Apa itu indikator ancaman (IOC)?
Pelajari cara untuk memantau, mengidentifikasi, menggunakan, dan merespons indikator ancaman.
Penjelasan indikator ancaman
Indikator ancaman (IOC) adalah bukti bahwa seseorang mungkin telah melanggar jaringan atau titik akhir organisasi. Data forensik ini tidak hanya menunjukkan potensi ancaman, data ini menunjukkan bahwa serangan, seperti program jahat, kredensial yang telah disusupi, atau eksfiltrasi data, telah terjadi. Profesional keamanan mencari IOC pada log kejadian, solusi deteksi dan respons yang diperluas (XDR), dan solusi security information and event management (SIEM). Selama terjadi serangan, tim menggunakan IOC untuk menghilangkan ancaman dan mengurangi kerusakan. Setelah pemulihan, IOC membantu organisasi lebih memahami serangan yang terjadi, sehingga tim keamanan organisasi dapat memperkuat keamanan dan mengurangi risiko terjadinya insiden serupa.
Contoh IOC
Dalam keamanan IOC, IT memantau lingkungan untuk mencari petunjuk berikut bahwa serangan sedang berlangsung:
Anomali lalu lintas jaringan
Di sebagian besar organisasi, terdapat pola konsisten terhadap lalu lintas jaringan masuk dan keluar dari lingkungan digital. Ketika pola tersebut berubah, seperti jika ada lebih banyak data yang keluar dari organisasi secara signifikan atau jika ada aktivitas yang berasal dari lokasi tidak biasa di jaringan, hal tersebut mungkin merupakan tanda terjadinya serangan.
Upaya proses masuk yang tidak biasa
Sama seperti lalu lintas jaringan, kebiasaan kerja orang-orang dapat diprediksi. Orang-orang biasanya masuk dari lokasi yang sama dan pada waktu yang hampir sama selama minggu kerja. Profesional keamanan dapat mendeteksi akun yang telah disusupi dengan memperhatikan proses masuk pada waktu yang tidak biasa atau dari geografi yang tidak biasa juga, seperti negara di mana organisasi tidak memiliki kantor. Penting juga untuk mencatat beberapa proses masuk yang gagal dari akun yang sama. Meskipun orang-orang secara berkala lupa kata sandi atau mengalami masalah saat proses masuk, mereka biasanya dapat mengatasinya setelah beberapa kali percobaan. Upaya proses masuk yang gagal berulang kali dapat menunjukkan bahwa seseorang mencoba mengakses organisasi dengan menggunakan akun curian.
Ketidakberesan akun hak istimewa
Banyak penyerang, baik dari dalam maupun dari luar, tertarik untuk mengakses akun administratif dan memperoleh data sensitif. Perilaku tidak biasa yang terkait dengan akun ini, seperti seseorang yang mencoba mengeskalasi hak istimewa mereka, mungkin merupakan tanda terjadinya pelanggaran.
Perubahan terhadap konfigurasi sistem
Program jahat sering diprogram untuk membuat perubahan pada konfigurasi sistem, seperti mengaktifkan akses jarak jauh atau menonaktifkan perangkat lunak keamanan. Dengan memantau perubahan konfigurasi yang tidak terduga ini, profesional keamanan dapat mengidentifikasi pelanggaran sebelum terjadi kerusakan terlalu banyak.
Penginstalan atau pembaruan perangkat lunak tak terduga
Banyak serangan dimulai dengan penginstalan perangkat lunak, seperti program jahat atau ransomware, yang dirancang untuk membuat file menjadi tidak dapat diakses atau memberikan akses ke jaringan kepada penyerang. Dengan memantau penginstalan dan pembaruan perangkat lunak yang tidak terencana, organisasi dapat menangkap IOC ini dengan cepat.
Banyak permintaan untuk file yang sama
Beberapa permintaan untuk satu file dapat menunjukkan bahwa pelaku jahat sedang mencoba mencurinya dan telah mencoba beberapa metode untuk mengaksesnya.
Permintaan Sistem Nama Domain yang tidak biasa
Beberapa pelaku jahat menggunakan metode serangan yang disebut perintah dan kendali. Mereka menginstal program jahat di server organisasi yang membuat koneksi ke server yang mereka miliki. Mereka kemudian mengirim perintah dari server mereka ke komputer yang terinfeksi untuk mencoba mencuri data atau mengganggu operasi. Permintaan Sistem Nama Domain (DNS) yang tidak biasa dapat membantu IT mendeteksi serangan ini.
Mengapa IOC penting
Pemantauan IOC sangat penting untuk mengurangi risiko keamanan organisasi. Deteksi awal IOC memungkinkan tim keamanan merespons dan mengatasi serangan dengan cepat, mengurangi jumlah waktu henti dan gangguan. Pemantauan rutin juga memberikan wawasan yang lebih besar kepada tim terkait kerentanan organisasi, yang kemudian dapat dimitigasi.
Merespons indikator ancaman
Setelah tim keamanan mengidentifikasi IOC, mereka perlu merespons secara efektif guna memastikan sekecil mungkin kerusakan pada organisasi. Langkah-langkah berikut membantu organisasi tetap fokus dan menghentikan ancaman secepat mungkin:
Membuat rencana respons insiden
Merespons insiden sangatlah berat dan harus dilaksanakan secepat mungkin karena semakin lama penyerang tidak terdeteksi, semakin besar kemungkinan mereka mencapai tujuannya. Banyak organisasi mengembangkan rencanarespons insiden untuk membantu memandu tim selama fase respons penting. Rencana ini menguraikan bagaimana organisasi menentukan insiden, peran, dan tanggung jawab, langkah-langkah yang diperlukan untuk menyelesaikan insiden, serta bagaimana tim harus berkomunikasi dengan karyawan dan pemangku kepentingan eksternal.
Mengisolasi sistem dan perangkat yang telah disusupi
Setelah organisasi mengidentifikasi ancaman, tim keamanan bekerja dengan cepat untuk mengisolasi aplikasi atau sistem yang sedang diserang dari jaringan lainnya. Hal ini membantu mencegah penyerang mengakses bagian bisnis lain.
Laksanakan analisis forensik
Analisis forensik membantu organisasi mengungkap semua aspek pelanggaran, termasuk sumber, jenis serangan, dan tujuan penyerang. Analisis dilakukan selama serangan terjadi untuk memahami tingkat bahaya. Setelah organisasi pulih dari serangan, analisis tambahan membantu tim memahami kemungkinan kerentanan dan wawasan lainnya.
Menghilangkan ancaman
Tim menghapus penyerang dan semua program jahat dari sistem dan sumber daya yang terpengaruh, yang mungkin mengharuskan sistem offline.
Menerapkan peningkatan proses dan keamanan
Setelah organisasi pulih dari insiden, penting untuk mengevaluasi alasan terjadinya serangan dan jika ada sesuatu yang dapat dilakukan organisasi untuk mencegahnya. Mungkin ada peningkatan kebijakan dan proses sederhana yang akan mengurangi risiko terjadinya serangan serupa di masa mendatang, atau tim mungkin mengidentifikasi solusi dengan jangkauan yang lebih luas untuk ditambahkan ke peta strategi keamanan.
Solusi SOC
Sebagian besar pelanggaran keamanan meninggalkan jejak forensik di dalam file log dan sistem. Belajar mengidentifikasi dan memantau IOC ini dapat membantu organisasi mengisolasi dan menghilangkan penyerang dengan cepat. Banyak tim beralih ke solusi SIEM, seperti Microsoft Sentinel dan Microsoft Defender XDR, yang menggunakan AI dan otomatisasi untuk menghadirkan IOC dan menghubungkannya dengan kejadian lain. Rencana respons insiden memungkinkan tim mengatasi serangan dan mematikannya dengan cepat. Ketika menyangkut keamanan cyber, semakin cepat perusahaan memahami hal yang terjadi, semakin besar kemungkinan mereka menghentikan serangan sebelum menghabiskan banyak biaya atau merusak reputasi mereka. Keamanan IOC adalah kunci untuk membantu organisasi mengurangi risiko pelanggaran yang dapat menghabiskan banyak biaya.
Pelajari selengkapnya tentang Microsoft Security
Perlindungan terhadap ancaman Microsoft
Identifikasi dan respons terhadap insiden di seluruh organisasi Anda dengan perlindungan ancaman terbaru.
Microsoft Sentinel
Temukan ancaman canggih dan respons secara tegas dengan solusi SIEM berbasis cloud yang canggih.
Microsoft Defender XDR
Hentikan serangan di seluruh titik akhir, email, identitas, aplikasi, dan data dengan menggunakan solusi XDR.
Komunitas inteligensi ancaman
Dapatkan pembaruan terbaru dari Inteligensi Ancaman Microsoft Defender edisi komunitas.
Tanya jawab umum
-
Terdapat beberapa jenis IOC. Beberapa hal paling umum adalah:
- Anomali lalu lintas jaringan
- Upaya proses masuk yang tidak biasa
- Ketidakberesan akun hak istimewa
- Perubahan terhadap konfigurasi sistem
- Penginstalan atau pembaruan perangkat lunak tak terduga
- Banyak permintaan untuk file yang sama
- Permintaan Sistem Nama Domain yang tidak biasa
-
Indikator ancaman adalah bukti digital bahwa serangan telah terjadi. Indikator serangan adalah bukti bahwa serangan kemungkinan akan terjadi. Misalnya, kampanye pengelabuan adalah indikator serangan karena tidak ada bukti bahwa penyerang telah menyusupi perusahaan. Namun, jika seseorang mengeklik tautan pengelabuan dan mengunduh program jahat, penginstalan program jahat adalah indikator ancaman.
-
Indikator ancaman dalam email mencakup masuknya banyak spam secara mendadak, lampiran atau tautan aneh, atau email tidak terduga dari orang yang dikenal. Misalnya, jika seorang karyawan mengirimkan email berisi lampiran aneh kepada rekan kerja, hal ini mungkin menunjukkan bahwa akun mereka telah disusupi.
-
Ada beberapa cara untuk mengidentifikasi sistem yang telah disusupi. Perubahan lalu lintas jaringan dari komputer tertentu dapat menjadi indikator bahwa komputer tersebut telah disusupi. Jika orang yang biasanya tidak memerlukan sistem mulai mengakses sistem secara berkala, hal tersebut merupakan tanda penting. Perubahan pada konfigurasi sistem atau penginstalan perangkat lunak yang tidak terduga mungkin juga menunjukkan bahwa sistem telah disusupi.
-
Tiga contoh IOC adalah:
- Akun pengguna yang berbasis di Amerika Utara mulai masuk ke sumber daya perusahaan dari Eropa.
- Ribuan permintaan akses di beberapa akun pengguna, menunjukkan bahwa organisasi merupakan korban dari serangan brute force.
- Permintaan Sistem Nama Domain baru berasal dari host baru atau negara di mana karyawan dan pelanggan tidak berada.
Ikuti Microsoft