Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

Pendahuluan

Ada satu pertanyaan yang harus direnungkan oleh setiap pemimpin keamanan: jika seorang penyerang masuk ke jaringan Anda enam bulan lalu, apakah Anda akan mengetahuinya? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi sebuah pelanggaran kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Alat-alat pencegahan, semaju apapun, telah terbukti tidak mampu menutup celah tersebut sendirian.

Firewall, perangkat lunak antivirus, dan autentikasi multi-faktor memang diperlukan. Namun itu saja tidak cukup.

Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam threat hunting: praktik proaktif berbasis intelijen yang bertujuan mencari para penyerang yang telah melewati perimeter dan beroperasi dalam diam. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi di Singapura, Australia, dan UAE, bekerja sama dengan organisasi-organisasi di seluruh kawasan tersebut untuk membangun kemampuan ini sebelum pelanggaran berikutnya membuat hal itu menjadi mendesak.

Sumber: IBM Cost of a Data Breach Report 2024

Celah yang Tidak Bisa Ditutup oleh Keamanan Reaktif

Kelemahan mendasar dari keamanan siber yang bersifat reaktif terletak pada arsitekturnya. Security Operations Center memantau tanda-tanda ancaman yang sudah dikenal dan memicu peringatan ketika sesuatu cocok dengan pola yang telah ditetapkan. Alat deteksi endpoint mengamati perilaku yang menyerupai malware yang sudah dikenal. Sistem-sistem ini memang berharga, tetapi dirancang berdasarkan apa yang sudah dipahami. Pelaku ancaman yang canggih, termasuk kelompok negara-bangsa dan operator ransomware tingkat lanjut, telah bertahun-tahun belajar cara beroperasi di dalam batas-batas yang dianggap normal oleh sistem deteksi.

Laporan Ancaman Global CrowdStrike mendokumentasikan bagaimana waktu breakout penyerang, jeda antara akses awal dan pergerakan lateral melalui jaringan, telah menyusut menjadi hanya 62 menit untuk intrusi tercepat yang pernah diamati, dengan rata-rata di bawah tiga jam. Pada saat peringatan berbasis tanda tangan berbunyi, penyerang sudah bergerak lebih jauh. Threat hunting membalik dinamika ini sepenuhnya. Alih-alih menunggu peringatan sebagai sinyal bahwa sesuatu telah salah, para threat hunter beroperasi dengan asumsi bahwa penyerang yang mampu sudah berada di dalam jaringan dan mulai mencari indikator keberadaan tersebut. Inilah perbedaan antara merespons alarm kebakaran dan mengirim penyidik untuk menemukan kabel yang berasap sebelum gedung terbakar.

Sumber: CrowdStrike Global Threat Report 2024 · IBM Cost of a Data Breach Report 2024

Bagaimana Threat Hunting Sebenarnya Bekerja

Threat hunting adalah disiplin berbasis hipotesis, bukan fungsi pemantauan pasif. Seorang threat hunter memulai dengan asumsi yang didasarkan pada intelijen ancaman, lalu menganalisis lingkungan secara spesifik untuk mencari bukti perilaku berbahaya. Proses ini bergantung pada telemetri berkualitas tinggi: log endpoint yang komprehensif, data aliran jaringan, catatan autentikasi, dan feed aktivitas cloud yang menjadi bahan baku investigasi. Menurut penelitian SANS Institute tentang kematangan threat hunting, organisasi di tingkat kematangan yang lebih tinggi bergerak dari investigasi yang bersifat ad hoc menuju program hunt yang terstruktur dan dapat diulang, dengan hipotesis yang terdefinisi, prosedur yang terdokumentasi, dan hasil yang terukur.

Program threat hunting yang matang umumnya beroperasi melalui tiga aktivitas inti:

• Pembentukan Hipotesis: setiap hunt dimulai dengan asumsi yang diinformasikan oleh intelijen ancaman, misalnya bahwa kelompok pelaku tertentu yang diketahui menarget lembaga keuangan cenderung menyalahgunakan Windows Management Instrumentation untuk pergerakan lateral, kemudian memvalidasi atau membantah asumsi tersebut melalui analisis log yang mendalam.

• Analisis Telemetri: para hunter memeriksa perilaku endpoint, anomali autentikasi, aliran jaringan yang tidak biasa, dan pola eskalasi hak istimewa yang secara rutin luput dari alat otomatis karena tidak cocok dengan tanda-tanda berbahaya yang sudah dikenal.

• Rekayasa Deteksi: setiap hunt yang selesai, baik yang berhasil mengidentifikasi penyerang maupun yang mengonfirmasi lingkungan yang bersih, menghasilkan logika deteksi yang disempurnakan untuk meningkatkan sistem otomatis yang diandalkan oleh SOC ke depannya.

MITRE ATT&CK, kerangka kerja yang diakui secara global yang mengkatalogkan taktik, teknik, dan prosedur para penyerang, menyediakan kosakata terstruktur yang digunakan threat hunter untuk merumuskan hipotesis dan memastikan cakupan yang konsisten di seluruh kill chain. Organisasi yang menyelaraskan program hunting mereka dengan ATT&CK menunjukkan pemikiran sistematis tentang perilaku penyerang, bukan sekadar mengejar insiden individual secara terpisah.

Sumber: SANS Institute: Threat Hunting Maturity Model · MITRE ATT&CK Framework

Industri yang Tidak Bisa Menunggu Peringatan

Konsekuensi dari mengabaikan threat hunting tidak merata. Organisasi di sektor kesehatan, layanan keuangan, infrastruktur kritis, dan telekomunikasi menanggung risiko yang tidak proporsional karena mereka memegang data dan mengendalikan sistem yang secara eksplisit diprioritaskan oleh penyerang canggih. Penelitian Ponemon Institute 2024 menempatkan rata-rata biaya pelanggaran data di sektor kesehatan sebesar USD 9,77 juta, tertinggi di antara sektor mana pun selama empat belas tahun berturut-turut. Angka-angka ini tidak terutama didorong oleh biaya respons pelanggaran, melainkan oleh biaya waktu dwell penyerang yang tidak terdeteksi: berbulan-bulan selama penyerang bergerak melalui jaringan, mengeksfiltrasi data, dan membangun persistensi sebelum ada yang menyadarinya.

Kerangka regulasi yang mengatur industri-industri ini juga mulai mencerminkan kenyataan ini. NIST Cybersecurity Framework 2.0 secara eksplisit memasukkan pemantauan berkelanjutan dan deteksi ancaman proaktif sebagai fungsi keamanan inti. Regulator di Indonesia melalui strategi keamanan siber nasional BSSN, dan secara internasional melalui kerangka seperti Direktif NIS2 Uni Eropa, semakin mengharapkan organisasi untuk mendemonstrasikan kemampuan deteksi ancaman yang aktif, bukan sekadar pertahanan perimeter. Bagi organisasi yang beroperasi di lingkungan-lingkungan ini, pertanyaannya bukan lagi apakah threat hunting perlu masuk dalam program keamanan, melainkan apakah kemampuan tersebut sudah cukup matang untuk efektif saat paling dibutuhkan.

Sumber: Ponemon Institute Data Breach Research · NIST Cybersecurity Framework 2.0 · BSSN National Cybersecurity Strategy

Bangun Kesiapan Threat Hunting Sebelum Insiden Memaksanya

Organisasi yang terus mengalami kompromi berulang bukan karena nasib buruk. Mereka beroperasi tanpa kemampuan investigatif dan proaktif yang akan memberi tahu mereka, dengan pasti, apakah seorang penyerang sedang hadir saat ini dan apa yang berubah setelah insiden terakhir. Threat hunting menutup celah itu dengan mengubah telemetri pasif menjadi intelijen aktif dan mengonversi pengeluaran keamanan dari pusat biaya yang reaktif menjadi fungsi pengurangan risiko yang nyata.

Waktu untuk membangun kemampuan ini adalah sebelum seorang penyerang membuatnya menjadi keharusan. ITSEC Asia menyediakan kemampuan threat hunting, forensik digital, dan respons insiden untuk organisasi di Indonesia, Singapura, Australia, dan UAE. Jika organisasi Anda ingin menilai kematangan threat hunting saat ini atau membangun kemampuan deteksi proaktif sebelum sebuah insiden memaksa pembicaraan itu, hubungi spesialis keamanan kami.

👉Konsultasikan dengan spesialis keamanan kami: https://itsec.asia/contact