Cyberthreat.id - Menemukan pelaku ancaman sebelum mereka menemukan Anda adalah kunci memperkuat pertahanan dunia maya Anda. Cara melakukannya secara efisien dan efektif bukanlah tugas kecil, namun bukan berarti tidak bisa.  Hanya Anda perlu sedikit investasi waktu, Anda dapat menguasai perburuan ancaman dan menghemat miliaran rupiah bagi organisasi Anda.

Cybersecurity Ventures memperkirakan bahwa kejahatan dunia maya akan merugikan ekonomi global sebesar $10,5 triliun pada tahun 2025. Mengukur jumlah ini sebagai sebuah negara, kerugian kejahatan dunia maya sama dengan ekonomi terbesar ketiga di dunia setelah AS dan China. Namun dengan perburuan ancaman yang efektif, Anda dapat mencegah pelaku jahat mendatangkan malapetaka pada organisasi Anda.

Artikel dari The Hacker News ini menawarkan penjelasan mendetail tentang perburuan ancaman – apa itu, bagaimana melakukannya secara menyeluruh dan efektif, dan bagaimana intelijen ancaman siber (CTI) dapat mendukung upaya perburuan ancaman Anda.

Apa itu berburu ancaman?#

Perburuan ancaman dunia maya mengumpulkan bukti bahwa ancaman terwujud. Ini adalah proses berkelanjutan yang membantu Anda menemukan ancaman yang menimbulkan risiko paling signifikan bagi organisasi Anda dan memberdayakan tim Anda untuk menghentikannya sebelum serangan diluncurkan.

Perburuan ancaman dalam enam bagian#

Sepanjang perburuan, perencanaan yang cermat dan perhatian terhadap detail sangat penting, serta memastikan semua anggota tim mengikuti rencana yang sama. Untuk menjaga efisiensi, dokumentasikan setiap langkah sehingga orang lain di tim Anda dapat dengan mudah mengulangi proses yang sama.

1 — Mengatur perburuan.#

Pastikan tim Anda siap dan tertata dengan menginventarisasi aset penting Anda, termasuk titik akhir, server, aplikasi, dan layanan. Langkah ini membantu Anda memahami apa yang ingin Anda lindungi dan ancaman yang paling rentan. Selanjutnya, tentukan lokasi setiap aset, siapa yang memiliki akses, dan bagaimana penyediaan akses dilakukan.

Terakhir, tentukan kebutuhan intelijen prioritas (PIR) Anda dengan mengajukan pertanyaan tentang potensi ancaman berdasarkan lingkungan dan infrastruktur organisasi Anda. Misalnya, jika Anda memiliki tenaga kerja jarak jauh atau hibrida, pertanyaan seperti itu mungkin mencakup:

• Terhadap ancaman apa perangkat jarak jauh paling rentan?
• Bukti apa yang akan ditinggalkan oleh ancaman-ancaman itu?
• Bagaimana kita menentukan apakah seorang karyawan dikompromikan?

2 — Rencanakan perburuan.#

Pada fase ini, Anda akan mengatur parameter yang diperlukan melalui berikut ini:

• Nyatakan tujuan Anda – termasuk mengapa perburuan diperlukan dan ancaman apa yang harus Anda fokuskan, sebagaimana ditentukan oleh PIR Anda. (Misalnya, tenaga kerja jarak jauh mungkin lebih rentan terhadap serangan phishing dengan model BYOD).
• Tentukan ruang lingkup - identifikasi asumsi Anda dan nyatakan hipotesis Anda berdasarkan apa yang Anda ketahui. Anda dapat mempersempit ruang lingkup Anda dengan memahami bukti apa yang akan muncul jika ancaman yang Anda cari diluncurkan.
• Pahami batasan Anda, seperti kumpulan data apa yang dapat Anda akses, sumber daya apa yang harus Anda analisis, dan berapa banyak waktu yang Anda miliki.
• Tetapkan kerangka waktu dengan tenggat waktu yang realistis.
• Tentukan lingkungan mana yang akan dikecualikan, dan cari hubungan kontraktual yang dapat mencegah Anda melakukan perburuan dalam pengaturan tertentu.
• Pahami batasan hukum dan peraturan yang harus Anda ikuti. (Anda tidak bisa melanggar hukum, bahkan saat berburu orang jahat).

3 — Gunakan alat yang tepat untuk pekerjaan itu.#

Ada banyak alat untuk berburu ancaman, bergantung pada inventaris dan hipotesis aset Anda. Misalnya, jika Anda mencari potensi penyusupan, SIEM dan alat investigasi dapat membantu Anda meninjau log dan menentukan apakah ada kebocoran. Berikut adalah contoh daftar opsi yang dapat meningkatkan efisiensi perburuan ancaman secara signifikan:

• Intelijen ancaman – khususnya, umpan otomatis dan portal investigasi yang mengambil intelijen ancaman dari web yang dalam dan gelap
• Mesin pencari dan laba-laba web
• Informasi dari keamanan siber dan vendor antivirus
• sumber daya pemerintah
• Media publik – blog keamanan siber, situs berita online, dan majalah
• SIEM, SOAR, alat investigasi, dan alat OSINT

4 — Jalankan perburuan.#

Saat mengeksekusi perburuan, yang terbaik adalah tetap sederhana. Ikuti rencana Anda poin demi poin untuk tetap berada di jalur dan menghindari pengalihan dan gangguan. Eksekusi berlangsung dalam empat fase:

• Kumpulkan: ini adalah bagian perburuan ancaman yang paling padat karya, terutama jika Anda menggunakan metode manual untuk mengumpulkan informasi ancaman.
• Proses: kompilasi data dan proses dalam format yang terorganisir dan dapat dibaca untuk dipahami oleh analis ancaman lainnya.
• Analisis: tentukan apa yang diungkapkan temuan Anda.
• Kesimpulan: jika Anda menemukan ancaman, apakah Anda memiliki data untuk mendukung tingkat keparahannya?

5 — Menyimpulkan dan mengevaluasi perburuan.#

Mengevaluasi pekerjaan Anda sebelum memulai perburuan berikutnya sangat penting untuk membantu Anda berkembang seiring berjalannya waktu. Di bawah ini adalah beberapa pertanyaan yang perlu dipertimbangkan dalam fase ini:

• Apakah hipotesis yang dipilih sesuai dengan perburuan?
• Apakah cakupannya cukup sempit?
• Apakah Anda mengumpulkan intelijen yang membantu, atau dapatkah beberapa proses dilakukan secara berbeda?
• Apakah Anda memiliki alat yang tepat?
• Apakah semua orang mengikuti rencana dan prosesnya?
• Apakah kepemimpinan merasa diberdayakan untuk menjawab pertanyaan di sepanjang jalan, dan apakah mereka memiliki akses ke semua informasi yang dibutuhkan?

6 — Laporkan dan tindak lanjuti temuanmu.#

Di akhir pencarian, Anda dapat melihat apakah data Anda mendukung hipotesis Anda – dan jika ya, Anda akan memberi tahu tim keamanan siber dan respons insiden. Jika tidak ada bukti masalah tertentu, Anda harus mengevaluasi sumber daya dan memastikan tidak ada celah dalam analisis data. Misalnya, Anda mungkin menyadari bahwa Anda meninjau log Anda untuk mengetahui adanya penyusupan, tetapi tidak memeriksa data yang bocor di web gelap.

Tingkatkan perburuan ancaman ke level berikutnya dengan CTI#

CTI dapat menjadi komponen yang efektif dari program perburuan ancaman Anda, terutama ketika data intelijen ancaman komprehensif dan menyertakan konteks bisnis dan relevansinya dengan organisasi Anda. Cybersixgill menghilangkan penghalang akses ke sumber CTI yang paling berharga dan menyediakan kemampuan investigasi mendalam untuk membantu tim Anda mencari potensi ancaman dunia maya dengan prioritas tertinggi.

Portal investigasi kami memungkinkan Anda untuk menyusun, mengelola, dan memantau inventaris aset lengkap Anda di web yang dalam, gelap, dan bersih. Kecerdasan ini membantu Anda mengidentifikasi potensi risiko dan paparan, memahami jalur serangan potensial, dan TTP pelaku ancaman untuk secara proaktif mengekspos dan mencegah serangan dunia maya yang muncul sebelum dijadikan senjata.[]