Bagian 1: Pengertian, Tujuan dan Manfaat
Cyber Threat Intelligence (CTI) merupakan data tentang ancaman yang berasal dari dan menargetkan domain siber yang dikumpulkan, diproses, dan dianalisis untuk mengetahui motivasi, target, dan perilaku serangan dari pemberi ancaman.
Jika ditelaah per masing-masing kata, cyber yang artinya siber, threat yang artinya ancaman dan intelligence yang artinya pengumpulan informasi, CTI merupakan pengumpulan informasi terkait ancaman siber. Ancaman siber yang dimaksudkan adalah segala hal yang dapat mengganggu sistem pada sebuah organisasi dalam ranah siber. Standar dan panduan untuk melakukan CTI mengacu pada NIST Special Publication 800-150 Guide to Cyber Threat Information Sharing.
Tujuan
CTI digunakan untuk membagikan informasi (information sharing) berdasarkan evidence atau bukti bagi pengambil keputusan untuk menindaklanjuti ancaman yang terjadi. Evidence atau bukti ini salah satunya berupa Indicators of Compromise (IoC). IoC berisikan informasi mengenai rincian dari IP, domain, hash dan string yang dapat digunakan sebagai pembanding pada log.
Information sharing ini dapat dilakukan oleh gabungan dari beberapa organisasi. Semakin banyak organisasi yang berpartisipasi, semakin banyak informasi terkait ancaman yang didapatkan. Bagi organisasi yang mendapatkan dan menangani ancaman tersebut secara langsung, information sharing ini dapat dijadikan mitigasi untuk kedepannya, begitu pula untuk organisasi lainnya.
Manfaat
Manfaat dari information sharing dengan CTI berdasarkan NIST SP 800-150, antara lain:
- Shared Situational Awareness. Sebuah organisasi dapat memanfaatkan pengetahuan, pengalaman, dan kemampuan analitik dari organisasi lain yang telah saling berkerja sama. Hal ini menjadikan peningkatan kemampuan pertahanan siber bagi organisasi tersebut. Dengan begitu, kesadaran dan keamanan dapat terbangun untuk keseluruhan organisasi.
- Improved Security Posture. Sebuah organisasi dapat mengidentifikasi platform atau sistem yang terpengaruh, menerapkan langkah-langkah perlindungan, meningkatkan kemampuan deteksi, serta memberikan respon dan memulihkan diri dari insiden secara lebih efektif berdasarkan perubahan yang diamati dalam lingkungan ancaman. Dengan begitu, keseluruhan organisasi dapat meningkatkan keamanan dan perlindungan dengan mengurangi faktor-faktor ancaman yang sudah teridenfitikasi.
- Knowledge Maturation. Organisasi-organisasi yang telah terhubung dalam information sharing ini dapat saling bertukar informasi berbeda yang berkaitan dengan suatu ancaman tertentu, sehingga dapat saling melengkapi informasi. Dengan begitu, informasi tersebut menjadi lengkap dan detail.
- Greater Defensive Agility. Organisasi-organisasi yang telah mendapatkan informasi terkait sebuah ancaman dapat mengetahui pola, taktik dan serangan dari pemberi ancaman. Dengan begitu, organisasi dapat mendeteksi dan menangani ancaman dengan cepat serta dapat mengurangi kemungkinan serangan yang berhasil.
Selain manfaat yang sudah disebutkan sebelumnya, pihak-pihak yang mendapatkan manfaat dari adanya CTI dan information sharing diantaranya:
- Security/IT Analyst: Mengoptimalkan kemampuan pencegahan dan deteksi serta memperkuat pertahanan
- SOC: Memprioritaskan insiden berdasarkan risiko dan dampaknya terhadap organisasi
- CSIRT: Mempercepat investigasi, manajemen, dan prioritas insiden
- Intel Analyst: Mengungkap dan melacak pelaku ancaman yang menargetkan organisasi
- Executive Management: Memahami risiko yang dihadapi organisasi dan apa saja pilihan untuk mengatasi dampaknya
Hasil dari CTI ini berupa threat sharing information, yakni informasi detail terkait berbagai jenis ancaman dan identitasnya yang dibagikan pada sebuah platform tertentu. Proses menghasilkan threat sharing information ini akan dibahas pada bagian selanjutnya.
Sumber:
NIST Special Publication 800-150 Guide to Cyber Threat Information Sharing
Cyber Threat Intelligence by Daniel Schlette
What is Cyber Threat Intelligence? [Beginner’s Guide] (crowdstrike.com)
