Threat Intelligence dan Perannya Melindungi Organisasi dari Ancaman Kejahatan Siber
SEIRING dengan berkembangnya inovasi di bidang kecerdasan artifisial (AI) generatif serta berbagai inisiatif terkait transformasi digital di kalangan profesional yang bekerja secara hybrid di kawasan Asia Pasifik, saya seringkali mendapatkan pertanyaan dari para spesialis keamanan siber seputar cara penggunaan threat intelligence dalam melindungi beban kerja yang sensitif di cloud.
Meskipun mereka telah memahami pentingnya penggunaan threat intelligence untuk meningkatkan postur keamanan masing-masing, kini mereka ingin mendapatkan pemahaman yang lebih jelas tentang bagaimana threat intelligence ini dapat menghasilkan dampak serta nilai bisnis yang nyata.
Adapun istilah threat intelligence menurut Gartner mengacu kepada pengetahuan berbasis bukti empiris yang dapat digunakan untuk membantu pembuatan keputusan terhadap ancaman siber yang sudah ada maupun yang sedang berkembang.
Wawasan ini meliputi konteks, mekanisme, indikator, implikasi, hingga langkah-langkah praktis yang dapat diterapkan secara riil.
Menggunakan cloud untuk memperkaya threat intelligence
Threat intelligence merupakan salah satu lapisan pertahanan pertama melawan serangan siber yang berpotensi merusak dan merugikan.
Setiap harinya, kami berhasil mendeteksi dan menggagalkan ratusan serangan siber yang terkonfirmasi dengan jaringan sensor global dan seperangkat tools yang digunakan untuk mendisrupsi serangan.
Tujuannya adalah membuatnya sulit dan mahal bagi pihak-pihak yang tidak bertanggung jawab untuk melancarkan serangan siber ke jaringan serta infrastruktur kami.
Melalui kerja sama dengan penyedia layanan lainnya yang juga mengemban tanggung jawab serupa, kami turut membuat dunia maya menjadi tempat yang lebih aman dengan cara menghentikan para pelaku yang mengancam infrastruktur mereka.
Sebagai contoh, beberapa tahun yang lalu, AWS mengembangkan serangkaian tools keamanan siber untuk internal organisasi yang disebut dengan julukan “MadPot.” MadPot ini terdiri dari sensor yang bertindak sebagai umpan dan juga tools disrupsi.
Kini, MadPot telah menjadi komponen utama dalam strategi threat intelligence kami. Cara kerjanya, sensor MadPot meniru beban kerja yang dapat menarik penyerang, lalu mempelajari pola perilaku dan cara kerjanya.
Seluruh informasi akan otomatis diserap, dikorelasikan, dan dianalisis guna menciptakan data intelijen yang dapat digunakan untuk menindaklanjuti aktivitas-aktivitas berbahaya di internet, yang tidak bisa dimungkiri akan semakin memengaruhi kehidupan kita sehari-hari.
Dengan menggunakan data intelijen yang dihasilkan dari proses ini, kami akan menonaktifkan data di jaringan kami sendiri, memfasilitasi komunikasi eksternal dengan penyedia jaringan lainnya yang juga dalam bahaya, serta memperkaya layanan-layanan keamanan yang kami sediakan dengan pengetahuan baru tersebut. Semua ini dilakukan dengan instan menggunakan teknologi otomatisasi.
Berikut adalah gambaran bagaimana rentannya kita jika tidak terproteksi. Setelah kami mengeluarkan umpan baru, sensor ini langsung terdeteksi oleh alat pengintai yang berada di mana-mana dalam waktu sekitar 90 detik saja.
Dari sini, hanya dibutuhkan sekitar tiga menit sebelum ada yang berusaha untuk menembus dan mengeksploitasinya. Ini merupakan durasi waktu yang sangat singkat, mengingat beban kerja ini tidak ditampilkan maupun dapat dilihat oleh pengguna internet publik.
Hal ini menjadi bukti dari banyaknya pemindaian yang terus terjadi setiap detiknya, dan juga tingginya tingkat otomatisasi yang dimanfaatkan oleh penyerang untuk menemukan target berikutnya.
Menghadapi Ancaman Siber di Jenjang Global
MadPot telah membantu organisasi-organisasi di seluruh dunia untuk membangun pertahanan yang mumpuni terhadap penyerang.
Contoh pertama, pada tahun 2022, sebuah umpan MadPot tengah meniru berbagai jenis layanan ketika ada penyerang yang mencoba memanfaatkan suatu celah yang ia anggap sebagai kerentanan.
Saat itu, MadPot mengumpulkan informasi terkait ciri khas serangannya, hingga mampu menyimpulkan yang di balik serangan tersebut adalah sebuah kelompok yang bernama Sandworm, dan bagaimana mereka berupaya untuk membajak seorang pelanggan.
Menggunakan informasi tersebut, kami memperingatkan pelanggan akan bahaya sehingga mereka dengan cepat memitigasi kelemahan dan mencegah kerugian.
Kasus kedua, pada bulan Mei ini, MadPot tercatat mendeteksi, mengunduh, dan menganalisis sinyal-sinyal mencurigakan yang menunjukkan adanya botnet malware yang sedang melakukan serangan Distributed Denial of Service (DDoS) untuk memadamkan beberapa situs web.
Ketika teridentifikasi, komunikasi di trafik jaringan langsung diblokir di jaringan AWS guna melindungi data pelanggan. MadPot juga melacak server command-and-control serta penyedia domain, kemudian menggunakan otomatisasi untuk mengirimkan pemberitahuan penghapusan ke perusahaan yang terkena dampak – semuanya tanpa ada campur tangan manusia.
Baik host server maupun penyedia domain dapat menghapus sistem yang disalahgunakan dalam waktu 72 jam. Hal ini menghilangkan kemampuan penyerang untuk menyebarkan malware DDoS dan semakin mempersulit mereka untuk memindahkan infrastruktur command-and-control miliknya ke tempat lain.
Keamanan adalah Tanggung Jawab Bersama
Mengubah informasi yang didapatkan dari threat intelligence berskala global menjadi aksi tanggap hanyalah salah satu dari sekian banyak langkah yang kami ambil sebagai bagian dari komitmen kami, yakni menjadikan keamanan sebagai prioritas utama.
Seiring dengan pertumbuhan ekonomi digital, menjaga keamanan cloud dan infrastrukturnya merupakan hal yang sangat penting untuk dapat menyelenggarakan teknologi-teknologi inovatif seperti komputasi edge dan AI.
Wajib hukumnya bagi organisasi-organisasi untuk menganut shared responsibility model atau model tanggung jawab bersama, sekaligus berkolaborasi dengan para mitranya demi meningkatkan pertahanan melawan serangan siber yang semakin kompleks dan canggih.
Threat intelligence merupakan fondasi bagi pelaku usaha di seluruh dunia untuk turut melindungi kekayaan intelektual (IP) serta memampukan solusi-solusi baru nan inovatif.
Ketika perusahaan-perusahaan bergabung dan saling berbagi wawasan, maka ruang gerak bagi para penyerang akan semakin terbatas, dan seperti yang kami tegaskan, dunia maya pun akan menjadi tempat yang semakin aman.[]
Phil Rodrigues adalah Head of Security, Asia-Pacific dan Japan Commercial di Amazon Web Services (AWS)