LEVEL : NEWBIE
Materi ini bakal ngenalin lu sama yang namanya cyber threat intelligence (CTI) dan macem-macem framework yang dipake buat bagi-bagi intelijen. Sebagai analis keamanan, CTI itu penting banget buat nyelidikin dan ngelaporin serangan musuh ke stakeholder organisasi dan komunitas di luar sana.
Tujuan Pembelajaran
- Dasar-dasar CTI dan macem-macem jenisnya.
- Siklus hidup yang dipake buat nerapin dan gunain intelijen pas lagi nyelidikin ancaman.
- Framework dan standar yang dipake buat nyebarin intelijen.
Modul Cyber Threat Intelligence
Ini materi pertama di modul baru tentang Cyber Threat Intelligence. Modul ini juga bakal ada materi-materi lain kaya:
- Tools Threat Intelligence
- YARA
- OpenCTI
- MISP
Cyber Threat Intelligence (CTI) tuh bisa dibilang pengetahuan berbasis bukti soal musuh, termasuk indikator mereka, taktik, motivasi, dan saran yang bisa dipraktekin buat ngelawan mereka. Ini semua bisa dipake buat ngelindungin aset-aset penting dan ngasih info ke tim keamanan siber sama manajemen buat ngambil keputusan bisnis.
Biasanya sih, orang-orang sering ketuker tuh pake istilah “data”, “informasi”, sama “intelijen”. Tapi, biar kita lebih paham gimana CTI ini berperan, mending kita bedain dulu deh arti masing-masing:
- Data: Indikator-indikator terpisah yang dikaitin sama musuh, contohnya kaya alamat IP, URL, atau hashes.
- Informasi: Gabungan dari beberapa data point yang ngejawab pertanyaan kaya “Berapa kali karyawan akses linuxenic.com dalam sebulan?”.
- Intelijen: Korelasi antara data sama informasi buat nyari pola tindakan berdasarkan analisis kontekstual.
Tujuan utama CTI itu buat ngerti hubungan antara lingkungan operasional lu sama musuh lu, terus gimana caranya ngelindungin lingkungan lu dari serangan. Lu pasti nyari tujuan ini dengan ngembangin konteks ancaman siber lu, caranya coba deh jawab pertanyaan-pertanyaan ini:
- Siapa yang nyerang lu?
- Motivasi mereka apaan?
- Kemampuan mereka seberapa?
- Artefak sama indikator kompromi (IOC) apa aja yang perlu lu cari tau?
Nah, buat jawab pertanyaan-pertanyaan ini, threat intelligence itu dikumpulin dari berbagai sumber di bawah kategori-kategori ini:
- Internal:
- Kejadian keamanan perusahaan kaya asesmen kerentanan sama laporan respon insiden.
- Laporan pelatihan kesadaran siber.
- Log sistem sama kejadian-kejadian sistem.
- Komunitas:
- Forum web terbuka.
- Komunitas dark web buat penjahat siber.
- Eksternal
- Threat intel feeds (Komersial & Open-source)
- Marketplace online.
- Sumber publik termasuk data pemerintah, publikasi, media sosial, asesmen finansial sama industri.
Klasifikasi Threat Intelligence
Threat Intel itu arahnya buat ngerti hubungan antara lingkungan operasional lu sama musuh lu. Nah, dengan mikirin ini, kita bisa bagi-bagi threat intel jadi beberapa klasifikasi kaya ini:
- Strategic Intel: Intel tingkat tinggi yang ngeliat landscape ancaman organisasi dan nentuin area risiko berdasarkan tren, pola, sama ancaman baru yang mungkin ngaruh ke keputusan bisnis.
- Technical Intel: Ngeliat bukti sama artefak serangan yang dipake musuh. Tim Respon Insiden bisa pake intel ini buat bikin baseline permukaan serangan buat dianalisis dan ngembangin mekanisme pertahanan.
- Tactical Intel: Nganalisis taktik, teknik, sama prosedur (TTP) musuh. Intel ini bisa memperkuat kontrol keamanan dan ngatasin kerentanan lewat investigasi real-time.
- Operational Intel: Ngeliat motivasi spesifik musuh sama niat mereka buat ngelakuin serangan. Tim keamanan bisa pake intel ini buat ngerti aset-aset penting yang ada di organisasi (orang, proses, sama teknologi) yang mungkin jadi target.
Threat intel itu didapetin dari proses data-churning yang ngerubah data mentah jadi insight yang udah dikonteksin dan berorientasi aksi, tujuannya buat men-triage insiden keamanan. Proses transformasi ini ngikutin siklus enam fase:
Arah (Direction)
Setiap program threat intel itu wajib punya tujuan dan target yang jelas, termasuk nentuin parameter-parameter ini:
- Aset informasi dan proses bisnis yang perlu dilindungin.
- Potensi dampak yang bakal dialamin kalo aset ilang atau proses bisnis keganggu.
- Sumber data sama intel yang bakal dipake buat perlindungan.
- Tools sama resources yang dibutuhin buat ngelindungin aset.
Fase ini juga ngasih kesempatan buat analis keamanan buat ngajuin pertanyaan-pertanyaan yang berhubungan sama investigasi insiden.
Pengumpulan (Collection)
Begitu tujuan udah ditentuin, analis keamanan bakal ngumpulin data yang dibutuhin buat ngejawab tujuan-tujuan itu. Analis bakal ngelakuin ini dengan pake resources komersial, privat, sama open-source yang ada. Karena volume data yang biasanya dihadepin analis itu banyak banget, disaranin buat ngotomatisin fase ini biar ada waktu buat men-triage insiden.
Pemrosesan (Processing)
Log mentah, informasi kerentanan, malware, sama traffic jaringan biasanya dateng dalam format yang beda-beda dan mungkin ga nyambung kalo dipake buat investigasi insiden. Fase ini mastiin data itu diekstrak, disortir, diorganisir, dikorelasikan sama tag yang pas, terus ditampilin secara visual dalam format yang usable dan gampang dimengerti buat analis. SIEM itu tools yang berguna banget buat ngelakuin ini dan bikin parsing data jadi cepet.
Analisis (Analysis)
Begitu agregasi informasi selesai, analis keamanan harus nyari insight. Keputusan yang perlu diambil bisa aja ini:
- Investigasi potensi ancaman dengan nemuin indikator sama pola serangan.
- Nentuin rencana aksi buat ngehindarin serangan dan ngelindungin infrastruktur.
- Memperkuat kontrol keamanan atau justifikasi investasi buat resources tambahan.
Penyebaran (Dissemination)
Stakeholder organisasi yang beda-beda bakal meng-consume intelijen dengan bahasa dan format yang beda-beda juga. Contohnya, C-suite member bakal butuh laporan ringkas yang ngebahas tren aktivitas musuh, implikasi finansial, sama rekomendasi strategis. Nah, di waktu yang sama, analis kemungkinan besar bakal ngasih tau tim teknis soal IOC ancaman, TTP musuh, sama rencana aksi taktis.
Umpan Balik (Feedback)
Fase terakhir ini ngebahas bagian yang paling penting, soalnya analis ngandelin respon yang dikasih stakeholder buat ningkatin proses threat intelligence dan implementasi kontrol keamanan. Umpan balik harus jadi interaksi rutin antar tim biar siklus hidupnya tetep jalan.
Standar sama framework nyediain struktur buat ngerasionalin distribusi sama penggunaan threat intel di berbagai industri. Mereka juga bikin istilah jadi umum, yang ngebantu kolaborasi sama komunikasi. Di ini, kita liat sekilas beberapa standar sama framework penting yang biasa dipake.
MITRE ATT&CK
ATT&CK framework itu knowledge base soal kelakuan musuh, fokusnya ke indikator sama taktik. Analis keamanan bisa pake informasi ini biar teliti pas lagi investigasi sama ngelacak kelakuan musuh.
TAXII
Trusted Automated eXchange of Indicator Information (TAXII) itu nentuin protokol buat tuker-tukeran threat intel yang aman biar bisa deteksi, cegah, sama mitigasi ancaman yang hampir real-time. Protokol ini dukung dua model sharing:
- Collection: Threat intel dikumpulin terus di-host sama producer kalo ada request dari user, modelnya request-response.
- Channel: Threat intel di-push ke user dari server pusat pake model publish-subscribe.
STIX
Structured Threat Information Expression (STIX) itu bahasa yang dibikin buat “spesifikasi, capture, karakterisasi, sama komunikasi informasi ancaman siber yang udah distandarisasi”. STIX nyediain hubungan yang udah ditentuin antara set-set info ancaman kaya observables, indicators, TTP musuh, campaign serangan, dan lain-lain.
Cyber Kill Chain
Cyber Kill Chain yang dibikin sama Lockheed Martin itu mecah-mecah tindakan musuh jadi step-step. Pecahan ini ngebantu analis sama tim pertahanan buat ngenalin aktivitas spesifik stage mana yang kejadian pas lagi investigasi serangan. Fase-fase yang ditentuin ada di gambar di bawah ini.
| Teknik | Tujuan | Contoh |
|---|---|---|
| Reconnaissance | Ngumpulin informasi soal korban dan taktik yang dipake buat serangan. | Nyari email, OSINT, sama media sosial, network scans |
| Weaponisation | Malware dibikin sesuai kebutuhan dan tujuan serangan. | Exploit pake backdoor, dokumen office yang ada malic-nya |
| Delivery | Ngebahas gimana caranya malware dikirim ke sistem korban. | Email, weblink, USB |
| Exploitation | Jebol kerentanan sistem korban buat ngejalanin kode dan bikin scheduled job buat mastiin persistence. | EternalBlue, Zero-Logon, dll. |
| Installation | Install malware dan tools lain buat dapetin akses ke sistem korban. | Password dumping, backdoor, remote access trojan |
| Command & Control | Kontrol sistem yang udah di-compromise dari jauh, kirim malware tambahan, pindah-pindah aset penting dan naikin privilege. | Empire, Cobalt Strike, dll. |
| Actions on Objectives | Ngalakuin tujuan utama serangan: cari duit, spionase perusahaan, sama exfiltrasi data. | Enkripsi data, ransomware, defacement publik |
Dari waktu ke waktu, kill chain udah dikembangin lagi pake framework lain kaya ATT&CK dan dibikin Unified Kill Chain yang baru.
Diamond Model
Diamond model itu ngeliat analisis intrusi sama ngelacak grup serangan dari waktu ke waktu. Model ini fokus ke empat area kunci, yang masing-masing ngegambarin titik yang beda di diamond. Ini dia area-areanya:
- Adversary (Musuh): Fokus di ini adalah aktor ancaman di balik serangan dan bikin analis bisa ngenalin motif di balik serangan itu.
- Victim (Korban): Kebalikan dari musuh, fokus di ini adalah individu, grup, atau organisasi yang kena dampak serangan.
- Infrastructure (Infrastruktur): Tools, sistem, sama software yang dipake musuh buat ngelakuin serangan jadi fokus utama. Tambahan lagi, sistem korban juga penting banget buat nyediain informasi soal compromise.
- Capabilities (Kemampuan): Fokus di ini adalah pendekatan musuh buat nyampe tujuan mereka. Ini ngeliat cara eksploitasi sama TTP yang dipake di sepanjang timeline serangan.
Contoh penggunaan diamond model dalam aksi itu misalnya ada musuh yang nyerang korban pake serangan phishing buat dapetin informasi sensitif dan nge-compromise sistem mereka, kaya yang ditampilin di diagram. Sebagai analis threat intelligence, model ini bikin lu bisa pivot di sepanjang properti-properti model buat ngehasilin gambaran lengkap soal serangan dan ngorelasiin indikator-indikator.
