Tim keamanan cyber saat ini sudah menghadapi kekurangan talenta, dan sekarang mereka membutuhkan keterampilan tambahan untuk menghadapi adopsi yang semakin meningkat dari kecerdasan buatan (AI) generatif dan pembelajaran mesin. Hal ini semakin rumit dengan lanskap ancaman yang terus berkembang dan permukaan serangan yang semakin luas yang perlu dijaga, termasuk sistem warisan yang sulit untuk dilepaskan oleh organisasi. Mereka berjuang untuk merekrut cukup banyak talenta keamanan cyber.
Sementara itu, jumlah profesional keamanan cyber di Asia-Pasifik tumbuh 11,8% dibandingkan tahun sebelumnya menjadi kurang dari 1 juta pada tahun 2023, namun wilayah ini masih membutuhkan 2,67 juta profesional tambahan untuk melindungi aset digital dengan memadai. Kesenjangan tenaga kerja keamanan cyber ini merupakan rekor tertinggi di wilayah ini, yang melebar sebesar 23,4%, menurut Studi Tenaga Kerja Keamanan Cyber ISC2 2023, yang mewawancarai 14.865 responden, termasuk 3.685 dari Asia-Pasifik. Secara global, kesenjangan tersebut tumbuh 12,6% dari tahun 2022 menjadi hampir 4 juta profesional keamanan cyber, menurut perkiraan ISC2 (International Information Systems Security Certification Consortium), sebuah asosiasi nirlaba yang terdiri dari para profesional keamanan cyber bersertifikat.
Tenaga kerja keamanan cyber global saat ini berjumlah 5,45 juta, naik 8,7% dari tahun 2022, dan harus hampir dua kali lipat untuk mencapai kapasitas penuh, kata ISC2. Jon France, CISO (Chief Information Security Officer) asosiasi ini, mengatakan kepada ZDNET bahwa kesenjangan terbesar terdapat di Asia-Pasifik, tetapi ada tanda-tanda yang menjanjikan bahwa kesenjangan ini sedang menyempit. Singapura, misalnya, berhasil mengurangi kesenjangan tenaga kerja keamanan cyber sebesar 34% tahun ini. ISC2 memproyeksikan bahwa sektor ini membutuhkan 4.000 profesional tambahan untuk melindungi aset digital dengan memadai.
Secara global, 92% dari para profesional keamanan cyber percaya bahwa organisasi mereka memiliki kesenjangan keterampilan di setidaknya satu area, termasuk keterampilan teknis seperti pengujian penetrasi dan implementasi kepercayaan nol, menurut studi tersebut. Keamanan cloud dan AI serta pembelajaran mesin menduduki posisi teratas dalam daftar keterampilan yang kurang dimiliki perusahaan, masing-masing sebesar 35% dan 32%.
Permintaan ini akan terus bertambah seiring dengan adopsi AI dalam lebih banyak proses organisasi, yang semakin mendorong kebutuhan akan komputasi awan dan kedua keterampilan tersebut, kata France. Ini berarti para profesional keamanan cyber perlu memahami bagaimana AI terintegrasi dan mengamankan aplikasi dan alur kerja yang didukungnya.
Jika kesenjangan keterampilan dan staf keamanan cyber tidak ditangani, tim akan terbebani dan hal ini dapat menyebabkan kelalaian dalam mengatasi kerentanan, peringatannya. Kesalahan konfigurasi dan tertinggal dalam pembaruan keamanan adalah beberapa kesalahan umum yang dapat menyebabkan pelanggaran keamanan.
Adopsi AI memicu kebutuhan akan keterampilan baru
Hal ini kemungkinan akan semakin kompleks dengan munculnya AI generatif. Alat-alat seperti ChatGPT dan Stable Diffusion telah memungkinkan para penyerang untuk meningkatkan kredibilitas pesan dan gambar, sehingga lebih mudah untuk menipu target mereka. Hal ini signifikan meningkatkan kualitas email phishing dan situs web, kata Jess Burn, analis utama di Forrester, yang berkontribusi pada penelitian firma analisis ini tentang peran CISO dan manajemen talenta keamanan.
Sementara alat-alat ini membantu para pelaku jahat menciptakan dan meluncurkan serangan dalam skala yang lebih besar, Burn menekankan bahwa hal ini tidak mengubah cara para pembela merespons ancaman tersebut. “Kami mengharapkan serangan siber akan semakin meningkat seperti yang terjadi selama bertahun-tahun, [tetapi] ancaman itu sendiri tidak baru,” katanya dalam sebuah wawancara melalui email. “Praktisi keamanan sudah tahu cara mengidentifikasi, memecahkan, dan mengurangi dampaknya.”
Namun, untuk tetap unggul, pemimpin keamanan harus menggabungkan pelatihan teknik yang cepat bagi tim mereka, sehingga mereka dapat lebih memahami bagaimana pengaruh AI generatif, kata analis tersebut. Dia juga menekankan perlunya pengujian penetrasi dan tim red untuk melibatkan penggunaan pemicu AI dalam penilaian solusi yang didukung oleh AI generatif dan model bahasa besar. Mereka perlu mengembangkan keterampilan keamanan AI yang ofensif untuk memastikan model tidak dicemarkan atau dicuri oleh para penjahat siber yang mencari kekayaan intelektual. Mereka juga harus memastikan bahwa data sensitif yang digunakan untuk melatih model ini tidak terpapar atau bocor, katanya.
Selain kemampuan untuk menulis email phishing yang lebih meyakinkan, alat AI generatif juga dapat dimanipulasi untuk menulis malware meskipun batasan yang diterapkan untuk mencegah hal ini, peringat Jeremy Pizzala, kepala konsultasi keamanan cyber Asia-Pasifik di EY. Dia mencatat bahwa para peneliti, termasuk dirinya sendiri, telah dapat mengelabui batasan etis yang mengarahkan platform seperti ChatGPT dan memaksa mereka untuk menulis malware.
Ada juga potensi bagi para pelaku ancaman untuk membangun model bahasa besar mereka sendiri, yang dilatih dengan dataset yang memiliki eksploitasi dan malware yang diketahui, dan menciptakan “varian super” dari malware yang lebih sulit untuk dipertahankan, kata Pizzala dalam wawancara dengan ZDNET.
Hal ini berkaitan dengan debat yang lebih luas tentang AI dan risiko bisnis yang terkait, di mana banyak model bahasa dan AI besar memiliki bias bawaan. Para peretas juga dapat menargetkan algoritma AI, menghapus panduan etika, dan memanipulasinya untuk melakukan hal-hal yang tidak diprogram untuk dilakukan, katanya, merujuk pada risiko keracunan algoritma.
Semua risiko ini menekankan perlunya bagi organisasi untuk memiliki rencana pengelolaan, dengan pengamanan dan kebijakan manajemen risiko untuk memandu penggunaan AI mereka, kata Pizzala. Ini juga harus mengatasi masalah seperti halusinasi.
Dengan adanya pengamanan yang tepat, ia mencatat bahwa AI generatif dapat memberikan manfaat bagi para pembela cyber itu sendiri. Ketika digunakan di pusat operasi keamanan (SOC), misalnya, chatbot dapat lebih cepat memberikan wawasan tentang insiden keamanan, memberikan respons terhadap pertanyaan yang diajukan dalam bahasa sederhana. Tanpa adanya AI generatif, hal ini akan membutuhkan serangkaian pertanyaan dan respons yang kompleks yang kemudian tim keamanan harus memahami.
AI menurunkan tingkat masuk untuk keterampilan keamanan cyber. Tanpa bantuan AI generatif, organisasi akan membutuhkan pengalaman khusus untuk menginterpretasikan data yang dihasilkan oleh alat pemantauan dan deteksi tradisional di SOC, katanya. Dia mencatat bahwa beberapa organisasi telah mulai melatih dan merekrut berdasarkan model pengelolaan ini.
Mengulangi komentar Burn tentang perlunya pengetahuan AI generatif, Pizzala juga mendesak perusahaan untuk membangun keterampilan teknis yang relevan dan pengetahuan tentang algoritma yang mendasarinya. Meskipun pemrograman untuk pembelajaran mesin dan model AI bukan hal baru, keterampilan dasar seperti itu masih langka, katanya.
Adopsi yang semakin meningkat dari AI generatif juga memerlukan pandangan yang berbeda dari sudut pandang keamanan cyber, tambahnya, mencatat bahwa ada ilmuwan data yang mengkhususkan diri dalam keamanan. Keterampilan semacam ini perlu berkembang dan terus meningkat, katanya.
Di Asia-Pasifik, 44% juga menunjuk anggaran keamanan cyber yang tidak memadai sebagai tantangan terbesar, dibandingkan dengan rata-rata global sebesar 36%, kata Pizzala, mengutip survei Kepemimpinan Keamanan Cyber Global 2023 EY.
Permukaan serangan yang semakin luas adalah tantangan internal yang paling banyak dikutip, yang didorong oleh adopsi komputasi awan dalam skala besar dan Internet of Things (IoT). Dengan AI sekarang membuka cara baru untuk menyusup ke sistem dan serangan rantai pasokan pihak ketiga masih menjadi perhatian, konsultan EY mengatakan bahwa semuanya menambah permukaan serangan yang semakin berkembang.