Kemajuan Artificial Intelligence (AI) telah membawa perubahan besar dalam dunia keamanan siber. Jika sebelumnya tim Security Operations Center (SOC) harus menginvestasikan waktu berjam-jam untuk menyelidiki insiden, mengumpulkan bukti, dan menjalankan tindakan mitigasi secara manual, kini AI mampu melakukan sebagian besar proses tersebut hanya dalam hitungan detik.
Namun muncul pertanyaan penting: apakah setiap keputusan keamanan boleh dijalankan secara otomatis tanpa pengawasan manusia?
Artikel Abnormal AI berjudul “Why Automated Response Needs a Safety Harness” memberikan pandangan yang menarik mengenai masa depan keamanan siber berbasis AI. Menurut Abnormal AI, tantangan terbesar bukan lagi apakah AI mampu membuat keputusan keamanan yang tepat, melainkan bagaimana organisasi memastikan keputusan tersebut tidak menimbulkan dampak yang lebih besar daripada ancaman yang ingin dihentikan.
Era Baru: Dari Detection Menuju Autonomous Response
Selama bertahun-tahun, keamanan siber berfokus pada kemampuan mendeteksi ancaman.
Evolusinya dapat digambarkan sebagai berikut:
| Generasi Keamanan | Fokus Utama |
|---|---|
| Security Monitoring | Mengumpulkan log dan alert |
| Threat Detection | Mengidentifikasi ancaman |
| Automated Triage | Mengurangi beban analis |
| AI-Assisted Investigation | Mempercepat analisis |
| Autonomous Response | Melakukan tindakan otomatis |
Saat ini banyak vendor keamanan mulai mengembangkan sistem yang tidak hanya mendeteksi ancaman, tetapi juga dapat mengambil tindakan secara otomatis seperti:
-
Menonaktifkan akun pengguna.
-
Memblokir akses aplikasi.
-
Menghapus email berbahaya.
-
Mengisolasi endpoint.
-
Mengubah kebijakan akses.
-
Mereset kredensial pengguna.
Tujuannya jelas: memperpendek waktu respons dari jam atau hari menjadi menit bahkan detik.
AI Bukan Lagi Tantangan Utama
Menurut Abnormal AI, banyak orang beranggapan bahwa tantangan terbesar dalam automated response adalah kemampuan AI memahami ancaman.
Kenyataannya justru berbeda.
Model AI saat ini sudah cukup mampu untuk menerjemahkan sinyal insiden menjadi rekomendasi kebijakan keamanan seperti Conditional Access Policy, Risk-Based Authentication, atau kontrol akses lainnya. Tantangan sesungguhnya muncul setelah kebijakan tersebut akan diterapkan ke lingkungan produksi.
Dengan kata lain:
Membuat aturan otomatis relatif mudah. Menerapkannya secara aman adalah bagian yang sulit.
Apa yang Bisa Salah?
Bayangkan sistem AI mendeteksi aktivitas mencurigakan pada akun CFO perusahaan.
AI kemudian secara otomatis:
-
Menonaktifkan akun CFO.
-
Memblokir akses Microsoft 365.
-
Menghapus hak administratif.
-
Menghentikan seluruh sesi login aktif.
Secara teknis, tindakan tersebut mungkin benar jika akun benar-benar dikompromikan.
Namun bagaimana jika ternyata itu adalah false positive?
Akibatnya bisa sangat besar:
-
Operasional bisnis terganggu.
-
Keputusan penting tertunda.
-
Tim eksekutif kehilangan akses.
-
Produktivitas perusahaan menurun.
Inilah alasan mengapa automated response memerlukan safety harness atau mekanisme pengaman.
Empat Pilar Safety Harness
Abnormal AI mengidentifikasi beberapa komponen penting yang harus ada sebelum organisasi mempercayakan tindakan keamanan kepada AI.
1. Validasi Sebelum Eksekusi
Sebelum kebijakan diterapkan, sistem harus memverifikasi dampaknya terhadap lingkungan nyata.
Misalnya:
-
Siapa saja yang akan terpengaruh?
-
Apakah ada pengguna sah yang akan terblokir?
-
Apakah akses bisnis penting akan terganggu?
Validasi harus dilakukan terhadap kondisi aktual organisasi, bukan hanya berdasarkan logika aturan yang dibuat AI.
2. Pembatasan Blast Radius
Tidak semua tindakan memiliki tingkat risiko yang sama.
| Jenis Tindakan | Tingkat Risiko |
|---|---|
| Mengarantina email phishing | Rendah |
| Mereset password pengguna | Sedang |
| Menonaktifkan akun eksekutif | Tinggi |
| Mengubah kebijakan tenant global | Sangat Tinggi |
| Menghapus akses administrator | Sangat Tinggi |
Semakin luas dampaknya, semakin besar kebutuhan akan persetujuan manusia sebelum tindakan dijalankan.
3. Rollback Otomatis
Setiap keputusan otomatis harus memiliki mekanisme pembatalan.
Jika sistem mendeteksi bahwa tindakan yang dilakukan menghasilkan banyak false positive, maka kebijakan tersebut harus dapat:
-
Dicabut otomatis.
-
Dikembalikan ke kondisi sebelumnya.
-
Dibatalkan tanpa intervensi kompleks.
Abnormal AI menekankan pentingnya Time-to-Live (TTL) dan self-revert mechanism pada setiap kontrol otomatis.
Contoh Mekanisme Rollback
| Tindakan | Rollback |
|---|---|
| Password Reset | Pemulihan akun |
| Email Quarantine | Restore email |
| Account Disable | Reactivate account |
| Policy Block | Remove policy |
| Session Termination | Re-authentication |
4. Human Approval untuk Aksi Kritis
Tidak semua keputusan boleh diserahkan sepenuhnya kepada AI.
Beberapa tindakan harus tetap melibatkan manusia:
-
Penetapan hak administrator.
-
Penghapusan akun permanen.
-
Perubahan kebijakan keamanan global.
-
Break-glass access.
-
Akses terhadap sistem kritis perusahaan.
Abnormal AI menyebutkan bahwa kontrol dengan dampak besar harus tetap berada di bawah otorisasi manusia.
Behavioral Baseline: Fondasi yang Sering Dilupakan
Salah satu poin paling menarik dari artikel ini adalah pentingnya behavioral baseline.
AI tidak dapat memutuskan apakah suatu aktivitas berbahaya tanpa mengetahui bagaimana perilaku normal pengguna tersebut.
Contohnya:
| Aktivitas | Normal atau Tidak? |
|---|---|
| Login jam 22:00 | Tergantung pengguna |
| Download 500 file | Tergantung peran |
| Login dari luar negeri | Tergantung kebiasaan |
| Mengakses database produksi | Tergantung jabatan |
Karena itu, sebelum otomatisasi diterapkan, organisasi harus memiliki pemahaman yang kuat mengenai perilaku normal setiap identitas. Abnormal AI menjelaskan bahwa baseline perilaku memungkinkan sistem melakukan simulasi terhadap aturan baru dan melihat siapa saja yang akan terdampak jika kebijakan tersebut diterapkan.
Pendekatan Bertahap Lebih Aman
Abnormal AI juga merekomendasikan pendekatan bertahap dalam implementasi automated response.
Tahapan Maturitas AI Security Response
| Tahap | Karakteristik |
|---|---|
| Shadow Mode | AI hanya memberikan rekomendasi |
| Human Approval | AI menyarankan, manusia menyetujui |
| Limited Automation | Otomatis untuk risiko rendah |
| Autonomous Response | Otomatis dengan guardrail |
| Adaptive Autonomous Security | AI menyesuaikan respons secara dinamis |
Pendekatan ini memungkinkan organisasi membangun kepercayaan terhadap AI secara bertahap tanpa mengorbankan stabilitas operasional.
Relevansi bagi Perusahaan di Indonesia
Banyak perusahaan di Indonesia saat ini sedang mengadopsi:
-
Microsoft 365
-
Google Workspace
-
Cloud-native workloads
-
Identity Security
-
AI-powered SOC
-
Security Automation
Dengan meningkatnya volume alert dan keterbatasan sumber daya keamanan, otomatisasi menjadi kebutuhan yang hampir tidak terhindarkan.
Namun organisasi perlu menghindari kesalahan umum yaitu mengotomatiskan proses yang belum matang. Mengotomatisasi proses yang buruk hanya akan mempercepat munculnya masalah yang lebih besar.
Karena itu, perusahaan sebaiknya memastikan:
-
Data keamanan berkualitas tinggi.
-
Baseline perilaku yang akurat.
-
Proses incident response yang matang.
-
Mekanisme rollback yang jelas.
-
Pengawasan manusia pada keputusan kritis.
Kesimpulan
Masa depan keamanan siber memang mengarah pada autonomous response, di mana AI tidak hanya mendeteksi ancaman tetapi juga mengambil tindakan secara otomatis. Keuntungan utamanya sangat besar: respons lebih cepat, beban SOC berkurang, dan risiko serangan dapat ditekan sebelum berkembang menjadi insiden besar.
Namun kemampuan mengambil tindakan bukanlah satu-satunya ukuran keberhasilan. Yang lebih penting adalah memastikan tindakan tersebut aman, dapat dipertanggungjawabkan, dan mudah dibatalkan ketika terjadi kesalahan. Inilah yang dimaksud dengan safety harness—lapisan pengaman yang memastikan AI tidak hanya bertindak cepat, tetapi juga bertindak dengan tepat.
Bagi organisasi modern, tujuan akhirnya bukan sekadar membangun SOC yang otomatis, melainkan membangun SOC yang cerdas, terkendali, dan dapat dipercaya. Dalam dunia keamanan siber, kecepatan memang penting, tetapi kontrol tetap menjadi fondasi utama.
Abnormal Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Abnormal.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.