• Home
  • Berita
  • Apa itu Threat Intelligence? Cara Kerja dan Contohnya

Apa itu Threat Intelligence? Cara Kerja dan Contohnya

Oleh Ratna Patria
Apa itu Threat Intelligence? Cara Kerja dan Contohnya 1

Threat intelligence adalah informasi mengenai ancaman siber yang telah dikumpulkan, dianalisis, dan diberi konteks agar dapat digunakan untuk mengambil keputusan keamanan.

Berbeda dari log atau daftar alamat IP mencurigakan, threat intelligence membantu sistem dan administrator memahami apakah suatu aktivitas benar-benar berbahaya, bagaimana pola serangannya, serta tindakan apa yang perlu dilakukan.

Sebagai contoh, satu alamat IP yang gagal login ke WordPress ratusan kali masih berupa data. Namun, ketika alamat IP tersebut diketahui melakukan aktivitas serupa pada banyak server dan terhubung dengan jaringan bot yang telah dikenali, data itu berubah menjadi informasi ancaman yang dapat ditindaklanjuti.

Apa Itu Threat Intelligence?

Threat intelligence bukan sekadar kumpulan log, peringatan keamanan, alamat IP, domain, atau file mencurigakan. Data mentah tersebut perlu dianalisis dan diperkaya dengan konteks sebelum dapat digunakan untuk menentukan respons yang tepat.

NIST mendefinisikan cyber threat intelligence sebagai informasi ancaman yang telah dikumpulkan, diubah, dianalisis, diinterpretasikan, atau diperkaya agar menyediakan konteks untuk proses pengambilan keputusan.

Informasi tersebut dapat mencakup:

  • Indikator serangan
  • Taktik dan teknik penyerang
  • Kerentanan yang sedang dieksploitasi
  • Rekomendasi tindakan
  • Konfigurasi sistem keamanan
  • Hasil analisis insiden sebelumnya

Analogi Threat Intelligence dalam Kehidupan Sehari-hari

Bayangkan sistem keamanan di sebuah lingkungan perumahan.

  • Rekaman seseorang berjalan di depan rumah merupakan data.
  • Informasi bahwa orang tersebut mencoba membuka beberapa pintu menunjukkan sebuah pola.
  • Laporan bahwa orang yang sama pernah melakukan pencurian di tempat lain memberikan konteks ancaman.
  • Keputusan untuk menutup akses dan memberi tahu warga lain merupakan tindakan berdasarkan informasi tersebut.

Threat intelligence bekerja dengan prinsip serupa. Sistem tidak hanya mengetahui bahwa sesuatu terjadi, tetapi juga berusaha menentukan apakah aktivitas tersebut berbahaya dan respons apa yang sesuai.

Perbedaan Data Ancaman dan Threat Intelligence

Aspek Data Ancaman Threat Intelligence
Bentuk Log, alamat IP, domain, file, dan peringatan Data yang telah dianalisis dan diberi konteks
Fungsi Menunjukkan bahwa suatu aktivitas terjadi Menjelaskan risiko dan karakteristik aktivitas
Contoh IP gagal login ratusan kali IP yang sama melakukan brute-force pada banyak server
Kegunaan Bahan pemeriksaan Dasar pemblokiran atau tindakan keamanan
Konteks Terbatas pada satu kejadian Dihubungkan dengan kejadian dan pola lain

Log server dapat mencatat ribuan atau bahkan jutaan aktivitas. Tanpa analisis, administrator akan kesulitan menentukan mana yang normal, mencurigakan, atau benar-benar berbahaya.

Baca Juga:  Lindungi Situs dengan Content Security Policy (CSP) Efektif

Threat intelligence membantu memberikan prioritas pada data tersebut.

Bagaimana Cara Kerja Threat Intelligence?

Proses threat intelligence umumnya berjalan melalui beberapa tahap yang saling berkaitan.

1. Mengumpulkan Sinyal Ancaman

Sistem keamanan mengumpulkan sinyal dari berbagai sumber, seperti:

  • Percobaan login berulang dalam waktu singkat
  • Alamat IP yang memindai banyak halaman secara otomatis
  • Domain yang pernah digunakan untuk phishing
  • File yang menyerupai malware yang telah dikenali
  • Permintaan HTTP yang mencoba mengeksploitasi CMS
  • Aktivitas jaringan yang tidak sesuai dengan pola normal

Satu sinyal belum selalu membuktikan bahwa serangan sedang terjadi. Pengguna yang lupa kata sandi, misalnya, dapat memicu beberapa peringatan kegagalan login.

2. Memvalidasi dan Memperkaya Data

Data kemudian dibandingkan dengan sumber informasi lain untuk menjawab beberapa pertanyaan:

  • Apakah alamat IP tersebut pernah tercatat melakukan serangan?
  • Apakah pola yang sama terjadi pada server lain?
  • Apakah domain yang terlibat pernah menyebarkan malware?
  • Aplikasi atau layanan apa yang menjadi sasaran?
  • Seberapa sering dan sejak kapan aktivitas tersebut terjadi?

Tahap ini membantu mengurangi false positive, yaitu kondisi ketika aktivitas pengguna normal keliru dianggap sebagai ancaman.

3. Menghubungkan Aktivitas dan Menemukan Pola

Sistem selanjutnya menghubungkan kejadian yang tampak terpisah.

Satu kegagalan login WordPress mungkin hanya kesalahan pengguna. Namun, ketika alamat IP yang sama juga mencoba masuk ke cPanel dan SSH pada banyak server, aktivitas tersebut lebih kuat mengarah pada serangan otomatis.

Perilaku penyerang dapat dipetakan menggunakan MITRE ATT&CK, yaitu basis pengetahuan mengenai taktik dan teknik penyerang berdasarkan observasi serangan di dunia nyata.

4. Mengubah Temuan Menjadi Aturan Keamanan

Setelah ancaman dinilai valid, informasi tersebut dapat digunakan untuk:

  • Memasukkan alamat IP ke daftar blokir
  • Memperbarui aturan firewall
  • Memperbarui aturan WAF
  • Menambahkan signature malware
  • Meningkatkan prioritas peringatan
  • Memeriksa akun yang diduga telah disusupi
  • Mendeteksi pola eksploitasi tertentu

Threat intelligence tidak hanya menjelaskan kejadian, tetapi membantu menentukan tindakan yang dapat dilakukan.

5. Membagikan Informasi kepada Sistem Lain

Informasi ancaman yang sudah tervalidasi dapat dibagikan kepada server atau sistem keamanan lain.

Dengan mekanisme ini, server tidak selalu harus mengalami serangan terlebih dahulu untuk mengenali sumber ancaman. Informasi dari insiden pada satu server dapat membantu meningkatkan perlindungan server lain yang menggunakan jaringan threat intelligence yang sama.

Informasi Apa Saja yang Digunakan?

Threat intelligence tidak hanya berisi daftar alamat IP. Informasi yang digunakan dapat dibagi menjadi beberapa kategori.

1. Indicator of Compromise

Indicator of Compromise atau IOC merupakan petunjuk teknis yang menunjukkan kemungkinan terjadinya serangan atau kompromi.

Contohnya meliputi:

  • Alamat IP berbahaya
  • Domain phishing
  • URL yang digunakan untuk menyebarkan malware
  • Hash file berbahaya
  • Alamat pengirim email phishing
  • Header atau pola permintaan yang mencurigakan

IOC relatif mudah digunakan untuk pemblokiran otomatis. Namun, indikator tersebut dapat kehilangan relevansi ketika penyerang mengganti alamat IP, domain, atau infrastruktur.

2. Perilaku Penyerang

Threat intelligence juga menganalisis cara penyerang beroperasi.

Contohnya:

  • Mencoba banyak kombinasi kata sandi
  • Menyamarkan skrip berbahaya dalam file normal
  • Membuat akun administrator baru
  • Mengunduh malware setelah memperoleh akses
  • Mempertahankan akses tersembunyi atau persistence
  • Memindai beberapa layanan secara berurutan

Analisis perilaku membantu sistem mengenali ancaman meskipun alamat IP atau file yang digunakan belum pernah terdeteksi.

3. Kerentanan yang Aktif Dieksploitasi

Threat intelligence dapat menunjukkan kerentanan yang sedang digunakan dalam serangan nyata.

Baca Juga:  Yuk, Mengenal Cloud Platform IaaS, PaaS, dan SaaS

Informasi tersebut membantu administrator memprioritaskan pembaruan. Kerentanan yang aktif dieksploitasi sebaiknya ditangani lebih cepat daripada celah yang belum menunjukkan aktivitas serangan.

4. Rekomendasi Tindakan

Threat intelligence yang baik juga memberikan rekomendasi, seperti:

  • Memblokir alamat IP tertentu
  • Memperbarui plugin
  • Mengganti kata sandi yang telah bocor
  • Memeriksa log pada periode tertentu
  • Menonaktifkan akun yang mencurigakan
  • Mengaktifkan aturan WAF tambahan

Contoh Cara Threat Intelligence Melindungi Server

Bayangkan sebuah bot menjalankan serangan brute-force terhadap halaman login WordPress.

  1. Bot mencoba banyak kombinasi nama pengguna dan kata sandi pada Server A.
  2. Sistem mencatat alamat IP, waktu serangan, pola permintaan, dan halaman /wp-login.php.
  3. Aktivitas serupa ditemukan pada Server B dan Server C.
  4. Sistem menghubungkan ketiga kejadian dan mengidentifikasinya sebagai pola serangan otomatis.
  5. Alamat IP ditandai sebagai sumber ancaman.
  6. Informasi tersebut dibagikan kepada sistem lain yang terhubung dalam jaringan threat intelligence.
  7. Server lain dapat menggunakan informasi tersebut untuk memblokir atau menantang koneksi dari sumber yang sama.

Skenario tersebut menggambarkan perlindungan proaktif berdasarkan pengalaman sistem lain. Namun, penerapan dan kecepatan respons tetap bergantung pada teknologi, konfigurasi, serta kebijakan penyedia threat intelligence.

Validasi juga tetap diperlukan. Satu alamat IP dapat digunakan bersama oleh banyak pengguna melalui NAT, proxy, atau VPN. Kepemilikan alamat IP juga dapat berubah sehingga indikator lama tidak boleh digunakan tanpa batas waktu.

Apakah Threat Intelligence Sama dengan Firewall?

Threat intelligence dan firewall memiliki fungsi berbeda, tetapi dapat bekerja bersama.

Teknologi Fungsi utama
Threat intelligence Memberikan konteks mengenai sumber, pola, dan karakteristik ancaman
Firewall Mengizinkan atau memblokir koneksi berdasarkan aturan
WAF Memeriksa permintaan yang menargetkan aplikasi web
Malware scanner Mendeteksi file atau kode berbahaya
Monitoring Merekam dan menampilkan aktivitas sistem
IDS/IPS Mendeteksi dan merespons pola penyusupan

Threat intelligence bukan pengganti firewall. Informasi tersebut dapat membantu firewall membuat keputusan pemblokiran berdasarkan indikator dan pola ancaman yang lebih luas.

Tanpa threat intelligence, firewall cenderung lebih bergantung pada aturan, konfigurasi, serta informasi yang tersedia secara lokal.

Pembahasan lebih lanjut dapat dibaca pada artikel mengenai cara kerja firewall dan Web Application Firewall atau WAF.

Manfaat Threat Intelligence bagi Website dan Server

1. Mengenali Ancaman Lebih Cepat

Server dapat memanfaatkan informasi mengenai sumber serangan yang sebelumnya telah ditemukan pada sistem lain. Pendekatan ini membantu mengubah perlindungan dari reaktif menjadi lebih proaktif.

2. Memprioritaskan Peringatan

Tidak semua peringatan membutuhkan respons yang sama.

Threat intelligence membantu administrator menentukan peringatan yang:

  • Membutuhkan tindakan segera
  • Perlu dipantau
  • Kemungkinan merupakan false positive
  • Berkaitan dengan kampanye serangan yang lebih luas

3. Mengurangi Respons Manual

Informasi yang sudah divalidasi dapat digunakan untuk memperbarui aturan keamanan secara otomatis.

Otomatisasi sangat membantu ketika serangan datang dari banyak sumber dalam waktu bersamaan.

4. Mengenali Serangan Terdistribusi

Aktivitas dari satu alamat IP mungkin tidak terlihat berbahaya jika hanya diamati pada satu server.

Namun, ketika data dari banyak server digabungkan, sistem dapat menemukan bahwa sumber yang sama sedang memindai atau menyerang banyak target.

Keterbatasan Threat Intelligence

Threat intelligence bukan solusi keamanan yang sempurna.

1. Data Dapat Kedaluwarsa

Alamat IP yang digunakan penyerang hari ini belum tentu masih digunakan oleh pihak yang sama pada waktu berikutnya.

Karena itu, kualitas threat intelligence sangat bergantung pada kecepatan pembaruan dan proses validasinya.

Baca Juga:  Flush DNS Cache: Tingkatkan Kecepatan dan Stabilitas Jaringan!

2. False Positive Tetap Bisa Terjadi

Layanan monitoring, mesin pencari, atau integrasi API dapat menghasilkan aktivitas otomatis yang tampak mencurigakan.

Aturan yang terlalu agresif berpotensi memblokir pengguna atau layanan yang sah.

3. Ancaman Baru Belum Memiliki Indikator

Serangan yang menggunakan IP, domain, atau malware baru mungkin belum tersedia dalam basis data ancaman.

Untuk menghadapi kondisi ini, threat intelligence perlu dikombinasikan dengan deteksi perilaku dan pemantauan aktivitas.

4. Tidak Bisa Berdiri Sendiri

Threat intelligence membutuhkan sistem lain untuk menerapkan temuannya, seperti:

  • Firewall
  • WAF
  • IDS/IPS
  • Pemindai malware
  • Sistem monitoring
  • Kebijakan keamanan server

Tanpa mekanisme tersebut, informasi ancaman belum menghasilkan perlindungan nyata.

5. Tidak Menggantikan Pembaruan dan Backup

Threat intelligence tidak dapat memperbaiki plugin yang belum diperbarui atau memulihkan file yang hilang.

Pembaruan perangkat lunak, pengelolaan akses, dan backup tetap menjadi bagian penting dari keamanan.

Bagaimana Threat Intelligence Digunakan di Imunify360?

Imunify360 menggunakan global threat intelligence network pada lapisan Network Firewall.

Menurut situs resminya, jaringan tersebut mengumpulkan data serangan dari lebih dari 57 juta domain. Ketika suatu sumber dikenali sebagai penyerang, informasi tersebut dapat digunakan oleh server lain dalam jaringan Imunify360.

Pendekatan ini dikenal sebagai distributed threat intelligence. Instalasi Imunify360 berkontribusi pada informasi kolektif yang digunakan untuk mengenali sumber dan pola serangan.

Threat intelligence kemudian bekerja bersama enam lapisan keamanan:

  • Network Firewall
  • WebShield
  • Web Application Firewall
  • Malware Scanner
  • Proactive Defense
  • IDS/IPS

Network Firewall memanfaatkan reputasi sumber koneksi. WebShield menyaring bot dan lalu lintas berbahaya. WAF memeriksa serangan pada aplikasi, sedangkan Malware Scanner dan Proactive Defense mendeteksi kode berbahaya pada file maupun saat skrip dijalankan.

IDS/IPS memantau log dan pola aktivitas mencurigakan, termasuk kegagalan login berulang.

Untuk penggunaan pada layanan hosting, Anda dapat membaca panduan menggunakan Imunify360 untuk melindungi hosting.

Jika Anda membutuhkan resource server yang lebih leluasa untuk menerapkan firewall, monitoring, dan lapisan keamanan sesuai kebutuhan, pertimbangkan menggunakan Cloud VPS DomaiNesia. Pastikan pengamanan sistem, pembaruan perangkat lunak, dan backup tetap dikonfigurasi secara rutin.

Apa yang Tetap Perlu Dilakukan Pemilik Website?

Threat intelligence tidak menghilangkan tanggung jawab pemilik website dan administrator server.

Beberapa langkah yang tetap perlu dilakukan adalah:

  • Memperbarui CMS, plugin, dan tema
  • Menggunakan kata sandi unik
  • Mengaktifkan autentikasi dua faktor
  • Memantau peringatan keamanan
  • Memeriksa akun administrator
  • Menyimpan backup di lokasi terpisah
  • Menghapus plugin atau aplikasi yang tidak digunakan
  • Membatasi layanan dan port yang dapat diakses
  • Meninjau konfigurasi firewall secara berkala

Untuk pemeriksaan yang lebih menyeluruh, gunakan checklist keamanan VPS sebagai acuan awal.

Lihat Paket Cloud VPS Turbo DomaiNesia

Kesimpulan

Threat intelligence adalah informasi ancaman yang telah dianalisis dan diberi konteks. Informasi tersebut berbeda dari log, daftar alamat IP, atau peringatan mentah karena dapat membantu sistem memahami risiko dan menentukan tindakan.

Melalui threat intelligence, sistem keamanan dapat menjawab beberapa pertanyaan penting:

  • Apakah aktivitas ini berbahaya?
  • Apakah aktivitas serupa terjadi di tempat lain?
  • Bagaimana pola serangannya?
  • Tindakan apa yang perlu dilakukan?

Namun, threat intelligence tidak dapat bekerja sendiri. Informasi tersebut perlu diterapkan melalui firewall, WAF, IDS/IPS, pemindai malware, serta kebijakan keamanan yang tepat.

Perlindungan terbaik tetap berasal dari kombinasi informasi ancaman, sistem pertahanan berlapis, pembaruan rutin, pengelolaan akses, dan backup yang dapat dipulihkan.

Ratna Patria

Hi! Ratna is my name. I have been actively writing about light and fun things since college. I am an introverted, inquiring person, who loves reading. How about you?


Berlangganan Artikel

Dapatkan artikel, free ebook dan video
terbaru dari DomaiNesia

{{ errors.name }} {{ errors.email }}
Migrasi ke DomaiNesia

Migrasi Hosting ke DomaiNesia Gratis 1 Bulan

Ingin memiliki hosting dengan performa terbaik? Migrasikan hosting Anda ke DomaiNesia. Gratis jasa migrasi dan gratis 1 bulan masa aktif!

Ya, Migrasikan Hosting Saya