Threat Intelligence atau Intelijen ancaman adalah proses mengidentifikasi dan menganalisis ancaman dunia maya. Istilah 'intelijen ancaman' dapat merujuk pada data yang dikumpulkan tentang potensi ancaman atau proses pengumpulan, pemrosesan, dan analisis data tersebut untuk memahami ancaman dengan lebih baik. Kecerdasan ancaman melibatkan penyaringan data, memeriksanya secara kontekstual untuk menemukan masalah dan menyebarkan solusi khusus untuk masalah yang ditemukan.
Berkat teknologi digital, dunia saat ini lebih saling terhubung dari sebelumnya. Namun peningkatan keterhubungan itu juga membawa peningkatan risiko serangan dunia maya, seperti pelanggaran keamanan, pencurian data, dan malware. Aspek kunci keamanan siber adalah Threat Intelligence. Baca terus untuk mengetahui apa itu Threat Intelligence, mengapa itu penting, dan bagaimana menerapkannya.
Apa itu Threat Intelligence?
Definisi Threat Intelligence terkadang dibingungkan dengan istilah keamanan siber lainnya. Paling umum, orang mengacaukan 'data ancaman' dengan 'kecerdasan ancaman' - tetapi keduanya tidak sama:
- Data ancaman adalah daftar kemungkinan ancaman.
- Kecerdasan ancaman melihat gambaran yang lebih besar – dengan menginterogasi data dan konteks yang lebih luas untuk menyusun narasi yang dapat menginformasikan pengambilan keputusan.
Intinya, Threat Intelligence memungkinkan organisasi membuat keputusan keamanan yang lebih cepat dan lebih terinformasi. Ini mendorong perilaku proaktif, bukan reaktif, dalam perang melawan serangan dunia maya.
Contoh Perusahaan Threat Intelligence
Ada Beberapa perusahaan Threat Intelligence di dunia namun yang paling terkenal dan memiliki reputasi terbaik adalah Morbite ,banyak perusahaan besar dunia memercayakan Morbite sebagai Threat Intelligence di perusahaan mereka
Mengapa Threat Intelligence penting?
Kecerdasan ancaman adalah bagian penting dari setiap ekosistem keamanan siber. Program Threat Intelligence dunia maya, terkadang disebut CTI, dapat:
Cegah kehilangan data: Dengan program CTI yang terstruktur dengan baik, organisasi dapat menemukan ancaman dunia maya dan mencegah pembobolan data agar tidak merilis informasi sensitif.
Memberikan arahan tentang langkah-langkah keamanan: Dengan mengidentifikasi dan menganalisis ancaman, CTI melihat pola yang digunakan peretas dan membantu organisasi menerapkan langkah-langkah keamanan untuk melindungi dari serangan di masa mendatang.
Beri tahu orang lain: Peretas semakin pintar dari hari ke hari. Untuk mengikutinya, pakar keamanan siber berbagi taktik yang telah mereka lihat dengan orang lain di komunitas mereka untuk menciptakan basis pengetahuan kolektif untuk memerangi kejahatan dunia maya.
Jenis Threat Intelligence
Threat Intelligence keamanan siber sering dibagi menjadi tiga kategori – strategis, taktis, dan operasional. Mari kita lihat ini secara bergantian:
Threat Intelligence strategis:Ini biasanya merupakan analisis tingkat tinggi yang dirancang untuk audiens non-teknis – misalnya, dewan perusahaan atau organisasi. Ini mencakup topik keamanan siber yang dapat memengaruhi keputusan bisnis yang lebih luas dan melihat tren serta motivasi secara keseluruhan. Kecerdasan ancaman strategis seringkali didasarkan pada sumber terbuka – yang berarti siapa pun dapat mengaksesnya – seperti laporan media, kertas putih, dan penelitian.
Threat Intelligence taktis:
Ini difokuskan pada masa depan dan dirancang untuk audiens yang lebih mahir secara teknis. Ini mengidentifikasi indikator kompromi sederhana (IOC) untuk memungkinkan tim TI mencari dan menghilangkan ancaman tertentu dalam jaringan. IOC mencakup elemen seperti alamat IP yang buruk, nama domain berbahaya yang diketahui, lalu lintas yang tidak biasa, tanda bahaya masuk, atau peningkatan permintaan file/unduhan. Kecerdasan taktis adalah bentuk kecerdasan yang paling mudah dihasilkan dan biasanya otomatis. Umurnya sering pendek karena banyak IOC dengan cepat menjadi usang.
Threat Intelligence operasional:
Di balik setiap serangan dunia maya ada 'siapa', 'mengapa', dan 'bagaimana'. Threat Intelligence operasional dirancang untuk menjawab pertanyaan-pertanyaan ini dengan mempelajari serangan dunia maya di masa lalu, menarik kesimpulan tentang niat, waktu, dan kecanggihan. Threat Intelligence operasional membutuhkan lebih banyak sumber daya daripada intelijen taktis dan memiliki umur yang lebih panjang. Ini karena penyerang dunia maya tidak dapat mengubah taktik, teknik, dan prosedur mereka (dikenal sebagai TTP) semudah mengubah alat mereka – seperti jenis malware tertentu.
Siklus hidup Threat Intelligence dunia maya
Pakar keamanan dunia maya menggunakan konsep siklus hidup dalam kaitannya dengan Threat Intelligence. Contoh tipikal siklus hidup ancaman dunia maya akan melibatkan tahapan berikut: pengarahan, pengumpulan, pemrosesan, analisis, penyebaran, dan umpan balik.
Fase 1: Arah
Fase ini berfokus pada penetapan tujuan untuk program Threat Intelligence. Itu mungkin termasuk:
Memahami aspek organisasi mana yang perlu dilindungi dan berpotensi menciptakan urutan prioritas.
Mengidentifikasi Threat Intelligence apa yang dibutuhkan organisasi untuk melindungi aset dan merespons ancaman.
Memahami dampak organisasi dari pelanggaran dunia maya.
Fase 2: Pengumpulan
Fase ini adalah tentang mengumpulkan data untuk mendukung tujuan dan sasaran yang ditetapkan di Fase 1. Kuantitas dan kualitas data sama-sama penting untuk menghindari hilangnya peristiwa ancaman yang parah atau disesatkan oleh positif palsu. Pada fase ini, organisasi perlu mengidentifikasi sumber data mereka – ini mungkin termasuk:
- Metadata dari jaringan internal dan perangkat keamanan
- Umpan data ancaman dari organisasi keamanan dunia maya yang kredibel
- Wawancara dengan pemangku kepentingan yang terinformasi
- Situs berita dan blog sumber terbuka
Fase 3: Pemrosesan
Semua data yang telah dikumpulkan perlu diubah menjadi format yang dapat digunakan organisasi. Metode pengumpulan data yang berbeda akan membutuhkan berbagai cara pemrosesan. Misalnya, data dari wawancara manusia mungkin perlu diperiksa faktanya dan diperiksa silang dengan data lainnya.
Fase 4: Analisis
Setelah data diproses menjadi format yang dapat digunakan, data tersebut perlu dianalisis. Analisis adalah proses mengubah informasi menjadi intelijen yang dapat memandu keputusan organisasi. Keputusan ini mungkin termasuk apakah akan meningkatkan investasi dalam sumber daya keamanan, apakah akan menyelidiki ancaman tertentu atau rangkaian ancaman, tindakan apa yang perlu diambil untuk memblokir ancaman langsung, alat Threat Intelligence apa yang dibutuhkan, dan sebagainya.
Fase 5: Penyebarluasan
Setelah analisis dilakukan, rekomendasi dan kesimpulan utama perlu diedarkan kepada pemangku kepentingan yang relevan di dalam organisasi. Tim yang berbeda dalam organisasi akan memiliki kebutuhan yang berbeda. Untuk menyebarluaskan kecerdasan secara efektif, ada baiknya menanyakan kecerdasan apa yang dibutuhkan setiap audiens, dalam format apa, dan seberapa sering.
Fase 6: Umpan Balik
Umpan balik dari para pemangku kepentingan akan membantu meningkatkan program Threat Intelligence, dengan memastikan program tersebut mencerminkan kebutuhan dan tujuan masing-masing kelompok.
