Apakah Lingkungan Bebas Ancaman Jika Jaringan Tidak Ada Alarm?
Jika jaringan organisasi tampak tenang dan tidak ada alarm yang berbunyi, apakah itu berarti lingkungan bebas ancaman? Jawabannya, seperti yang diketahui oleh tim Security Operations Center (SOC), adalah tidak. Analis keamanan tidak pernah bisa sepenuhnya yakin bahwa penyerang tidak berhasil melewati deteksi atau bahwa tidak ada kerentanan yang belum diketahui.
Inilah alasan mengapa SOC perlu diberdayakan untuk melakukan threat hunting. Threat hunting memungkinkan tim keamanan mengambil inisiatif dengan mencari aktivitas berisiko bahkan sebelum insiden teridentifikasi atau penyelidikan dimulai. Jika ancaman yang kredibel ditemukan, ini menunjukkan adanya blind spot dalam visibilitas SOC terhadap infrastruktur TI organisasi. Hal ini berarti ada penyusup atau kelemahan dalam pertahanan yang tidak terdeteksi, dan serangan mungkin sudah berlangsung.
Situasi ini menekankan pentingnya threat hunting sebagai strategi keamanan. Tidak semua perilaku mencurigakan atau berbahaya mudah dikenali; sering kali, penyerang menggunakan kredensial yang valid untuk mengakses data tanpa memicu peringatan apa pun.
Meskipun threat hunting sangat penting, melakukannya dengan baik adalah tantangan besar. Dibutuhkan keahlian, alat yang tepat, dan pendekatan proaktif untuk mendeteksi ancaman yang tersembunyi dan menjaga keamanan organisasi.
Ancaman Bisa Berasal dari Dalam dan Luar Organisasi
Penyerang dari luar organisasi memiliki banyak cara untuk mendapatkan akses sah ke data dan sistem. Penipuan seperti phishing dapat dengan mudah mengubah karyawan yang dipercaya menjadi orang dalam yang terkompromi, menciptakan masalah serius bagi organisasi.
Penelitian menunjukkan bahwa 68% pelanggaran keamanan melibatkan elemen manusia yang tidak disengaja, seperti anggota tim yang melakukan kesalahan atau menjadi korban serangan rekayasa sosial (social engineering). Dalam situasi ini, karyawan tanpa sadar menjadi kaki tangan penyerang, membantu mereka bergerak di dalam jaringan (lateral movement) dan mencuri data.
Selain itu, ada penyerang yang memang sudah memiliki kredensial sah karena organisasi mempercayai mereka. Dari berbagai jenis ancaman orang dalam, insider yang berbahaya (malicious insiders) adalah yang paling sulit dideteksi dan berbahaya.
Dengan berbagai alasan—dendam terhadap atasan, tawaran pekerjaan baru dari pesaing, atau suap dari penjahat—seseorang mungkin dengan sengaja menyalahgunakan akses mereka untuk mencuri, mengubah, atau menghancurkan data.
Pertanyaannya adalah: bagaimana mereka bisa ditangkap?
Mengidentifikasi dan menghentikan ancaman dari dalam membutuhkan pengawasan ketat, alat pemantauan yang canggih, dan kebijakan keamanan yang komprehensif. Menjaga kepercayaan dalam organisasi harus diimbangi dengan langkah-langkah pencegahan yang memastikan data tetap aman dari ancaman apa pun, baik dari dalam maupun luar.
Untuk Threat Hunters, IoA dan IoC Konvensional Tidak Cukup
Threat hunting tradisional sering kali tidak cukup efektif dalam mendeteksi ancaman dari dalam (insider threats) dengan cepat dan akurat. Hal ini disebabkan karena threat hunting tradisional didasarkan pada indikator serangan (IoA) dan indikator kompromi (IoC) dasar, seperti nilai hash, alamat IP, dan nama domain. Meskipun indikator ini dapat memberikan wawasan tentang ancaman eksternal, mereka terbatas dalam mengidentifikasi ancaman dari pengguna yang tampaknya terpercaya (insider threats).
IoA dan IoC biasanya hanya terlihat setelah serangan sudah berlangsung. Mereka jarang dapat mengidentifikasi aktivitas dan perilaku yang terjadi sebelum serangan, yang berarti kerusakan bisa saja sudah terjadi. Inilah alasan mengapa IoA dan IoC dasar, seperti hash, alamat IP, nama domain, serta artefak jaringan dan host, termasuk dalam lapisan bawah model Pyramid of Pain yang terkenal.
Tantangan dalam Threat Hunting yang Efektif
Threat hunting yang efektif menghadapi hambatan lebih lanjut karena banyak organisasi bergantung pada mesin korelasi dengan ribuan aturan untuk deteksi ancaman. Ketika log mencakup data dari titik akhir, firewall, lalu lintas web, dan alat dari berbagai vendor, ini menciptakan banyak “noise” yang bisa mengalihkan perhatian analis dan menyamarkan aktivitas penyerang.
Untuk mengelola lonjakan peringatan ini, tim keamanan sering kali menonaktifkan sebagian besar aturan mesin korelasi mereka. Namun, keputusan ini dapat memungkinkan anomali dan ancaman yang tidak diketahui terlewatkan dan tidak terdeteksi.
Threat Hunters Harus Beralih ke Lapisan Atas Pyramid of Pain
Bagaimana analis dapat bergerak lebih jauh dari IoA dan IoC dasar untuk mendeteksi tanda-tanda awal serangan atau mendeteksi niat penyerang? Kuncinya adalah untuk mengidentifikasi taktik, teknik, dan prosedur (TTPs).
TTPs mewakili lapisan yang lebih tinggi dalam model Pyramid of Pain dan melibatkan indikator yang lebih kompleks berbasis perilaku. Ketika analis dapat mendeteksi TTPs, ini sejalan dengan praktik terbaik dalam threat hunting. Sebagai contoh, MITRE ATT&CK® menghubungkan TTPs dengan perilaku spesifik dari penyerang.
Mengidentifikasi dan mengintersepsi TTP penyerang tidak hanya membantu mencegah serangan yang sedang berlangsung, tetapi juga memaksa penyerang untuk memikirkan ulang strategi mereka. Begitu metode mereka terdeteksi, mereka tidak bisa lagi menghindari pengawasan. Ini menjadikan TTPs sebagai garis pertahanan yang penting bagi organisasi.
Dua Kemampuan Kritis untuk Deteksi Ancaman Lanjutan
Ada dua kemampuan penting untuk deteksi ancaman lanjutan. Yang pertama adalah solusi security information and event management (SIEM) modern yang mengumpulkan data di seluruh organisasi, menyederhanakan peringatan, dan memusatkan upaya threat hunting analis.
Yang kedua adalah user and entity behavior analytics (UEBA), yang menggunakan machine learning untuk menetapkan garis dasar aktivitas normal dalam organisasi. Dengan demikian, UEBA dapat secara otomatis menandai perilaku yang tidak biasa, meskipun berasal dari pengguna atau perangkat yang terpercaya dengan kredensial yang sah.
