Pada tahun-tahun sebelumnya, semua orang bergantung pada SOC (termasuk firewall, WAF, SIEM, dll.) dan prioritas dalam membangun SOC memberikan keamanan dan CIA dipertahankan.
Namun, kemudian munculnya pelaku penyerangan dan ancaman menjadi lebih menantang dan SOC yang ada tidak akan mampu memberikan keamanan yang lebih baik atas CIA. Ada banyak penyebab kegagalan SOC yang ada, dimana hanya bergantung pada SIEM.
Banyak organisasi, percaya mengintegrasikan semua perangkat keamanan seperti Firewall, Router, AV dan solusi DB di SIEM dan menghubungkan kasus penggunaan akan memberi mereka keamanan 100% atas CIA dari
Serangan APT selama beberapa tahun ini sengaja menunjukkan bahwa di dunia maya, organisasi harus menerapkan model pertahanan 0-trust. Alasan utama kegagalan SOC yang ada, kami sebagian besar peduli dengan kasus penggunaan upaya login brute force, login gagal, permintaan http kegagalan, dan propagasi malware.
Namun demikian, kita harus memahami ketika para pembela mulai belajar, para pelanggar juga berkembang ke arah yang lebih baik. Grup APT berkembang dan menyalahgunakan aplikasi asli yang sering kami gunakan dan bertahan selama bertahun-tahun tanpa ketahuan.
Timbulnya APT
Advanced Persistence Threat, kelompok-kelompok ini bukanlah identitas individu. Mereka kebanyakan organisasi atau negara (berdasarkan agenda/alasan politik) dengan tim ahli. Bukan ahli normal, mereka adalah profesional terlatih dan mereka memiliki potensi untuk menerobos sistem apa pun dan bergerak secara lateral di LAN tanpa tertangkap selama bertahun-tahun.
Bahkan antivirus Anda tidak dapat mendeteksi gerakan ini, karena mereka tidak membuat
Komponen utama dari APT adalah, bergerak secara lateral, menjadi persisten, membuat saluran CnC, mendapatkan muatan hanya dengan permintaan DNS dan banyak lagi. Setiap serangan APT sejauh ini tercatat, mereka memiliki cara unik untuk menyebarkan jaringan dan mereka sangat bergantung pada port terbuka, zona jaringan yang tidak terlindungi, aplikasi yang rentan, pembagian jaringan, dll. Begitu mereka masuk, mereka melakukan apa pun yang ingin mereka lakukan.
Model Pertahanan Proaktif
Persepsi Anda terhadap pertahanan terhadap serangan cyber modern dan serangan APT, Anda harus berpikir dan membangun mekanisme pertahanan persis seperti “musuh“.Untuk membangun model pertahanan, Anda harus tahu taktik musuh, bagaimana mereka masuk? Bagaimana mereka menyebar? Bagaimana mereka melakukan eksfiltrasi?
Untuk pertanyaan ini, rantai pembunuhan dunia maya Lock Martin dan Mitre ATT&CK memberikan pemahaman yang lebih baik tentang serangan tersebut. Persisnya bagaimana musuh menyelinap ke jaringan Anda dan bagaimana dia keluar tanpa tertangkap. Anda juga dapat, menerapkan kasus penggunaan di SOC Anda yang ada berdasarkan tahapan rantai Pembunuhan Cyber, yang akan memberi Anda wawasan tentang serangan dunia maya.

Intelijen Ancaman Cyber
Memblokir IOC dan Ip tidak memberi Anda keamanan 100% atas serangan cyber. Serangan APT baru-baru ini banyak berkembang, menggunakan algoritma DGA
Mari kita asumsikan SOC kita yang ada; apakah kita akan menempatkan
Keduanya dianggap
Grup APT menggunakan berbagai teknik dan menyembunyikan jejak mereka selamanya, jadi hanya bergantung pada IOC (IP, domain, hash, URL) tidak berfungsi lagi. Anda harus berpikir tentang TTP (Taktik, Teknik
TTP ini memainkan peran penting dalam mengumpulkan informasi tentang OS dan artefak jaringan yang digunakan oleh musuh, berdasarkan informasi tersebut, membangun kasus penggunaan untuk kasus dengan cara lalu lintas tertentu atau spesifik “
Intelijen ancaman, juga menyediakan informasi ancaman global berdasarkan sumber daya yang tersedia. Banyak OEM juga menyediakan berbagai informasi matriks ancaman, alat yang digunakan, artefak yang digunakan, dll. Setiap hari, tim intelijen Anda harus mengumpulkan informasi tidak hanya tentang IOC juga; mereka harus mencari detail tentang IOA dan IOE yang baru muncul.
Grup APT terlatih dengan baik dalam mengeksploitasi kerentanan. Oleh karena itu, kita perlu mengumpulkan lebih banyak informasi untuk indikasi eksploitasi dalam organisasi dan memastikannya telah diperbaiki, sebelum eksploitasi musuh.
Program intelijen siber adalah tentang mengungkap siapa, apa, di mana, kapan, mengapa, dan bagaimana di balik serangan siber. Kecerdasan taktis dan operasional dapat membantu mengidentifikasi apa dan bagaimana suatu serangan, dan terkadang di mana dan kapan.
Perburuan Ancaman Cyber
Setelah mengumpulkan informasi, kita harus berburu. Perburuan ancaman dunia maya adalah metodologi modern untuk memiliki gagasan tentang rantai pembunuhan dunia maya atau Serangan Mitra dan memburu varian serangan yang tidak diketahui. Ketika Anda tahu, apa yang terjadi di LAN Anda, Anda dapat langsung mengarahkan ke respons Insiden.
Namun, ketika Anda mencurigai suatu peristiwa, bahwa Anda ingin berburu di LAN Anda untuk mencari jejak varian yang tidak diketahui (APT), perburuan ancaman masuk. Perburuan ancaman memberi Anda analisis mendalam atas vektor ancaman dan Anda dapat mempersempit kejadian sebelum menjadi kejadian.
Di setiap organisasi, tim pemburu ancaman harus dipekerjakan dan secara proaktif mereka mencari kejadian yang mencurigakan dan memastikannya tidak menjadi insiden atau pelanggaran musuh. Mereka harus memahami riwayat serangan APT dan memeriksa artefak di jaringan mereka. Bukan untuk mencari IOC yang dikenal, uraikan metodologi yang mereka sebarkan.
Persis apa yang harus diburu? – Contoh
- Berburu Jaringan Beaconing
- Perburuan Eskalasi Hak Istimewa Orang Dalam
- Berburu permintaan DNS yang tidak biasa
- Berburu Berbagi Jaringan yang Tidak Biasa
- Berburu Pengintaian Jaringan
- Cari layanan windows yang tidak cocok (proses induk/anak)
- Hunt for Privilege Eskalasi – Akses manipulasi token
- Berburu UAC Bypass
- Berburu Pembuangan Kredensial
- Berburu suar melalui pipa SMB
- Berburu Saluran Terselubung
- Berburu lalu lintas CnC
- Berburu bayangan
- Berburu Terowongan yang Mencurigakan
Demikian juga, ada beberapa kondisi untuk berburu di LAN. Kami dapat menggunakan kerangka kerja Mitre ATT&CK dan memeriksa riwayat APT dan memahaminya. Ini akan memberikan pemahaman yang lebih baik dan kami dapat memetakan metode berburu ke
Waktu tinggal, waktu musuh tetap berada di jaringan Anda dan mempelajari setiap zona, berbagi, Database, protokol jaringan, pemetaan, rute, titik akhir yang rentan, dll. Ancaman

Tanggapan Insiden
Tetapi penanggap insiden dan tim penanggap pasti dibutuhkan di SOC mana pun, di mana mereka
Tim IR harus memastikan bahwa CIA tidak dilanggar dan tidak
Rencana respons insiden dapat menguntungkan perusahaan dengan menguraikan cara meminimalkan durasi dan kerusakan dari insiden keamanan, mengidentifikasi pemangku kepentingan yang berpartisipasi, merampingkan analisis forensik, mempercepat waktu pemulihan, mengurangi publisitas negatif, dan pada akhirnya meningkatkan kepercayaan eksekutif perusahaan, pemilik

SOC modern dan keterampilan Keahlian
Seperti yang kita lihat dan alami berbagai serangan APT dan spionase dunia maya modern, kita harus berevolusi dan menciptakan strategi keamanan dunia maya yang ditingkatkan. Model ini memberikan wawasan tentang serangan cyber, sehingga kami membutuhkan tim ahli dengan berbagai keterampilan.
Kumpulan keterampilan khusus untuk berburu ancaman, intelijen ancaman open source dan intelijen DarkNet, Penangan insiden proaktif dan responden pertama, peneliti malware dan siapa yang dapat memahami arsitektur windows dan perilaku malware. Keterampilan ini sebagian besar diperlukan untuk mempertahankan jaringan dari serangan dunia maya modern.

Contoh, bagaimana tim CyberSOC modern harus direncanakan.
Kesimpulan
Ketahanan dunia maya adalah perspektif yang berkembang yang dengan cepat mendapatkan pengakuan. Konsep ini pada dasarnya menyatukan bidang keamanan informasi, kelangsungan bisnis, dan ketahanan (organisasi).
Model ini memiliki ide konseptual membawa Intel Ancaman, berburu, respon
Model ini terdiri dari elemen kunci “Tanggapan adaptif, pemantauan Analitik, Penipuan, Kecerdasan, Keragaman, Pemosisian dinamis, pembatasan hak istimewa berdasarkan kebijakan yang ada, penataan kembali layanan/server misi kritis dan nonkritis, korelasi peristiwa dan respons cepat”. Ini terutama membahas ancaman APT dan memberikan wawasan mendalam tentang serangan dan kemungkinan vektor.
Ingat,
Lebih awal: “Malware atau Berbahaya”, diklasifikasikan sebagai skrip yang bermaksud melakukan sesuatu. Tetapi dalam POV dari APT atau musuh, mereka sangat menyadari fungsi antivirus saat ini dan mekanisme pertahanan mereka. Jadi mereka tidak terlalu bergantung pada skrip atau malware, sebaliknya mereka menyalahgunakan program asli dan bergerak ke samping tanpa terdeteksi.
Cyber Threat Hunter POV – Apa pun yang tidak diperlukan untuk individu, di titik akhir mana pun, atau dalam organisasi, kunci yang rentan ini adalah aset penting dari APT. Jadi ini dianggap sebagai malware dalam persepsi pemburu ancaman. Mantan: “PowerShell tidak digunakan oleh semua orang, kecuali dibutuhkan oleh admin di server. Jadi tidak menonaktifkan eksekusi powershell di titik akhir adalah celah dan musuh dapat memanfaatkannya.
Model ini memiliki pandangan lima titik:
Ini adalah pilar CyberSOC dan dapat dipelihara atau digunakan secara terpisah sesuai dengan kebijakan organisasi. Namun, semuanya harus disinkronkan secara logis dan digunakan masing-masing
Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian Anda juga dapat mengambil Kursus keamanan siber online terbaik untuk terus memperbarui diri.