Mengatasi ancaman dunia maya sebelum ancaman tersebut menyerang atau menimbulkan kerusakan serius sejauh ini merupakan pendekatan keamanan terbaik yang dapat diterapkan oleh perusahaan mana pun. Untuk mencapai hal ini diperlukan banyak penelitian dan perburuan ancaman proaktif. Masalahnya di sini adalah kita mudah terjebak dalam kumpulan data yang tak ada habisnya dan berakhir tanpa informasi yang relevan.
Untuk menghindari hal ini, gunakan lima teknik yang telah teruji ini yang pasti akan meningkatkan kesadaran ancaman dan keamanan perusahaan Anda secara keseluruhan.
Menemukan ancaman yang menargetkan organisasi di wilayah Anda
Cara paling mendasar namun berdampak besar untuk mempelajari lanskap ancaman saat ini bagi perusahaan Anda adalah dengan melihat jenis serangan apa yang dialami organisasi lain di wilayah Anda.
Dalam sebagian besar kasus, pelaku ancaman berupaya menargetkan lusinan bisnis secara bersamaan sebagai bagian dari satu kampanye. Hal ini memungkinkan Anda mendeteksi ancaman sejak dini dan membuat penyesuaian yang tepat di organisasi Anda.
Bagaimana hal ini berkontribusi terhadap keamanan Anda:
- Strategi pertahanan yang lebih tepat sasaran dan efektif.
- Prioritas ancaman yang akurat.
- Optimalisasi sumber daya.
Cara kerjanya:
Meskipun ada beberapa cara untuk mengetahui lanskap ancaman saat ini di negara Anda, ANY.RUN menyediakan salah satu solusi paling komprehensif dan mudah digunakan untuk hal ini.
Ia menjalankan database publik yang sangat besar berisi laporan analisis malware terbaru dan sampel phishing, yang diunggah ke sandbox ANY.RUN oleh lebih dari 500.000 profesional keamanan di seluruh dunia.
Data ekstensif dari setiap sesi sandbox diekstraksi dan dapat dicari oleh pengguna melalui Threat Intelligence (TI) Lookup ANY.RUN. Layanan ini menawarkan lebih dari 40 parameter berbeda, mulai dari alamat IP dan hash file hingga kunci registri dan mutex, membantu Anda menentukan ancaman menggunakan indikator terkecil dengan akurat.
Katakanlah kita ingin melihat jenis ancaman phishing apa yang menargetkan organisasi di Jerman, sambil mengecualikan URL dari pencarian (menggunakan operator NOT), karena kita ingin fokus pada file berbahaya secara spesifik. Untuk melakukan ini, kita dapat mengetikkan kueri berikut ke TI Lookup:
Nama ancaman:”phishing” DAN Negara penyerahan:”de” BUKAN Tipe tugas:”url”
 |
| Anda dapat menjelajahi setiap sesi sandbox yang ditampilkan oleh TI Lookup |
Dalam hitungan detik, kami mendapatkan daftar sesi sandbox publik yang mencakup dokumen phishing, email, dan jenis konten lain yang dikirimkan ke ANY.RUN oleh pengguna di Jerman.
Anda dapat mengamati setiap sesi secara menyeluruh dan gratis untuk mendapatkan wawasan tambahan mengenai ancaman dan mengumpulkan informasi intelijen yang sangat berharga.
 |
| Salah satu sesi sandbox dari hasil TI Lookup, menampilkan analisis email phishing |
Seperti yang ditunjukkan pada gambar di atas, kita dapat melihat seluruh aksi serangan beserta semua aktivitas jaringan dan sistem yang dicatat selama analisis.
Dapatkan uji coba TI Lookup GRATIS selama 14 hari untuk melihat bagaimana TI dapat meningkatkan keamanan organisasi Anda.
Memeriksa artefak sistem dan jaringan yang mencurigakan dengan alat TI
Rata-rata setiap hari, departemen keamanan di organisasi skala menengah mendapat ratusan peringatan. Tidak semuanya ditindaklanjuti dengan baik, sehingga menyisakan celah bagi penyerang untuk mengeksploitasinya. Namun, menambahkan satu lapisan lagi untuk memverifikasi semua artefak mencurigakan dengan alat TI berpotensi menyelamatkan organisasi dari kerugian finansial dan reputasi yang besar.
Bagaimana hal ini berkontribusi terhadap keamanan Anda:
- Deteksi dini aktivitas berbahaya.
- Pemahaman tentang taktik dan teknik yang digunakan oleh penyerang.
- Respons insiden yang cepat untuk meminimalkan dampak.
Cara kerjanya:
Skenario umum untuk departemen keamanan adalah menangani koneksi IP yang tidak biasa. Karena ada banyak contoh alamat sah yang menghasilkan peringatan, mudah bagi beberapa karyawan untuk berpuas diri dan membiarkan alamat yang benar-benar berbahaya lolos begitu saja.
Untuk menghilangkan situasi seperti itu, karyawan dapat memeriksa semua alamat IP di TI Lookup. Berikut adalah contoh kemungkinan kueri:
IP tujuan:”78[.]110[.]166[.]82″
 |
| TI Lookup memberikan informasi tambahan untuk setiap indikator, termasuk domain, port, dan event |
Layanan ini langsung memberi tahu kami tentang sifat jahat dari IP ini dan memberikan lebih banyak konteks: nama ancaman (Agen Tesla) dan sesi kotak pasir tempat IP ini dicatat.
Demikian pula, profesional keamanan dapat memeriksa kejadian sistem seperti penggunaan skrip yang mencurigakan. Kami dapat menyertakan lebih dari satu indikator secara bersamaan, untuk melihat apakah ada indikator yang terkait dengan aktivitas jahat.
Pertimbangkan pertanyaan ini:
baris perintah:”C:\\Users\\Public\\*.ps1″ ATAU baris perintah:”C:\\Users\\Public\\*.vbs”
Ini diatur untuk mencari dua jenis skrip: skrip format .ps1 dan .vbs yang ditempatkan di direktori Publik.
Karena kita tidak mengetahui nama file skrip ini, kita cukup menggantinya dengan karakter pengganti *.
 |
| Skrip yang cocok dengan kueri |
TI Lookup memberi kita daftar skrip yang cocok, yang ditemukan di berbagai sesi sandbox.
 |
| Daftar sesi sandbox yang menampilkan skrip yang diminta |
Sekarang, kami dapat mengumpulkan nama-nama mereka, melihat cara kerjanya sebagai bagian dari serangan, dan mengambil tindakan pencegahan berdasarkan informasi yang ditemukan.
Menjelajahi ancaman oleh TTP tertentu
Meskipun memblokir indikator kompromi (IOC) yang diketahui merupakan elemen penting keamanan Anda, indikator tersebut cenderung berubah secara berkala. Itulah sebabnya pendekatan yang lebih berkelanjutan adalah dengan mengandalkan taktik, teknik, dan prosedur (TTP) yang digunakan oleh penyerang untuk menginfeksi organisasi di industri Anda.
Dengan alat TI, Anda dapat melacak ancaman yang menggunakan TTP yang Anda minati, mengamati perilakunya, dan mengumpulkan informasi berharga tentang ancaman tersebut untuk meningkatkan kemampuan deteksi perusahaan Anda.
Bagaimana hal ini berkontribusi terhadap keamanan Anda:
- Wawasan mendetail tentang metode penyerang.
- Pengembangan tindakan pencegahan khusus.
- Pertahanan proaktif terhadap ancaman yang muncul.
Cara kerjanya:
TI Lookup menyediakan matriks MITRE ATT&CK yang dapat ditindaklanjuti, yang mencakup puluhan TTP, yang disertai dengan sesi sandbox yang menampilkan malware dan ancaman phishing yang menggunakan teknik ini dalam tindakan.
 |
| TI Lookup menawarkan matriks MITER ATT&CK yang dapat ditindaklanjuti |
Ini gratis dan tersedia bahkan untuk pengguna yang tidak terdaftar. Anda dapat menjelajahi bagaimana serangan dilakukan dan menemukan ancaman spesifik yang menggunakan TTP tertentu.
 |
| TI Lookup memberikan contoh ancaman untuk setiap TTP |
Gambar di atas menunjukkan bagaimana layanan memberikan informasi tentang T1562.001, sebuah teknik yang digunakan oleh penyerang untuk memodifikasi alat keamanan dan menghindari deteksi.
Di tengah, TI Lookup mencantumkan tanda tangan yang terkait dengan teknik ini yang menjelaskan aktivitas jahat tertentu. Di sebelah kanan, Anda dapat menjelajahi laporan tentang ancaman yang relevan.
Melacak ancaman yang terus berkembang
Ancaman cenderung mengubah infrastrukturnya dan berkembang seiring dengan penyesuaian organisasi terhadap serangannya. Itulah mengapa sangat penting untuk tidak pernah melupakan ancaman yang pernah menimbulkan risiko bagi perusahaan Anda. Hal ini dapat dilakukan dengan mendapatkan informasi terkini mengenai kejadian terkini dari ancaman ini dan indikator-indikator barunya.
Bagaimana hal ini berkontribusi terhadap keamanan Anda:
- Tindakan tepat waktu untuk memitigasi ancaman yang muncul.
- Peningkatan kesadaran situasional untuk tim keamanan.
- Persiapan yang lebih baik untuk serangan di masa depan.
Cara kerjanya:
TI Lookup memungkinkan Anda berlangganan untuk menerima pemberitahuan tentang pembaruan ancaman tertentu, indikator kompromi, indikator perilaku, serta kombinasi titik data yang berbeda.
 |
| Untuk menerima pemberitahuan, cukup masukkan pertanyaan Anda dan klik tombol berlangganan |
Hal ini memungkinkan Anda tetap waspada terhadap varian baru dan ancaman yang terus berkembang, menyesuaikan pertahanan Anda sesuai kebutuhan hampir secara real-time.
Misalnya, kita dapat berlangganan kueri untuk menerima informasi tentang nama domain baru dan aktivitas jaringan lainnya yang terkait dengan Lumma Stealer:
Nama ancaman:”lumma” DAN Nama domain:””
 |
| TI Lookup memberi tahu Anda tentang hasil baru untuk setiap langganan |
Segera, kita akan melihat bagaimana pembaruan baru mulai muncul.
 |
| TI Lookup menunjukkan hasil baru |
Dengan mengklik permintaan berlangganan, hasil baru akan ditampilkan. Dalam kasus kami, kami dapat mengamati port baru yang digunakan dalam serangan yang melibatkan Lumma.
Memperkaya informasi dari laporan pihak ketiga
Laporan mengenai lanskap ancaman saat ini merupakan sumber intelijen penting mengenai serangan yang mungkin menargetkan organisasi Anda. Namun, informasi yang dikandungnya mungkin sangat terbatas. Anda dapat mengembangkan pengetahuan yang ada dan melakukan penelitian sendiri untuk mengungkap detail tambahan.
Bagaimana hal ini berkontribusi terhadap keamanan Anda:
- Memastikan gambaran yang lebih lengkap mengenai lanskap ancaman.
- Validasi data ancaman.
- Pengambilan keputusan yang lebih tepat.
Cara kerjanya:
Pertimbangkan serangan baru-baru ini yang menargetkan perusahaan manufaktur dengan malware Lumma dan Amadey. Kami dapat menindaklanjuti temuan yang dituangkan dalam laporan untuk menemukan lebih banyak sampel terkait kampanye.
Untuk melakukan ini, kita dapat menggabungkan dua detail: nama ancaman dan file .dll yang digunakan oleh penyerang:
filePath:”dbghelp.dll” DAN nama ancaman:”lumma”
 |
| Sesi sandbox cocok dengan kueri |
TI Lookup menyediakan lusinan sesi sandbox yang cocok, memungkinkan Anda memperkaya data yang disediakan dalam laporan asli secara signifikan dan menggunakannya untuk menginformasikan pertahanan Anda terhadap serangan ini.
Tingkatkan dan Percepat Perburuan Ancaman di Organisasi Anda dengan TI Lookup
Pencarian Intelijen Ancaman ANY.RUN menyediakan akses terpusat ke data ancaman terbaru dari malware publik dan sampel phishing.
Ini membantu organisasi dengan:
- Identifikasi Ancaman Proaktif: Telusuri database untuk secara proaktif mengidentifikasi dan memperbarui pertahanan Anda berdasarkan intelijen yang ditemukan.
- Penelitian Lebih Cepat: Mempercepat penelitian ancaman dengan menghubungkan IOC yang terisolasi dengan cepat ke ancaman tertentu atau kampanye malware yang diketahui.
- Pemantauan Waktu Nyata: Pantau ancaman yang terus berkembang dengan menerima pembaruan pada hasil baru terkait indikator yang Anda minati.
- Forensik Insiden: Meningkatkan analisis forensik terhadap insiden keamanan dengan mencari informasi kontekstual pada artefak yang ada.
- Koleksi IOC: Temukan indikator tambahan dengan mencari database untuk informasi ancaman yang relevan.
Dapatkan uji coba TI Lookup gratis selama 14 hari untuk menguji semua kemampuannya dan melihat kontribusinya terhadap keamanan organisasi Anda.
