Logo
Cybersecurity

Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

Sudah Ada di Dalam Jaringan Anda Sebagian besar organisasi baru mendeteksi pelanggaran keamanan setelah 194 hari aktivitas penyerang sudah berlangsung di dalam jaringan mereka. ITSEC Asia, pemimpin keamanan siber di Indonesia, menjelaskan mengapa Threat Hunting adalah disiplin proaktif yang mengubah situasi ini secara mendasar.

Ajeng HadeAjeng Hade
|
Mei 12, 2026
Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

Pendahuluan

Ada satu pertanyaan yang harus direnungkan oleh setiap pemimpin keamanan: jika seorang penyerang masuk ke jaringan Anda enam bulan lalu, apakah Anda akan mengetahuinya? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi sebuah pelanggaran kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Alat-alat pencegahan, semaju apapun, telah terbukti tidak mampu menutup celah tersebut sendirian.

Firewall, perangkat lunak antivirus, dan autentikasi multi-faktor memang diperlukan. Namun itu saja tidak cukup.

Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam threat hunting: praktik proaktif berbasis intelijen yang bertujuan mencari para penyerang yang telah melewati perimeter dan beroperasi dalam diam. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi di Singapura, Australia, dan UAE, bekerja sama dengan organisasi-organisasi di seluruh kawasan tersebut untuk membangun kemampuan ini sebelum pelanggaran berikutnya membuat hal itu menjadi mendesak.

Sumber: IBM Cost of a Data Breach Report 2024

Celah yang Tidak Bisa Ditutup oleh Keamanan Reaktif

Kelemahan mendasar dari keamanan siber yang bersifat reaktif terletak pada arsitekturnya. Security Operations Center memantau tanda-tanda ancaman yang sudah dikenal dan memicu peringatan ketika sesuatu cocok dengan pola yang telah ditetapkan. Alat deteksi endpoint mengamati perilaku yang menyerupai malware yang sudah dikenal. Sistem-sistem ini memang berharga, tetapi dirancang berdasarkan apa yang sudah dipahami. Pelaku ancaman yang canggih, termasuk kelompok negara-bangsa dan operator ransomware tingkat lanjut, telah bertahun-tahun belajar cara beroperasi di dalam batas-batas yang dianggap normal oleh sistem deteksi.

Laporan Ancaman Global CrowdStrike mendokumentasikan bagaimana waktu breakout penyerang, jeda antara akses awal dan pergerakan lateral melalui jaringan, telah menyusut menjadi hanya 62 menit untuk intrusi tercepat yang pernah diamati, dengan rata-rata di bawah tiga jam. Pada saat peringatan berbasis tanda tangan berbunyi, penyerang sudah bergerak lebih jauh. Threat hunting membalik dinamika ini sepenuhnya. Alih-alih menunggu peringatan sebagai sinyal bahwa sesuatu telah salah, para threat hunter beroperasi dengan asumsi bahwa penyerang yang mampu sudah berada di dalam jaringan dan mulai mencari indikator keberadaan tersebut. Inilah perbedaan antara merespons alarm kebakaran dan mengirim penyidik untuk menemukan kabel yang berasap sebelum gedung terbakar.

Sumber: CrowdStrike Global Threat Report 2024 · IBM Cost of a Data Breach Report 2024

Bagaimana Threat Hunting Sebenarnya Bekerja

Threat hunting adalah disiplin berbasis hipotesis, bukan fungsi pemantauan pasif. Seorang threat hunter memulai dengan asumsi yang didasarkan pada intelijen ancaman, lalu menganalisis lingkungan secara spesifik untuk mencari bukti perilaku berbahaya. Proses ini bergantung pada telemetri berkualitas tinggi: log endpoint yang komprehensif, data aliran jaringan, catatan autentikasi, dan feed aktivitas cloud yang menjadi bahan baku investigasi. Menurut penelitian SANS Institute tentang kematangan threat hunting, organisasi di tingkat kematangan yang lebih tinggi bergerak dari investigasi yang bersifat ad hoc menuju program hunt yang terstruktur dan dapat diulang, dengan hipotesis yang terdefinisi, prosedur yang terdokumentasi, dan hasil yang terukur.

Program threat hunting yang matang umumnya beroperasi melalui tiga aktivitas inti:

• Pembentukan Hipotesis: setiap hunt dimulai dengan asumsi yang diinformasikan oleh intelijen ancaman, misalnya bahwa kelompok pelaku tertentu yang diketahui menarget lembaga keuangan cenderung menyalahgunakan Windows Management Instrumentation untuk pergerakan lateral, kemudian memvalidasi atau membantah asumsi tersebut melalui analisis log yang mendalam.

• Analisis Telemetri: para hunter memeriksa perilaku endpoint, anomali autentikasi, aliran jaringan yang tidak biasa, dan pola eskalasi hak istimewa yang secara rutin luput dari alat otomatis karena tidak cocok dengan tanda-tanda berbahaya yang sudah dikenal.

• Rekayasa Deteksi: setiap hunt yang selesai, baik yang berhasil mengidentifikasi penyerang maupun yang mengonfirmasi lingkungan yang bersih, menghasilkan logika deteksi yang disempurnakan untuk meningkatkan sistem otomatis yang diandalkan oleh SOC ke depannya.

MITRE ATT&CK, kerangka kerja yang diakui secara global yang mengkatalogkan taktik, teknik, dan prosedur para penyerang, menyediakan kosakata terstruktur yang digunakan threat hunter untuk merumuskan hipotesis dan memastikan cakupan yang konsisten di seluruh kill chain. Organisasi yang menyelaraskan program hunting mereka dengan ATT&CK menunjukkan pemikiran sistematis tentang perilaku penyerang, bukan sekadar mengejar insiden individual secara terpisah.

Sumber: SANS Institute: Threat Hunting Maturity Model · MITRE ATT&CK Framework

Industri yang Tidak Bisa Menunggu Peringatan

Konsekuensi dari mengabaikan threat hunting tidak merata. Organisasi di sektor kesehatan, layanan keuangan, infrastruktur kritis, dan telekomunikasi menanggung risiko yang tidak proporsional karena mereka memegang data dan mengendalikan sistem yang secara eksplisit diprioritaskan oleh penyerang canggih. Penelitian Ponemon Institute 2024 menempatkan rata-rata biaya pelanggaran data di sektor kesehatan sebesar USD 9,77 juta, tertinggi di antara sektor mana pun selama empat belas tahun berturut-turut. Angka-angka ini tidak terutama didorong oleh biaya respons pelanggaran, melainkan oleh biaya waktu dwell penyerang yang tidak terdeteksi: berbulan-bulan selama penyerang bergerak melalui jaringan, mengeksfiltrasi data, dan membangun persistensi sebelum ada yang menyadarinya.

Kerangka regulasi yang mengatur industri-industri ini juga mulai mencerminkan kenyataan ini. NIST Cybersecurity Framework 2.0 secara eksplisit memasukkan pemantauan berkelanjutan dan deteksi ancaman proaktif sebagai fungsi keamanan inti. Regulator di Indonesia melalui strategi keamanan siber nasional BSSN, dan secara internasional melalui kerangka seperti Direktif NIS2 Uni Eropa, semakin mengharapkan organisasi untuk mendemonstrasikan kemampuan deteksi ancaman yang aktif, bukan sekadar pertahanan perimeter. Bagi organisasi yang beroperasi di lingkungan-lingkungan ini, pertanyaannya bukan lagi apakah threat hunting perlu masuk dalam program keamanan, melainkan apakah kemampuan tersebut sudah cukup matang untuk efektif saat paling dibutuhkan.

Sumber: Ponemon Institute Data Breach Research · NIST Cybersecurity Framework 2.0 · BSSN National Cybersecurity Strategy

Bangun Kesiapan Threat Hunting Sebelum Insiden Memaksanya

Organisasi yang terus mengalami kompromi berulang bukan karena nasib buruk. Mereka beroperasi tanpa kemampuan investigatif dan proaktif yang akan memberi tahu mereka, dengan pasti, apakah seorang penyerang sedang hadir saat ini dan apa yang berubah setelah insiden terakhir. Threat hunting menutup celah itu dengan mengubah telemetri pasif menjadi intelijen aktif dan mengonversi pengeluaran keamanan dari pusat biaya yang reaktif menjadi fungsi pengurangan risiko yang nyata.

Waktu untuk membangun kemampuan ini adalah sebelum seorang penyerang membuatnya menjadi keharusan. ITSEC Asia menyediakan kemampuan threat hunting, forensik digital, dan respons insiden untuk organisasi di Indonesia, Singapura, Australia, dan UAE. Jika organisasi Anda ingin menilai kematangan threat hunting saat ini atau membangun kemampuan deteksi proaktif sebelum sebuah insiden memaksa pembicaraan itu, hubungi spesialis keamanan kami.

👉Konsultasikan dengan spesialis keamanan kami: https://itsec.asia/contact

Share this post

You may also like

Cara Kerja Application Security dalam Menjaga Keamanan Sistem dan Data Bisnis
Cybersecurity

Cara Kerja Application Security dalam Menjaga Keamanan Sistem dan Data Bisnis

PENDAHULUAN Saat ini, aplikasi berada di pusat operasional bisnis digital. Mulai dari mobile banking dan platform e-commerce hingga sistem internal perusahaan, organisasi sangat bergantung pada aplikasi untuk melayani pelanggan dan mengelola data. Namun, seiring aplikasi menjadi semakin kompleks dan saling terhubung, aplikasi juga menjadi salah satu target paling umum bagi serangan siber. Faktanya, aplikasi web bertanggung jawab atas sebagian besar insiden kebocoran data di seluruh dunia. Laporan Verizon 2024 Data Breach Investigations Report menunjukkan bahwa pelaku kejahatan siber sering mengeksploitasi aplikasi web sebagai jalur utama serangan. Ancaman yang terus meningkat ini menimbulkan pertanyaan penting:Apakah aplikasi Anda benar-benar aman dari ancaman siber modern? Salah satu cara paling efektif untuk melindungi aplikasi adalah melalui application security, yaitu pendekatan proaktif untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat mengeksploitasinya. Sumber: verizon.com [https://www.verizon.com/business/resources/reports/dbir/],  CONTOH NYATA: KETIKA API YANG TIDAK AMAN MEMBOCORKAN DATA JUTAAN PENGGUNA Pada Januari 2024, seorang peretas menemukan celah keamanan di sistem Trello, tepatnya pada bagian aplikasi yang disebut REST API. API ini memiliki "pintu" yang tidak sengaja dibiarkan terbuka, artinya siapa pun bisa mengaksesnya tanpa perlu login

ITSEC AsiaITSEC Asia
|
Apr 17, 2026 — 6 minutes read
Cybersecurity Indonesia: Ancaman Siber Meningkat dan Pentingnya Strategi Keamanan Digital yang Tepat
Cybersecurity

Cybersecurity Indonesia: Ancaman Siber Meningkat dan Pentingnya Strategi Keamanan Digital yang Tepat

cybersecurity indonesia
cyber security indonesia
cybersecurity di indonesia
cyber security di indonesia
cybersecurity in indonesia
cyber security in indonesia

Indonesia kini menghadapi peningkatan risiko ransomware, phishing, kebocoran data hingga eksploitasi infrastruktur digital yang dapat berdampak terhadap operasional bisnis, layanan publik dan kepercayaan pelanggan. Dalam beberapa tahun terakhir, berbagai sektor seperti pemerintahan, finansial, manufaktur, pendidikan hingga layanan digital menjadi target utama serangan siber. Sebagai perusahaan cybersecurity Indonesia, ITSEC Asia menghadirkan layanan keamanan siber untuk membantu organisasi meningkatkan cyber resilience dan menghadapi ancaman digital modern. -------------------------------------------------------------------------------- MENGAPA CYBERSECURITY INDONESIA MENJADI PRIORITAS NASIONAL? Cybersecurity Indonesia kini bukan lagi sekadar kebutuhan teknis. Keamanan siber telah menjadi bagian penting dari ketahanan bisnis dan ekosistem digital nasional. Pertumbuhan ekonomi digital Indonesia mendorong organisasi untuk mengadopsi teknologi secara lebih cepat. Namun di saat yang sama, ancaman siber juga berkembang melalui: * Serangan ransomware terhadap perusahaan dan institusi * Kebocoran data pelanggan dan data sensitif * Serangan phishing berbasis AI dan social engineering * Ancaman terhadap cloud infrastructure * Eksploitasi aplikasi web dan mobile * Serangan terhadap critical infrastructure Laporan global menunjukkan ransomware terus meningkat secara signifikan pada 2025 dengan banyak sektor industri menjadi target utama. Indonesia juga menghadapi tantangan besar

ITSEC AsiaITSEC Asia
|
Mei 07, 2026 — 3 minutes read
Menghitung Biaya Pengamanan Bisnis Anda
Cybersecurity

Menghitung Biaya Pengamanan Bisnis Anda

Tips

Seiring bertambah pentingnya keamanan informasi secara strategis bagi organisasi berukuran besar maupun kecil, serta bertambah kompleksnya keamanan informasi bagi organisasi di industri apapun, keputusan strategis bisnis semakin didorong oleh kebutuhan untuk mengamankan kekayaan intelektual mereka dan melindungi infrastruktur TI mereka dari ancaman cybersecurity yang terus berkembang. Proses mengamankan catatan pelanggan, melindungi informasi keuangan rahasia dan mematuhi persyaratan peraturan, hukum, dan kepatuhan dapat memberikan tekanan besar bagi pembuat keputusan TI dan bagi sumber dayanya. Selama ini, banyak organisasi melakukan outsourcing untuk elemen kritis dalam pekerjaan TI mereka kepada pihak penyedia managed service, tetapi semakin banyak bisnis yang mulai secara proaktif mengalihdayakan fungsi keamanan mereka ke penyedia layanan keamanan informasi khusus, sehingga saat ini seringkali dibutuhkan adanya evaluasi manfaat dari outsourcing elemen keamanan dan membandingkannya dengan mengelola proses keamanan ini secara internal. Saya menulis artikel ini untuk membantu para pemimpin bisnis memahami cara berpikir terbaik tentang Managed Security Service Providers (MSSP adalah penyedia layanan keamanan terkelola) dalam konteks TCO (total cost ownership atau biaya kepemilikan), sebuah subjek yang sering dibahas dan diminati baik oleh

ITSEC AsiaITSEC Asia
|
Jul 10, 2023 — 9 minutes read

Receive weekly
updates on new posts

Subscribe