Kasus penggunaan dan contoh Threat Intelligence

Organisasi menghadapi lanskap ancaman yang berbeda berdasarkan industri, ukuran, dan infrastruktur digital mereka: Lembaga keuangan perlu memantau trojan perbankan dan pencurian kredensial, sementara penyedia layanan kesehatan harus mewaspadai ransomware yang menargetkan sistem data pasien. Perbedaan ini berarti Anda perlu memahami pendekatan threat intelligence mana yang benar-benar penting untuk lingkungan spesifik Anda.

Menurut Laporan Perspektif Global Google, 47% profesional keamanan menyebutkan bahwa menerapkan threat intelligence secara efektif melalui organisasi keamanan mereka adalah salah satu tantangan terbesar mereka. Pendekatan berbasis persyaratan mengatasi hal ini dengan memenuhi kebutuhan pemangku kepentingan secara eksplisit di seluruh siklus proses threat intelligence—mulai dari profil ancaman yang relevan dengan sektor dan wilayah Anda, lalu menggunakan analisis pemangku kepentingan untuk menginformasikan perencanaan pengumpulan dan menghasilkan output yang memenuhi persyaratan tertentu. Saat menerapkan contoh dan kasus penggunaan threat intelligence yang relevan dengan organisasi Anda, Anda dapat menjembatani kesenjangan antara pengumpulan data ancaman dan pencegahan serangan secara proaktif.

Contoh threat intelligence

Contoh umum threat intelligence meliputi:

  • Indikator penyusupan (IOC)
  • Taktik, teknik, dan prosedur (TTP)
  • Atribusi penyerang
  • Informasi kerentanan
  • Feed threat intelligence

Jika digunakan secara terpisah atau bersamaan, keduanya berfungsi sebagai pendekatan preventif dan proaktif untuk mengamankan sistem dan data sensitif.

Indikator penyusupan (IOC)

IOC adalah artefak forensik yang menandakan potensi insiden keamanan di lingkungan Anda. Hal ini mencakup alamat IP berbahaya, hash file, nama domain, dan URL yang membantu Anda mendeteksi keberadaan penyerang di sistem Anda. Saat alat keamanan Anda mengidentifikasi IOC dari kampanye serangan terbaru, Anda dapat segera menyelidiki apakah indikator tersebut muncul di mana pun di lingkungan Anda.

Taktik, teknik, dan prosedur (TTP)

TTP menggambarkan cara kerja pelaku ancaman dan metode yang mereka gunakan untuk mendapatkan akses, bergerak secara lateral, dan mencapai tujuan mereka. Memahami pola ini membantu Anda mengenali perilaku serangan meskipun IOC tertentu berubah. Jika Anda mengetahui bahwa kelompok ancaman tertentu biasanya menggunakan spearphishing untuk mendapatkan akses awal, Anda dapat mengonfigurasi aturan deteksi terkait perilaku ini.

Atribusi penyerang

Kecerdasan atribusi mengidentifikasi kelompok ancaman mana yang berada di balik serangan dan mengungkapkan target, motivasi, dan kemampuan mereka yang khas. Konteks ini membantu Anda menilai apakah organisasi Anda termasuk dalam cakupan penargetan kelompok tertentu atau tidak. Atribusi juga membantu Anda memahami tujuan penyerang—apakah mereka mencoba mencuri kekayaan intelektual, men-deploy ransomware, atau mempertahankan akses persisten.

Informasi kerentanan

Kecerdasan kerentanan memberikan detail tentang kelemahan software yang dapat dieksploitasi oleh penyerang. Hal ini mencakup data CVE, ketersediaan eksploitasi, dan informasi tentang kerentanan mana yang menjadi target aktif pelaku ancaman di dunia nyata. Kecerdasan kerentanan membantu Anda memisahkan risiko teoretis dari ancaman aktif dengan menunjukkan kelemahan mana yang digunakan penyerang dalam kampanye.

Feed threat intelligence

Feed memberikan aliran data ancaman berkelanjutan dari berbagai sumber, termasuk vendor keamanan, lembaga pemerintah, dan komunitas berbagi informasi. Feed ini menjaga pertahanan Anda tetap diperbarui terhadap ancaman yang muncul tanpa memerlukan riset manual. Fokus feed bervariasi: beberapa feed memberikan cakupan luas untuk berbagai jenis ancaman, sementara yang lain mengkhususkan diri pada area tertentu seperti domain phishing atau infrastruktur ransomware.

Kasus penggunaan utama untuk threat intelligence

Mengambil pendekatan yang berpusat pada kasus penggunaan membuat threat intelligence dapat ditindaklanjuti, bukan abstrak. Saat Anda memetakan data ancaman ke fungsi keamanan tertentu seperti respons insiden dan manajemen kerentanan, Anda dapat mengukur dampaknya terhadap hasil keamanan Anda dan membuat keputusan yang lebih baik tentang tempat menginvestasikan sumber daya.

Pertahanan proaktif

Threat intelligence memungkinkan Anda mengidentifikasi dan memblokir ancaman sebelum mencapai lingkungan Anda. Dengan memahami infrastruktur dan metode penyerang sebelumnya, Anda dapat mengonfigurasi pertahanan untuk menghentikan serangan di perimeter. Misalnya, saat kecerdasan mengungkapkan bahwa kelompok ancaman mendaftarkan domain mengikuti pola penamaan tertentu, Anda dapat memblokir pola tersebut dalam pemfilteran DNS.

Respons insiden

Saat insiden terjadi, threat intelligence memberikan konteks tentang hal yang Anda hadapi. Anda dapat dengan cepat menentukan cakupan serangan, mengidentifikasi indikator terkait, dan memahami tujuan penyerang untuk menahan ancaman lebih cepat. Misalnya, jika Anda mendeteksi eksekusi PowerShell yang mencurigakan di sebuah endpoint, kecerdasan tentang serangan serupa akan memberi tahu Anda apa yang harus dicari selanjutnya, apakah penyerang biasanya mencoba pergerakan lateral, pemindahan data yang tidak sah, atau pencurian kredensial.

Perburuan ancaman

Kecerdasan memandu Anda menelusuri ancaman tersembunyi yang sudah ada di lingkungan Anda. Dengan berfokus pada TTP dan IOC yang diketahui dan relevan dengan industri, Anda dapat mengungkap serangan canggih yang menghindari deteksi otomatis. Misalnya, jika kelompok ancaman yang menargetkan sektor Anda biasanya menggunakan teknik living-off-the-land dengan alat administratif, Anda dapat mencari penggunaan yang tidak wajar dari alat tersebut.

Pendekatan terhadap threat intelligence

Praktik deteksi ancaman

Praktik Threat Intelligence di Google Security Operations tidak hanya menyimpan indikator penyusupan dan perilaku penyerang. Gemini menggunakan pemahaman Google tentang lanskap ancaman, termasuk threat intelligence yang muncul dari Mandiant, dan menerapkan pengetahuan ini ke lingkungan spesifik Anda. Sistem secara otomatis mengaitkan data ancaman dengan telemetri keamanan Anda untuk mengidentifikasi ancaman yang relevan tanpa analisis manual. Anda mendapatkan hasil yang diprioritaskan dan dapat ditindaklanjuti yang menghubungkan peristiwa, pemberitahuan, aset, dan pengguna ke dalam cerita yang koheren sehingga Anda dapat mengantisipasi ancaman terbaru.

Threat intelligence berbasis persyaratan

Pendekatan berbasis persyaratan mengatur cara Anda mengumpulkan dan menggunakan threat intelligence berdasarkan kebutuhan aktual organisasi Anda. Proses ini secara eksplisit memenuhi kebutuhan yang ditentukan dari semua pemangku kepentingan yang relevan di seluruh siklus proses threat intelligence. Layanan ini dimulai dengan profil ancaman yang memberikan konteks tentang ancaman paling relevan di sektor, industri, dan region Anda. Analisis pemangku kepentingan menghasilkan persyaratan kecerdasan dan kasus penggunaan, yang menginformasikan perencanaan pengumpulan dan pengembangan aset pengumpulan Anda. Elemen-elemen ini digabungkan untuk membentuk lini layanan yang menghasilkan output yang memenuhi persyaratan pemangku kepentingan, format, dan frekuensi pelaporan.

Pendekatan ini mencakup beberapa komponen yang bekerja sama. Perencanaan dan arahan menentukan kecerdasan apa yang Anda butuhkan beserta alasannya. Pengumpulan mengumpulkan data mentah dari sumber yang relevan. Pemrosesan mengonversi data tersebut menjadi format terstruktur. Analisis mengubah data yang diproses menjadi insight yang dapat ditindaklanjuti. Penyebaran memberikan insight tersebut kepada para pengambil keputusan dan tim keamanan yang dapat menindaklanjutinya. Anda dapat menerapkan framework ini di berbagai kasus penggunaan, mulai dari manajemen kerentanan, perburuan ancaman, hingga perencanaan arsitektur keamanan.

Mengintegrasikan Google Threat Intelligence ke dalam program keamanan Anda

Threat intelligence menjadi paling berharga saat Anda menerapkannya ke lingkungan dan tantangan keamanan spesifik Anda. Google Threat Intelligence menggabungkan insight dari pemantauan lebih dari 500 pelaku ancaman dengan kemampuan deteksi otomatis, sehingga memberi Anda kecerdasan yang diprioritaskan dan relevan dengan industri dan region Anda. Dengan mengintegrasikan kemampuan ini ke dalam operasi keamanan, Anda dapat beralih dari mengumpulkan data ancaman ke mencegah serangan.

Pelajari solusi Threat Intelligence kami

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Google Cloud
DokumenDukungan
Konsol
Login
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud