Apakah Lingkungan Aman Jika Tidak Ada Alarm?
Jika jaringan organisasi tampak tenang dan tidak ada alarm keamanan yang berbunyi, apakah itu berarti lingkungan tersebut bebas dari ancaman? Jawabannya, seperti yang diketahui tim Security Operations Center (SOC), adalah tidak. Tidak ada jaminan bahwa penyerang belum berhasil menyusup atau bahwa tidak ada kerentanan yang belum ditemukan.
Inilah mengapa SOC harus memiliki kemampuan untuk melakukan threat hunting. Dengan threat hunting, tim keamanan dapat mengambil inisiatif untuk mencari aktivitas berisiko sebelum suatu insiden teridentifikasi atau penyelidikan dimulai. Jika mereka menemukan ancaman yang kredibel, itu mengungkap titik buta dalam visibilitas SOC terhadap infrastruktur TI organisasi. Ini berarti ada kelemahan dalam pertahanan yang tidak terdeteksi, dan serangan mungkin sudah berlangsung.
Ancaman Bisa Berasal dari Dalam dan Luar Organisasi
Penyerang dari luar memiliki berbagai cara untuk mendapatkan akses sah ke sistem dan data. Teknik seperti phishing dapat dengan mudah menjadikan karyawan yang terpercaya sebagai insider yang dikompromikan, menciptakan risiko serius bagi organisasi.
Penelitian menunjukkan bahwa 68% pelanggaran keamanan melibatkan unsur manusia yang tidak disengaja, seperti kesalahan tim atau serangan rekayasa sosial. Dalam kasus ini, karyawan tanpa sadar membantu penyerang bergerak di dalam jaringan dan mencuri data.
Namun, ada juga ancaman dari dalam organisasi yang lebih berbahaya—orang dalam yang sengaja menyalahgunakan akses mereka. Motivasinya bisa beragam, seperti ketidakpuasan kerja, tawaran dari pesaing, atau bahkan suap dari pihak ketiga.
Keterbatasan IoAs dan IoCs dalam Threat Hunting
Threat hunting konvensional sering kali bergantung pada indikator serangan (Indicators of Attack/IoAs) dan indikator kompromi (Indicators of Compromise/IoCs) seperti alamat IP, hash file, dan nama domain. Meskipun ini berguna dalam mendeteksi ancaman eksternal, mereka tidak cukup efektif dalam mengidentifikasi ancaman dari dalam, terutama ketika pelaku menggunakan kredensial sah.
Selain itu, IoAs dan IoCs sering kali hanya muncul setelah serangan terjadi. Mereka tidak mampu mengidentifikasi aktivitas mencurigakan yang terjadi sebelum serangan, yang berarti kerusakan mungkin sudah terjadi sebelum ancaman ditemukan.
Banyak organisasi juga bergantung pada mesin korelasi dengan ribuan aturan deteksi ancaman. Namun, dengan volume data yang besar dari berbagai sumber seperti endpoint, firewall, dan lalu lintas web, SOC sering kali kewalahan oleh banyaknya peringatan. Akibatnya, mereka mungkin menonaktifkan sebagian besar aturan korelasi, yang dapat menyebabkan ancaman tak terdeteksi.
Pendekatan yang Lebih Baik: Fokus pada TTPs
Agar threat hunting lebih efektif, analis harus melampaui IoAs dan IoCs dengan mengidentifikasi taktik, teknik, dan prosedur (TTPs) yang digunakan oleh penyerang.
TTPs mewakili tingkat yang lebih tinggi dalam Pyramid of Pain dan berfokus pada pola perilaku pelaku ancaman. Dengan mendeteksi TTPs, SOC dapat lebih proaktif dalam memburu ancaman dan memahami bagaimana serangan dilakukan.
MITRE ATT&CK® adalah framework yang menghubungkan TTPs dengan perilaku spesifik penyerang, membantu analis mengenali pola serangan dan menghentikannya sebelum terjadi kerusakan lebih lanjut. Begitu metode penyerang terdeteksi, mereka dipaksa untuk mengubah strategi mereka, yang meningkatkan ketahanan keamanan organisasi.
Solusi Teknologi untuk Meningkatkan Threat Hunting
Untuk mendukung threat hunting yang lebih canggih, organisasi membutuhkan dua kemampuan utama:
- SIEM Modern
Sistem Security Information and Event Management (SIEM) mengumpulkan data dari seluruh organisasi, menyederhanakan peringatan, dan memberikan wawasan mendalam bagi analis untuk melakukan threat hunting dengan lebih efisien.
2. User and Entity Behavior Analytics (UEBA)
Teknologi ini menggunakan machine learning untuk membangun pola aktivitas normal dalam organisasi. Jika ada perilaku yang menyimpang dari norma—bahkan jika berasal dari pengguna atau perangkat dengan kredensial sah—sistem akan secara otomatis menandainya sebagai potensi ancaman.
Kombinasi SIEM dan UEBA memberikan dasar yang kuat untuk mendeteksi anomali, mengidentifikasi TTPs, dan memperkuat program threat hunting organisasi. Dengan pendekatan yang lebih proaktif ini, SOC dapat meningkatkan visibilitas, mempercepat respons, dan memperkuat keamanan siber perusahaan.
Hubungi LogRhythm Indonesia untuk memberikan solusi lebih lanjut terkait dengan Keamanan siber di Perusahaan anda.
