Mengenal layanan intelijen ancaman

Dekade baru dibuka dengan komersialisasi jaringan 5G, implementasi lebih lanjut dari kecerdasan buatan, dan meningkatnya penggunaan analisis data.

Selain dari sejumlah terobosan revolusioner ini, ada satu tren mendasar yang tidak boleh kita lewatkan, pentingnya kecerdasan di era digital ini.

Di Asia Tenggara saja, para peneliti Kaspersky telah memantau peningkatan aktivitas kelompok Advanced Persistent Threat (APT) utama yang melakukan cyberespionage canggih terhadap organisasi yang terkait dengan pemerintah dan bahkan entitas.

Para aktor ancaman ini meningkatkan permainan mereka dengan alat serangan baru untuk menyerap informasi dari pemerintah, entitas militer, dan organisasi. Apa yang mereka inginkan? Kecerdasan rahasia (confidential intelligence)

Menariknya, ada jenis intelijen lain yang dapat membantu negara bahkan perusahaan untuk menjaga keamanan data rahasia mereka. Itu adalah Intelijen Ancaman. Teknologi ini dapat membantu organisasi memahami ancaman yang memiliki, akan, atau sedang menargetkan jaringan mereka. Intelijen ancaman pada dasarnya juga harus berfungsi sebagai landasan dari strategi keamanan siber organisasi.

Saya sangat menyadari bahwa ada banyak perusahaan yang menawarkan layanan ini. Bagaimana Anda bisa memilih dan menilai penyedia mana yang lebih baik dari yang lain? Mari kita telusuri beberapa pertanyaan penting yang harus bisa mereka jawab untuk Anda dan tim keamanan Anda.

Seberapa mencurigakan file ini? Dalam aspek apa saja?

Mari berbicara kenyataan, saat ini terdapat dua realitas dalam lingkungan keamanan TI dalam organisasi apa pun, yaitu kurangnya staf dan luapan deteksi dan positif palsu. Dengan sebagian besar departemen TI kekurangan tenaga saat ini, apakah tim Anda siap untuk menangani serangan besar-besaran terhadap ancaman data yang akan menghadang?

Kenyataannya adalah, tidak setiap file itu berbahaya atau memerlukan perhatian khusus, dengan beberapa di antaranya mudah ditangani oleh perangkat lunak anti-virus dasar yang Anda miliki. Umpan intelijen ancaman yang tepat harus dapat menyaring positif palsu dan memungkinkan Anda untuk fokus pada ancaman yang benar-benar penting dan kritis.

Penting untuk menjelaskan garis besarnya di sini. Keamanan Endpoint dapat mendeteksi tetapi hanya mengklasifikasikan file dalam hal berupa putusan dasar yaitu Bersih/Berbahaya. Hanya itu. Alat analitik yang seharusnya berada dalam sistem intelijen ancaman harus dapat memberikan Anda informasi terperinci tentang seberapa mencurigakan dan bahaya sebuah file, hash, alamat IP, bahkan URL.

Informasi tersebut termasuk juga prilaku, teknik eksploit, seberapa jarang malware terdeteksi, alat apa yang digunakan oleh para pelaku kejahatan siber untuk dapat membuatnya, dan jika Anda menggunakan laporan rinci intelijen ancaman, itu akan dapat memberikan Anda informasi mengenai sejarah, siapa pembuatnya, target pada umumnuya, dan masih banyak lagi.

Siapa yang melakukan serangan? Apakah ini tren yang harus dikhawatirkan?

Layanan intelijen ancaman harus didasarkan pada basis data ancaman yang kuat dikombinasikan dengan analisis para pakar. Dan semestinya bukan kombinasi laporan gabungan dari satu perusahaan ke perusahaan lain.

Mengapa basis data yang komprehensif dan wawasan teknis menjadi penting? Ini merupakan dasar dari intelijen ancaman yang baik. Dengan data real-time dari seluruh dunia dan pemantauan ancaman melalui pembelajaran mesin yang dianalisis oleh pemikiran manusia, Anda akan bisa mendapatkan konteks lebih baik tentang malware.

Penyedia layanan intelijen ancaman Anda harus dapat memberikan rangkuman keseluruhan tentang malware kepada Anda, termasuk keluarga malware-nya, indikasi kompromi, statistik historis, dan bahkan dugaan "orang tua (parents)". Ini adalah bagian di mana file berbahaya, hash, URL, dan alamat IP sederhana dapat ditautkan ke serangan APT dan perlu digarisbawahi bahwa laporan APT yang mendalam harus menjadi bagian dari layanan intelijen ancaman Anda. Laporan ini juga harus mencakup sektor sasaran, motif dan potensi atribusi.

Dengan laporan yang memberikan konteks mengenai deteksi sederhana, Anda akan mengetahui bagaimana cara merespons dan bahkan meningkatkan lingkungan keamanan Anda saat ini.

Tindakan apa yang harus diambil? Perubahan keamanan apa yang harus dilakukan?

Berikutnya adalah pertanyaan sejuta dolar untuk seseorang yang ingin bertanya kepada layanan intelijen ancaman: Bisakah Anda memprediksi masa depan? Percaya atau tidak, layanan intelijen ancaman yang baik sebenarnya dapat memberi Anda jawaban yang mungkin dianggap sebagai fantasi belaka bagi kebanyakan orang.

Sebagai bagian dari perangkat keamanan siber Anda, layanan intelijen ancaman yang baik harus dapat menawarkan kepada Anda pelaporan intelijen secara khusus dan menyeluruh. Laporan seperti itu idealnya akan memberikan gambaran komprehensif tentang status serangan Anda saat ini, titik-titik rentan yang siap dieksploitasi dan mengungkapkan bukti serangan di masa lalu, sekarang dan yang direncanakan. Mengaitkan ancaman sebelumnya, deteksi saat ini, dan kemungkinan serangan di masa depan sangat penting untuk mengetahui bagaimana Anda harus menyesuaikan postur keamanan TI organisasi. Ingat bahwa intelijen ancaman harus selalu dapat ditindaklanjuti.

Dengan wawasan unik seperti itu, organisasi akan diberdayakan untuk menopang pertahanan keamanan sibernya dan menangkal serangan yang menghadang di masa depan. Dengan data terperinci, Anda akan memahami dengan lebih baik tentang cara menangani serangan dan bagaimana bergerak maju. Tanpa data terebut, staf Anda mungkin hanya mengejar ekor mereka sendiri.

Pertanyaan-pertanyaan di atas hanya mewakili bagian puncak gunung es tetapi harus menjadi dasar penilaian intelijen ancaman Anda.

Setiap organisasi memiliki keunikan dalam hal infrastruktur dan kebijakan. Satu hal yang pasti, tidak ada pelaku kejahatan siber yang mampu mengakali pertahanan keamanan dengan sistem yang berfungsi seutuhnya dan dilengkapi dengan kecerdasan otak real-time intelijen ancaman.(*)

Ditulis oleh Yeo Siang Tiong, General Manager untuk Asia Tenggara di Kaspersky