Perburuan ancaman, juga dikenal sebagai perburuan ancaman siber, adalah pendekatan proaktif untuk mengidentifikasi ancaman siber yang sebelumnya tidak diketahui atau yang sedang berlangsung dalam jaringan organisasi.
Perburuan ancaman penting karena membantu organisasi memperkuat postur keamanan mereka terhadap ransomware, ancaman orang dalam, dan serangan siber lainnya yang mungkin luput dari perhatian.
Sementara peralatan keamanan otomatis dan analis pusat operasi keamanan (SOC) yang waspada dapat mendeteksi sebagian besar ancaman keamanan siber sebelum menimbulkan kerusakan besar, beberapa ancaman canggih dapat lolos dari pertahanan ini.
Ketika aktor jahat berhasil masuk ke dalam sistem, mereka dapat mengintai selama berminggu-minggu atau bahkan berbulan-bulan sebelum mereka ditemukan. Menurut Laporan Biaya Pelanggaran Data IBM, dibutuhkan rata-rata 181 hari untuk mengidentifikasi bahwa pelanggaran data telah terjadi. Sementara itu, penyerang menyedot data dan mencuri kredensial untuk membuka akses lebih lanjut.
Seberapa besar kerusakan yang bisa ditimbulkan oleh ancaman potensial ini? Menurut Laporan Biaya Pelanggaran Data, rata-rata pelanggaran data merugikan perusahaan sebesar USD 4,88 juta. Semakin lama waktu antara akses awal dan penahanan, semakin banyak merugikan organisasi.
Perburuan ancaman yang efektif melibatkan tim keamanan secara proaktif mencari ancaman tersembunyi ini. Akibatnya, organisasi dapat menemukan intrusi dan menerapkan mitigasi jauh lebih cepat, mengurangi kerusakan yang dapat dilakukan penyerang.
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Pemburu ancaman siber adalah profesional keamanan siber yang terampil. Mereka biasanya adalah analis keamanan dari dalam departemen TI perusahaan yang mengetahui operasi organisasi dengan baik, tetapi terkadang mereka adalah analis dari luar. Tim perburuan ancaman menggunakan otomatisasi keamanan untuk membantu mencari, mencatat, memantau, dan menetralisir ancaman sebelum dapat menyebabkan masalah serius.
Program perburuan ancaman didasarkan pada data - khususnya, kumpulan data yang dikumpulkan oleh sistem deteksi ancaman organisasi dan solusi keamanan tingkat perusahaan lainnya.
Selama proses perburuan ancaman, pemburu ancaman menyisir data keamanan ini, mencari malware tersembunyi, penyerang siluman, dan tanda-tanda aktivitas mencurigakan lainnya yang mungkin terlewatkan oleh sistem otomatis.
Ketika pemburu ancaman menemukan sesuatu, mereka langsung beraksi, membasmi ancaman dan memperkuat pertahanan untuk memastikan hal itu tidak terjadi lagi.
Para pemburu memulai dengan sebuah hipotesis berdasarkan pengamatan mereka, data keamanan atau pemicu lainnya. Hipotesis berfungsi sebagai batu loncatan untuk penyelidikan yang lebih mendalam terhadap potensi ancaman.
Investigasi biasanya mengambil salah satu dari 3 bentuk: perburuan terstruktur, perburuan tidak terstruktur, atau perburuan situasional.
Kerangka kerja formal, seperti kerangka kerja Teknik Taktik Musuh MITRE dan Pengetahuan Umum (ATT & CK), memandu perburuan terstruktur. Mereka mencari indikator serangan (IoA) dan taktik, teknik, dan prosedur (TTP) yang ditentukan dari aktor ancaman yang diketahui.
Perburuan tak terstruktur lebih reaktif daripada perburuan terstruktur. Perburuan ini sering kali dipicu oleh penemuan indikator penyusupan (IoC) dalam sistem organisasi. Pemburu kemudian mencari tahu apa yang menyebabkan IoC dan apakah IoC tersebut masih ada di jaringan.
Perburuan situasional adalah respons terhadap situasi unik organisasi. Biasanya didorong oleh hasil penilaian risiko internal atau analisis tren dan kerentanan lingkungan TI.
Perburuan yang digerakkan oleh entitas berfokus secara khusus pada aset dan sistem penting dalam jaringan. Pemburu ancaman mengidentifikasi ancaman siber yang mungkin menimbulkan risiko pada entitas ini dan mencari tanda-tanda penyusupan yang sedang berlangsung.
Perburuan berbasis intelijen didasarkan pada IoC dari sumber intelijen ancaman. Pemburu ancaman menggunakan alat seperti sistem informasi keamanan dan manajemen peristiwa (SIEM) untuk memantau IoC yang diketahui, seperti nilai hash, alamat IP, nama domain, dan artefak host. Ketika IoC ditemukan, para pemburu menyelidiki potensi aktivitas berbahaya dengan memeriksa status jaringan sebelum dan sesudah peringatan.
Perburuan berbasis hipotesis dipandu oleh IoA yang diketahui yang tercatat dalam kerangka kerja seperti MITRE ATT&CK. Perburuan berbasis hipotesis mempelajari apakah penyerang dapat menggunakan TTP tertentu untuk memperoleh akses ke jaringan tertentu. Ketika suatu perilaku teridentifikasi, pemburu ancaman dapat memantau pola aktivitas untuk deteksi, mengidentifikasi, dan mengisolasi setiap ancaman yang menggunakan perilaku tersebut.
Karena sifatnya yang proaktif, perburuan berbasis hipotesis dapat membantu mengidentifikasi dan menghentikan ancaman persisten tingkat lanjut (APT) sebelum mereka menimbulkan kerusakan yang luas.
Perburuan khusus didasarkan pada konteks organisasi: insiden keamanan sebelumnya, masalah geopolitik, serangan yang ditargetkan, peringatan dari sistem keamanan, dan faktor lainnya. Perburuan khusus dapat menggabungkan kualitas metodologi perburuan berbasis intelijen dan berbasis hipotesis.
Tim keamanan menggunakan berbagai alat untuk membantu dalam perburuan ancaman. Beberapa yang paling umum termasuk:
SIEM adalah solusi keamanan yang membantu organisasi mengenali dan mengatasi ancaman dan kerentanan keamanan sebelum mereka memiliki kesempatan untuk mengganggu operasi bisnis. SIEM dapat membantu mendeteksi serangan lebih awal dan mengurangi jumlah positif palsu yang harus diselidiki oleh para pemburu ancaman.
EDR perangkat lunak menggunakan analitik real-time dan otomatisasi berbasis AI untuk melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber yang dapat melewati alat keamanan titik akhir tradisional.
MDR adalah layanan keamanan siber yang memantau, mendeteksi, dan merespons ancaman secara real-time. Ini menggabungkan teknologi dan analisis pakar untuk mendorong perburuan ancaman proaktif, memungkinkan respons insiden yang efektif dan melakukan remediasi ancaman yang cepat.
Sistem ini menawarkan insight yang lebih dalam tentang data keamanan dengan menggabungkan big data dengan machine learning yang canggih dan alat kecerdasan buatan. Analisis keamanan dapat mempercepat perburuan ancaman siber dengan menyediakan data pengamatan terperinci.
Intelijen ancaman, juga disebut “intelijen ancaman siber,” adalah informasi terperinci dan dapat ditindaklanjuti yang dapat digunakan organisasi untuk mencegah dan melawan ancaman keamanan siber.
Intelijen ancaman menawarkan insight organisasi tentang ancaman terbaru yang menargetkan jaringan mereka dan lingkungan ancaman yang lebih luas.
Pemburu ancaman menggunakan intelijen ancaman untuk melakukan pencarian menyeluruh di seluruh sistem terhadap pelaku kejahatan. Dengan kata lain, perburuan ancaman dimulai dari mana intelijen ancaman berakhir. Hal ini mengubah insight intelijen ancaman menjadi tindakan nyata yang diperlukan untuk membasmi ancaman yang ada dan mencegah serangan di masa depan.
Memperkuat keamanan dan kepatuhan dengan layanan IBM IAM, merampingkan identitas di seluruh lingkungan hybrid cloud.
Optimalkan program keamanan Anda dengan layanan respons ancaman global IBM yang independen dari vendor.
Bangun fondasi identitas yang aman dengan IBM Verify untuk menyederhanakan akses, memperbaiki autentikasi, dan meningkatkan skala dengan percaya diri.