Apa itu Intelijen Ancaman?

Intelijen ancaman menggabungkan data dari berbagai sumber internal dan eksternal untuk memahami risiko siber yang ada dan muncul untuk bisnis serta memperkuat strategi pertahanan. Program intelijen ancaman yang berhasil melakukan triangulasi informasi ancaman, memfilter dan memprioritaskan ancaman berdasarkan risiko bisnis, serta memberikan umpan balik ke sistem internal dan kontrol keamanan. Intelijen ancaman adalah komponen kunci dari program keamanan siber yang matang.

Intelijen ancaman siber memunculkan ancaman saat ini dan yang muncul kepada organisasi. Dengan memahami taktik, teknik, dan prosedur lawan, organisasi dapat melawan ancaman sebelum, selama, dan setelah terjadinya peristiwa keamanan secara lebih efektif.

Program intelijen ancaman membantu organisasi membuat keputusan yang lebih efektif tentang cara mengatasi kerentanan, melakukan strategi pengujian, mengembangkan rencana respons insiden, dan memastikan keberlangsungan bisnis dalam hal terjadinya suatu peristiwa. Tim intelijen ancaman bekerja sama dengan tim risiko siber dan tim keamanan.

Sistem intelijen ancaman adalah pusat yang mengumpulkan, menganalisis, dan menghasilkan wawasan sebagai reaksi terhadap data keamanan siber. Sistem ini membantu melacak peristiwa keamanan dan menentukan aktor ancaman apa yang ada, serta melaporkan secara singkat kepada tim keamanan tentang cara merespons. Mereka sering memanfaatkan intelijen ancaman siber (CTI), yang merupakan kumpulan sumber data internal dan eksternal yang membantu memberikan konteks ke sistem.

Sistem intelijen ancaman bekerja sebagai bagian dari solusi perangkat lunak keamanan holistik. Solusi seperti AWS Security Hub sering mengintegrasikan aktivitas siklus hidup intelijen ancaman untuk manajemen terpusat.

Siklus hidup intelijen ancaman adalah proses berkelanjutan yang membutuhkan pembaruan dan peninjauan rutin.

Berikut adalah tahapan utama dari siklus hidup intelijen ancaman.

Pelingkupan lingkungan

Sebelum men-deploy program intelijen ancaman, organisasi harus menentukan sistem, data, jaringan, layanan, pengguna, dan aset organisasi lainnya. Organisasi harus mengklasifikasikan aset organisasi berdasarkan kekritisan operasional dan sensitivitas data. Dengan memahami ruang lingkup lingkungan organisasi, menjadi memungkinkan untuk memahami ancaman yang akan relevan dengan bisnis dan aset yang mungkin menjadi target yang lebih besar.

Pengumpulan data ancaman

Setelah pelingkupan selesai, langkah selanjutnya dalam siklus hidup intelijen ancaman siber adalah mengumpulkan banyak sumber data ke dalam satu sumber kebenaran pusat. Sistem intelijen ancaman akan menyerap data keamanan internal, laporan sistem, serta sumber eksternal seperti sumber terbuka waktu nyata dan umpan ancaman yang didistribusikan vendor, basis data kerentanan, serta pemantauan media sosial dan dark web.

Tahap ini bertujuan untuk menangkap data ancaman sebanyak mungkin agar dapat memperoleh informasi yang komprehensif. Penyerapan data pada tahap ini sangat otomatis, konstan, dan tidak difilter untuk ruang lingkup bisnis.

Pemrosesan data

Setelah pengumpulan data, organisasi kemudian memfilter, menyusun, menstandardisasi, memperkaya, dan mentransformasikan data untuk membuatnya berguna. Data yang tidak terstruktur ditransformasikan menjadi format yang dapat dibaca mesin, sementara data yang terstruktur dibersihkan untuk meningkatkan kualitasnya dan ditandai dengan metadata. Data yang berlebihan dan di luar cakupan dihapus. Pemrosesan harus seotomatis mungkin.

Analisis

Fase analisis mentransformasikan data intelijen ancaman menjadi wawasan yang dapat ditindaklanjuti untuk bisnis. Sistem otomatis akan mulai mengidentifikasi pola dan hubungan dalam data yang diproses untuk mencari anomali, ketidaksesuaian, atau hasil yang diselidiki tim keamanan siber lebih lanjut.

Pada tahap ini, analis data dapat menggunakan berbagai teknik canggih, seperti menerapkan machine learning dan pemodelan prediktif, untuk memetakan indikator ancaman tertentu. Proses-proses ini bersifat manual dan otomatis, didesain untuk memberikan tim keamanan wawasan yang relevan serta berguna yang menginformasikan strategi pertahanan siber.

Pelaporan

Pelaporan memberikan hasil analisis intelijen ancaman kepada pemangku kepentingan bisnis dan tim yang relevan. Laporan disesuaikan dengan audiens dan dapat mencakup dasbor terbatas, file teks, presentasi, atau bentuk komunikasi lainnya.

Tahap pelaporan sering kali otomatis, dengan sistem intelijen ancaman menghasilkan laporan dan mendistribusikannya kepada personel yang diperlukan. Kemunculan ancaman keamanan yang lebih besar dapat memicu kebutuhan untuk pelaporan manual.

Tim juga dapat melaporkan ancaman yang baru dan tidak diketahui ke komunitas yang lebih luas, sehingga organisasi lain dapat mengintegrasikan informasi ini dalam sistem mereka sendiri.

Pemantauan dan penyesuaian

Sistem intelijen ancaman memantau potensi masalah keamanan, melacak IOC, dan membantu mendukung tim keamanan. Sistem intelijen ancaman adalah perangkat lunak kunci dalam pusat operasi keamanan (SOC) 7x24 jam.

Selama analisis, tim dapat melacak indikator penyusupan (IOC) yang terkait dengan potensi peristiwa keamanan untuk mengembangkan rencana dan pedoman respons insiden, men-deploy kontrol keamanan yang baru atau disesuaikan, membuat perubahan arsitektur sistem, serta memperbarui risiko pada bisnis. Respons berbasis informasi ini memastikan postur keamanan perusahaan tetap tidak tersusupi.

Tim harus belajar dari peristiwa keamanan yang tidak terduga dan informasi baru untuk kemudian mengiterasi serta meningkatkan performa sebelumnya. Tim keamanan dapat meninjau performa alat keamanan, mengomentari respons, dan menandai inkonsistensi untuk membantu perangkat lunak intelijen ancaman terus menjadi lebih baik.

Fitur program intelijen ancaman siber bergantung pada kompleksitas lingkungan bisnis, persyaratan data sensitif, dan kewajiban kepatuhan. Berikut adalah beberapa fitur program intelijen ancaman yang paling umum.

Umpan data

Umpan data mengacu pada semua sumber informasi yang diandalkan platform intelijen ancaman untuk menyampaikan wawasannya. Layanan intelijen ancaman ini adalah komponen inti dari program intelijen ancaman.

Sumber umpan data eksternal termasuk intelijen sumber terbuka waktu nyata (OSINT), umpan ancaman publik, dan informasi yang disediakan oleh lembaga keamanan siber pemerintah. Sumber umpan data internal termasuk log firewall, perilaku akses pengguna, peringatan sistem deteksi intrusi (IDS), log titik akhir, dan telemetri layanan cloud.

Teknologi

Intelijen ancaman mengacu pada beberapa teknologi yang bekerja secara harmonis untuk menyampaikan data, menganalisis informasi, dan memberikan wawasan yang dapat ditindaklanjuti bagi tim keamanan. Misalnya, beberapa perangkat lunak intelijen ancaman membantu menyerap dan mengatur data, serta berbagi wawasan secara langsung dengan tim keamanan ketika mereka perlu mengambil tindakan.

Teknologi analitik sangat penting dalam menemukan pola dan anomali dalam data yang membantu menandai potensi peristiwa keamanan. Kemampuan analitik intelijen ancaman siber mengacu pada teknologi apa pun yang digunakan tim untuk meningkatkan kejelasan, presisi, dan kedalaman data. Kemampuan ini termasuk analisis machine learning, algoritma prediktif, dan analitik perilaku.

Sistem manajemen informasi dan peristiwa (SIEM) mengorelasikan data log keamanan internal dengan informasi peristiwa untuk menawarkan wawasan waktu nyata tentang bagaimana ancaman yang muncul dapat memengaruhi bisnis Anda. Beberapa perusahaan juga menyematkan peringatan dalam aplikasi ke dalam produk yang dimiliki, yang akan memberi developer konteks tambahan terkait potensi bug saat mengerjakan aspek-aspek tertentu.

Kerangka Kerja

Kerangka kerja yang mencakup intelijen ancaman menawarkan struktur standar untuk diikuti organisasi. Kerangka kerja ini sangat dihargai serta diperbarui secara berkala untuk menyertakan panduan deskriptif dan preskriptif untuk organisasi. Kerangka kerja keamanan siber yang berfokus pada intelijen ancaman adalah kerangka kerja MITRE ATT&CK dan Cyber Kill Chain. Kedua kerangka kerja ini menyertakan cara untuk menangani taktik, vektor standar, dan IOC.

Aktivitas

Sistem intelijen ancaman siber terlibat dalam sejumlah kegiatan aktivitas menghasilkan wawasan dan meningkatkan kemampuannya. Misalnya, sistem ini dapat melakukan penilaian risiko waktu nyata, melakukan patching pada kerentanan yang diketahui dengan pembaruan, merespons insiden dengan umpan balik, dan menawarkan pakar keamanan siber wawasan tentang peristiwa yang harus mereka prioritaskan.

Ada empat tipe utama dari intelijen ancaman siber yang akan digunakan oleh para profesional keamanan.

Intelijen ancaman strategis

Intelijen ancaman strategis mengacu pada informasi lanskap ancaman yang lebih luas yang dikumpulkan sistem, termasuk data geopolitik, data ekonomi, dan intelijen nonteknis lainnya yang dapat berguna dalam membangun profil kontekstual dari potensi peristiwa keamanan. Tipe intelijen ancaman strategis nonteknis ini memberikan wawasan berharga yang membantu dalam memahami kerentanan keamanan yang lebih luas dan perkembangannya.

Intelijen ancaman taktis

Intelijen ancaman taktis mengacu pada pengumpulan informasi yang berkaitan dengan taktik, teknik, dan prosedur (TTP) lawan, termasuk TTP dari ancaman persisten tingkat lanjut (APT). Data intel di seluruh industri dibagikan di umpan keamanan publik. Informasi ini memberi para profesional keamanan pemahaman tentang perilaku khas serangan tertentu, vektor yang digunakan, dan urutan tindakan yang terjadi dalam setiap peristiwa keamanan tertentu.

Intelijen ancaman teknis

Intelijen ancaman teknis mengacu pada tanda-tanda penyusupan yang diidentifikasi mesin. IOC ini, seperti keberadaan alamat IP berbahaya, URL keamanan tidak terduga, respons firewall, atau perubahan mendadak dalam nilai operasional yang diharapkan dari suatu sistem, semuanya akan ditandai untuk tim agar dapat menyelidiki lebih lanjut.

Intelijen ancaman operasional

Intelijen ancaman operasional adalah bentuk gabungan intelijen antara informasi taktis dan teknis. Bentuk intelijen operasional ini akan menawarkan wawasan tentang pengetahuan di seluruh industri, seperti bagaimana bentuk spesifik ransomware atau malware makin terlihat di perusahaan atau wilayah tertentu. Intelijen ancaman operasional memungkinkan perusahaan mengambil langkah-langkah untuk memitigasi potensi peristiwa keamanan sebelum terjadi.

AWS Cloud Security membantu mengamankan lingkungan cloud Anda dengan integrasi intelijen ancaman khusus, otomatisasi, dan visualisasi. AWS Cloud Security membantu mengidentifikasi potensi risiko, melindungi infrastruktur dengan mengadopsi langkah-langkah perlindungan data, memantau postur keamanan untuk mendeteksi peristiwa tidak terduga, dan bahkan merespons insiden secara langsung.

AWS Security Hub memprioritaskan masalah keamanan kritis dan membantu merespons dalam skala besar untuk melindungi lingkungan Anda. Layanan ini menyediakan intel ancaman, mendeteksi masalah kritis dengan mengorelasikan dan memperkaya sinyal menjadi wawasan yang dapat ditindaklanjuti, sehingga memungkinkan respons yang efisien.

Mulai intelijen ancaman di AWS dengan membuat akun gratis sekarang.