Tentang kuki situs ini Situs kami memerlukan beberapa kuki agar berfungsi dengan baik (diwajibkan). Selain itu, kuki lain dapat digunakan dengan persetujuan Anda untuk menganalisis penggunaan situs, meningkatkan pengalaman pengguna, serta untuk keperluan periklanan. Untuk informasi lebih lanjut, silakan lihat opsi Anda. Dengan mengunjungi situs web kami, Anda menyetujui pemrosesan informasi kami sebagaimana dijelaskan dalampernyataan privasi IBM. Untuk memberikan navigasi yang lancar, preferensi kuki Anda akan dibagikan di seluruh domain situs web IBM yang tercantum di sini.
Beranda
Topics
Intelijen ancaman
Apa yang dimaksud dengan intelijen ancaman?
Intelijen ancaman, juga disebut "intelijen ancaman siber" (CTI) atau "intelijen ancaman", adalah informasi ancaman yang terperinci dan dapat ditindaklanjuti untuk mencegah dan memerangi ancaman keamanan siber yang menargetkan organisasi.
Intelijen ancaman membantu tim keamanan menjadi lebih proaktif, memungkinkan mereka mengambil tindakan efektif berbasis data untuk mencegah serangan siber sebelum terjadi. Hal ini juga dapat membantu organisasi mendeteksi dan merespons serangan yang sedang berlangsung dengan lebih cepat.
Analis keamanan menciptakan intelijen ancaman dengan mengumpulkan informasi ancaman mentah dan informasi terkait keamanan dari berbagai sumber, kemudian menghubungkan dan menganalisis data untuk mengungkap tren, pola, dan hubungan yang memberikan pemahaman mendalam tentang ancaman aktual atau potensial. Intelijen yang dihasilkan adalah
- Spesifik untuk organisasi, tidak berfokus pada hal yang bersifat umum (misalnya, daftar jenis malware yang umum) tetapi pada kerentanan spesifik di permukaan serangan organisasi, serangan yang mereka aktifkan, dan aset yang mereka paparkan.
- Detail dan kontekstual, mencakup tidak hanya ancaman yang menargetkan perusahaan tetapi juga pelaku ancaman yang mungkin melakukan serangan, taktik, teknik, dan prosedur (TTP) yang digunakan oleh para pelaku ancaman tersebut, serta indikator kompromi (IoC) yang mungkin menandakan serangan siber tertentu.
- Dapat ditindaklanjuti, menyediakan informasi bagi tim keamanan yang dapat digunakan untuk mengatasi kerentanan, memprioritaskan dan memulihkan ancaman dan bahkan mengevaluasi alat keamanan siber yang ada atau baru.
Menurut laporan Biaya Pelanggaran Data 2022 dari IBM, rata-rata pelanggaran data merugikan korbannya sebesar USD 4,35 juta; biaya deteksi dan eskalasi merupakan bagian yang paling signifikan dari harga tersebut, yaitu USD 1,44 juta. Intelijen ancaman dapat memberikan informasi yang dibutuhkan tim keamanan untuk mendeteksi serangan lebih cepat, mengurangi biaya deteksi dan membatasi dampak pelanggaran yang berhasil dilakukan.
Dapatkan insight dan rekomendasi penelitian yang penting untuk membantu Anda mempersiapkan diri dalam merespons ancaman siber dengan lebih cepat dan efektif.
Siklus hidup intelijen ancaman adalah proses berulang dan berkelanjutan di mana tim keamanan memproduksi, menyebarkan, dan terus meningkatkan intelijen ancaman mereka. Meskipun rinciannya dapat bervariasi dari satu organisasi ke organisasi lainnya, sebagian besar mengikuti beberapa versi dari proses enam langkah yang sama.
Langkah 1: Perencanaan
Analis keamanan bekerja dengan para pemangku kepentingan organisasi (pemimpin eksekutif, kepala departemen, anggota tim TI dan keamanan, serta pihak-pihak lain yang terlibat dalam pengambilan keputusan keamanan siber) untuk menetapkan persyaratan intelijen. Ini biasanya termasuk pertanyaan keamanan siber yang ingin atau perlu dijawab oleh pemangku kepentingan. Misalnya, CISO mungkin ingin mengetahui apakah jenis ransomware baru yang menonjol kemungkinan akan mempengaruhi organisasi.
Langkah 2: Pengumpulan data ancaman
Tim keamanan mengumpulkan data ancaman mentah apa pun yang dapat menampung, atau berkontribusi pada, jawaban yang dicari oleh para pemangku kepentingan. Melanjutkan contoh di atas, jika sebuah tim keamanan sedang menyelidiki jenis ransomware baru, tim tersebut dapat mengumpulkan informasi tentang geng ransomware di balik serangan itu, jenis organisasi yang mereka targetkan di masa lalu, dan vektor serangan yang telah mereka eksploitasi untuk menginfeksi korban sebelumnya.
Data ancaman ini dapat berasal dari berbagai sumber, antara lain:
Umpan intelijen ancaman, yaitu aliran informasi ancaman secara real-time. Namanya terkadang menyesatkan: Meskipun beberapa umpan mencakup intelijen ancaman yang telah diproses atau dianalisis, namun ada juga yang terdiri dari data ancaman mentah. (Yang terakhir kadang-kadang disebut 'umpan data ancaman').
Tim keamanan biasanya berlangganan beberapa sumber terbuka dan umpan komersial. Misalnya, umpan yang berbeda mungkin
- melacak IoC dari serangan umum,
- berita keamanan siber agregat,
- memberikan analisis terperinci dari strain malware,
- dan kikisan media sosial dan dark web untuk percakapan seputar ancaman siber yang muncul.
Semua umpan ini dapat berkontribusi pada pemahaman yang lebih dalam tentang ancaman.
Komunitas berbagi informasi, yaitu forum, asosiasi profesional, dan komunitas lain tempat para analis dari seluruh dunia berbagi pengalaman, insight, dan data ancaman mereka.
Di AS, banyak sektor infrastruktur penting, seperti layanan kesehatan, jasa keuangan, dan industri minyak dan gas, yang mengoperasikan Pusat Pembagian dan Analisis Informasi (ISAC) khusus industri. ISAC ini berkoordinasi satu sama lain melalui Dewan Nasional ISAC (NSI) (tautan berada di luar ibm.com).
Secara internasional, platform intelijen MISP Threat Sharing sumber terbuka (tautan berada di luar ibm.com) mendukung beberapa komunitas berbagi informasi yang diatur di sekitar lokasi, industri, dan topik yang berbeda. MISP telah menerima dukungan keuangan dari NATO dan Uni Eropa.
Log keamanan internal, data keamanan internal dari sistem keamanan dan kepatuhan seperti
- SIEM (informasi dan respons keamanan)
- SOAR (orkestrasi keamanan, otomatisasi dan respons)
- EDR (deteksi dan respons titik akhir)
- XDR (deteksi dan respons yang diperluas)
- Sistem Manajemen Permukaan Serangan (ASM)
Data ini memberikan catatan tentang ancaman dan serangan siber yang dihadapi organisasi dan dapat membantu mengungkap bukti ancaman internal atau eksternal yang tidak diketahui sebelumnya.
Informasi dari berbagai sumber ini biasanya dikumpulkan dalam dasbor terpusat, seperti SIEM atau platform intelijen ancaman, untuk pengelolaan yang lebih mudah.
Langkah 3: Pemrosesan
Pada tahap ini, analis keamanan mengumpulkan, menstandardisasi, dan mengkorelasikan data mentah yang telah mereka kumpulkan untuk mempermudah analisis. Hal ini mungkin termasuk memfilter positif palsu atau menerapkan kerangka intelijen ancaman, seperti MITRE ATT&CK, pada data seputar insiden keamanan sebelumnya.
Banyak alat intelijen ancaman yang mengotomatiskan pemrosesan ini, dengan menggunakan kecerdasan buatan (AI) dan machine learning untuk menghubungkan informasi ancaman dari berbagai sumber dan mengidentifikasi tren atau pola awal dalam data.
Langkah 4: Analisis
Analisis adalah titik di mana data ancaman mentah menjadi intelijen ancaman sejati. Pada tahap ini, analis keamanan menguji dan memverifikasi tren, pola, dan insight lain yang dapat mereka gunakan untuk menjawab kebutuhan keamanan para pemangku kepentingan dan membuat rekomendasi.
Sebagai contoh, analis keamanan mungkin menemukan bahwa geng yang terhubung dengan jenis ransomware baru telah menargetkan bisnis lain dalam industri organisasi. Tim ini kemudian akan mengidentifikasi kerentanan spesifik dalam infrastruktur TI organisasi yang kemungkinan besar akan dieksploitasi oleh geng tersebut, serta kontrol keamanan atau patch yang dapat mengurangi atau menghilangkan kerentanan tersebut.
Langkah 5. Diseminasi
Tim keamanan berbagi insight dan rekomendasinya dengan pemangku kepentingan yang sesuai. Tindakan dapat diambil berdasarkan rekomendasi ini, seperti menetapkan aturan deteksi SIEM baru untuk menargetkan IoC yang baru teridentifikasi atau memperbarui daftar hitam firewall untuk memblokir lalu lintas dari alamat IP mencurigakan yang baru teridentifikasi.
Banyak alat intelijen ancaman yang mengintegrasikan dan berbagi data dengan alat keamanan seperti SOAR atau XDR untuk secara otomatis menghasilkan peringatan untuk serangan aktif, menetapkan skor risiko untuk memprioritaskan ancaman, atau memicu tindakan lainnya.
Langkah 6. Umpan Balik
Pada tahap ini, para pemangku kepentingan dan analis merefleksikan siklus intelijen ancaman terbaru untuk menentukan apakah persyaratan telah terpenuhi. Setiap pertanyaan baru yang muncul atau kesenjangan intelijen baru yang diidentifikasi akan menginformasikan putaran siklus berikutnya.
Siklus hidup intelijen ancaman menghasilkan berbagai jenis intelijen tergantung pada pemangku kepentingan yang terlibat, persyaratan yang ditetapkan, dan tujuan keseluruhan dari contoh siklus hidup tertentu. Ada tiga kategori besar intelijen ancaman:
Intelijen ancaman taktis digunakan oleh pusat operasi keamanan (SOC) untuk mendeteksi dan merespons serangan siber yang sedang berlangsung. Ini biasanya berfokus pada IoC umum — misalnya, alamat IP yang terkait dengan server perintah dan kontrol, hash file yang terkait dengan malware yang diketahui dan serangan ransomware atau baris subjek email yang terkait dengan serangan phishing.
Selain membantu tim respons insiden menyaring positif palsu dan mencegat serangan asli, intelijen ancaman taktis juga digunakan oleh tim perburuan ancaman untuk melacak ancaman persisten lanjutan (APT) dan penyerang aktif tetapi tersembunyi lainnya.
Intelijen ancaman operasional membantu organisasi mengantisipasi dan mencegah serangan di masa depan. Kadang-kadang disebut 'intelijen ancaman teknis' karena merinci TTP dan perilaku pelaku ancaman yang diketahui, misalnya, vektor serangan yang mereka gunakan, kerentanan yang mereka eksploitasi, dan aset yang mereka targetkan.
CISO, CIO, dan pengambil keputusan keamanan informasi lainnya menggunakan intelijen ancaman operasional untuk mengidentifikasi pelaku ancaman yang kemungkinan akan menyerang organisasi mereka dan merespons dengan kontrol keamanan dan tindakan lain yang ditujukan khusus untuk menggagalkan serangan mereka.
Intelijen ancaman strategis adalah intelijen tingkat tinggi tentang lingkungan ancaman global dan posisi organisasi di dalamnya. Intelijen ancaman strategis memberikan para pengambil keputusan di luar TI, seperti CEO dan eksekutif lainnya, pemahaman tentang ancaman siber yang dihadapi organisasi mereka.
Intelijen ancaman strategis biasanya berfokus pada isu-isu seperti situasi geopolitik, tren ancaman siber di industri tertentu, atau bagaimana atau mengapa aset strategis organisasi tertentu menjadi sasaran. Para pemangku kepentingan menggunakan intelijen ancaman strategis untuk menyelaraskan strategi manajemen risiko organisasi yang lebih luas dan investasi dengan lingkungan ancaman siber.
Solusi terkait
Manfaatkan tim analis intelijen kelas dunia untuk memahami bagaimana lanskap ancaman berubah dan teknik terbaru yang digunakan pelaku ancaman.
Manfaatkan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Solusi transformatif dan bertenaga AI yang mengoptimalkan waktu analis dengan mempercepat deteksi ancaman, mempercepat respons, dan melindungi identitas pengguna dan dataset.
Sumber daya
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya.
Manajemen ancaman adalah proses yang digunakan oleh para profesional keamanan siber untuk mencegah serangan siber, mendeteksi ancaman siber, dan merespons insiden keamanan.
Perburuan ancaman adalah pendekatan proaktif untuk mengidentifikasi ancaman yang tidak diketahui atau yang sedang berlangsung dan belum diremediasi di dalam jaringan organisasi.