Istilah threat intelligence seringkali tertukar dengan threat hunting, oleh karena itu ESET akan mencoba untuk menguraikan beberapa perbedaan di antara keduanya.
Threat intelligence mengacu pada agregasi dan pengayaan data untuk membuat profil yang dapat dikenali tentang seperti apa serangan siber, operasi siber jahat, atau kemampuan penyerang tertentu.
Sementara itu threat hunting mengacu pada proses menganalisis data peristiwa untuk perilaku abnormal dan berbahaya dalam jaringan yang dapat mengindikasikan intrusi penyerang, pencurian data, atau kerusakan lainnya. Meskipun threat inteligence tidak memiliki tujuan yang sama dengan threat hunting, namun threat intelligence ini berfungsi sebagai titik awal yang sangat baik untuk threat hunting.
Sekarang mari kita lihat pilihan tool source code yang digunakan di kedua disiplin ilmu tersebut:
|
Baca juga: Teknologi Nexgen ESET Tangkal Zero Day |
Tool threat inteligence
Yeti
Threat intelligence (Yeti) adalah platform yang lahir dari kebutuhan analis keamanan untuk memusatkan beberapa umpan data ancaman. Analis sering menghadapi pertanyaan seperti: “Di mana indikator ini diamati?” dan “Apakah informasi ini terkait dengan serangan tertentu atau kelompok malware?” Untuk menjawab pertanyaan ini, Yeti membantu analis untuk mengatur Indikator Kompromi (IoC) dan informasi tentang taktik, teknik, dan prosedur (TTP) yang digunakan oleh pelaku dalam satu repositori terpadu. Setelah dicerna, Yeti secara otomatis memperkaya indikator, misalnya dengan menyelesaikan domain atau geolokasi alamat IP.
Yeti menonjol karena kemampuannya untuk menyerap data (bahkan posting blog), memperkayanya, dan kemudian mengekspor data yang diperkaya ke alat lain yang digunakan dalam ekosistem threat inteligence organisasi. Hal ini memungkinkan analis untuk fokus menggunakan alat ini untuk mengumpulkan informasi ancaman daripada mengkhawatirkan tentang cara mengimpor dan mengekspor data dalam format yang dapat dibaca mesin. Data yang diperkaya kemudian dapat dibagikan dengan sistem lain untuk manajemen insiden, analisis malware, atau pemantauan.
Untuk lebih merampingkan alur kerja analis, Yeti juga menawarkan HTTP API dengan akses ke kekuatan penuh alat, baik dari command shell maupun dari alat threat inteligence lainnya.
MISP
MISP (Malware Information Sharing Platform) adalah Open Source Threat Intelligence and Sharing Platform merupakan alat gratis untuk berbagi IoC dan informasi kerentanan antar organisasi, sehingga mempromosikan kerja kolaboratif pada threat inteligence. Platform ini digunakan oleh organisasi di seluruh dunia untuk membentuk komunitas tepercaya yang berbagi data untuk menghubungkannya dan mencapai pemahaman yang lebih baik tentang ancaman yang menargetkan sektor atau area tertentu.
Alih-alih mengirim IoC melalui email dan sebagai dokumen PDF, platform ini membantu organisasi yang berkolaborasi mengelola dengan lebih baik bagaimana informasi dibagikan dan dipusatkan di antara mereka. Informasi yang dibagikan di komunitas MISP kemudian dapat dimasukkan ke dalam Yeti untuk pengayaan lebih lanjut.
|
Baca juga: Teknologi Canggih ESET untuk Dunia Siber |
OpenCTI
Mirip dengan Yeti, Open Cyber Threat Intelligence (OpenCTI) adalah platform untuk menyerap dan menggabungkan data untuk memperkaya pengetahuan organisasi tentang ancaman. Ini didukung oleh badan keamanan siber nasional Prancis ANSSI, Tim Tanggap Darurat Komputer untuk UE (CERT-EU), dan Luatix.
Selain memasukkan data ancaman secara manual, OpenCTI menawarkan konektor untuk secara otomatis menyerap umpan data ancaman dan informasi dari sumber threat inteligence populer, termasuk MISP, MITER ATT&CK, dan VirusTotal. Konektor lain tersedia untuk memperkaya data dengan sumber seperti Shodan dan mengekspor data ke platform seperti Elastic dan Splunk.
Harpoon
Harpoon adalah alat baris perintah yang dilengkapi dengan satu set plugin Python untuk mengotomatisasi tugas intelijen open source. Setiap plugin menyediakan perintah yang dapat digunakan analis untuk berkonsultasi dengan platform seperti MISP, Shodan, VirusTotal, dan Have I Been Pawned melalui API mereka.
Analis dapat menggunakan perintah tingkat yang lebih tinggi untuk mengumpulkan informasi yang terkait dengan alamat IP atau domain dari semua platform ini sekaligus. Terakhir, perintah lain dapat meminta layanan penyingkat URL dan mencari platform media sosial, repositori GitHub, dan cache web.
Alat threat hunting
sysmon
Meskipun bukan open source, System Monitor (Sysmon) adalah alat Windows gratis yang memantau dan mencatat aktivitas seperti pembuatan proses, koneksi jaringan, pemuatan driver dan DLL, dan modifikasi time stamp pembuatan file ke Windows Event Log. Karena Sysmon tidak menganalisis data sistem, threat hunting biasanya menggunakan alat Security Information and Event Management (SIEM) untuk mengumpulkan dan menganalisis data yang dicatat oleh Sysmon untuk aktivitas mencurigakan dan berbahaya yang terjadi di jaringan.
APT-Hunter
Karena solusi SIEM memerlukan lisensi berbayar, alternatif gratisnya adalah APT-Hunter. Dirilis pada tahun 2021, APT-Hunter adalah alat open source yang dapat menganalisis Windows Event Log untuk mendeteksi ancaman dan aktivitas mencurigakan. Alat ini berisi lebih dari 200 aturan deteksi untuk mengidentifikasi aktivitas berbahaya seperti serangan pass-the-hash dan password spray, serta aktivitas mencurigakan lainnya untuk pemeriksaan manual oleh threat hunting. Banyak aturan yang dipetakan langsung ke basis pengetahuan MITER ATT&CK.
APT-Hunter dapat mengumpulkan log Windows dalam format EVTX dan CSV. Setelah dieksekusi, APT-Hunter menghasilkan dua file output:
- File .xlsx yang berisi semua peristiwa yang terdeteksi sebagai mencurigakan atau berbahaya.
- File .csv yang dapat dimuat ke Timesketch untuk menampilkan kemajuan serangan secara kronologis.
|
Baca juga: Teknologi Pemburu Kejahatan SIber GREYCORTEX |
DeepBlueCLI
DeepBlueCLI adalah alat open source yang disediakan di repositori SANS Blue Team GitHub yang dapat menganalisis file EVTX dari Windows Event Log. Alat ini mem-parsing Command shell dan baris perintah PowerShell yang telah dicatat untuk mengidentifikasi indikator yang mencurigakan seperti baris perintah yang panjang, pencarian regex, penyamaran, dan EXE dan DLL yang tanpa signature; serangan terhadap akun pengguna seperti tebak kata sandi dan password spray; dan alat-alat seperti Mimikatz, PowerSploit, dan BloodHound.
Awalnya dirilis sebagai modul PowerShell, DeepBlueCLI juga telah ditulis dengan Python untuk digunakan pada mesin mirip Unix.
Kesimpulan
Threat inteligence dan threat hunting adalah aktivitas pelengkap dalam alur kerja harian tim keamanan perusahaan. Saat operasi jahat baru muncul di lanskap ancaman, sangat penting bagi perusahaan untuk dapat berbagi pengetahuan tentang apa yang mereka lihat untuk memberikan gambaran yang lebih mendetail tentang aktivitas terbaru dari ancaman yang diketahui dan penyerang baru yang muncul di tempat kejadian.
Analis keamanan ditugaskan untuk mengatur dan menghubungkan data dari berbagai sumber dan terkadang berbeda. Berdasarkan data ancaman yang diperkaya, threat hunting kemudian dapat lebih mudah mengidentifikasi ancaman apa pun di jaringan mereka dan menetralisirnya.
|
Baca lainnya: |
