Analis ancaman siber yang baik tahu kapan harus menerapkan pendekatan BLUF 

Di dunia keamanan siber, cara kita mengatakan sesuatu sama pentingnya dengan, atau bahkan lebih penting dari, apa yang kita katakan. 

Eksperimen pikiran untuk mengilustrasikan pandangan ini:

Anda adalah CEO dari salah satu jaringan pipa bahan bakar terbesar di negara ini. Anda diminta untuk menghadiri pengarahan singkat tentang intelijen ancaman karena analis Anda menemukan beberapa ancaman siber signifikan yang mungkin berdampak pada organisasi Anda.

Manakah dari dua ancaman ini yang tanggapannya Anda prioritaskan?  

• Ancaman 1: "Geng ransomware telah menargetkan perusahaan energi lain, mengunci data penting sampai perusahaan membayar tebusan. Jika ransomware ini membahayakan jaringan kita, kami memperkirakan tindakan ini mungkin mengenkripsi sebanyak 100 gigabyte data kita.”

• Ancaman 2: "Malware yang sangat mengganggu telah menyerang beberapa sistem infrastruktur penting dalam beberapa bulan terakhir, menyebabkan layanan inti menjadi offline. Jika menembus jaringan kita, kami memperkirakan malware ini akan mematikan seluruh pipa selama seminggu."

Ini pertanyaan yang menjebak. Kedua ancaman tersebut menggambarkan serangan yang sama: serangan ransomware Colonial Pipeline 2021, serangan siber terbesar terhadap infrastruktur minyak dalam sejarah AS. Peretas jahat menutup jaringan yang membawa 45% bahan bakar Pantai Timur dan menekan para korban untuk membayar uang tebusan sebesar USD 4,4 juta. (Departemen Kehakiman akhirnya memulihkan sebagian dari tebusan itu.)

Meskipun menggambarkan serangan yang sama, perhatikan bagaimana urgensi laporan ancaman ini terasa berbeda. Ancaman 1 tampaknya buruk, tetapi ancaman 2 membutuhkan respons segera dari semua pihak.

Ancaman 2 terasa jauh lebih mendesak karena menekankan pada dampak bisnis dari serangan tersebut, bukan detail teknis serangan. Sayangnya, analis ancaman sering memahaminya dengan salah, yang berkontribusi pada kesenjangan komunikasi yang dalam antara keamanan siber dan bisnis.  

Kesenjangan ini tidak hanya menimbulkan ketidaknyamanan. Organisasi bisa terpapar pada semua jenis serangan. 

Semua orang.

Di satu sisi, kita sebagai profesional keamanan siber tidak selalu menyampaikan insight dalam istilah bisnis. Kita sering kali mengambil pendekatan yang lebih teknis, menekankan pada istilah teknis yang rumit: nama aktor ancaman dan jenis khusus malware, skor IOC, CVE, dan CVSS, akronim khusus yang sulit untuk dipahami.

Semua hal ini sangat berarti bagi kita sebagai praktisi, tetapi tidak terlalu berarti bagi para pemimpin bisnis yang akan kita didik. 

Di sisi lain, para pemimpin bisnis yang sama mungkin memiliki gagasan yang tidak akurat tentang peran keamanan siber dan cakupan sesungguhnya dari nilainya. Keamanan siber sering kali hanya diperlakukan sebagai praktik memenuhi kewajiban administratif, mematuhi aturan untuk menghindari denda atau mendapatkan sertifikasi. 

Pola pikir ini membuat keamanan tidak lebih dari sekadar item tambahan dalam anggaran, pusat biaya dan bukan penghemat biaya atau bahkan keunggulan kompetitif. 

Akibatnya, ketika duduk di meja konferensi, kita akhirnya mengalami miskomunikasi satu sama lain. Ada konsekuensi signifikan di sini. Jika tim keamanan tidak dapat menyampaikan ancaman dalam bahasa yang dipahami perusahaan, perusahaan mungkin akan meremehkan risiko atau menolak investasi keamanan tertentu karena hal itu "sepertinya tidak sepadan."

Sampai bencana melanda. 

Tapi tidak ada yang suka mendengar “Sudah saya katakan kepada Anda.” Ini tentu saja tidak membuat Anda mendapatkan dukungan dari kalangan C-suite. 

Sekali lagi, pro keamanan siber bukan satu-satunya penyebab kesenjangan tersebut. Namun, posisi kita yang unik harus menutup kesenjangan ini.

Jika kita berkomunikasi dengan istilah yang penting bagi para pemimpin bisnis, kita bisa menyelaraskan seluruh organisasi dengan lebih baik pada prioritas manajemen ancaman dan kontrol keamanan.

Pada gilirannya, penyelarasan ini akan lebih memudahkan tim keamanan untuk mendapatkan dukungan atas rekomendasinya. Seiring waktu, ketika investasi keamanan ini membuahkan hasil, bisnis mulai melihat keamanan sebagai pencipta nilai sejati. 

Berikut adalah empat perubahan komunikasi yang dapat dilakukan tim keamanan siber untuk mulai menjembatani kesenjangan: 

Sangat mudah untuk berfokus pada apa yang mungkin terjadi: serangan yang mungkin terjadi, sistem yang mungkin rentan, aktor ancaman yang mungkin muncul. 

Para pemimpin bisnis cenderung lebih tertarik pada apa yang memang terjadi: serangan yang kita cegah dan kerentanan yang kita tambal.

Hingga cakupan tertentu, ini adalah hal yang positif. Pertama, ini adalah tanda kepercayaan pada tim keamanan. Para pemimpin bisnis tidak perlu mengetahui setiap kemungkinan karena mereka mempercayai kita untuk mencegah sebagian besar ancaman, jika tidak semuanya. 

Hal ini juga memungkinkan kita untuk lebih membanggakan keberhasilan—membuktikan nilai kita dengan melaporkan bagaimana kita berhasil melindungi organisasi dari bahaya. 

Karena itu, kita harus mengatasi keadaan ini dengan seimbang. Meskipun kita ingin menekankan hal yang sebenarnya, kita tidak bisa sepenuhnya meninggalkan kemungkinan yang ada. Bagaimanapun juga, bagian dari tugas kita adalah mengidentifikasi ancaman siber baru dan menerapkan langkah-langkah keamanan yang tepat untuk menghentikannya.

Berikut adalah satu pendekatan yang dapat Anda gunakan untuk menyeimbangkan semua faktor ini:

Ketika ancaman siber baru muncul di luar sana, identifikasi kemungkinan dan potensi dampaknya. Kemudian, identifikasi tindakan apa saja yang bisa Anda gunakan untuk mengatasi ancaman tanpa memerlukan izin atau sumber daya baru, lalu terapkan. Nilai bagaimana semua langkah ini mengurangi kemungkinan dan dampak ancaman, lalu tentukan tingkat risiko ancaman secara keseluruhan. 

Ancaman berisiko tinggi mungkin membutuhkan lebih banyak sumber daya dan harus menjadi perhatian para pemimpin bisnis.  Ancaman yang berisiko rendah bisa disusun dalam daftar tambahan atau disebutkan secara sepintas, namun tidak perlu menyita waktu rapat yang berharga.  

Berbicara tentang dampak ancaman: Sebaiknya, laporan dan perkiraan dampak dikaitkan dengan angka dan konsekuensi bisnis yang nyata.

Terkadang, kita sebagai praktisi keamanan berasumsi bahwa kerentanan sudah jelas buruk. Jika ada beberapa cacat dalam sistem, Anda ingin memperbaikinya karena itu adalah suatu kecacatan. 

Tetapi di luar bidang keamanan, keberadaan kerentanan belaka mungkin bukan dorongan yang cukup kuat.

Hal ini sebagian disebabkan karena kita sering membahas kerentanan dalam istilah yang abstrak: "Sistem kita rentan terhadap jenis khusus ransomware yang lebih baru yang menerobos banyak kontrol yang ada. Kami mengusulkan penerapan perlindungan ransomware baru dengan biaya USD 200.000.”  

Rekomendasi yang masuk akal, tetapi USD 200.000 adalah harga yang mahal. Para pengambil keputusan mungkin akan menolak investasi semacam itu, terutama jika satu-satunya pembenaran adalah sesuatu yang tidak spesifik seperti "menghentikan ransomware."

Sebagai gantinya, pertimbangkan untuk merangkainya seperti ini: “Sistem kita rentan terhadap jenis khusus ransomware yang lebih baru. Kami telah menganalisis insiden di organisasi serupa dan serangan ransomware ini menelan biaya rata-rata USD 2 juta per hari akibat kombinasi antara bisnis yang hilang dan biaya remediasi. Kami mengusulkan penerapan perlindungan ransomware baru dengan biaya USD 200.000.” 

Sekarang, kita berbicara tentang menghabiskan USD 200.000 bukan untuk "menghentikan ransomware", tetapi untuk menghentikan organisasi dari kehilangan USD 2 juta per hari. Sepertinya itu kesepakatan yang bagus. 

Sebagai profesional keamanan siber, kita cenderung melakukan kesalahan dalam segi kehati-hatian. Tetapi bagi banyak bisnis, jumlah risiko optimal bukanlah nol. 

Pikirkan tentang keamanan informasi dari triad klasik CIA. Dikatakan bahwa sistem informasi yang aman membutuhkan kerahasiaan, integritas, dan ketersediaan. 

Dengan kata lain: Data sensitif dan sistem harus dilindungi, tetapi juga harus tersedia untuk digunakan karyawan. Keseimbangan ini sulit dicapai. Perlindungan ketat mungkin menjaga sistem tetap aman, tetapi dampak terhadap produktivitas tidak selalu sepadan.

Sebagai contoh, salah satu dari kami bekerja di sebuah perusahaan media yang lebih menyukai pembatasan yang cukup longgar pada jenis teknologi yang digunakan oleh karyawannya. Kebijakan ini membuka peluang untuk TI bayangan yang tidak dikelola dan penelusuran berisiko, tetapi juga memungkinkan karyawan untuk meneliti toko yang sedang berkembang dengan cepat dan dinamis. Kegiatan ini merupakan inti dari model bisnis perusahaan, sehingga organisasi bersedia menerima risiko yang menyertainya.  

Dengan pemahaman bersama tentang apa arti risiko, tim keamanan siber dapat berburu taktik dan alat yang memenuhi kebutuhan keamanan tanpa mengganggu operasi bisnis. 

Perhatikan bahwa menyelaraskan toleransi risiko tidak berarti keamanan siber selalu sepakat dengan bisnis. Tim keamanan siber dapat dan harus menggunakan keahlian mereka untuk memengaruhi pemahaman bisnis tentang risiko.

Salah satu dari kami mengingat pengarahan tentang intelijen ancaman tertentu. Pengarahan ini mengidentifikasi serangan tertentu sebagai risiko rendah, tetapi seorang eksekutif menolaknya. Dia merasa bahwa tingkat risiko harus lebih tinggi karena organisasi telah mengalami pelanggaran semacam ini pada masa lalu.

Tim intelijen ancaman menunjukkan bahwa lingkungan telah berubah sejak saat itu. Organisasi telah memasang perlindungan yang mengurangi kemungkinan dan tingkat keparahan serangan semacam itu. Selain itu, ancaman itu baru-baru ini tidak menargetkan organisasi seperti perusahaan ini.   

Eksekutif menyimak kasus ini dan setuju dengan penilaian risiko rendah. Jika tidak meluangkan waktu untuk menyelaraskan risiko, kami akan menghabiskan waktu dan sumber daya untuk ancaman yang tidak terlalu membahayakan.

Poin terakhir ini adalah yang paling sederhana, tetapi mungkin yang paling berdampak. Tidak membutuhkan pergeseran pola pikir atau perubahan strategis. Sebaliknya, yang diperlukan hanyalah perubahan struktural kecil pada cara kita menulis laporan.

Kita berbicara tentang BLUF (bottom line up front) atau menempatkan “informasi dasar di bagian awal.”

Khususnya di kalangan intelijen ancaman, kita memiliki kebiasaan membuat laporan yang panjang dan terperinci setebal 20 atau mungkin 30 halaman, yang mencakup pembahasan mendalam tentang semua informasi baru yang harus kami bagikan.

Kita mungkin menemukan ini semua menarik, tetapi banyak eksekutif melihatnya dan berpikir "Terlalu panjang, saya tidak membacanya!" 

Ketika menerapkan BLUF, Anda memulai dengan informasi mendasar tepat di bagian awal: Inilah yang terjadi. Inilah yang perlu Anda khawatirkan. Inilah penilaian kami tentang situasi ini dan apa yang menurut kami harus kami lakukan.

Pembahasan mendalam tetap bisa dicantumkan pada bagian lain dari laporan untuk pembaca yang menginginkannya. Namun, ringkasan yang mudah dicerna—didasarkan pada detail konkret yang relevan—sering kali sudah memadai bagi para pemimpin bisnis untuk mengambil keputusan yang tepat. 

Untuk menutup kesenjangan komunikasi seputar keamanan siber, yang pada akhirnya perlu kita lakukan adalah menerjemahkan istilah teknis keahlian kita ke dalam bahasa yang menyatakan urgensi dan dampak yang relevan dengan para pemimpin bisnis.

Dengan mengubah pendekatan kita terhadap komunikasi, kita juga bisa mengubah persepsi bisnis tentang keamanan: dari sekadar item lainnya dalam anggaran menjadi investasi penting yang membantu organisasi beroperasi, berinovasi, dan berkembang.