Mengenal tipe intelijen ancaman

Sebagai seorang profesional keamanan siber, pekerjaan Anda tidak akan berhenti di tempat. Nyatanya, berdasarkan studi University of Maryland yang mengkuantifikasi tingkat serangan peretas pada komputer yang terhubung ke internet, terjadi rata-rata sekali setiap 39 detik. Seiring digitalisasi yang terjadi secara cepat dalam skala global, para pelaku kejahatan siber terus memperbarui cara untuk mengeksploitasi kelemahan dalam infrastruktur IT yang Anda miliki. Dalam konteks ketidakpastian ini, dapatkah suatu organisasi tetap selangkah lebih maju dari kurva keamanan siber?

Istilah ‘selangkah lebih maju’ akan menyarankan salah satu kunci utama untuk kesuksesan keamanan siber, yaitu menjadi proaktif, dibandingkan hanya dengan bereaksi saat insiden terjadi. Untuk melakukan ini, memiliki akses ke intelijen ancaman tepat menjadi sangat penting bagi organisasi mana pun yang ingin mengakali para pelaku kejahatan siber.

Mengapa Intelijen Ancaman Penting?

Intelijen ancaman adalah komponen kunci dari setiap ekosistem keamanan siber. Gartner mendefinisikan intelijen ancaman sebagai pengetahuan berbasis bukti, termasuk konteks, mekanisme, indikator, implikasi, dan rekomendasi yang berorientasi pada tindakan mengenai ancaman atau potensi bahaya yang dapat atau muncul terhadap aset.

Bagi yang mengaku sebagai data junkies (pecandu data), mari kita letakkan beberapa aturan dasar tentang intelijen ancaman. Pertama, data ancaman adalah nilai yang dikumpulkan hanya dengan melalui observasi. Jika berdiri sendiri, maka itu tidak memiliki konteks apa pun. Di sisi lain, intelijen ancaman merupakan hasil dari analisis data, yang diterjemahkan ke dalam wawasan yang dapat ditindaklanjuti dan memungkinkan Anda untuk menerapkan solusi spesifik pada masalah yang ditemukan, sekaligus memperkuat fondasi keamanan siber pada bisnis.

Saat ini, lanskap ancaman berkembang sangat cepat, dengan aliran data yang konstan ditransmisikan melalui lintas informasi. Keterbatasan profesional keamanan siber yang terampil di bidang penilaian ancaman dan kerentanan bukanlah sesuatu yang baru bagi kami. Artinya bagi organisasi adalah bahwa di zaman penyusutan dalam anggaran TI seperti saat ini, terdapat kebutuhan mendesak terhadap kelengkapan alat yang tepat dalam memutuskan informasi apa yang relevan dan memprioritaskan pihak mana saja yang relevan untuk itu.

Tipe- tipe Intelijen Ancaman

Tentunya banyak penyedia layanan yang mengklaim dapat menawarkan solusi intelijen ancaman, dan ini berarti banyak hal. Pertama, mari kita perhatikan empat jenis utama intelijen ancaman yang terdiri dari strategis, taktis, teknis dan operasional. Memiliki pemahaman yang baik tentang fungsi dari masing-masing intelijen ancaman tersebut akan membekali organisasi dengan informasi penting dan membagikannya kepada orang yang tepat .

Strategic threat intelligence

Jenis ini biasanya berisi analisis tingkat tinggi yang berisi tren luas dan umum dari waktu ke waktu tentang bagaimana ancaman siber dapat memengaruhi bisnis untuk audiens non-teknis yang biasanya merupakan pengambil keputusan dalam suatu organisasi. Mereka berbeda dari jenis intelijen ancaman lainnya yang biasanya berasal dari sumber terbuka seperti laporan dan sejenisnya.

Tactical threat intelligence

Intelijen ancaman taktis mengacu pada informasi tentang taktik, teknik, dan prosedur (TTP) dari para aktor ancaman. Informasi teknis semacam itu memiliki kecenderungan untuk fokus pada keadaan saat ini, karena pihak yang bertanggung jawab atas keamanan infrastruktur TI organisasi perlu memahami penyebab mereka diserang demi mendapatkan strategi untuk melawan kembali.

Technical threat intelligence

Intelijen ancaman teknis sangat berfokus pada indikator kompromi (indicators of compromise) seperti URL yang mencurigakan atau kumpulan malware.

Operational threat intelligence

Intelijen ancaman operasional bertujuan untuk menjawab pertanyaan siapa, apa, dan bagaimana terkait dengan serangan yang terjadi di dunia maya.

Tipe ini memiliki beberapa tumpang tindih dengan intelijen ancaman teknis, karena intelijen ancaman operasional tidak berisikan sejumlah elemen informasi teknis mengenai vektor serangan atau jenis domain perintah/kontrol yang digunakan. Namun, sumber lain dari intelijen ancaman operasional juga dapat diperoleh dari masuknya saluran komunikasi aktor ancaman, yang memungkinkan seseorang mendapatkan wawasan khusus untuk memahami kemampuan para pelaku kejahatan siber.

Membangun Fondasi Dalam Intelijen Ancaman Secara Real-time

Intelijen ancaman dapat menjadi hal yang luar biasa kompleks, bahkan bagi seorang profesional IT berpengalaman sekalipun. Dengan begitu banyak penyedia layanan intelijen ancaman yang menawarkan solusi otomatis dan teragregasi saar ini, manakah yang paling sesuai dengan kebutuhan organisasi Anda?

Saat ini, sebagian besar penyedia layanan keamanan yang dikelola dapat mengotomatiskan proses pengiriman data teragregasi kepada Anda secara real-time. Sebagai permulaan bagi setiap bisnis yang ingin membangun program intelijen ancaman siber (Cyberthreat Intelligence Programme) yang baik, ini merupakan keharusan mutlak. Namun, menerima data ancaman saja tidak cukup dengan sendirinya. Kemampuan untuk menyediakan wawasan orisinal berdasarkan data real-time yang dapat diterjemahkan ke dalam eksekusi adalah sangat penting bagi organisasi agar dapat meningkatkan fondasi keamanan sibernya.

Dan Kaspersky memiliki konten intelijen ancaman organik yang terdiri dari kombinasi basis data global Kaspersky Security Network, pembelajaran mesin, dan pusat sumber daya manusia yang kami miliki sendiri, Tim Global Research & Analysis (GReAT).

Sebagai contoh, ancaman data Kaspersky diperkaya dengan wawasan dari para peneliti internal kami, GReAT. Ke 40+ pakar keamanan siber yang ditempatkan di seluruh dunia ini memiliki keahlian dalam aktor ancaman, memasukkan unsur-unsur intelijen ancaman taktis, teknis dan operasional untuk menyediakan konteks yang dapat ditindaklanjuti seperti nama ancaman, stempel waktu, dan alamat IP yang berasal dari sumber daya web yang terinfeksi. Bersama-sama, mereka dapat menjawab pertanyaan siapa, apa dan bagaimana yang mengarah pada identifikasi musuh Anda, memungkinkan Anda untuk membangun keputusan tepat waktu secara spesifik bagi organisasi.

Memiliki akses ke tren keamanan siber terbaru dapat memungkinkan organisasi Anda membuat keputusan strategis yang lebih tepat. Pelaporan Intelijen APT kami dapat membantu Anda memahami apa saja jenis ancaman mutakhir secara komprehensif dan praktis, serta menyediakan wawasan tentang APT non-publik yang pada umumnya tidak tersedia secara luas.

Walaupun contoh di atas hanyalah beberapa dari solusi yang kami tawarkan, mereka merupakan permulaan yang baik bagi siapa pun yang ingin membangun program intelijen ancaman dunia siber. Ketika ancaman siber terus berevolusi, demikian juga dengan fungsi intelijen ancaman. Penyelamat bagi organisasi mana pun, adalah mereka yang memiliki kemampuan mengintegrasikan intelijen strategis, taktis, operasional dan teknis dengan tepat dan memungkinkan untuk membangun lingkungan keamanan siber lebih aman dan pertahanan terhadap ancaman di masa depan.(*)

Ditulis oleh Yeo Siang Tiong, General Manager untuk Asia Tenggara di Kaspersky