Cribl, penyedia platform security telemetry, mengumumkan akuisisi terhadap CardinalOps pada Selasa (15/7), sebuah langkah strategis yang membawa kemampuan agentic detection engineering berbasis AI ke dalam portofolio produk mereka. Akuisisi ini menjadikan Cribl pemain yang lebih komprehensif di ruang SecOps, tidak hanya mengumpulkan dan mengarahkan telemetri keamanan, tetapi juga secara aktif memvalidasi dan mengoptimalkan detection rules.
Apa yang Terjadi?
Cribl, yang didirikan pada tahun 2018 oleh tim mantan arsitek Splunk di San Francisco, telah mengalami pertumbuhan yang sangat pesat dalam tiga tahun terakhir. Dari pendapatan berulang tahunan (ARR) sebesar 1 juta dolar, Cribl melonjak menjadi 100 juta dolar dalam waktu kurang dari empat tahun, kemudian mencapai 200 juta dolar dan melampaui 300 juta dolar ARR. Perusahaan ini telah mengumpulkan lebih dari 600 juta dolar pendanaan dan bernilai 3,5 miliar dolar setelah Series E senilai 320 juta dolar yang dipimpin oleh GV pada tahun 2024.
Akuisisi CardinalOps memberikan kemampuan baru yang kritis kepada Cribl: pemetaan detection rules dan security controls ke framework MITRE ATT&CK. Kemampuan ini memungkinkan tim keamanan untuk mengidentifikasi celah coverage, memperbaiki rules yang rusak atau bising, serta mengoptimalkan seluruh security stack yang mereka miliki. Nicole Beckwith, Senior Director of Security Engineering and Operations Cribl, menjelaskan bahwa CISO semakin sering ditanyai tentang celah coverage MITRE ATT&CK.
Detail Teknis
CardinalOps menggunakan pendekatan agentic AI untuk detection engineering. Artinya, sistem ini tidak hanya memetakan coverage ke MITRE ATT&CK secara statis, tetapi secara aktif menganalisis telemetri keamanan untuk mengidentifikasi gap, menentukan telemetri yang diperlukan, dan membantu tim SOC meningkatkan coverage tanpa menambahkan konsol terpisah baru. Pendekatan ini memungkinkan transisi dari sekadar mengumpulkan telemetri menjadi mengambil tindakan berdasarkan data tersebut.
Sean Sosnowski, Research Director di Software Analyst Cyber Research, menilai bahwa ini adalah akuisisi yang strategis secara logis. Cribl bergerak dari yang awalnya hanya menjadi kontrol layer untuk data observability dan keamanan menjadi partisipan langsung dalam detection engineering dan outcome SOC. Jika Cribl berhasil menggabungkan kontrol telemetri dengan manajemen posture detection, mereka dapat membantu pelanggan berpindah dari situasi “kami memiliki terlalu banyak data” menjadi “kami tahu data mana yang penting untuk detection yang kami butuhkan.”
Lebih dari separuh Fortune 100 dan 35% Fortune 500 menggunakan platform Cribl. Perusahaan ini mempekerjakan lebih dari 1.000 orang. Beckwith sendiri direkrut dari Kroger, salah satu ritel groseri terbesar di AS yang menggunakan kedua platform Cribl dan CardinalOps, yang menunjukkan efektivitas integrasi kedua produk ini di lingkungan enterprise.
Dampak Terhadap Indonesia
Organisasi besar di Indonesia, terutama di sektor perbankan, telekomunikasi, dan pemerintah, semakin menghadapi tantangan dalam mengelola volume telemetri keamanan yang sangat besar. Banyak SOCSIRT dan SOC di Indonesia yang berjuang dengan masalah “data overload” — memiliki terlalu banyak log namun tidak memiliki visibility yang memadai terhadap detection coverage mereka. Platform seperti Cribl dengan kemampuan CardinalOps dapat membantu organisasi Indonesia memahami dengan tepat area mana dari MITRE ATT&CK framework yang sudah tercakup dan mana yang masih menjadi celah.
SKKNI Siber Indonesia mengadopsi MITRE ATT&CK sebagai referensi utama untuk capability assessment. Dengan demikian, kemampuan CardinalOps untuk memetakan detection rules ke framework ini sangat relevan dengan kebutuhan compliance organisasi Indonesia. BSSN dan BNSS dapat memanfaatkan pendekatan serupa untuk mengevaluasi coverage detection di seluruh infrastruktur pemerintah, memastikan bahwa setiap tactic dan technique dalam MITRE ATT&CK memiliki detection rule yang memadai.
Namun, perlu dicatat bahwa implementasi platform semacam ini memerlukan investasi yang signifikan. Banyak organisasi di Indonesia masih menjalankan SIEM legacy dengan kapasitas terbatas, dan transisi ke platform modern seperti Cribl memerlukan perencanaan matang. Integrasi agentic AI ke dalam workflow SOC juga memerlukan peningkatan kapabilitas SDM keamanan siber, yang masih menjadi tantangan di Indonesia.
Rekomendasi Mitigasi
Bagi organisasi yang sudah menggunakan Cribl, segera eksplorasi kemampuan CardinalOps untuk memetakan detection coverage mereka ke MITRE ATT&CK. Identifikasi celah coverage yang paling kritis dan prioritaskan pembuatan detection rules untuk technique yang belum tercakup. Bagi organisasi yang belum menggunakan platform seperti Cribl, pertimbangkan untuk melakukan assessment MITRE ATT&CK coverage menggunakan tools gratis seperti ATT&CK Navigator atau MAD (MITRE ATT&CK Detection) untuk memahami posisi Anda saat ini.
Kedua, pastikan tim SOC memiliki prosedur untuk secara berkala memvalidasi efektivitas detection rules mereka. Detection rules yang tidak diuji secara berkala berpotensi menghasilkan false negative yang berbahaya. Ketiga, investasikan dalam pelatihan tim SOC mengenai detection engineering dan threat-informed defense, karena kemampuan manusia tetap menjadi faktor penentu meskipun AI sudah terintegrasi dalam workflow.
Analisa Retasan
Akuisisi Cribl terhadap CardinalOps merepresentasikan tren konsolidasi yang signifikan di ruang keamanan siber. Dalam dua tahun terakhir, terjadi gelombang akuisisi di mana platform data pipeline keamanan bergerak menuju integrasi langsung dengan detection engineering. Ini menunjukkan bahwa pasar semakin menyadari bahwa mengumpulkan data saja tidak cukup — organisasi memerlukan kemampuan untuk memahami data tersebut dan mengubahnya menjadi actionable detection. Pernyataan Nicole Beckwith mengenai pergeseran dari “mengumpulkan telemetri” menjadi “bertindak berdasarkan telemetri” merupakan cerminan dari evolusi SOC modern yang sedang terjadi secara industri.
Penggunaan agentic AI dalam CardinalOps menarik karena konsep agentic AI sendiri masih dalam tahap relatif baru dalam keamanan siber. Berbeda dari AI generatif yang bersifat reaktif (menjawab pertanyaan), agentic AI bersifat proaktif — secara independen mengidentifikasi masalah, merencanakan solusi, dan mengeksekusi tindakan. Dalam konteks detection engineering, ini berarti sistem secara otomatis dapat mengidentifikasi gap coverage, menyarankan detection rules baru, dan bahkan memvalidasi efektivitas rules tersebut. Ini merupakan langkah signifikan menuju SOC yang lebih otonom.
Dari perspektif Indonesia, tren konsolidasi ini memiliki implikasi praktis. Banyak organisasi Indonesia yang menjalankan SIEM legacy dengan deteksi berbasis signature yang sudah usang. Mereka perlu memahami bahwa investasi dalam detection engineering modern — yang menggabungkan data pipeline, detection rules berbasis behavior, dan validasi otomatis — bukan lagi kemewahan melainkan kebutuhan. SKKNI Siber yang mengadopsi MITRE ATT&CK sebagai framework reference menunjukkan bahwa Indonesia sudah bergerak ke arah yang benar dari sisi standar, namun implementasi di lapangan masih memerlukan peningkatan kapabilitas yang substansial. Organisasi perlu memulai dari langkah sederhana — seperti memetakan detection rules yang sudah ada ke MITRE ATT&CK menggunakan ATT&CK Navigator — sebelum mempertimbangkan investasi dalam platform komersial yang lebih canggih.
🔗 Sumber: Dark Reading — Cribl Adds Agentic Detection Engineering & Boosts SecOps With CardinalOps Deal
