Keamanan jaringan adalah aspek vital dalam melindungi data dan sistem informasi dari ancaman yang terus berkembang. Di dunia yang semakin terkoneksi ini, serangan terhadap infrastruktur TI bisa datang kapan saja dengan teknik yang semakin canggih. Karena itu, penyelidikan keamanan jaringan sangat penting untuk mendeteksi dan menangani ancaman lebih awal sebelum dampaknya meluas.
Memahami taktik dan teknik yang digunakan oleh penyerang sangat penting dalam investigasi ini. Dengan mengenali pola serangan, tim keamanan dapat mengidentifikasi indikator kompromi (IoC), yaitu petunjuk awal aktivitas berbahaya. Setiap langkah yang diambil oleh penyerang memberikan informasi penting untuk merespons ancaman dengan cepat dan efektif.
Bagian ini akan membahas berbagai pendekatan dalam investigasi keamanan jaringan dan bagaimana informasi yang terkumpul dapat digunakan untuk mengurangi risiko serangan. Kolaborasi intelijen ancaman, baik dari dalam maupun luar organisasi, bisa membantu membangun sistem pertahanan yang lebih kuat. Penyelidikan yang cepat dan tepat dapat mengurangi dampak serangan sebelum penyerang mencapai tujuannya.
Memahami Crowdsourcing
Crowdsourcing adalah teknik mengumpulkan informasi melalui partisipasi publik dan kolaborasi. Dalam konteks keamanan, platform intelijen ancaman menggunakan crowdsourcing untuk mengumpulkan data dari komunitas cybersecurity global. Tradisionalnya, respons terhadap insiden dilakukan secara terisolasi, di mana tim keamanan bekerja menganalisis dan menangani masalah tanpa banyak masukan dari luar. Tanpa crowdsourcing, serangan yang sama bisa saja dilakukan terhadap banyak organisasi.
Dengan crowdsourcing, organisasi dapat memanfaatkan pengetahuan dari jutaan profesional keamanan siber, termasuk vendor produk keamanan siber, agen pemerintah, penyedia layanan cloud, dan banyak lainnya. Crowdsourcing memungkinkan individu serta organisasi dalam komunitas keamanan siber global untuk berbagi dan mengakses kumpulan data intelijen ancaman secara terbuka, yang membantu memperbaiki teknologi dan metodologi deteksi dengan lebih cepat.
Beberapa contoh organisasi yang aktif dalam berbagi informasi adalah Information Sharing and Analysis Centers (ISACs), yang fokus pada pengumpulan dan distribusi intelijen ancaman yang relevan untuk sektor-sektor industri tertentu, seperti energi, kesehatan, dan lainnya. Open-source intelligence (OSINT) adalah salah satu metode untuk mengumpulkan dan menganalisis informasi dari sumber yang tersedia secara publik untuk menghasilkan intelijen yang dapat digunakan. OSINT ini juga berfungsi untuk mengidentifikasi aktor ancaman, kerentanannya, serta potensi ancaman lainnya.
Data intelijen ancaman yang terkumpul ini sangat berguna untuk memperkuat teknik deteksi dalam produk keamanan, seperti alat deteksi atau perangkat lunak antivirus. Sebagai contoh, penyerang sering kali melancarkan serangan yang serupa pada beberapa target dengan harapan salah satu dari serangan tersebut berhasil. Begitu sebuah organisasi mendeteksi serangan, mereka bisa segera membagikan rincian serangan, seperti file berbahaya, alamat IP, atau URL, melalui alat seperti VirusTotal. Dengan begitu, intelijen ancaman yang telah dipublikasikan dapat membantu organisasi lain untuk melindungi diri dari serangan yang sama.
VirusTotal
VirusTotal adalah layanan yang memungkinkan siapa saja untuk menganalisis file, domain, URL, dan alamat IP yang mencurigakan untuk mendeteksi potensi ancaman berbahaya. Selain itu, VirusTotal juga menawarkan berbagai layanan dan alat tambahan yang dirancang untuk penggunaan perusahaan. Artikel ini akan fokus pada penggunaan situs web VirusTotal, yang dapat diakses secara gratis untuk tujuan non-komersial.
Layanan ini dapat digunakan untuk menganalisis file, alamat IP, domain, dan URL yang dianggap mencurigakan guna mengidentifikasi ancaman keamanan siber seperti malware. Pengguna dapat mengirimkan artefak seperti hash file atau alamat IP untuk mendapatkan laporan dari VirusTotal. Laporan ini memberikan informasi lebih lanjut mengenai apakah suatu Indicator of Compromise (IoC) dianggap berbahaya, bagaimana IoC tersebut berhubungan dengan IoC lain dalam dataset, serta banyak informasi relevan lainnya.
Deteksi: Tab Deteksi menyediakan daftar vendor keamanan pihak ketiga dan keputusan deteksi mereka terhadap sebuah IoC. Misalnya, vendor dapat menyatakan keputusan deteksi mereka sebagai berbahaya, mencurigakan, tidak aman, dan lainnya.
Detail: Tab Detail memberikan informasi tambahan yang diekstrak dari analisis statis terhadap IoC. Informasi seperti berbagai hash, tipe file, ukuran file, header, waktu pembuatan, serta informasi tentang pengiriman pertama dan terakhir dapat ditemukan di tab ini.
Relasi: Tab Relasi memberikan IoC terkait yang memiliki keterkaitan dengan artefak tersebut, seperti URL yang dihubungi, domain, alamat IP, dan file yang dijatuhkan jika artefak tersebut adalah file eksekusi.
Perilaku: Tab Perilaku berisi informasi terkait aktivitas dan perilaku yang diamati dari sebuah artefak setelah dieksekusi di lingkungan yang terkendali atau sandboxed. Informasi ini mencakup taktik dan teknik yang terdeteksi, komunikasi jaringan, tindakan registri dan sistem file, proses, dan lainnya.
Komunitas: Tab Komunitas adalah tempat di mana anggota komunitas VirusTotal, seperti profesional keamanan atau peneliti, dapat meninggalkan komentar dan wawasan mengenai IoC.
Rasio vendor dan skor komunitas: Skor yang ditampilkan di bagian atas laporan adalah rasio vendor. Rasio vendor menunjukkan berapa banyak vendor keamanan yang telah menandai IoC tersebut sebagai berbahaya secara keseluruhan. Di bawah skor ini, terdapat juga skor komunitas, yang didasarkan pada masukan dari komunitas VirusTotal. Semakin banyak deteksi yang dimiliki sebuah file dan semakin tinggi skor komunitasnya, semakin besar kemungkinan file tersebut berbahaya.
Catatan: Data yang diunggah ke VirusTotal akan dibagikan secara publik kepada seluruh komunitas VirusTotal. Hati-hati dengan apa yang Anda unggah dan pastikan Anda tidak mengunggah informasi pribadi.
Tools Yang Lain
Terdapat alat investigasi lain yang dapat digunakan untuk menganalisis IoC. Alat-alat ini juga dapat membagikan data yang diunggah kepada mereka ke komunitas keamanan.
Jotti Malware Scan
Jotti’s malware scan adalah layanan gratis yang memungkinkan Anda untuk memindai file yang mencurigakan menggunakan beberapa program antivirus. Terdapat beberapa keterbatasan terkait jumlah file yang dapat Anda kirimkan.
Urlscan.io
Urlscan.io adalah layanan gratis yang memindai dan menganalisis URL serta menyediakan laporan rinci yang merangkum informasi URL tersebut.
MalwareBazaar
MalwareBazaar adalah repositori gratis untuk sampel malware. Sampel malware ini adalah sumber threat intelligence yang sangat berguna untuk tujuan penelitian.
