cyber threat hunter

Apa itu Pemburu Ancaman Siber?

Cyber Threat hunter (Pemburu ancaman siber), yang juga disebut sebagai cybersecurity threat analyst (analis ancaman siber), secara proaktif mengidentifikasi insiden keamanan yang mungkin tidak terdeteksi oleh alat keamanan otomatis seperti detektor malware dan firewall.

Untuk menemukan potensi insiden keamanan ini, perburuan ancaman siber melibatkan pemantauan lalu lintas jaringan, alamat IP, titik akhir, dan set data untuk mengungkap insiden yang mungkin terlewatkan.

Dengan cara ini, pemburu ancaman memberikan intelijen ancaman dan garis pertahanan tambahan terhadap serangan siber dan ancaman persisten lanjutan (APT).

Mengapa Perburuan Ancaman Siber itu Penting?

Memprediksi aktivitas jahat itu menantang karena banyak ancaman baru tidak memiliki indikator yang jelas. Satu-satunya cara untuk tetap berada di depan ancaman yang muncul ini adalah dengan secara proaktif mencarinya dan mencegahnya sebelum terjadi.

Alih-alih menunggu ancaman potensial muncul, proses perburuan ancaman berfokus pada pencarian anomali dalam lingkungan organisasi yang mungkin menunjukkan kerentanannya dan kemudian menerapkan perburuan ancaman proaktif untuk memvalidasi asumsi dan mengurangi risiko.

Secara esensial, pemburu mengasumsikan bahwa aktor ancaman sudah memiliki akses ke lingkungan yang mereka selidiki. Mereka mengevaluasi semua sistem hingga mereka dapat menemukan aktivitas berbahaya dan memperbaiki penyebabnya.

Tugas-tugas yang Terlibat dalam Perburuan Ancaman Siber

Tugas pemburu ancaman adalah untuk melengkapi dan memperkuat sistem otomatis. Saat proses tinjauan mengungkap pola-pola untuk memulai serangan, organisasi keamanan dapat menggunakan informasi tersebut untuk meningkatkan perangkat lunak deteksi ancaman otomatis mereka.

Seorang pemburu ancaman akan secara rutin:

  • mencari kerentanannya dan faktor risiko dalam data dan sistem;
  • memperbarui pengetahuan tentang inovasi terbaru dalam keamanan siber;
  • mempelajari tren dalam kejahatan siber seputar perilaku, taktik, dan tujuan aktor ancaman;
  • menganalisis data yang dikumpulkan untuk menemukan potensi anomali dalam lingkungan keamanan; dan
  • menghilangkan risiko dan kerentanannya.

Metodologi Perburuan Ancaman Siber

Perburuan ancaman umumnya berputar di sekitar salah satu dari tiga metodologi yang diterima secara industri. Ini meliputi:

  • Penyelidikan Berdasarkan Hipotesis. Penyelidikan berbasis hipotesis adalah yang didorong oleh sejumlah besar data yang diperoleh dari sumber daya kolektif yang memberikan wawasan tentang taktik, teknik, dan prosedur (TTP) terbaru dari para penjahat dunia maya. Pemburu ancaman menggunakan wawasan TTP untuk menyelidiki apakah perilaku tersebut ada dalam lingkungan organisasi saat ini.
  • Penyelidikan Berdasarkan IOC. Indikator Kompromi (IOC) ditemukan dalam “artifak” forensik dan mengidentifikasi aktivitas yang menunjukkan potensi ancaman. Penyelidikan yang didorong oleh IOC menggunakan intelijen ancaman untuk mencoba mengidentifikasi ancaman yang efektif dalam lingkungan organisasi. Potensial IOC termasuk artifak berbasis jaringan, berbasis host, dan berbasis otentikasi.
  • Penyelidikan Menggunakan Pembelajaran Mesin.Pembelajaran mesin dapat membantu perburuan ancaman dengan menggabungkan analisis dan pembelajaran mesin untuk menyaring sejumlah besar data guna mencari anomali yang mungkin menunjukkan potensi ancaman.

Ketiga metodologi ini menggabungkan intelijen ancaman, upaya manusia, dan teknologi keamanan siber canggih untuk secara proaktif menyelidiki sistem dan data organisasi untuk mengurangi atau mencegah insiden keamanan.

Alat Perburuan Ancaman Siber

Ada sejumlah alat yang mendukung upaya manusia yang dikeluarkan oleh pemburu ancaman siber. Ini termasuk:

  • Solusi SIEM. Alat manajemen informasi dan kejadian keamanan (SIEM) membantu pemburu ancaman dengan menggunakan otomatisasi untuk mengumpulkan dan menganalisis sejumlah besar data dari alat pemantauan dan sumber lainnya untuk menggali ancaman yang sebelumnya tidak teridentifikasi.
  • Alat Pemantauan Keamanan. Profesional keamanan menggunakan data yang dikumpulkan dari alat pemantauan keamanan untuk membantu memberikan gambaran menyeluruh tentang potensi ancaman.
  • Alat Analitik. Alat ini memungkinkan pemburu ancaman untuk lebih memvisualisasikan data untuk membantu mereka lebih baik mengidentifikasi korelasi antara set data yang mungkin menunjukkan serangan.
  • Sumber Intelijen Ancaman. Pemburu ancaman menggunakan data intelijen ancaman tentang alamat IP berbahaya, hash malware, dan indikator ancaman lainnya yang ditemukan dalam berbagai bentuk di internet untuk mendukung analisis dan upaya penyelidikan mereka.

Jenis Organisasi yang Menggunakan Pemburu Ancaman Siber

Biasanya, pemburu ancaman siber dipekerjakan oleh organisasi besar yang sangat rentan terhadap serangan siber.

Pemburu ancaman bekerja dalam pusat operasi keamanan (SOC) dan memimpin peran mereka dalam deteksi ancaman dan kegiatan respons insiden mereka. Mereka sering dikelola oleh CISO organisasi, yang bekerja sama dengan CIO untuk mengoordinasikan keamanan perusahaan.

Perburuan ancaman mungkin ditugaskan sebagai tugas tambahan kepada satu atau lebih analis keamanan dalam SOC, atau mereka dapat ditugaskan untuk tugas perburuan ancaman penuh waktu. Untuk organisasi yang lebih kecil, layanan perburuan ancaman biasanya dipasok oleh penyedia layanan keamanan terkelola (MSSP) yang menawarkan pemantauan dan manajemen keamanan untuk sejumlah organisasi sekaligus.

Pilihan tambahan termasuk membentuk tim perburuan ancaman yang mencakup rotasi insinyur keamanan ke dalam peran perburuan ancaman secara sementara dan kemudian mengembalikan mereka ke pekerjaan biasa mereka di dalam SOC.

Prospek Pekerjaan untuk Pemburu Ancaman Siber

“SANS 2020 Threat Hunting Survey” menemukan bahwa 65% organisasi yang disurvei sudah melakukan beberapa bentuk perburuan ancaman dan 29% lainnya berencana untuk melaksanakan perburuan ancaman dalam 12 bulan mendatang. Hasil survei juga menunjukkan bahwa sebagian besar pertumbuhan dalam perburuan ancaman terbatas pada pasar vertikal seperti layanan keuangan, teknologi tinggi, militer, pemerintah, dan telekomunikasi.

Banyak dari organisasi yang membutuhkan layanan seorang pemburu ancaman mencari seorang profesional yang memiliki pengalaman dalam perburuan ancaman atau metodologi keamanan siber serta teknik remediasi.

Ini mungkin seseorang dengan latar belakang analis keamanan dan gelar sarjana dalam bidang keamanan siber, ilmu komputer, atau bidang terkait. Persyaratan mungkin juga termasuk pengalaman sebelumnya bekerja dalam peran serupa atau sebagai anggota tim keamanan.

Menurut Biro Statistik Tenaga Kerja AS, rentang gaji tahunan untuk seorang analis ancaman keamanan pada tahun 2021 adalah $57.810 hingga $158.860. Selain itu, CompTIA memprediksi adanya peningkatan 32% dalam pekerjaan baru di bidang analis keamanan informasi antara 2018 dan 2028.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *