Jakarta, Cyberthreat.id -Sekretaris Indonesia Cyber Security Forum (ICSF), Satriyo Wibowo mempertanyakan ada tidaknya threat hunter di Tokopedia. Jika ada, Satrio mempertanyakan kinerjanya. Sebab, kebocoran 91 juta data pengguna seharusnya sudah diketahui dari awal jika threat hunter-nya bekerja

“Saya enggak yakin mereka [Tokopedia] punya threat hunter ya. Harusnya [ada], levelnya unicorn. Tetapi, threat hunter ini spesial orangnya, agak-agak jarang, yang banyak itu pentest,” kata dia kepada Cyberthreat.id pada Jumat (15 Mei 2020).

Satriyo mengatakan, jika memang Tokopedia memiliki threat hunter maka sebelum isu kebocoran data ini meledak, harusnya sudah diketahui oleh threat hunter-nya bahwa adanya pencurian data dari sistem jaringan Tokopedia. Ia pun mempertanyakan apakah memang threat hunter tidak menemukan hal itu sehingga ada gap hingga dua bulan sampai ketahuan adanya pelanggaran data.

“Kalau [threat hunter] nemu duluan dengan jumlah data sebanyak itu harusnya ada report ke Aparat Penegak Hukum (APH) dan pengawas sebelum meledak isunya. Itu dia [kemungkinan malah tahunya pas isunya meledak]. Kalau threat hunter-nya jago, pasti ketahuan data itu keluar. Berapa giga lho,” ujar Satriyo.

Sekadar informasi, threat hunter adalah orang yang ditugaskan secara proaktif mencari ancaman serangan yang masuk ke sistem jaringan. Kata Satriyo, threat hunter yang mencari apakah sudah ada serangan, malware, spyware yang masuk, tanpa diketahui, tanpa menimbulkan notifikasi. Secara level kemampuan, ini lebih tinggi dari incident response.

“Threat hunter itu level paling tingginya di security operation center (SOC) ya, level 3 itu. Enggak banyak ya teman-teman di sini yang punya kemampuan itu. Threat hunter tanggung jawabnya masuk ke dalam memeriksa anomali, memeriksa threat, memeriksa jaringan, apakah ada anomali-anomali yang sudah ditetapkan sebelumnya gitu. Anomali itu sebelumnya dia [threat hunter] sudah melakukan assessment terhadap sistem dan dia [threat hunter] bikin basenya, oke base saya di sini, kalau seumpama terjadi anomali terhadap base ini saya curiga ada sesuatu.” kata Satriyo dalam webinar bersama Loophole Academy pada Jumat (15 Mei 2020).

Satriyo memberikan contoh anomali yang dimaksud.

"Seperti adanya akses pada jam 12 malam, atau adanya akses yang rutin di jam 2 pagi, dan kemudian ada orang yang akses padahal keberadaan atau lokasinya tidak di Jakarta. Kemudian ada akses ke alamat URL yang aneh, jadi ada URLnya yang panjang, nah itu, patut dicurigai apakah sudah ada bot di dalam sistem yang mencoba melakukan komunikasi server C2 atau command and control yang diarahkan oleh pelaku," katanya.

“Nah bisa jadi berubah terus, itulah yang threat hunter cek terus, threat hunter tuh kerjanya kayak gitu. Bosan memang, tapi dia dibayar mahal buat cari karena dia pasti sudah punya pengetahuan sangat dalam terhadap bagaimana sistem operasi itu bekerja, dari windows 7 itu kan panjang, dari windows yang paling bawah sampai windows paling atas 10, Linux, kemudian MacOS,” ungkapnya.

Threat hunter, yang memiliki spesialisasi mencari ancaman dengan pengetahuannya bisa mendeteksi anomali. Artinya, seperti kata Satriyo, jika Tokopedia memiliki threat hunter yang jago, maka kasus pelanggaran data ini sudah terdeteksi dari awal dan bisa langsung dilaporkan ke penegak hukum serta pengawas dalam hal ini Badan Siber dan Sandi Negara (BSSN).

“Makanya yang kasusnya Tokopedia, itu saya menanyakan karena apa? itu bentuk compromise-nya itu kan Maret, tetapi time to detect-nya itu Mei awal. Jadi dia baru tahu jauh [waktunya], dia baru tahu satu sampai dua bulan bahwa sudah ada orang masuk dan nyuri 91 juta data. Itu kan gede banget. Berapa giga ngeluarin data dari sistem keluar ya, harusnya dari security operation center (SOC)nya bisa tahu ada aliran data yang keluar dari itu yang tidak diotoritisasi,“ tambahnya

“Makanya saya sih melihatnya ini berarti threat hunter-nya lemah, mungkin SOC-nya enggak bagus, atau memang yang nge-hack itu pintar banget sehingga bisa dapat dari pengaman internal perusahaan,“ pungkasnya[]