Apa itu berburu ancaman?

Perburuan ancaman penting karena membantu organisasi memperkuat postur keamananmereka terhadap ransomware, ancaman orang dalam , dan serangan siber lainnya yang mungkin luput dari perhatian.

Sementara peralatan keamanan otomatis dan analis pusat operasi keamanan (SOC) yang waspada dapat mendeteksi sebagian besar ancaman keamanan siber sebelum menimbulkan kerusakan besar, beberapa ancaman canggih dapat lolos dari pertahanan ini.

Ketika aktor jahat berhasil masuk ke dalam sebuah sistem, mereka bisa mengintai selama berminggu-minggu atau bahkan berbulan-bulan sebelum ditemukan. Menurut Laporan Biaya Pelanggaran Data IBM, dibutuhkan rata-rata 194 hari untuk mengidentifikasi bahwa pelanggaran data telah terjadi. Sementara itu, penyerang menyedot data dan mencuri kredensial untuk buka akses lebih lanjut. 

Seberapa besar kerusakan yang dapat ditimbulkan oleh ancaman potensial ini? Menurut Laporan Biaya Pelanggaran Data, rata-rata pelanggaran merugikan perusahaan sebesar USD 4,88 juta. Makin lama waktu antara akses awal dan penahanan, makin besar biaya yang harus dikeluarkan oleh organisasi.  

Perburuan ancaman yang efektif melibatkan tim keamanan secara proaktif mencari ancaman tersembunyi ini. Akibatnya, organisasi dapat menemukan intrusi dan menerapkan mitigasi jauh lebih cepat, mengurangi kerusakan yang dapat dilakukan penyerang.

Pemburu ancaman siber adalah profesional keamanan siber yang terampil. Mereka biasanya adalah analis keamanan dari dalam departemen TI perusahaan yang mengetahui operasi organisasi dengan baik, tetapi terkadang mereka adalah analis dari luar. Tim perburuan ancaman menggunakan otomatisasi keamanan untuk membantu mencari, mencatat, memantau, dan menetralisir ancaman sebelum dapat menyebabkan masalah serius.

Program perburuan ancaman didasarkan pada data—khususnya, kumpulan data yang dikumpulkan oleh sistem deteksi ancaman organisasi dan solusi keamanan perusahaan lainnya.  

Selama proses perburuan ancaman, pemburu ancaman menyisir data keamanan ini, mencari malware tersembunyi, penyerang siluman, dan tanda-tanda aktivitas mencurigakan lainnya yang mungkin terlewatkan oleh sistem otomatis.  

Ketika pemburu ancaman menemukan sesuatu, mereka langsung beraksi, membasmi ancaman dan memperkuat pertahanan untuk memastikan hal itu tidak terjadi lagi.

Para pemburu memulai dengan sebuah hipotesis berdasarkan pengamatan mereka, data keamanan atau pemicu lainnya. Hipotesis berfungsi sebagai batu loncatan untuk penyelidikan yang lebih mendalam terhadap potensi ancaman.  

Investigasi biasanya mengambil salah satu dari 3 bentuk: perburuan terstruktur, perburuan tidak terstruktur, atau perburuan situasional.

Perburuan berbasis Intel didasarkan pada IoC dari sumber intelijen ancaman. Pemburu ancaman menggunakan alat seperti sistem informasi keamanan dan manajemen peristiwa (SIEM) untuk memantau IoC yang diketahui, seperti nilai hash, alamat IP, nama domain, dan artefak host. Ketika IoC ditemukan, pemburu menyelidiki potensi aktivitas berbahaya dengan memeriksa status jaringan sebelum dan sesudah peringatan.

Perburuan berbasis hipotesis dipandu oleh IoA yang diketahui yang tercatat dalam kerangka kerja seperti MITRE ATT&CK. Perburuan berbasis hipotesis mempelajari apakah penyerang dapat menggunakan TTP tertentu untuk memperoleh akses ke jaringan tertentu. Ketika suatu perilaku teridentifikasi, pemburu ancaman dapat memantau pola aktivitas untuk deteksi, mengidentifikasi, dan mengisolasi setiap ancaman yang menggunakan perilaku tersebut.  

Karena sifatnya yang proaktif, perburuan berbasis hipotesis dapat membantu mengidentifikasi dan menghentikan ancaman persisten tingkat lanjut (APT) sebelum mereka menimbulkan kerusakan yang luas.

Perburuan khusus didasarkan pada konteks organisasi: insiden keamanan sebelumnya, masalah geopolitik, serangan yang ditargetkan, peringatan dari sistem keamanan, dan faktor lainnya. Perburuan khusus dapat menggabungkan kualitas metodologi perburuan berbasis intelijen dan berbasis hipotesis.  

Tim keamanan menggunakan berbagai alat untuk membantu dalam perburuan ancaman. Beberapa yang paling umum termasuk:

SIEM adalah solusi keamanan yang membantu organisasi mengenali dan menangai ancaman dan kerentanan sebelum mereka memiliki kesempatan untuk mengganggu operasi bisnis. SIEM dapat membantu deteksi serangan lebih awal dan mengurangi jumlah false positive yang harus diselidiki oleh para pemburu ancaman.

EDR perangkat lunak menggunakan analitik real-time dan otomatisasi yang didorong oleh AI untuk melindungi pengguna akhir, perangkat titik akhir, dan aset TI organisasi dari ancaman siber yang dapat melewati alat keamanan titik akhir tradisional.

MDR adalah layanan keamanan siber yang memantau, mendeteksi, dan menanggapi ancaman secara real-time. Layanan ini menggabungkan teknologi canggih dan analisis pakar untuk mendorong perburuan ancaman secara proaktif, memungkinkan respons insiden yang efektif, dan melakukan remediasi ancaman secara cepat.

Sistem ini menawarkan insight yang lebih dalam tentang data keamanan dengan menggabungkan big data dengan machine learning yang canggih dan alat kecerdasan buatan. Analisis keamanan dapat mempercepat perburuan ancaman siber dengan menyediakan data observabilitas yang terperinci.

Intelijen ancaman, juga disebut “intelijen ancaman dunia maya,” adalah informasi terperinci dan dapat ditindaklanjuti yang dapat digunakan organisasi untuk mencegah dan melawan ancaman keamanan siber.

Intelijen ancaman menawarkan insight organisasi tentang ancaman terbaru yang menargetkan jaringan mereka dan lingkungan ancaman yang lebih luas. 

Pemburu ancaman menggunakan intelijen ancaman untuk melakukan pencarian menyeluruh di seluruh sistem terhadap pelaku kejahatan. Dengan kata lain, perburuan ancaman dimulai dari mana intelijen ancaman berakhir. Hal ini mengubah insight intelijen ancaman menjadi tindakan nyata yang diperlukan untuk membasmi ancaman yang ada dan mencegah serangan di masa depan.