Apa yang dimaksud dengan intelijen ancaman?

Penulis

Matthew Kosinski

Staff Editor

IBM Think

Apa yang dimaksud dengan intelijen ancaman?

Intelijen ancaman—juga disebut intelijen ancaman siber (CTI) atau intel ancaman—adalah informasi terperinci dan dapat ditindaklanjuti tentang ancaman cyber security. Intelijen ancaman membantu tim keamanan mengambil pendekatan yang lebih proaktif untuk mendeteksi, mengurangi, dan mencegah serangan siber.

Intelijen ancaman lebih dari sekadar informasi ancaman mentah. Informasi ini adalah informasi ancaman yang telah dikorelasikan dan dianalisis untuk memberikan pemahaman mendalam kepada para profesional keamanan tentang potensi ancaman yang dihadapi organisasi mereka—termasuk cara menghentikannya.

Secara lebih spesifik, intelijen ancaman memiliki tiga karakteristik utama yang membedakannya dari informasi ancaman mentah:  

  • Spesifik organisasi: Intelijen ancaman lebih dari sekadar informasi umum tentang ancaman dan serangan hipotetis. Sebaliknya, hal ini berfokus pada situasi unik organisasi: kerentanan spesifik di permukaan serangan organisasi, serangan yang dimungkinkan oleh kerentanan ini, dan aset yang mereka ekspos. 

  • Terperinci dan kontekstual: Intelijen ancaman mencakup lebih dari sekadar potensi ancaman terhadap suatu organisasi. Ini juga mencakup aktor ancaman di balik serangan, taktik, teknik, dan prosedur (TTP) yang mereka gunakan, serta indikator penyusupan (IoC) yang mungkin menandakan serangan siber yang berhasil. 

  • Dapat ditindaklanjuti: Intelijen ancaman memberi tim keamanan informasi insight yang dapat mereka gunakan untuk mengatasi kerentanan, memprioritaskan ancaman, memulihkan risiko, dan meningkatkan postur keamanan secara keseluruhan.

Menurut Laporan Biaya Pelanggaran Data IBM, rata-rata pelanggaran data merugikan organisasi korban USD 4,44 juta. Biaya deteksi dan eskalasi menyumbang porsi paling signifikan dari harga tersebut senilai USD 1,47 juta.

Program intelijen ancaman memberikan informasi kepada profesional keamanan yang dapat membantu mendeteksi serangan lebih cepat—dan sepenuhnya menghentikan beberapa serangan agar tidak terjadi. Tanggapan yang lebih cepat dan lebih efektif ini dapat mengurangi biaya deteksi dan secara signifikan membatasi dampak pelanggaran yang berhasil.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Siklus hidup intelijen ancaman

Siklus hidup intelijen ancaman adalah proses berulang dan berkelanjutan tempat tim keamanan menghasilkan dan berbagi intelijen ancaman. Meskipun detailnya bisa berbeda dari satu organisasi ke organisasi lainnya, sebagian besar tim intelijen ancaman mengikuti beberapa versi proses enam langkah yang sama.

Langkah 1: Perencanaan

Analis keamanan bekerja dengan para pemangku kepentingan organisasi untuk menetapkan persyaratan intelijen. Pemangku kepentingan dapat mencakup pimpinan eksekutif, kepala departemen, anggota tim TI dan keamanan, serta siapa pun yang terlibat dalam pengambilan keputusan cyber security.  

Persyaratan intelijen pada dasarnya adalah pertanyaan yang harus dijawab intelijen ancaman bagi para pemangku kepentingan. Misalnya, Chief Information Security Officer (CISO) mungkin ingin mengetahui apakah jenis ransomware baru yang menjadi berita utama kemungkinan besar akan mempengaruhi organisasi.

Langkah 2: Pengumpulan data ancaman

Tim keamanan mengumpulkan data ancaman mentah untuk memenuhi kebutuhan intelijen dan menjawab pertanyaan para pemangku kepentingan.

Contohnya, jika sebuah tim keamanan sedang menyelidiki jenis ransomware baru, tim tersebut dapat mengumpulkan informasi tentang gerombolan ransomware di balik serangan itu. Tim juga akan melakukan penelitian terhadap jenis organisasi yang mereka targetkan di masa lalu dan vektor serangan yang telah mereka eksploitasi untuk menginfeksi korban sebelumnya.

Data ancaman ini bisa berasal dari berbagai sumber. Beberapa sumber yang paling umum meliputi:

Umpan intelijen ancaman

Umpan intelijen ancaman adalah aliran informasi ancaman secara real-time. Namanya terkadang menyesatkan: Meskipun beberapa umpan mencakup intelijen ancaman yang telah diproses atau dianalisis, tetapi ada juga yang terdiri dari data ancaman mentah. (Yang terakhir kadang-kadang disebut 'umpan data ancaman'.)

Tim keamanan biasanya berlangganan beberapa sumber terbuka dan umpan komersial yang disediakan oleh berbagai layanan intelijen ancaman. Umpan yang berbeda dapat membahas hal-hal yang berbeda.

Sebagai contoh, sebuah organisasi mungkin memiliki umpan yang terpisah untuk masing-masing tujuan ini:

  • Melacak IoC dari serangan umum

  • Menggabungkan berita cyber security

  • Memberikan analisis terperinci dari strain malware baru

  • Menyisir media sosial dan dark web untuk percakapan mengenai ancaman siber yang muncul

Komunitas berbagi informasi

Komunitas berbagi informasi adalah forum, asosiasi profesional, dan komunitas lain tempat analis berbagi Pengalaman langsung, insight, data ancaman, dan intelijen lainnya satu sama lain.  

Di AS, banyak sektor infrastruktur penting—seperti perawatan kesehatan, jasa keuangan, dan industri minyak dan gas—mengoperasikan Pusat Berbagi Informasi dan Analisis Industri (ISAC) yang penting. ISAC ini berkoordinasi satu sama lain melalui Dewan Nasional ISAC (NSI).

Secara internasional, platform intelijen sumber terbuka MISP Threat Sharing mendukung beberapa komunitas berbagi informasi yang diselenggarakan di sekitar lokasi, industri, dan topik yang berbeda. MISP telah menerima dukungan keuangan dari NATO dan Uni Eropa

Log keamanan internal

Data dari solusi keamanan internal dan sistem deteksi ancaman dapat menawarkan insight berharga tentang ancaman siber aktual dan potensial. Sumber umum log keamanan internal meliputi:

Log keamanan internal menyediakan catatan ancaman dan serangan siber yang dihadapi organisasi, dan log ini dapat membantu mengungkap bukti ancaman internal atau eksternal yang sebelumnya tidak dikenali.

Informasi dari berbagai sumber ini biasanya dikumpulkan dalam dasbor terpusat, seperti SIEM atau platform intelijen ancaman yang berdedikasi, untuk pengelolaan dan pemrosesan otomatis yang lebih mudah.

Langkah 3: Pemrosesan

Pada tahap ini, analis keamanan mengumpulkan, menstandardisasi, dan mengorelasikan data mentah yang telah mereka kumpulkan untuk mempermudah analisis. Pemrosesan dapat mencakup penerapan MITRE ATT&CK atau kerangka kerja intelijen ancaman lainnya untuk mengontekstualisasikan data, menyaring positif palsu dan mengelompokkan insiden serupa.

Banyak alat intelijen ancaman mengotomatiskan pemrosesan ini dengan menggunakan kecerdasan buatan (AI) dan machine learning untuk menghubungkan informasi ancaman dari berbagai sumber dan mengidentifikasi tren atau pola awal dalam data. Beberapa platform intelijen ancaman sekarang menggabungkan model AI generatif yang dapat membantu menafsirkan data ancaman dan menghasilkan langkah-langkah tindakan berdasarkan analisis mereka.

Langkah 4: Analisis

Analisis adalah titik tempat data ancaman mentah benar-benar menjadi intelijen ancaman. Pada tahap ini, analis keamanan mengekstrak insight yang mereka butuhkan untuk memenuhi persyaratan intelijen dan merencanakan langkah selanjutnya.

Sebagai contoh, analis keamanan mungkin menemukan bahwa geng yang terhubung dengan jenis ransomware baru telah menargetkan bisnis lain dalam industri organisasi. Temuan ini mengindikasikan bahwa jenis ransomware ini mungkin juga menjadi masalah bagi organisasi.  

Berbekal informasi ini, tim dapat mengidentifikasi kerentanan dalam infrastruktur TI organisasi yang mungkin dieksploitasi oleh gerombolan itu dan kontrol keamanan yang dapat mereka gunakan untuk mengurangi kerentanan tersebut.

Langkah 5: Diseminasi

Tim keamanan berbagi insight dan rekomendasinya dengan pemangku kepentingan yang sesuai. Tindakan dapat diambil berdasarkan rekomendasi ini, seperti menetapkan aturan deteksi SIEM baru untuk menargetkan indikator ancaman yang baru diidentifikasi atau memperbarui firewall untuk memblokir alamat IP dan nama domain yang mencurigakan

Banyak alat intelijen ancaman yang mengintegrasikan dan berbagi data dengan alat keamanan seperti SOAR, XDR, dan sistem manajemen kerentanan. Alat-alat ini dapat menggunakan intelijen ancaman untuk secara otomatis menghasilkan peringatan untuk serangan aktif, menetapkan skor risiko untuk memprioritaskan ancaman, dan memicu tindakan respons lainnya.

Langkah 6: masukan

Pada tahap ini, para pemangku kepentingan dan analis merefleksikan siklus intelijen ancaman terbaru untuk menentukan apakah persyaratan telah terpenuhi. Setiap pertanyaan baru yang muncul atau kesenjangan intelijen baru yang diidentifikasi akan menginformasikan putaran siklus berikutnya.

Jenis intelijen ancaman

Tim keamanan menghasilkan dan menggunakan berbagai jenis intelijen, tergantung pada tujuan mereka. Jenis intelijen ancaman meliputi:

Intelijen ancaman taktis

Intelijen ancaman membantu pusat operasi keamanan (SOC) memprediksi serangan di masa depan dan mendeteksi serangan yang sedang berlangsung dengan lebih baik.

Intelijen ancaman ini biasanya mengidentifikasi IoC yang umum, seperti alamat IP yang terkait dengan server perintah dan kontrol, hash file dari serangan malware yang diketahui, atau baris subjek email yang terkait dengan serangan phishing.

Selain membantu tim respons insiden mencegat serangan, intelijen ancaman taktis juga digunakan oleh tim perburuan ancaman untuk melacak ancaman persisten lanjutan (APT) dan penyerang aktif tetapi tersembunyi lainnya.
Intelijen ancaman operasional

Intelijen ancaman operasional lebih luas dan lebih teknis daripada intelijen ancaman taktis. Ini berfokus pada pemahaman TTP dan perilaku aktor ancaman—vektor serangan yang mereka gunakan, kerentanan yang mereka eksploitasi, aset yang mereka targetkan, dan karakteristik penentu lainnya

Pengambil keputusan keamanan informasi menggunakan intelijen ancaman operasional untuk mengidentifikasi aktor ancaman yang mungkin akan menyerang organisasi mereka dan menentukan kontrol keamanan dan strategi mitigasi yang efektif dapat menggagalkan serangan mereka.
Intelijen ancaman strategis

Intelijen ancaman strategis adalah intelijen tingkat tinggi tentang lingkungan ancaman global dan posisi organisasi di dalamnya. Intelijen ancaman strategis memberikan para pengambil keputusan di luar TI, seperti CEO dan eksekutif lainnya, pemahaman tentang ancaman siber yang dihadapi organisasi mereka.

Intelijen ancaman strategis biasanya berfokus pada isu-isu seperti situasi geopolitik, tren ancaman siber di industri tertentu, atau bagaimana dan mengapa aset strategis organisasi dapat ditargetkan. Para pemangku kepentingan menggunakan intelijen ancaman strategis untuk menyelaraskan strategi manajemen risiko organisasi yang lebih luas dan investasi dengan lingkungan ancaman siber.