Ancaman dan serangan siber berbasis artificial intelligence (AI) semakin nyata. Bagaimana para pemimpin keamanan di organisasi/CISO dapat menyikapi dan menghadapinya?
Awal tahun 2024, dunia keuangan Hong Kong dibuat geger oleh sebuah kasus penipuan deepfake yang didukung teknologi AI. Pelaku kejahatan menggunakan teknologi ini untuk mengelabui seorang karyawan di perusahaan multinasional. Kerugian akibat kasus ini mencapai US$25,6 juta.
Kasus tersebut bak sebuah tamparan keras bagi dunia keamanan siber dan seketika menyadarkan kita bahwa ancaman siber dengan AI bukan lagi sekadar hype, tapi sudah terjadi di depan mata.
Shannon Murphy, Global Security and Risk Strategist,Trend Micro, mengatakan bahwa keberhasilan serangan tersebut menunjukkan bahwa skenario spekulatif yang pernah dibahas beberapa waktu sebelumnya kini telah menjadi kenyataan.
Insiden yang melibatkan AI ini pun tak pelak menambah kecemasan para pemimpin keamanan di organisasi, Chief Information Security Officer/ CISO. Pasalnya teknologi ini membuka peluang baru bagi para penjahat siber untuk melancarkan serangan yang lebih canggih, rumit, dan berbahaya. Belum lagi ancaman tradisional, seperti ransomware, phishing, dan BEC, yang tak pernah surut.
Shannon menjelaskan, ada tiga alasan utama yang membuat para pemimpin keamanan mengkhawatirkan AI. Pertama, AI dapat membuat serangan phishing yang lebih meyakinkan dan meningkat volumenya. Persoalan lain yang tak kalah pelik adalah penggunaan aplikasi dan tool AI yang tak terkendali. “Sehingga para pemimpin keamanan ini dihadapkan pada tantangan visibilitas (kemudahan tim keamanan untuk memantau aktivitas). Para CISO juga ingin memiliki cara untuk mengatur akses,” jelasnya.
Di sisi lain, para analis keamanan juga ingin memanfaatkan teknologi AI untuk meningkatkan kemampuan deteksi dan penanganan scam. Sebagai konsekuensinya, para CISO pun memerlukan kontrol terhadap cara penerapan AI di pusat operasi keamanan (SOC).
Ancaman Berbasis AI & Cara Menangkalnya
Berangkat dari kekhawatiran tersebut tentang artificial intelligence, ada dua hal yang menjadi perhatian para pemimpin keamanan: keamanan untuk AI dan AI untuk keamanan.
Keamanan untuk AI, menurut Shannon, adalah bagaimana mengamankan aplikasi AI yang kita gunakan. Dan dari perspektif ancaman, ada tiga ancaman yang perlu menjadi perhatian CISO. Pertama adalah penggunaan AI untuk social engineering dan fraud, yang mencakup serangan phishing, deep fake, dan audio fake.
Khususnya deepfake, Shannon melihat teknologi ini tidak hanya menyajikan output dengan resolusi tinggi tapi juga menggunakan teknologi generative adversarial network (GAN) sehingga antara gerak bibir, gerak tubuh, dan lain-lain terlihat sangat sinkron.
Risiko lain yang disampaikan Shannon Murphy dalam kesempatan wawancara khusus dengan InfoKomputer adalah penggunaan layanan "reconnaissance-as-a-service" oleh kelompok kejahatan siber. Para penjahat siber mengumpulkan data dari berbagai sumber online seperti LinkedIn, dan platform media sosial, seperti X, untuk membangun profil seorang eksekutif. Data tersebut kemudian dijual kepada kelompok lain untuk digunakan dalam kampanye serangan phishing atau pembuatan deep fake yang sangat meyakinkan.
Ancaman lain yang juga banyak dibahas adalah GPT jahat (malicious GPT) dan tidak diatur (ungoverned) yang dapat digunakan untuk mengembangkan kode malware baru. “Saya belum benar-benar melihat hal ini terwujud dengan cara yang sangat berarti,” jelasnya seraya menyebut WormGPT sebagai contoh. GPT jahat ini sempat tersedia tetapi hanya bertahan dua minggu karena pengembangnya menariknya dari internet setelah mendapat perhatian media.
Meski begitu, Shannon mengingatkan bahwa para penjahat siber berpotensi meretas aplikasi dan tool AI yang sah. “Mereka bisa saja melakukan teknik prompting yang iteratif dan spesifik untuk membuat tool AI yang sah, misalnya ChatGPT, untuk berperilaku dengan cara yang seharusnya tidak dilakukan,” paparnya.
FraudGPT dan Dark Bard pun sempat menjadi pembicaraan di dunia keamanan siber. Namun menurut Shannon, keduanya bisa dikategorikan sebagai vaporware, artinya kedua tool AI ini sebenarnya tidak pernah benar-benar ada atau hanya sekadar konsep tanpa implementasi nyata.
Untuk mengamankan data dan aplikasi perusahaan dari kejahatan berbasis AI, Shannon menyarankan pengamanan gateway AI yang memungkinkan akses ke berbagai aplikasi untuk berbagai kebutuhan, dengan prinsip zero trust. Hal ini penting karena banyak industri besar seperti ritel, keuangan, dan kesehatan mulai mengembangkan aplikasi AI sendiri.
Ia juga menyoroti pentingnya melindungi staf yang menggunakan aplikasi AI, seperti ChatGPT, Salesforce, Einstein, dan Canva.”Setiap penyedia SaaS adalah perusahaan AI. Oleh karena itu, kita harus lebih proaktif dalam mengelola kontrol (terhadap aplikasi-aplikasi tersebut,” tegasnya.
Kecerdasan Buatan untuk Jaga Keamanan
Selanjutnya, Shannon menjelaskan bagaimana teknologi artificial intelligence dapat dimanfaatkan untuk membantu tugas-tugas keamanan, seperti pada operasional TI, SOC, dan cloud.
Satu contoh pemanfaatan AI yang mulai marak adalah chatbot. “Trend Micro mempunyai AI cyber assistant yang dinamai Companion, dan kami mempunyai banyak use case yang luar biasa dengan Companion. Salah satu favorit saya adalah script deobfuscation,” kata Shannon.
Chatbot AI ini dapat membantu analis keamanan, baik senior maupun junior, untuk mengetahui dengan cepat apakah sebuah baris perintah PowerShell berpotensi berbahaya atau tidak. Dengan bantuan Companion, para analis tidak perlu membuang waktu untuk menganalisis skrip secara manual. “Ini memungkinkan mereka untuk tetap fokus pada penanganan ancaman keamanan dengan efisien,” jelas Shannon.
Ia juga menjelaskan kegunaan Companion dalam menangani peringatan keamanan yang kompleks. Ketika seorang analis keamanan menghadapi peringatan, misalnya terkait email, endpoint, dan beban kerja cloud, Companion dapat memberikan panduan tentang langkah apa yang harus diambil selanjutnya untuk merespons ancaman tersebut. Ini memberikan nilai tambah bagi analis keamanan dengan membantu mereka merespons ancaman dengan lebih efektif dan efisien.
Selanjutnya, Shannon juga membahas evolusi penggunaan AI dalam konteks keamanan siber, dari pengalaman menggunakan AI yang dipandu pengguna (user-driven AI experience) menjadi pengalaman pengguna yang didorong AI (AI-driven user experiences).
Dengan evolusi ini, AI akan secara otomatis menyajikan prioritas berdasarkan pengetahuan yang dimilikinya tentang lingkungan keamanan. Misalnya, ketika pengguna masuk platform keamanan berbasis cloud Trend Vision One, AI akan menampilkan tiga prioritas teratas yang harus segera ditangani, tanpa perlu meminta informasi.
Shannon menekankan bahwa evolusi ini akan membawa integrasi AI yang lebih dalam dengan alur kerja pengguna, membantu para analis keamanan bergerak lebih cepat. Ini menunjukkan bagaimana AI dapat meningkatkan kemampuan analis keamanan dan membuat tugas yang sulit menjadi lebih mudah dilakukan.
“Inilah kecerdasan buatan untuk keamanan, bagaimana kita bisa meningkatkan level analis keamanan dan membuatnya lebih mudah melakukan apa yang merupakan pekerjaan yang benar-benar menantang,” ujarnya.
Rekomendasi untuk CISO
Dengan ancaman siber yang diperkirakan akan terus meningkat, baik dari sisi kuantitas maupun kualitasnya, apa yang dapat dilakukan oleh para CISO? Shannon Murphy memberikan rekomendasi yang melibatkan orang, proses, dan teknologi, dalam kategori yang “tidak canggih dan tidak mahal,” maupun “yang canggih dan mahal.”
Misalnya untuk menghadapi ancaman deepfake dan audio fake tanpa harus mengeluarkan banyak biaya untuk teknologi yang canggih, ia menyarankan organisasi dan perusahaan memperbarui proses verifikasi. Misalnya, dalam hal permintaan transfer dana, perusahaan disarankan menyiapkan sebelumnya daftar nomor-nomor telepon rahasia dan tepercaya yang bisa dihubungi terkait transaksi. Ia juga merekomendasikan penggunaan multi-stakeholder approval dan penggunaan kata-kata kode yang hanya diketahui oleh para pemegang kepentingan terkait.
Shannon juga menekankan pentingnya beralih ke filosofi Zero Trust, di mana tidak ada satu pun staf yang diberi lebih banyak data atau akses daripada yang mereka butuhkan untuk pekerjaan mereka. Yang tak kalah pentingnya adalah menumbuhkan budaya keamanan yang mendorong karyawan untuk melaporkan jika ada sesuatu yang mencurigakan tanpa takut dihukum atau merasa malu.
“Serangan-serangan siber ini sangat terkoordinasi dan meyakinkan sehingga kita membutuhkan teknologi untuk melakukan lebih banyak pekerjaan beratnya,” ujar Shannon. Untuk menangkal phishing, misalnya, perusahaan dapat memanfaatkan teknologi computer vision untuk memindai halaman login atau aplikasi AI untuk analisis gaya tulisan untuk memindai nada dan sentimen pada teks.
“Kita juga dapat menghubungkan sistem keamanan melalui API ke sistem email perusahaan, seperti Office 365 atau Gmail, sehingga kita dapat memantau lalu lintas internal dan melakukan deteksi serta respons terhadap vektor email,” jelasnya.
Menjawab kekhawatiran pengguna terhadap deep fake, menurut Shannon, Trend Micro sedang melakukan investasi waktu maupun dana untuk meneliti dan mengembangkan sistem untuk deteksi deep fake.
Opsi Konsolidasi atau Integrasi
Banyak perusahaan yang telah mengimplementasikan solusi keamanan siber. Ketika mereka dihadapkan pada tantangan baru dan harus menambahkan atau mengintegrasikan lebih banyak tool/solusi untuk menangkal serangan berbasis AI.
Menanggapi hal ini, Shannon memberikan beberapa opsi yang dapat diambil perusahaan. Pertama adalah melakukan konsolidasi terhadap alat-alat keamanan yang digunakan. Opsi ini disebutnya sedang menjadi tren di kalangan para pemimpin keamanan. “Mereka tidak ingin menempatkan para analis keamanan pada posisi yang mengharuskan mereka berpindah dari satu konsol ke konsol yang lain,” jelasnya.
Para CISO berharap memiliki visibilitas terpusat. “Trend Micro berada pada posisi yang tepat untuk melayani kasus penggunaan itu karena (solusi) kami mencakup jaringan cloud, identitas, email, endpoint, sehingga kami benar-benar dapat membantu mengkonsolidasikan visibilitas tersebut,” papar Shannon.
Opsi lainnya adalah menerapkan solusi SIEM dan membangun SOC generasi terbaru yang dapat mengintegrasikan solusi keamanan dari berbagai vendor.
“Jadi Anda dapat memperoleh visibilitas, tetapi kemudian mengonsumsi data dari vendor lain atau pihak ketiga untuk mendapatkan gambaran lengkap di beberapa kategori yang mungkin tidak dicover Trend Micro, misalnya firewall,” jelas Shannon.
Opsi ini dapat diambil oleh perusahaan-perusahaan yang telah mengimplementasikan solusi-solusi keamanan dari berbagai vendor tapi ingin memperoleh visibilitas terpusat untuk menangkal berbagai ancaman siber, termasuk yang berbasis AI.
Baca: Serangan Siber Berbasis AI Naik di 2024, Makin Murah & Sulit Dideteksi