnya dapat dijangkau oleh penyerang.
Melalui platform kami, kedua model ini juga memberikan wawasan yang relevan dengan pengambilan keputusan, bukan sekadar temuan, termasuk panduan remediasi yang dapat ditindaklanjuti. Misalnya, sebuah tim mungkin menemukan bahwa satu peran identitas yang salah dikonfigurasi memungkinkan akses ke beberapa database produksi dan dapat segera mengunci peran tersebut, sehingga menghapus beberapa jalur serangan sekaligus. OFFENSAI menghasilkan laporan kepatuhan dan melacak perubahan terukur dari waktu ke waktu, seperti pengurangan jalur serangan yang mungkin terjadi atau peningkatan tingkat deteksi, memungkinkan tim keamanan, kepatuhan, dan kepemimpinan untuk memprioritaskan perbaikan berdasarkan risiko yang diamati daripada paparan teoritis.
Waktu: Bagaimana Anda memastikan model Anda tetap up-to-date dengan teknik serangan terbaru?
Nguyen: Tim peneliti kami terus mengembangkan skenario serangan eksklusif berdasarkan insiden di dunia nyata, umpan intelijen ancaman, dan teknik eksploitasi cloud yang sedang berkembang. Kami memasukkan data ini langsung ke dalam model sehingga model tersebut berkembang seiring dengan perilaku penyerang, memastikan sistem mencerminkan ancaman saat ini dan bukan asumsi statis. Hal ini membuat OFFENSAI selaras dengan cara penyerang sebenarnya beroperasi dan memastikan organisasi diuji terhadap kerentanan yang paling relevan.
