Lanskap keamanan siber berubah secara dramatis pada RSA Conference 2026, dengan vendor terkemuka seperti CrowdStrike, Cisco, dan Palo Alto Networks meluncurkan alat keamanan berbasis agen. Namun, terlepas dari kemajuan ini, masih terdapat kesenjangan mendasar: belum ada vendor yang memberikan solusi yang mampu membedakan secara andal antara aktivitas agen yang sah dan perilaku jahat. Hal ini membuat perusahaan rentan dalam lingkungan di mana musuh kini beroperasi dengan kecepatan mesin.
Jendela Deteksi Menyusut
Kecepatan serangan modern semakin cepat. CEO CrowdStrike George Kurtz melaporkan bahwa rata-rata waktu breakout musuh telah turun drastis dari 48 menit pada tahun 2024 menjadi hanya 29 menit saat ini, dengan rekor pelanggaran tercepat terjadi dalam waktu kurang dari 27 detik. Ini berarti pembela HAM mempunyai waktu kurang dari satu menit untuk merespons sebelum ancaman menyebar. Pada saat yang sama, sejumlah besar aplikasi berbasis AI yang berjalan pada titik akhir telah meledak: CrowdStrike kini mendeteksi lebih dari 1.800 aplikasi AI unik, dengan total hampir 160 juta contoh, semuanya menghasilkan banjir data ke dalam sistem keamanan yang dirancang untuk alur kerja manusia.
Ini bukan hanya soal kecepatan; ini tentang skala. Masalahnya bukan hanya karena serangan lebih cepat, namun kompleksitas pengelolaan agen AI membebani operasi keamanan yang ada.
Kesenjangan Adopsi Agen
Penelitian Cisco mengungkapkan adanya keterputusan yang signifikan antara minat perusahaan terhadap agen AI dan penerapan sebenarnya. Delapan puluh lima persen organisasi yang disurvei sedang menguji coba agen AI, namun hanya 5% yang telah memindahkannya ke tahap produksi. Keraguan ini berasal dari pertanyaan mendasar yang belum dapat dijawab oleh tim keamanan: Agen mana yang berjalan, apa izinnya, dan siapa yang bertanggung jawab jika gagal?
Etay Maor, VP Threat Intelligence di Cato Networks, dengan ringkas menangkap permasalahan ini: “Kita sedang menuju kompleksitas dalam AI, sehingga menciptakan gelombang masalah keamanan berikutnya dibandingkan memecahkan masalah yang sudah ada.”
Agen yang Tidak Dapat Dibedakan
Salah satu tantangan utamanya adalah aktivitas yang dimulai oleh agen sering kali tampak identik dengan perilaku manusia di log keamanan standar. Seperti yang dijelaskan oleh CTO CrowdStrike, Elia Zaitsev, “Agen yang menjalankan browser web tidak ada bedanya dengan manusia yang menjalankan browser yang sama.” Pembedaan memerlukan visibilitas titik akhir yang mendalam dan kemampuan untuk melacak aktivitas kembali ke asalnya – sebuah kemampuan yang tidak dimiliki oleh banyak tim keamanan.
Kerentanan ini sudah dieksploitasi. Serangan rantai pasokan ClawHavoc, yang menargetkan registri keterampilan ClawHub, menunjukkan bagaimana agen AI yang disusupi dapat mengirimkan malware yang menghapus jejaknya sendiri, tetap tidak aktif hingga diaktifkan. Kurtz memperingatkan, “Pembuat AI yang berada di garis depan tidak akan mengamankan dirinya sendiri. Mereka membangun terlebih dahulu, lalu mengamankannya kemudian.”
Dua Pendekatan, Satu Titik Buta
Vendor merespons dengan dua strategi utama:
- Pendekatan A: Agen di dalam SIEM. Cisco dan Splunk mengintegrasikan agen AI langsung ke platform SIEM mereka untuk triase dan respons otomatis.
- Pendekatan B: Pipeline Analytics. CrowdStrike mendorong analitik ke hulu ke dalam pipeline penyerapan data, memperkaya peristiwa sebelum mencapai analis.
Namun, tidak ada pendekatan yang mengatasi bagian penting yang hilang: garis dasar perilaku agen normal. Keduanya mempercepat triase dan deteksi, namun gagal menentukan seperti apa aktivitas agen resmi di lingkungan tertentu.
Lima Langkah untuk Tindakan Segera
Urgensinya jelas. Para pemimpin keamanan harus bertindak sekarang untuk beradaptasi dengan lanskap ancaman agen. Inilah yang harus dilakukan:
- Inventarisasi semua agen: Identifikasi setiap aplikasi AI yang berjalan di titik akhir Anda.
- Verifikasi diferensiasi aktivitas agen: Pastikan alat Anda dapat membedakan antara perilaku agen dan manusia.
- Menyelaraskan arsitektur dengan SIEM yang ada: Pilih solusi yang kompatibel dengan tumpukan keamanan Anda saat ini.
- Membangun garis dasar perilaku agen: Tentukan tindakan resmi untuk setiap agen dan deteksi penyimpangan.
- Uji tekanan pada rantai pasokan: Pindai agen sebelum penerapan dan pantau adanya gangguan pasca-instalasi.
Lanskap keamanan telah berubah secara mendasar. SOC dibangun untuk melindungi manusia yang menggunakan mesin; sekarang, ia harus melindungi mesin yang menggunakan mesin. Jendela pengambilan keputusan semakin mengecil. Tim yang gagal beradaptasi akan kewalahan dengan kecepatan dan kompleksitas ancaman agen.
