Bayangkan Memiliki Tim Ahli Cybersecurity yang Berdedikasi untuk Threat Hunting dalam Perusahaan
Bagi sebagian besar CISO dan pusat operasi keamanan (SOC), ini lebih merupakan impian daripada kenyataan. Faktanya, keamanan siber tidak menghasilkan pendapatan, sehingga CEO sering melihatnya sebagai pusat biaya. Peran Information Security adalah mencegah kerugian. Akibatnya, banyak SOC harus beroperasi dengan sumber daya minimal yang hanya cukup untuk menjalankan fungsinya.
Karena sebagian besar pengambil keputusan keamanan dan analis harus menggabungkan threat hunting ke dalam tugas rutin mereka, pertanyaan mendesak yang muncul adalah bagaimana melakukannya secara efisien dan efektif.
Threat Hunting yang Kuat Harus Dimulai dengan SIEM yang Kuat
Salah satu hambatan terbesar dalam threat hunting yang efektif di SOC adalah kurangnya proses yang terstandarisasi dan terdokumentasi dengan baik. Jika selusin analis melakukan kueri data dengan cara yang berbeda—atau menulis kode dan membangun alat mereka sendiri—mereka akan mencapai kesimpulan yang berbeda, bahkan saat menyelidiki insiden yang sama. Kurangnya konsistensi dan repetisi ini menjadi ancaman nyata bagi keberhasilan program threat hunting.
Untuk mengatasi masalah ini, investasi dalam sistem Security Information and Event Management (SIEM) modern yang bersifat vendor-netral sangat penting. SIEM yang canggih harus mampu mengumpulkan data dari seluruh lingkungan perusahaan. Sebagian besar serangan siber yang kompleks tidak berasal dari satu insiden tunggal, melainkan serangkaian tindakan yang terjadi dalam periode waktu tertentu, dan melacak urutan kejadian ini sangatlah penting.
Threat hunting yang hanya dilakukan dalam lingkungan yang terisolasi, seperti EDR, VPN, atau firewall, tidak memberikan visibilitas yang dibutuhkan oleh threat hunters saat ini. Dalam infrastruktur yang kompleks dan saling terhubung, SIEM yang mampu mengumpulkan semua log menjadi elemen kunci yang mendukung threat hunting yang efektif.
Setiap Celah yang Ditemukan adalah Peluang untuk Keamanan yang Lebih Baik
Jika visibilitas dan konsistensi adalah elemen penting dalam threat hunting, maka SIEM yang canggih menjadi suatu keharusan. Namun, SOC juga harus melangkah lebih jauh dengan memahami pola aktivitas dan konteks yang biasanya dikaitkan dengan pengguna serta perangkat, agar dapat mengidentifikasi perilaku abnormal saat terjadi.
Dalam dunia keamanan siber, ada pepatah:
“Tidak semua aktivitas anomali itu berbahaya, tetapi semua aktivitas berbahaya pasti bersifat anomali.”
User and Entity Behavior Analytics (UEBA) dapat menambahkan lapisan yang lebih kuat di atas SIEM. Dengan menggunakan machine learning, UEBA dapat membangun baseline aktivitas normal dan menandai tindakan yang menyimpang dari pola tersebut.
Alat-alat ini memberi SOC kemampuan lebih untuk mendeteksi ancaman dalam lingkungan perusahaan. Yang lebih penting, ketika alat ini membantu analis mengidentifikasi aktivitas mencurigakan, mereka juga mengungkap kelemahan dalam sistem keamanan yang memungkinkan ancaman melewati pertahanan perusahaan.
Salah satu tujuan utama dari threat hunting adalah menemukan celah dalam sistem keamanan. Setiap threat hunt yang berhasil—bahkan jika itu hanya false positive—mengungkapkan anomali yang tidak terdeteksi oleh sistem dan proses SOC. Ini memungkinkan analis untuk menerapkan alat atau proses baru guna menutup celah tersebut dan memperkuat postur keamanan organisasi. Namun, untuk mencapai perubahan yang berarti, kolaborasi dengan pihak di luar SOC sangat diperlukan.
Kerja Sama dan Koordinasi di Seluruh Bisnis adalah Kunci
Menemukan celah keamanan tidak ada gunanya jika tim keamanan tidak mendapat persetujuan untuk menerapkan solusi yang diperlukan untuk menutupnya. Inilah mengapa program threat hunting yang terbaik memerlukan dukungan di tingkat eksekutif. Menyampaikan urgensi dan dampak dari threat hunting kepada para pengambil keputusan bisnis adalah tugas penting bagi CISO.
Namun, dukungan eksekutif bukan satu-satunya bentuk kolaborasi yang diperlukan. SOC juga harus bekerja sama dengan tim lain yang dapat menyelidiki potensi ancaman berdasarkan intelijen yang dikumpulkan oleh analis. Departemen HR, misalnya, bisa menjadi mitra yang berharga dalam program threat hunting yang efektif.
Program threat hunting tingkat lanjut harus bersifat holistik dan lintas disiplin. Para pemangku kepentingan di luar tim keamanan perlu terlibat dan berkomitmen. Selain itu, data aktivitas dan log harus dikumpulkan serta dipantau di seluruh lingkungan perusahaan untuk mendeteksi segala sesuatu, mulai dari login yang tidak biasa hingga penyisipan USB yang tidak sah. Oleh karena itu, sistem seperti SIEM dan UEBA sangat penting untuk mengintegrasikan semua informasi ini.
Yang paling utama, threat hunting harus dilakukan secara konsisten dan dapat diulang, sehingga CISO dan pemimpin keamanan senior dapat mengadopsi solusi inovatif yang dapat digunakan dan dipahami oleh analis di semua level. Tim keamanan tidak hanya perlu membangun proses yang kuat, tetapi juga mengembangkan keterampilan personelnya. Solusi keamanan terbaik memungkinkan hal ini terjadi.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami !
