—·
Panduan operasional bagi perusahaan untuk mengubah risiko AI agen menjadi kendali keamanan: perketat akses, batasi penggunaan alat, gunakan bukti SBOM, dan perkuat pemantauan log.
Agen yang mampu menyelesaikan pekerjaan dengan menjalankan berbagai alat juga merupakan pihak yang dapat mempercepat kerusakan jika sistem tersebut disusupi. Sistem agentic AI tidak sekadar menghasilkan respons; sistem ini dapat bertindak atas nama pengguna dengan memanggil alat, menyunting berkas, dan memicu alur kerja. Hal ini menggeser fokus risiko dari "apakah pengguna melakukan kesalahan?" menjadi "dapatkah sistem otomatis melakukan tindakan berbahaya atau yang tidak diinginkan jika memiliki akses untuk itu?" Jika agen mampu menjangkau lingkungan sensitif, taktik ransomware menjadi jauh lebih mudah untuk diotomatisasi oleh penyerang.
Pendekatan operasional ini mengikuti prinsip "adopsi layanan agentic AI yang cermat": perlakukan agentic AI sebagai kapabilitas berdaya tinggi yang harus dikelola melalui desain yang aman, prinsip least privilege, dan kendali yang terukur, alih-alih sekadar "mempercayai model." (cyber.gov.au)
Agar tetap berpijak pada kendali yang sudah Anda jalankan, editorial ini berfokus pada empat bidang kendali yang dapat membendung jalur ransomware: identitas dan least privilege (siapa yang boleh melakukan apa), tool allowlisting (alat apa yang diizinkan untuk dipanggil oleh agen), tata kelola berbasis SBOM (komponen perangkat lunak apa yang menyusun tumpukan agen dan bagaimana pembaruannya dilacak), serta batasan pencatatan log/pemantauan (bukti apa yang ditangkap dan di mana). Ini adalah kendali keamanan siber, bukan sekadar perdebatan tentang AI.
Bagi CISO, "risiko agen" tidak boleh hanya menjadi slogan. Cara mencegahnya adalah dengan menerjemahkannya ke dalam tolok ukur teknis: kebijakan akses yang terukur, izin alat yang dapat ditegakkan, inventaris komponen yang tahan audit, dan telemetri yang membantu mendeteksi pola eksekusi berbahaya sejak dini.
Least privilege berarti memberikan izin minimum yang diperlukan untuk tugas tertentu, bukan akses luas yang terus berkembang. Dalam keamanan perusahaan, hal ini biasanya diwujudkan melalui kontrol akses berbasis peran (RBAC), eskalasi akses tepat waktu (just-in-time), segmentasi identitas, dan cakupan yang ketat pada akun layanan.
Agentic AI mempersulit penerapan least privilege karena agen mungkin memerlukan akses sementara ke berbagai sistem untuk menyelesaikan pekerjaan. Tekanan ini sering kali menggoda tim untuk membuat "akun agen" dengan akses luas atau kredensial bersama. Begitu satu identitas agen memiliki akses luas, operator ransomware mendapatkan jalur yang siap pakai untuk pergerakan lateral dan paparan data terenkripsi.
Panduan desain aman dari CISA menekankan bahwa keamanan harus tertanam dalam sistem dan proses, bukan ditambahkan setelah penerapan. Hal ini berlaku langsung pada eksekusi alat oleh agen: Anda tidak dapat memperlakukan izin sebagai detail implementasi internal jika tindakan agen dapat menjangkau sistem produksi. (cisa.gov)
Kerangka Kerja Keamanan Siber (CSF) dari NIST menekankan perlunya praktik yang dikelola dan dapat diulang di seluruh tata kelola, manajemen risiko, dan implementasi. Meskipun Anda tidak menggunakan CSF secara formal, kerangka ini menyediakan struktur untuk pertanyaan yang tepat: dapatkah Anda mengidentifikasi izin yang diperlukan agen, dapatkah Anda melindungi sistem melalui kendali yang ditentukan, dan dapatkah Anda mendeteksi serta merespons saat izin tersebut berperilaku di luar dugaan? (nist.gov, nist.gov)
Rancang ulang least privilege untuk agen dengan tiga aturan:
NIST SP 800-53 menyediakan katalog kendali yang dapat Anda gunakan untuk mengoperasionalkan desain ini. Katalog tersebut mencakup keluarga kendali akses dan auditabilitas, yang krusial untuk menegakkan least privilege dan melacak tindakan kembali ke subjek yang bertanggung jawab (pengguna, layanan, atau sistem). (csrc.nist.gov)
Tool allowlisting membatasi agen pada sekumpulan fungsi atau layanan eksternal yang telah disetujui sebelumnya. Dalam konteks ini, "alat" berarti titik akhir integrasi atau kapabilitas seperti API tiket, pencarian dokumentasi internal, pemicu pemindai kerentanan, tindakan manajemen cadangan, atau perintah manajemen titik akhir.
Dalam konteks agen, allowlist mencegah penyerang mengubah manipulasi prompt atau model menjadi panggilan sistem arbitrer. Tanpa allowlisting, alat apa pun yang dapat dijangkau oleh runtime agen menjadi pemicu ransomware potensial. Operator ransomware sering kali mengandalkan otomatisasi untuk melakukan langkah cepat dan berulang di seluruh titik akhir dan penyimpanan—tepat seperti langkah yang dirancang untuk diorkestrasi oleh agen.
Sumber daya secure-by-design dari CISA menekankan bahwa perangkat lunak dan sistem harus dibangun untuk menolak penyalahgunaan, dengan pola keamanan yang ditegakkan alih-alih diserahkan pada perilaku pengguna. Arahan ini selaras dengan daftar izin alat: Anda tidak bernegosiasi dengan agen saat insiden terjadi; Anda menegakkan apa yang boleh dipanggil. (cisa.gov, cisa.gov)
Proses daftar izin alat perusahaan harus bersifat operasional, bukan teoretis: definisikan kelas alat berdasarkan risiko (alat read-only vs alat pengubah status), tegakkan kebijakan "tidak ada alat yang tidak dikenal" pada saat runtime melalui kendali teknis berbasis kebijakan di dalam lingkungan eksekusi agen, dan terapkan audit di tingkat alat yang mencatat pemanggilan, argumen, serta pengidentifikasi korelasi yang terikat pada alur kerja terkait.
Untuk pertahanan ransomware, perhatikan secara khusus alat yang dapat memengaruhi ketersediaan data atau melintasi batas kepercayaan. Alat penghapusan cadangan, tindakan manajemen titik akhir yang melumpuhkan alat keamanan, dan operasi tulis sistem berkas pada shared drives memerlukan tata kelola yang lebih ketat karena ransomware sering kali bergantung pada perubahan status data dan layanan, bukan sekadar mencuri kredensial.
Analisis lanskap ancaman ENISA memberikan konteks mengapa ransomware tetap menjadi masalah persisten bagi perusahaan di Eropa. Walaupun editorial ini tidak memperlakukan ransomware sebagai masalah regional semata, karya ENISA yang tersedia untuk umum menjadi bukti bahwa aktor ancaman terus menargetkan organisasi dengan pola kejahatan siber yang destruktif. (enisa.europa.eu, enisa.europa.eu)
SBOM (Software Bill of Materials) adalah inventaris komponen perangkat lunak (termasuk versi) yang digunakan untuk membangun atau menjalankan sistem. Tata kelola berbasis SBOM berarti Anda menyimpan bukti di tingkat komponen untuk tumpukan agen, termasuk lapisan penyajian model, runtime orkestrasi, plugin/pembungkus alat, dan pustaka yang dapat memengaruhi eksekusi.
Hal ini penting karena insiden ransomware semakin sering mengeksploitasi kelemahan rantai pasok dan komponen yang tidak diperbarui. Bahkan ketika infrastruktur Anda diperkuat, tumpukan agen yang menyertakan perangkat lunak buram atau tidak terlacak dapat menjadi pintu masuk yang tidak terpantau. Jika Anda tidak dapat memetakan perilaku insiden ke versi komponen tertentu, respons insiden menjadi lebih lambat, spekulatif, dan sulit diaudit.
Pendekatan secure-by-design CISA mendukung postur operasional yang sama: bangun keamanan ke dalam keputusan siklus hidup perangkat lunak dan kurangi risiko melalui proses yang terdefinisi. Ketika Anda memperlakukan komponen runtime agen seperti perangkat lunak produksi lainnya, tata kelola SBOM menjadi bukti bagi manajemen perubahan dan respons kerentanan—bukan sekadar dokumentasi. (cisa.gov)
Untuk menghubungkan tata kelola SBOM langsung dengan ide "daftar izin alat berbasis SBOM", tegakkan pengikatan komponen-ke-alat alih-alih memperlakukan SBOM sebagai artefak audit akhir tahun. Rekam dan kendalikan dalam praktik:
Secara praktis, "daftar izin berbasis SBOM" berarti kebijakan runtime mengizinkan panggilan alat hanya ketika identitas biner eksekutor cocok dengan apa yang disetujui SBOM.
Pencatatan log dan pemantauan memerlukan batasan yang jelas dalam penyebaran agentic AI: telemetri apa yang dikumpulkan, di mana dikumpulkan, dan peristiwa mana yang dikorelasikan. Tanpa itu, Anda akan mendeteksi "sesuatu yang aneh" terlalu terlambat.
Catat log pada tiga lapisan:
Untuk pertahanan ransomware, pola eksekusi dikoordinasikan: mengenkripsi data, menghitung shares, melumpuhkan jalur pemulihan, dan menghapus cadangan. Jika log tidak menangkap pemanggilan alat dan pemberian izin di control plane, Anda kehilangan kemampuan untuk membedakan otomatisasi yang sah dari eksekusi berbahaya.
Skema log minimum yang layak untuk eksekusi agen harus mencakup:
workflow_id, run_id, agent_instance_id, dan policy_decision_id yang dihasilkan oleh titik penegakan kebijakan.requested_tool, decision (izinkan/tolak), dan deny_reason.executor_artifact_digest agar Anda dapat melacak tindakan ke set komponen yang diatur SBOM.target_resource, operation, arguments_hash, dan result_code.requesting_principal, mapped_task_role, dan granted_scopes.Evaluasi khusus agen berarti Anda menguji perilaku agen terhadap kriteria keamanan yang relevan dengan eksekusi tindakan, bukan sekadar akurasi teks. Evaluasi harus mencakup pengujian adversarial untuk penyalahgunaan alat dan upaya pintasan izin, serta pengujian skenario untuk tugas sah yang menyentuh sistem sensitif.
Intinya sederhana: sistem bisa saja "benar" dalam menghasilkan instruksi namun tetap berbahaya jika dapat mengubah instruksi tersebut menjadi tindakan terlarang. Jadi, perangkat pengujian Anda memerlukan lingkungan eksekusi simulasi dengan kendali yang sama seperti di produksi: batasan least privilege, daftar izin alat, dan aturan korelasi log.
Bagi operator perusahaan, definisikan empat skenario evaluasi yang terikat pada penahanan ransomware:
Sebelum sistem agentic AI diberikan hak eksekusi alat dalam produksi, wajibkan hal berikut:
Dalam 90 hari ke depan, gunakan urutan berimpak tinggi ini:
Perlakukan agentic AI sebagai integrasi siber istimewa—dan tuntut kendali, bukti, serta tenggat waktu yang sama yang sudah Anda terapkan pada VPN, alur kerja CI/CD, dan akun layanan istimewa lainnya.