Trace Id is missing
Lompati ke konten utama
Microsoft Security

Apa itu perburuan ancaman cyber?

Perburuan ancaman cyber adalah proses pencarian ancaman yang tidak diketahui atau tidak terdeteksi secara proaktif di seluruh jaringan, titik akhir, dan data organisasi’.

Cara kerja perburuan ancaman cyber

Perburuan ancaman cyber memanfaatkan pemburu ancaman untuk terlebih dahulu mencari potensi ancaman dan serangan dalam suatu sistem atau jaringan. Hal ini memungkinkan respons yang tangkas dan efisien terhadap serangan cyberyang semakin kompleks dan dilakukan oleh manusia. Meskipun metode keamanan cyber tradisional mengidentifikasi pelanggaran keamanan setelah kejadiannya, perburuan ancaman cyber beroperasi dengan asumsi bahwa pelanggaran telah terjadi, dan dapat mengidentifikasi, mengadaptasi, dan merespons potensi ancaman segera setelah terdeteksi.

Penyerang yang canggih dapat melanggar organisasi dan tetap tidak terdeteksi untuk jangka waktu yang lama—berhari-hari, berminggu-minggu, atau bahkan lebih lama lagi. Menambahkan perburuan ancaman cyber ke profil alat keamanan Anda yang sudah ada, seperti deteksi titik akhir dan respons (EDR) serta informasi keamanan dan manajemen peristiwa (SIEM), dapat membantu Anda mencegah dan memulihkan serangan yang mungkin tidak terdeteksi oleh alat keamanan otomatis.

Perburuan ancaman otomatis

Pemburu ancaman cyber dapat mengotomatiskan aspek proses tertentu dengan menggunakan pembelajaran mesin, otomatisasi, dan AI. Memanfaatkan solusi seperti SIEM dan EDR dapat membantu pemburu ancaman menyederhanakan prosedur perburuan dengan memantau, mendeteksi, dan merespons potensi ancaman. Pemburu ancaman dapat membuat dan mengotomatiskan playbook yang berbeda untuk merespons berbagai ancaman, sehingga meringankan beban tim TI setiap kali serangan serupa muncul.

Alat dan teknik untuk perburuan ancaman cyber

Pemburu ancaman memiliki berbagai alat yang dapat mereka gunakan, termasuk solusi seperti SIEM dan XDR, yang dirancang untuk bekerja sama.

  • SIEM: Sebuah solusi yang mengumpulkan data dari berbagai sumber dengan analisis real time, SIEM dapat memberikan petunjuk kepada pemburu ancaman tentang potensi ancaman.
  • Deteksi dan respons yang diperluas (XDR): Pemburu ancaman dapat menggunakan XDR, yang memberikan kecerdasan ancaman dan gangguan serangan otomatis, untuk mencapai visibilitas yang lebih besar terhadap ancaman.
  • EDR: EDR, yang memantau perangkat pengguna akhir, juga menyediakan alat yang ampuh bagi pemburu ancaman, memberi mereka wawasan tentang potensi ancaman di seluruh titik akhir organisasi.

Tiga jenis perburuan ancaman cyber

Perburuan ancaman cyber biasanya menggunakan salah satu dari tiga bentuk berikut:

Terstruktur: Dalam perburuan terstruktur, pemburu ancaman mencari taktik, teknik, dan prosedur mencurigakan (TTP) yang menunjukkan potensi ancaman. Daripada mendekati data atau sistem dan mencari pelanggar, pemburu ancaman menciptakan hipotesis tentang metode penyerang potensial dan secara metodis bekerja untuk mengidentifikasi gejala serangan tersebut. Karena perburuan terstruktur adalah pendekatan yang lebih proaktif, profesional TI yang menggunakan taktik ini sering kali dapat mencegat atau menghentikan penyerang dengan cepat.

Tidak Terstruktur: Dalam perburuan yang tidak terstruktur, pemburu ancaman cyber mencari indikator kompromi (IoC) dan melakukan pencarian dari titik awal ini. Karena pemburu ancaman dapat kembali ke masa lalu dan mencari data historis untuk mencari pola dan petunjuk, perburuan tidak terstruktur terkadang dapat mengidentifikasi ancaman yang sebelumnya tidak terdeteksi yang mungkin masih membahayakan organisasi.

Situasi: Perburuan ancaman situasional memprioritaskan sumber daya atau data tertentu dalam ekosistem digital. Jika sebuah organisasi menilai bahwa karyawan atau aset tertentu memiliki risiko tertinggi, organisasi tersebut dapat mengarahkan pemburu ancaman cyber untuk memusatkan upaya atau mencegah atau memulihkan serangan terhadap orang-orang, kumpulan data, atau titik akhir yang rentan tersebut.

Langkah dan implementasi perburuan ancaman

Pemburu ancaman cyber sering kali mengikuti langkah-langkah dasar berikut saat menyelidiki dan memulihkan ancaman dan serangan:

  1. Buat teori atau hipotesis tentang potensi ancaman. Pemburu ancaman mungkin memulai dengan mengidentifikasi TTP umum penyerang.
  2. Melakukan riset. Pemburu ancaman menyelidiki data, sistem, dan aktivitas organisasi—solusi SIEM dapat menjadi alat yang berguna—dan mengumpulkan serta memproses informasi yang relevan.
  3. Identifikasi pemicu. Temuan penelitian dan alat keamanan lainnya dapat membantu pemburu ancaman membedakan titik awal penyelidikan mereka.
  4. Selidiki ancaman. Pemburu ancaman menggunakan alat penelitian dan keamanan mereka untuk menentukan apakah ancaman tersebut berbahaya.
  5. Merespons dan memulihkan. Pemburu ancaman mengambil tindakan untuk mengatasi ancaman tersebut.

Jenis ancaman yang dapat dideteksi oleh pemburu

Perburuan ancaman cyber memiliki kapasitas untuk mengidentifikasi berbagai macam ancaman, termasuk yang berikut:

  • Malware dan virus: Malware menghambat penggunaan perangkat normal dengan mendapatkan akses tidak sah ke perangkat titik akhir. SeranganPengelabuan, spyware, adware, trojan, worm, dan ransomware adalah contoh malware. Virus, salah satu bentuk malware yang paling umum, dirancang untuk mengganggu pengoperasian normal perangkat dengan merekam, merusak, atau menghapus datanya sebelum menyebar ke perangkat lain di jaringan.
  • Ancaman dari dalam: Ancaman dari dalam berasal dari individu dengan akses sah ke jaringan organisasi. Baik melalui tindakan jahat atau perilaku yang tidak disengaja atau lalai, insider ini menyalahgunakan atau menyebabkan kerusakan pada jaringan, data, sistem, atau fasilitas organisasi.
  • Ancaman persisten tingkat lanjut: Aktor-aktor canggih yang melanggar jaringan organisasi dan tetap tidak terdeteksi selama jangka waktu tertentu merupakan ancaman persisten tingkat lanjut. Penyerang ini terampil dan sering kali memiliki sumber daya yang baik.
    Serangan rekayasa sosial: Penyerang cyber dapat menggunakan manipulasi dan penipuan untuk menyesatkan karyawan organisasi agar memberikan akses atau informasi sensitif. Serangan rekayasa sosial umum meliputi pengelabuan, umpan, dan scareware.

 

Praktik terbaik perburuan ancaman cyber

Saat menerapkan protokol perburuan ancaman cyber di organisasi Anda, ingatlah praktik terbaik berikut:

  • Beri pemburu ancaman visibilitas penuh ke organisasi Anda. Pemburu ancaman paling berhasil jika mereka memahami gambaran besarnya.
  • Pertahankan alat keamanan pelengkap seperti SIEM, XDR, dan EDR. Pemburu ancaman cyber mengandalkan otomatisasi dan data yang disediakan oleh alat-alat ini untuk mengidentifikasi ancaman dengan lebih cepat dan dengan konteks yang lebih luas untuk penyelesaian yang lebih cepat.
  • Dapatkan informasi terbaru tentang ancaman dan taktik terbaru yang muncul. Penyerang dan taktik mereka terus berkembang—pastikan pemburu ancaman Anda memiliki sumber daya terkini mengenai tren saat ini.
  • Latih karyawan untuk mengidentifikasi dan melaporkan perilaku yang mencurigakan. Kurangi kemungkinan ancaman dari dalam dengan terus memberikan informasi kepada orang-orang Anda.
  • Menerapkan manajemen kerentanan untuk mengurangi keseluruhan paparan risiko organisasi Anda.

Mengapa perburuan ancaman penting bagi organisasi

Ketika pelaku kejahatan semakin canggih dalam metode serangannya, penting bagi organisasi untuk berinvestasi dalam perburuan ancaman cyber secara proaktif. Melengkapi bentuk perlindungan ancaman yang lebih pasif, perburuan ancaman cyber menutup kesenjangan keamanan, sehingga memungkinkan organisasi untuk memulihkan ancaman yang tidak terdeteksi. Meningkatnya ancaman dari penyerang yang kompleks berarti bahwa organisasi harus meningkatkan pertahanan mereka untuk menjaga kepercayaan terhadap kemampuan mereka dalam menangani data sensitif dan mengurangi biaya yang terkait dengan pelanggaran keamanan.

Produk seperti Microsoft Sentinel dapat membantu Anda tetap terdepan dalam ancaman dengan mengumpulkan, menyimpan, dan mengakses data riwayat dalam skala cloud, menyederhanakan penyelidikan, dan mengotomatiskan tugas umum. Solusi ini dapat memberikan alat canggih bagi pemburu ancaman cyber untuk membantu menjaga organisasi Anda tetap terlindungi.

Pelajari selengkapnya tentang Microsoft Security

Microsoft Sentinel

Gunakan analitik keamanan cerdas untuk menemukan dan menghentikan ancaman di seluruh perusahaan Anda.

Pelajari selengkapnya

Microsoft Defender Experts for Hunting

Perpanjang perburuan ancaman proaktif melampaui titik akhir.

Pelajari selengkapnya

Inteligensi Ancaman Microsoft Defender

Bantu lindungi organisasi Anda dari serangan dan ancaman modern seperti ransomware.

Pelajari selengkapnya

SIEM dan XDR

Deteksi, selidiki, dan tanggapi ancaman di seluruh estat digital Anda.

Pelajari selengkapnya

Tanya jawab umum

  • Contoh perburuan ancaman cyber adalah perburuan berbasis hipotesis di mana pemburu ancaman mengidentifikasi dugaan taktik, teknik, dan prosedur yang mungkin digunakan penyerang, kemudian mencari bukti mengenai taktik, teknik, dan prosedur tersebut dalam jaringan organisasi.

  • Deteksi ancaman adalah pendekatan keamanan cyber yang aktif dan sering kali otomatis, sedangkan perburuan ancaman adalah pendekatan yang proaktif dan tidak otomatis.

  • pusat operasi keamanan(SOC) adalah fungsi atau tim terpusat, baik di tempat maupun di luar sumber daya, yang bertanggung jawab untuk meningkatkan postur keamanan cyber organisasi dan mencegah, mendeteksi, dan merespons ancaman. Perburuan ancaman cyber adalah salah satu taktik yang digunakan SOC untuk mengidentifikasi dan memulihkan ancaman.

  • Alat perburuan ancaman cyber adalah sumber daya perangkat lunak yang tersedia untuk tim TI dan pemburu ancaman untuk membantu mendeteksi dan memulihkan ancaman. Contoh alat pencari ancaman mencakup hal-hal seperti perlindungan antivirus dan firewall, perangkat lunak EDR, alat SIEM, dan analitik data.

  • Tujuan utama perburuan ancaman cyber adalah untuk mendeteksi dan memulihkan ancaman dan serangan canggih secara proaktif sebelum membahayakan organisasi.

  • Kecerdasan ancaman cyber adalah informasi dan data yang dikumpulkan perangkat lunak keamanan cyber, sering kali secara otomatis, sebagai bagian dari protokol keamanannya untuk memberikan perlindungan yang lebih baik dari serangan cyber. Perburuan ancaman melibatkan pengambilan informasi yang dikumpulkan dari kecerdasan ancaman dan menggunakannya untuk menginformasikan hipotesis dan tindakan untuk mencari dan memulihkan ancaman.

Ikuti Microsoft