Siklus hidup intelijen ancaman adalah proses berulang dan berkelanjutan di mana tim keamanan memproduksi, menyebarkan, dan terus meningkatkan intelijen ancaman mereka. Meskipun rinciannya dapat bervariasi dari satu organisasi ke organisasi lainnya, sebagian besar mengikuti beberapa versi dari proses enam langkah yang sama.

Langkah 1: Perencanaan

Analis keamanan bekerja dengan para pemangku kepentingan organisasi (pemimpin eksekutif, kepala departemen, anggota tim TI dan keamanan, serta pihak-pihak lain yang terlibat dalam pengambilan keputusan keamanan siber) untuk menetapkan persyaratan intelijen. Ini biasanya termasuk pertanyaan keamanan siber yang ingin atau perlu dijawab oleh pemangku kepentingan. Misalnya, CISO mungkin ingin mengetahui apakah jenis ransomware baru yang menonjol kemungkinan akan mempengaruhi organisasi.

Langkah 2: Pengumpulan data ancaman

Tim keamanan mengumpulkan data ancaman mentah apa pun yang dapat menampung, atau berkontribusi pada, jawaban yang dicari oleh para pemangku kepentingan. Melanjutkan contoh di atas, jika sebuah tim keamanan sedang menyelidiki jenis ransomware baru, tim tersebut dapat mengumpulkan informasi tentang geng ransomware di balik serangan itu, jenis organisasi yang mereka targetkan di masa lalu, dan vektor serangan yang telah mereka eksploitasi untuk menginfeksi korban sebelumnya.

Data ancaman ini dapat berasal dari berbagai sumber, antara lain:

Umpan intelijen ancaman, yaitu aliran informasi ancaman secara real-time. Namanya terkadang menyesatkan: Meskipun beberapa umpan mencakup intelijen ancaman yang telah diproses atau dianalisis, namun ada juga yang terdiri dari data ancaman mentah. (Yang terakhir kadang-kadang disebut 'umpan data ancaman').

Tim keamanan biasanya berlangganan beberapa sumber terbuka dan umpan komersial. Misalnya, umpan yang berbeda mungkin

• melacak IoC dari serangan umum,
• berita keamanan siber agregat,
• memberikan analisis terperinci dari strain malware,
• dan kikisan media sosial dan dark web untuk percakapan seputar ancaman siber yang muncul.

Semua umpan ini dapat berkontribusi pada pemahaman yang lebih dalam tentang ancaman.

Komunitas berbagi informasi, yaitu forum, asosiasi profesional, dan komunitas lain tempat para analis dari seluruh dunia berbagi pengalaman, insight, dan data ancaman mereka.

Di AS, banyak sektor infrastruktur penting, seperti layanan kesehatan, jasa keuangan, dan industri minyak dan gas, yang mengoperasikan Pusat Pembagian dan Analisis Informasi (ISAC) khusus industri. ISAC ini berkoordinasi satu sama lain melalui Dewan Nasional ISAC (NSI) (tautan berada di luar ibm.com).

Secara internasional, platform intelijen MISP Threat Sharing sumber terbuka (tautan berada di luar ibm.com) mendukung beberapa komunitas berbagi informasi yang diatur di sekitar lokasi, industri, dan topik yang berbeda. MISP telah menerima dukungan keuangan dari NATO dan Uni Eropa.

Log keamanan internal, data keamanan internal dari sistem keamanan dan kepatuhan seperti

1. SIEM (informasi dan respons keamanan)
2. SOAR (orkestrasi keamanan, otomatisasi dan respons)
3. EDR (deteksi dan respons titik akhir)
4. XDR (deteksi dan respons yang diperluas)
5. Sistem Manajemen Permukaan Serangan (ASM)

Data ini memberikan catatan tentang ancaman dan serangan siber yang dihadapi organisasi dan dapat membantu mengungkap bukti ancaman internal atau eksternal yang tidak diketahui sebelumnya.

Informasi dari berbagai sumber ini biasanya dikumpulkan dalam dasbor terpusat, seperti SIEM atau platform intelijen ancaman, untuk pengelolaan yang lebih mudah.

Langkah 3: Pemrosesan

Pada tahap ini, analis keamanan mengumpulkan, menstandardisasi, dan mengkorelasikan data mentah yang telah mereka kumpulkan untuk mempermudah analisis. Hal ini mungkin termasuk memfilter positif palsu atau menerapkan kerangka intelijen ancaman, seperti MITRE ATT&CK, pada data seputar insiden keamanan sebelumnya.

Banyak alat intelijen ancaman yang mengotomatiskan pemrosesan ini, dengan menggunakan kecerdasan buatan (AI) dan machine learning untuk menghubungkan informasi ancaman dari berbagai sumber dan mengidentifikasi tren atau pola awal dalam data.

Langkah 4: Analisis

Analisis adalah titik di mana data ancaman mentah menjadi intelijen ancaman sejati. Pada tahap ini, analis keamanan menguji dan memverifikasi tren, pola, dan insight lain yang dapat mereka gunakan untuk menjawab kebutuhan keamanan para pemangku kepentingan dan membuat rekomendasi.

Sebagai contoh, analis keamanan mungkin menemukan bahwa geng yang terhubung dengan jenis ransomware baru telah menargetkan bisnis lain dalam industri organisasi. Tim ini kemudian akan mengidentifikasi kerentanan spesifik dalam infrastruktur TI organisasi yang kemungkinan besar akan dieksploitasi oleh geng tersebut, serta kontrol keamanan atau patch yang dapat mengurangi atau menghilangkan kerentanan tersebut.

Langkah 5. Diseminasi

Tim keamanan berbagi insight dan rekomendasinya dengan pemangku kepentingan yang sesuai. Tindakan dapat diambil berdasarkan rekomendasi ini, seperti menetapkan aturan deteksi SIEM baru untuk menargetkan IoC yang baru teridentifikasi atau memperbarui daftar hitam firewall untuk memblokir lalu lintas dari alamat IP mencurigakan yang baru teridentifikasi.

Banyak alat intelijen ancaman yang mengintegrasikan dan berbagi data dengan alat keamanan seperti SOAR atau XDR untuk secara otomatis menghasilkan peringatan untuk serangan aktif, menetapkan skor risiko untuk memprioritaskan ancaman, atau memicu tindakan lainnya.

Langkah 6. Umpan Balik

Pada tahap ini, para pemangku kepentingan dan analis merefleksikan siklus intelijen ancaman terbaru untuk menentukan apakah persyaratan telah terpenuhi. Setiap pertanyaan baru yang muncul atau kesenjangan intelijen baru yang diidentifikasi akan menginformasikan putaran siklus berikutnya.

Siklus hidup intelijen ancaman menghasilkan berbagai jenis intelijen tergantung pada pemangku kepentingan yang terlibat, persyaratan yang ditetapkan, dan tujuan keseluruhan dari contoh siklus hidup tertentu. Ada tiga kategori besar intelijen ancaman:

Intelijen ancaman taktis digunakan oleh pusat operasi keamanan (SOC) untuk mendeteksi dan merespons serangan siber yang sedang berlangsung. Ini biasanya berfokus pada IoC umum — misalnya, alamat IP yang terkait dengan server perintah dan kontrol, hash file yang terkait dengan malware yang diketahui dan serangan ransomware atau baris subjek email yang terkait dengan serangan phishing.

Selain membantu tim respons insiden menyaring positif palsu dan mencegat serangan asli, intelijen ancaman taktis juga digunakan oleh tim perburuan ancaman untuk melacak ancaman persisten lanjutan (APT) dan penyerang aktif tetapi tersembunyi lainnya.

Intelijen ancaman operasional membantu organisasi mengantisipasi dan mencegah serangan di masa depan. Kadang-kadang disebut 'intelijen ancaman teknis' karena merinci TTP dan perilaku pelaku ancaman yang diketahui, misalnya, vektor serangan yang mereka gunakan, kerentanan yang mereka eksploitasi, dan aset yang mereka targetkan.

CISO, CIO, dan pengambil keputusan keamanan informasi lainnya menggunakan intelijen ancaman operasional untuk mengidentifikasi pelaku ancaman yang kemungkinan akan menyerang organisasi mereka dan merespons dengan kontrol keamanan dan tindakan lain yang ditujukan khusus untuk menggagalkan serangan mereka.

Intelijen ancaman strategis adalah intelijen tingkat tinggi tentang lingkungan ancaman global dan posisi organisasi di dalamnya. Intelijen ancaman strategis memberikan para pengambil keputusan di luar TI, seperti CEO dan eksekutif lainnya, pemahaman tentang ancaman siber yang dihadapi organisasi mereka.

Intelijen ancaman strategis biasanya berfokus pada isu-isu seperti situasi geopolitik, tren ancaman siber di industri tertentu, atau bagaimana atau mengapa aset strategis organisasi tertentu menjadi sasaran. Para pemangku kepentingan menggunakan intelijen ancaman strategis untuk menyelaraskan strategi manajemen risiko organisasi yang lebih luas dan investasi dengan lingkungan ancaman siber.