Apa itu Perburuan Ancaman 2023? [Panduan Lengkap]

Diterbitkan: 2023-03-22

Perburuan ancaman dunia maya adalah metode proaktif keamanan internet di mana pemburu ancaman mencari bahaya keamanan yang mungkin tersembunyi di dalam jaringan perusahaan .

Perburuan dunia maya secara aktif mencari ancaman yang sebelumnya tidak terdeteksi, tidak teridentifikasi, atau tidak dapat diperbaiki yang mungkin lolos dari mekanisme pertahanan otomatis jaringan Anda, berbeda dengan teknik perburuan keamanan dunia maya yang lebih pasif seperti sistem deteksi ancaman otomatis.

Daftar isi

Apa itu Perburuan Ancaman?

Tindakan aktif mencari ancaman dunia maya yang bersembunyi tanpa terdeteksi di jaringan dikenal sebagai perburuan ancaman. Perburuan ancaman dunia maya menjelajahi lingkungan Anda untuk mencari aktor jahat yang telah melewati langkah keamanan awal titik akhir Anda.

Beberapa bahaya lebih canggih dan canggih, sementara mayoritas tidak dapat melewati sistem keamanan. Selama berminggu-minggu, penyerang dapat tetap tidak terdeteksi di sistem dan file sambil perlahan-lahan maju melalui jaringan untuk mengumpulkan lebih banyak data.

Berminggu-minggu atau bahkan berbulan-bulan dapat berlalu selama prosedur ini. Itu dapat dengan mudah menghindari deteksi dari alat dan personel keamanan tanpa berburu secara aktif.

Threat Hunting

Mengapa Berburu Ancaman Penting?

Karena ancaman canggih dapat menghindari keamanan siber otomatis, perburuan ancaman menjadi sangat penting.

Anda masih perlu khawatir tentang 20% ​​ancaman yang tersisa bahkan jika alat keamanan otomatis dan analis pusat operasi keamanan (SOC) tingkat 1 dan 2 harus mampu menangani sekitar 80% dari ancaman tersebut.

Ancaman di 20% sisanya lebih cenderung kompleks dan mampu menimbulkan kerugian besar.

Penyerang dapat memasuki jaringan secara diam-diam dan tetap di sana selama berbulan-bulan saat mereka diam-diam mengumpulkan informasi, mencari dokumen sensitif, atau mendapatkan kredensial masuk yang memungkinkan mereka berkeliaran di sekitar lingkungan.

Banyak bisnis tidak memiliki keterampilan pendeteksian canggih yang diperlukan untuk mencegah ancaman lanjutan yang terus-menerus berlama-lama di jaringan setelah musuh berhasil lolos dari deteksi dan serangan telah menembus pertahanan organisasi.

Oleh karena itu, perburuan ancaman merupakan elemen penting dari setiap strategi pertahanan.

Jenis Perburuan Ancaman

Situs web resmi IBM telah menjelaskan tiga jenis utama perburuan ancaman dengan cukup tepat. Menurut blog mereka, perburuan ancaman adalah dari jenis berikut:

1. Perburuan terstruktur

Indikasi serangan (IoA) dan taktik, metode, dan prosedur penyerang (TTP) berfungsi sebagai dasar dari perburuan sistematis.

Setiap perburuan direncanakan dan didasarkan pada TTP dari pelaku ancaman. Karena itu, pemburu sering mengenali aktor ancaman sebelum penyerang memiliki kesempatan untuk mengganggu lingkungan.

2. Perburuan tidak terstruktur

Perburuan ad hoc dimulai berdasarkan pemicu, salah satu dari banyak indikator kompromi (IoC) . Pemicu ini biasanya digunakan untuk mendorong pemburu mencari pola pra dan pasca deteksi .

Sejauh retensi data dan pelanggaran yang terkait sebelumnya mengizinkan, pemburu dapat melakukan penelitian untuk menetapkan rencana mereka.

3. Didorong oleh situasi atau entitas

Hipotesis situasional dapat dihasilkan oleh penilaian risiko internal organisasi atau dengan investigasi tren dan kelemahan yang unik pada infrastruktur TI-nya.

Data serangan yang dikumpulkan dari masyarakat umum, yang, jika ditinjau, menunjukkan TTP terbaru dari ancaman dunia maya yang sedang berlangsung, adalah tempat prospek berorientasi entitas dibuat. Pemburu ancaman kemudian dapat memindai lingkungan untuk perilaku spesifik ini.

Bagaimana Cara Kerja Perburuan Ancaman?

Aspek manusia dan kemampuan pemrosesan data masif dari solusi perangkat lunak digabungkan untuk secara efektif memburu ancaman dunia maya.

Pemburu ancaman manusia mengandalkan data dari pemantauan keamanan yang canggih dan alat analitik untuk membantu mereka menemukan dan menghilangkan ancaman secara proaktif.

Tujuan mereka adalah menggunakan solusi dan kecerdasan/data untuk menemukan musuh yang mungkin lolos dari pertahanan normal dengan menggunakan strategi seperti hidup dari tanah.

Intuisi, pemikiran etis dan strategis, serta pemecahan masalah secara kreatif adalah komponen penting dari proses perburuan dunia maya.

Organisasi dapat mengatasi ancaman lebih cepat dan lebih tepat dengan memanfaatkan sifat-sifat manusia yang dibawa oleh “ Pemburu Ancaman Dunia Maya ” ini, bukan hanya mengandalkan sistem deteksi ancaman otomatis.

Pemburu Ancaman Cyber

Siapakah Pemburu Ancaman Dunia Maya?

Pemburu Ancaman Dunia Maya menambahkan sentuhan manusia pada keamanan bisnis, meningkatkan tindakan otomatis. Mereka adalah profesional keamanan TI terampil yang mengidentifikasi, mencatat, mengawasi, dan membasmi ancaman sebelum mereka memiliki kesempatan untuk menjadi masalah serius.

Meskipun terkadang mereka adalah analis eksternal, idealnya mereka adalah analis keamanan yang memiliki pengetahuan tentang cara kerja departemen TI perusahaan.

Pemburu Ancaman menjelajahi informasi keamanan. Mereka mencari pola perilaku mencurigakan yang mungkin terlewatkan atau dianggap ditangani oleh komputer tetapi tidak, serta malware atau penyerang yang tersembunyi.

Mereka juga membantu menambal sistem keamanan bisnis untuk mencegah terjadinya gangguan yang sama di masa mendatang.

Apa Itu Perburuan Ancaman

Prasyarat Untuk Perburuan Ancaman

Pemburu ancaman harus terlebih dahulu membangun garis dasar kejadian yang diantisipasi atau disetujui untuk menemukan anomali dengan lebih baik agar perburuan ancaman dunia maya menjadi efektif.

Pemburu ancaman kemudian dapat menelusuri data dan informasi keamanan yang dikumpulkan oleh teknologi deteksi ancaman menggunakan baseline ini dan intelijen ancaman terbaru.

Teknologi ini dapat mencakup deteksi dan respons terkelola (MDR) , alat analitik keamanan , atau solusi informasi keamanan dan manajemen peristiwa (SIEM).

Pemburu ancaman dapat mencari sistem Anda untuk potensi bahaya, aktivitas mencurigakan, atau pemicu yang menyimpang dari norma setelah mereka dipersenjatai dengan data dari berbagai sumber, termasuk data titik akhir, jaringan, dan awan.

Pemburu ancaman dapat membuat hipotesis dan melakukan investigasi jaringan yang luas jika ditemukan ancaman atau jika intelijen ancaman yang diketahui menunjukkan kemungkinan ancaman baru.

Pemburu ancaman mencari informasi selama investigasi ini untuk menentukan apakah suatu ancaman berbahaya atau jinak atau apakah jaringan dilindungi dengan tepat dari ancaman dunia maya yang muncul.

Metodologi Perburuan Ancaman

Pemburu ancaman memulai penyelidikan mereka dengan asumsi bahwa musuh sudah ada dalam sistem dan mencari perilaku aneh yang dapat menunjukkan adanya aktivitas permusuhan.

Awal penyelidikan ini sering termasuk dalam salah satu dari tiga kategori dalam perburuan ancaman proaktif.

Untuk tujuan mempertahankan sistem dan informasi organisasi secara proaktif, ketiga strategi tersebut melibatkan upaya tenaga manusia yang menggabungkan sumber daya intelijen ancaman dengan teknologi keamanan mutakhir.

1. Investigasi berbasis hipotesis

Bahaya baru yang telah ditemukan melalui database besar data serangan crowdsourced sering kali memicu investigasi berbasis hipotesis, memberikan informasi tentang strategi, teknik, dan prosedur terbaru yang digunakan oleh penyerang (TTP).

Pemburu ancaman kemudian akan memeriksa untuk melihat apakah tindakan unik penyerang ada di lingkungan mereka sendiri setelah TTP baru terdeteksi.

2. Investigasi berdasarkan Indikator Serangan atau Indikator Kompromi yang teridentifikasi

Dengan menggunakan intelijen ancaman taktis, metode perburuan ancaman ini mencantumkan IOC dan IOA yang dikenal yang terhubung dengan ancaman baru. Pemburu ancaman kemudian dapat menggunakan ini sebagai pemicu untuk menemukan kemungkinan serangan rahasia atau aktivitas berbahaya yang sedang berlangsung.

3. Analisis lanjutan dan investigasi pembelajaran mesin

Metode ketiga menambang melalui sejumlah besar data menggunakan pembelajaran mesin dan analisis data lanjutan untuk mencari anomali yang mungkin menunjukkan kemungkinan aktivitas yang tidak bersahabat.

Anomali ini menjadi petunjuk perburuan yang diperiksa oleh analis berpengetahuan untuk menemukan bahaya terselubung.

Perburuan Ancaman Dengan Proxy

Pemburu ancaman mungkin menemukan banyak informasi dalam catatan proxy web. Proxy ini berfungsi sebagai penghubung antara server atau perangkat yang menerima permintaan dan perangkat yang mengirimkan permintaan.

Serangkaian data umum yang dihasilkan oleh proxy web dapat digunakan untuk menemukan perilaku yang tidak biasa atau mencurigakan.

Misalnya, pemburu ancaman di suatu organisasi mungkin menganalisis informasi bahaya yang disertakan dalam log proksi web dan menemukan aktivitas mencurigakan dengan agen pengguna seperti situs Curl dan SharePoint .

Mereka menarik perhatian ke masalah dan menemukan bahwa permintaan tersebut sah dan berasal dari tim DevOps.

Untuk memeriksa log ini dan menemukan individu jahat di antara campuran tersebut, pemburu ancaman menggunakan berbagai protokol dan metodologi. Log proxy web sering menawarkan detail berikut:

  • URL Tujuan (Nama Host)
  • IP tujuan
  • Status HTTP
  • Kategori Domain
  • Protokol
  • Pelabuhan Tujuan
  • Agen pengguna
  • Metode Permintaan
  • Tindakan Perangkat
  • Nama File yang Diminta
  • Durasi

**Dan banyak lagi!

Bagaimana Cara Kerja Berburu Ancaman Dengan Log Proksi?

Mari pelajari bagaimana log proxy web membantu para pemburu ini setelah Anda memahami perburuan ancaman. Analis harus menggunakan berbagai cara untuk menemukan kerentanan dan pihak jahat yang terlibat dengan jaringan karena log proxy web berisi beberapa bagian data.

1. Meninjau lalu lintas yang diblokir:

Penting untuk mengetahui apa yang menyebabkan pengguna mengakses situs web tertentu meskipun mungkin telah dilarang untuk pengguna organisasi. Ini dapat berarti bahwa komputer mereka telah terinfeksi.

2. URL dengan permintaan IP:

Filtrasi ini dapat menemukan log yang mengatasi batasan keamanan DNS dengan menggunakan alamat IP yang di-hardcode.

3. URL dengan ekstensi file:

Filter ini membuat URL yang berpotensi berbahaya dengan ekstensi file seperti .doc,.pdf, dan .exe terlihat. Penyerang sering menggunakan file doc atau pdf dengan fungsi makro untuk menanamkan malware ke mesin atau jaringan.

4. URL perujuk yang dikenal dengan URL yang tidak umum:

Mengidentifikasi tautan phishing dapat dipermudah dengan memfilter log yang berisi domain rujukan populer dan URL khusus.

Perbedaan Antara Perburuan Ancaman Dan Kecerdasan Ancaman

Kecerdasan ancaman adalah kumpulan data terkait percobaan atau penyusupan yang berhasil yang biasanya dikumpulkan dan diperiksa oleh sistem keamanan otomatis menggunakan pembelajaran mesin dan kecerdasan buatan.

Informasi ini digunakan dalam perburuan ancaman untuk melakukan pencarian menyeluruh di seluruh sistem untuk pengguna jahat.

Perburuan ancaman, dengan kata lain, dimulai saat intelijen ancaman berakhir. Perburuan ancaman yang produktif juga dapat menemukan bahaya yang belum pernah terlihat di alam liar.

Indikator ancaman terkadang digunakan sebagai petunjuk atau hipotesis dalam perburuan ancaman. Sidik jari virtual yang ditinggalkan oleh malware atau penyerang, alamat IP yang aneh, email phishing, atau lalu lintas jaringan anomali lainnya adalah contoh indikator ancaman.

Tautan langsung:

  • Tinjauan Cyberlab
  • Tinjauan CyberImpact
  • Tinjauan Pelatihan TI CyberVista
  • Program Afiliasi Keamanan Cyber ​​Terbaik

Kesimpulan: Apa itu Perburuan Ancaman 2023?

Prosedur deteksi, reaksi, dan remediasi insiden yang biasa sangat dilengkapi dengan perburuan ancaman. Strategi bisnis yang realistis dan praktis adalah membentengi diri dari ancaman yang tidak terduga.

Namun demikian, memantau log proxy juga memungkinkan untuk mengidentifikasi pengguna yang mungkin mengorek situs web. Mereka yang hanya berusaha menyelesaikan tugas yang sah mengalami masalah dalam situasi seperti itu.

Dengan menggunakan beberapa proxy, terutama yang membantu menyembunyikan alamat IP asli mereka, pengguna dapat menghindari pemburu ancaman untuk mengetahui aktivitas mereka.

Juga, log mereka tidak mengibarkan bendera merah untuk para pemburu ini karena tidak ada satu alamat IP untuk semua aktivitas mereka.

Untuk ini, Anda memerlukan proxy berkualitas tinggi yang tampak sah untuk perangkat lunak pemburu ancaman. Untuk menjawab pertanyaan Anda, perangkat lunak pemburu ancaman pada dasarnya adalah program yang melakukan protokol dan analisis pemburu ancaman.

tautan langsung

  • Proksi Terbaik Untuk Agregasi Tarif Perjalanan
  • Proksi Prancis Terbaik
  • Proksi Tripadvisor Terbaik
  • Proksi Etsy Terbaik
  • Kode Kupon IPRoyal
  • Proksi TikTok Terbaik
  • Proksi Bersama Terbaik