Bayangkan Memiliki Tim Profesional Keamanan Siber yang Didedikasikan Khusus untuk Pemburuan Ancaman dalam Perusahaan
Bagi sebagian besar CISO dan Security Operations Centers (SOCs), hal ini masih merupakan impian daripada kenyataan. Kenyataannya, keamanan siber tidak menghasilkan pendapatan, sehingga CEO sering kali melihatnya sebagai pusat biaya. Peran Keamanan Informasi adalah untuk mencegah kerugian. Sebagai hasilnya, banyak SOC yang harus beroperasi dengan sumber daya minimal yang diperlukan untuk berfungsi.
Karena sebagian besar pengambil keputusan dan analis keamanan harus menggabungkan pemburuan ancaman dengan tugas rutin mereka, pertanyaan penting yang muncul adalah: bagaimana melakukannya dengan cara yang paling efisien dan efektif?
Berikut beberapa langkah yang dapat diambil untuk meningkatkan efektivitas pemburuan ancaman dalam organisasi yang memiliki keterbatasan sumber daya:
- Mengutamakan Prioritas Berdasarkan Risiko
Dengan sumber daya yang terbatas, penting untuk mengidentifikasi dan memprioritaskan ancaman berdasarkan tingkat risikonya. Fokuskan pemburuan ancaman pada area yang paling rentan atau paling kritis bagi organisasi.
- Automatisasi untuk Efisiensi
Menggunakan alat otomatisasi untuk menangani tugas-tugas rutin dan deteksi ancaman awal dapat mengurangi beban kerja tim dan mempercepat proses. Dengan demikian, analis dapat lebih fokus pada investigasi yang lebih mendalam dan serangan yang lebih kompleks.
- Menggunakan Analitik Canggih dan AI
Pemanfaatan teknologi analitik berbasis kecerdasan buatan (AI) dan pembelajaran mesin (ML) dapat membantu tim menemukan pola yang mencurigakan dan potensi ancaman dengan lebih cepat. AI dapat mengidentifikasi potensi risiko yang tersembunyi dalam jumlah data besar, mengurangi waktu yang dibutuhkan untuk menemukan ancaman.
- Kolaborasi dan Pembagian Pengetahuan
Mengoptimalkan kolaborasi antar tim dan membagikan wawasan secara efisien antara SOC, tim insiden, dan tim keamanan aplikasi akan mempercepat respons terhadap ancaman. Semakin banyak tim bekerja bersama, semakin cepat ancaman dapat dikenali dan ditanggapi.
- Pendidikan dan Pelatihan Berkelanjutan
Pemburuan ancaman yang efektif bergantung pada keterampilan tim yang terus berkembang. Melakukan pelatihan berkala dan simulasi ancaman dapat membantu tim tetap tajam dan siap menghadapi ancaman yang semakin canggih.
Meskipun memiliki tim pemburu ancaman yang berdedikasi penuh adalah tujuan ideal, dengan penerapan strategi yang efisien dan teknologi yang tepat, organisasi dapat mengoptimalkan sumber daya yang ada dan memperkuat pertahanan mereka terhadap ancaman siber.
Pemburuan Ancaman yang Kuat Harus Dimulai dengan SIEM yang Kuat
Salah satu hambatan terbesar dalam pemburuan ancaman yang sukses di Security Operations Center (SOC) adalah kurangnya proses yang distandarisasi dan terdokumentasi dengan baik. Jika selusin analis mengakses data dengan cara yang berbeda—atau menulis kode mereka sendiri dan membangun alat kustom—mereka akan mencapai kesimpulan yang berbeda meskipun sedang menyelidiki insiden yang sama. Kekurangan konsistensi dan keberulangan ini bisa menjadi bahaya nyata bagi program pemburuan ancaman yang efektif.
Untuk mengatasi masalah ini, investasi dalam sistem Security Information and Event Management (SIEM) yang modern dan netral terhadap vendor sangat penting. Sistem SIEM yang baik dapat mengagregasi data dari seluruh lingkungan, memberikan wawasan yang lebih lengkap dan terintegrasi. Serangan yang paling canggih biasanya tidak berasal dari satu insiden saja, melainkan melibatkan serangkaian tindakan seiring waktu, dan melacak timeline ini sangat krusial.
Pemburuan ancaman di lingkungan yang terisolasi, seperti Endpoint Detection and Response (EDR), VPN, atau firewall, tidak memberikan visibilitas atau nilai yang dibutuhkan oleh pemburu ancaman saat ini. Untuk infrastruktur yang kompleks dan saling terhubung, SIEM yang mampu menyerap semua log menjadi fondasi yang mendukung pemburuan ancaman yang efektif. Dengan SIEM yang tepat, tim keamanan dapat memantau dan menganalisis seluruh rentang aktivitas, dari permulaan serangan hingga dampaknya, dan mengidentifikasi ancaman yang lebih besar yang tersembunyi di balik serangkaian kejadian.
Setiap Celah yang Ditemukan Adalah Peluang untuk Keamanan yang Lebih Kuat
Jika visibilitas dan keberulangan adalah hal yang penting untuk program pemburuan ancaman yang tangguh, jelas mengapa solusi SIEM yang canggih adalah suatu keharusan. Namun, Security Operations Center (SOC) perlu melangkah lebih jauh dengan memahami aktivitas dan konteks yang terkait dengan pengguna dan perangkat, untuk mengidentifikasi perilaku yang tidak normal saat itu terjadi.
Seperti yang sering dikatakan dalam dunia keamanan siber, “Tidak semua aktivitas anomalous itu berbahaya, tetapi semua aktivitas berbahaya itu anomalous.” User and Entity Behavior Analytics (UEBA) dapat menambah lapisan kuat di atas SIEM. Dengan menggunakan pembelajaran mesin (machine learning), UEBA membangun garis dasar aktivitas normal dan menandai tindakan yang menyimpang darinya.
Alat-alat ini memberikan SOC kemampuan yang lebih besar untuk mendeteksi ancaman dalam lingkungan mereka. Yang lebih penting, ketika mereka membantu analis menemukan aktivitas mencurigakan, alat ini juga mengungkapkan kelemahan dalam pertahanan yang ada, yang memungkinkan pihak adversarial untuk lolos dari celah-celah yang ada.
Salah satu tujuan utama dari program pemburuan ancaman adalah mengidentifikasi celah-celah dalam tumpukan keamanan. Setiap pemburuan ancaman yang positif—meskipun itu adalah false positive—menyoroti anomali yang tidak terdeteksi oleh sistem dan proses SOC. Hal ini memungkinkan analis untuk menerapkan alat atau proses baru untuk menutup celah-celah ini dan memperkuat postur keamanan organisasi. Namun, untuk menciptakan perubahan yang berarti, pihak lain di luar SOC perlu terlibat.
Kerja Sama dan Koordinasi di Seluruh Bisnis Sangat Penting
Tidak ada gunanya mengidentifikasi celah keamanan jika tim tidak dapat mendapatkan persetujuan untuk menerapkan solusi yang diperlukan untuk memperbaikinya. Inilah mengapa program pemburuan ancaman terbaik memerlukan dukungan dari tingkat eksekutif. Mengkomunikasikan dampak dan urgensi pemburuan ancaman kepada pembuat keputusan bisnis adalah tugas utama bagi CISO.
Namun, dukungan eksekutif bukanlah satu-satunya kolaborasi yang harus dilakukan. SOC juga harus bekerja dengan tim lain yang dapat menyelidiki potensi ancaman berdasarkan intelijen yang dikumpulkan oleh analis. Misalnya, departemen HR bisa menjadi mitra yang berharga dalam program pemburuan ancaman yang efektif.
Program pemburuan ancaman yang canggih harus bersifat holistik dan interdisipliner. Pemangku kepentingan di luar tim keamanan perlu terlibat dan berkomitmen. Selain itu, data aktivitas dan log harus dikumpulkan dan dipantau di seluruh lingkungan untuk mendeteksi segala hal mulai dari login yang tidak biasa hingga penyisipan USB yang tidak sah. Inilah mengapa sistem seperti SIEM dan UEBA sangat penting untuk menggabungkan semua informasi ini.
Di atas segalanya, pemburuan ancaman harus konsisten dan dapat diulang, sehingga CISO dan pemimpin keamanan senior dapat mengadopsi solusi inovatif yang dapat digunakan dan dipahami oleh analis di semua tingkat. Tim keamanan harus membangun tidak hanya proses mereka, tetapi juga orang-orang mereka, dan solusi terbaik memungkinkan hal itu terjadi.
