Funda Denoya Y.P, S.Kom, CTIA, ECIH, C3SA, CPTA, CSCU dan Dini Nursafitri, S.Kom, ECIH, CSCU
Last updated
Perkembangan teknologi saat ini sudah semakin canggih. Keamanan merupakan aspek penting bagi organisasi ataupun perusahaan. Sebagian besar organisasi/perusahaan menerapkan pedekatan cyber security menggunakan prinsip perimeter. Akan tetapi pendekatan dengan menggunakan prinsip perimeter harus berevolusi, untuk menyesuaikan dengan pola kerja baru seperti WFH, BYOD ataupun lainnya. Perusahaan yang mempunyai tim IT Security harus melihat serangan apa saja yang terjadi diluar sana. Dibutuhkan sebuah informasi dari luar untuk dilakukan pengecekan atau implementasi pada internal organisasi/perusahaan. Organisasi/Perusahaan harus menerapkan pendekatan Cyber Threat Intelligence untuk melindungi postur keamanan secara menyeluruh.
Cyber Threat Intelligence (CTI) merupakan proses pengumpulan dan menginterpretasikan informasi terkait ancaman siber untuk menghasilkan pemahaman yang lebih baik tentang ancaman siber yang ada, termasuk pelaku, metode, dan sasaran. Analisis yang mendalam untuk mengidentifikasi ancaman yang mungkin dan memberikan wawasan yang berguna bagi organisasi untuk menghadapi dan merespons ancaman tersebut secara proaktif. Tujuannya adalah untuk membantu organisasi/perusahaan mengurangi risiko keamanan siber dan meningkatkan kemampuan mereka dalam mendeteksi, mencegah, dan merespon serangan siber.
Aspek-aspek utama dari threat intelligence adalah:
Threat Data Collection. Mengumpulkan data tentang ancaman siber dari berbagai sumber, termasuk situs web berita, forum underground, analisis malware, feeds ancaman, dan lainnya.
Threat Analysis. Menganalisis data ancaman yang terkumpul untuk mengidentifikasi pola, tren, dan karakteristik yang relevan dengan ancaman yang ada dan yang baru. Ini melibatkan penggunaan teknik-teknik analisis yang luas, termasuk analisis malware, analisis perilaku, dan lainnya.
Threat Intelligence Sharing. Berbagi informasi dan wawasan tentang ancaman siber dengan organisasi lain, seperti mitra industri, lembaga pemerintah, dan kelompok keamanan siber lainnya. Kolaborasi ini memungkinkan organisasi untuk mendapatkan wawasan tambahan tentang ancaman yang mungkin relevan bagi mereka dan memperkuat pertahanan mereka secara keseluruhan.
Indicator of Compromise (IOC) atau Indikator Kompromi, adalah tanda atau petunjuk yang menunjukkan adanya kegiatan yang mencurigakan atau telah terjadi kompromi dalam jaringan atau sistem. IOCs dapat berasal dari berbagai sumber, termasuk analisis malware, analisis forensik, intelijen ancaman, atau deteksi serangan secara langsung. Beberapa contoh IOCs diantaranya:
Alamat IP yang terkait dengan infrastruktur jahat atau penyerangan.
URL yang digunakan untuk menyebarkan malware atau phishing.
Hash nilai file yang terkait dengan malware tertentu.
Tanda-tanda perilaku jaringan yang mencurigakan, seperti pola aliran lalu lintas yang tidak biasa.
Nama domain yang digunakan dalam serangan phishing atau kampanye malware.
Tanda-tanda intrusi yang terdeteksi oleh sistem deteksi intrusi (IDS) atau sistem deteksi ancaman lainnya.
Pada Threat Intelligence Tools, kita juga dapat melihat graph sebuah incident. Sehingga sebagai seorang security analyst mengetahui komunikasi IoC yang terdeteksi tersebut kemana saja. Apakah berkaitan dengan domain, IP, file atau negara yang sering malakukan campaign cyber-attack.
Pada salah satu contoh mengenai cyber-attack dibawah ini kita bisa mendapatkan beberapa informasi terkait dengan IoC (Indicator of Compromise) yang memungkinkan perusahaan mendapatkan peringatan bahwa system atau jaringan mungkin telah mengalami penyerangan. IoC ini dapat dengan mudah digunakan dengan berbagai cara, seperti melakukan pencarian secara manual pada SIEM (Security Information and Event Management) atau melakukan integrasi antara threat intelligence dengan SIEM. Sehingga dengan adanya fitur IoC ini dapat membantu tim IT Security untuk mengidentifikasi ancaman keamanan, seperti data breaches, insider threats, dan serangan malware.
Sandbox antivirus adalah lingkungan terisolasi yang diciptakan oleh perangkat lunak antivirus untuk menjalankan dan menganalisis file atau program yang dicurigai tanpa mempengaruhi sistem host. Tujuan utamanya untuk memeriksa potensi ancaman dan aktivitas jahat yang terkait dengan file atau program tersebut tanpa membiarkan mereka berinteraksi dengan sistem operasi utama atau file penting. Berikut adalah beberapa komponen utama dari sandbox antivirus:
Isolasi
Analisis Dinamis
Pemantauan Aktivitas
Pengambilan Keputusan Otomatis
Laporan Deteksi
Selain itu, kita juga dapat melakukan validasi pada Sandbox untuk memastikan bahwa informasi yang didapat dari threat intelligence tidak false positive. Contohnya seperti pengecekkan IP dibawah ini yang menunjukkan bahwa IP tersebut malicious, sehingga dapat disimpulkan bahwa informasi IP dari IoC di Threat Intelligence tidak false positive.
Selanjutnya pengecekkan http[://]92.60.39[.]76:9991/ldr.sh pada Sandbox. Pada screenshot dibawah ini memberikan informasi bahwa terdapat upaya komunikasi dengan beberapa IP malicious, Mitre Att&ck Matrix, serta menjalankan beberapa process. Gambar dibawah ini menunjukkan bahwa domain tersebut berkomunikasi dengan .
Kemudian terdapat informasi tactic serta techniques yang digunakan, diantaranya Modify Registry dan Non-Standard Port.
Modify Registry menunjukkan bahwa attackers dapat berinteraksi dengan Windows Registry untuk menyembunyikan informasi konfigurasi dalam registry key, menghapus informasi sebagai bagian dari pembersihan, atau sebagai bagian dari teknik lain untuk membantu persistensi atau eksekusi.
Non-Standard Port menunjukkan bahwa attackers dapat berkomunikasi menggunakan protokol dan pasangan port yang biasanya tidak umum. Misalnya, HTTPS melalui port 8088 dibandingkan dengan port 443 yang biasanya digunakan. Attackers dapat membuat perubahan pada port standar yang digunakan oleh protokol untuk melewati pemfilteran.
Selain itu, "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:2124 CREDAT:267521 /prefetch:2 terdeteksi command untuk menjalankan browser iexplore.exe dengan parameter SCODEF:2124 CREDAT:267521 untuk authentikasi dan /prefecth:2 untuk mengoptimalkan kinerja browser. Penggunaan command tersebut secara berbahaya dapat melibatkan attackers yang menggunakan browser Internet Explorer sebagai sarana untuk mengeksekusi malicious code atau kerentanan yang ada. Selain itu, penggunaan Internet Explorer sebagai pengiriman vector pengiriman malware merupakan taktik umum yang digunakan oleh attackers.
Secara keseluruhan, penggunaan alat threat intelligence merupakan komponen penting dari strategi keamanan cyber yang holistik dan proaktif. Dengan memanfaatkan intelijen ancaman, organisasi dapat meningkatkan kemampuan mereka untuk mengidentifikasi, menganalisis, dan merespons ancaman cyber dengan lebih efektif.
Funda Denoya Y.P, S.Kom, CTIA, ECIH, C3SA, CPTA, CSCU.
Lead of SOC & CTI at Q2 Technologies. https://www.linkedin.com/in/funda-denoya/
Dini Nursafitri, S.Kom, ECIH, CSCU.
Security Analyst at Q2 Technologies. https://www.linkedin.com/in/dininrsafitri/
