Cyber Threat Intelligence — Bahasa Indonesia
Sebelumnya discalimer ini murni pendapat saya pribadi mengadopsi dari berbagai macam sumber yang saya baca dan pelajari sejauh tulisan ini di publish.
Makin maraknya berita di sana-sini terkait adanya data breach dan juga system / situs yang berhasil diretas saya beropini hal ini menandakan attacker selalu satu langkah lebih di depan dibanding defender. Bukan karena tools security yang kurang canggih atau karena para profesional yang kurang pemahaman terkait dunia cyber security yang begitu luas tapi hal ini berkaitan erat dengan pola pikir penjahat yang sejatinya selalu di depan.
Apa itu Cyber Threat Intelligence (CTI)? Mengapa diperlukan dalam perkembangan dunia cyber security saat ini?
Konsep dari Intelligence sendiri yakni kepandaian / pemikiran dalam pengumpulan informasi layaknya Intel dunia nyata. Dengan pengetahuan yang dimiliki serta kemampuan dalam mengumpulkan informasi dari bermacam sumber terkait ancaman yang sedang ramai diperbincangkan / ancaman yang sudah banyak di analisa oleh peneliti cyber security (Threat Intelligence Sharing / Threat Intelligence Platform) maupun pencarian informasi secara individual merupakan modal utama dalam mendeteksi, melakukan mapping terkait yang dilakukan attacker (motivation, capability, intent), mencegah hal-hal yang ber-impact terjadi dan juga dalam meningkatkan pertahanan.
Dengan mendalami Cyber Threat Intelligence (CTI) secara tidak langsung kita akan memahami pola kerja penyerang itu seperti apa, teknik yang mereka lakukan seperti apa, bagaimana mencegahnya, hingga bagaimana menanggulangi hal tersebut apabila sudah terlanjur kecolongan.
Dalam ilmunya ada 3 tipe / 3 level dari Cyber Threat Intelligence (CTI) yakni :
- Strategic.
Pembahasan yang dipahami oleh senior security beserta manajerial / BOD di tingkat management yang menentukan dan membuat strategi. Fokusnya yakni dampak pada lini bisnis, politik dan risiko pada perusahaan / organisasi maupun negara. - Operational.
Di level ini berjalannya dari tahapan strategi, yakni mulainya pengumpulan informasi sebanyak mungkin terkait jalan masuknya attacker untuk mengidentifikasi seperti taktik yang mereka gunakan, teknik / metode yang mereka gunakan dan juga detail dari tahapan penyerangan (Tactic, Technic, Procedure). - Tactical.
Pada level ini yakni penerapan dari tahapan operational, seperti penggunaan tools security (SIEM, WAF, EDR, Firewall, dll) untuk mendeteksi, mencegah dan bahkan menganalisa. Hal lain berupa informasi dari Indicator of Compromised / IOC sources dari berbagai macam sumber yang bisa diterapkan untuk membuat rules / policy pada tools security.
Hal yang paling inti dari Cyber Threat Intelligence (CTI) yakni pengumpulan informasi sebanyak mungkin dan seakurat mungkin. Informasi-informasi tersebut yang nantinya dikumpulkan dan diolah bisa berupa dari Indicator of Compromised / IOC salah satunya, hal ini meliputi file-file yang sudah dianalisa atau koneki jaringan yang dianggap buruk, seperti :
- IP Address / url / website yang digunakan oleh penyerang untuk berkomunikasi dengan korban apabila sudah terlanjur kecolongan
- Hash dari aplikasi yang digunakan oleh penyerang
- Cara / metode yang digunakan oleh penyerang
Detail dari ke 3 nomor di atas akan relate dengan beberapa Metode yakni Cyber Kill Chain atau yang lebih terperinci ada pada Framework MITRE ATT&CK juga Framework STRIDE MODEL
Pekerjaan professionalnya malah lebih banyak menghabiskan waktu dengan mengumpulkan informasi di underground dan research.
Sekian penjelasan dari pribadi saya, mohon maaf jika yang dituliskan tidak menjelaskan secara terperinci terkait hal ini, apabila ilmu yang saya dapatkan sudah bertambah semoga kedepannya artikel ini akan diperbaharui kembali.
“Tidak ada yang sepenuhnya aman di dunia ini, hanya tinggal menunggu waktu saja. Daripada hanya menunggu lebih baik mempersiapkan.”
Terima kasih, semoga sehat selalu.
Salam.
Referensi Penulisan :
- MITRE ATT&CK
https://attack.mitre.org/ - CYBER THREAT INTELLIGENCE 101
https://arcx.io/courses/cyber-threat-intelligence-101 - Practical Cyber Threat Intelligence
https://codered.eccouncil.org/course/practical-cyber-threat-intelligence?logged=false