Bulan lalu, sebuah perdebatan yang sudah lama ada muncul kembali dalam kesaksian di hadapan Komite Keamanan Dalam Negeri AS: mengapa vendor-vendor sering menggunakan nama yang berbeda untuk aktor ancaman siber yang sama, dan mengapa kita tidak bisa langsung menyebutkan mereka yang bertanggung jawab atas serangan?
Bagi para profesional industri, topik ini sering muncul setiap beberapa tahun sekali dalam lingkaran vendor, media, dan kebijakan publik. Namun bagi mereka yang kurang familiar, mari kita tinjau evolusi praktik penamaan aktor ancaman dan mengapa sistem ini tetap bertahan.
Masa Awal Ancaman Siber
Dua dekade lalu, sebagian besar orang yang melacak ancaman siber berada dalam lingkaran pertahanan dan keamanan nasional. Pada saat itu, diskusi tentang pelanggaran tertentu sering kali bersifat terbatas dan bersifat rahasia. Para pihak yang terlibat terkadang mengacu pada serangan yang didukung negara sebagai ancaman yang bersifat maju dan terus-menerus (APT), tetapi pada pertengahan 2000-an, lebih banyak negara yang terlibat dalam peretasan, dan teknik yang digunakan tidak selalu canggih. Hal ini mengarah pada kebutuhan untuk pendekatan yang lebih spesifik dalam menamai aktor-aktor tersebut.
Seiring dengan pertumbuhan industri keamanan siber, nama untuk aktor ancaman mulai bermunculan, meskipun belum ada sistem yang universal. Beberapa orang menggunakan nama berdasarkan taktik atau artefak kode, tetapi tidak ada standar yang baku. Sehingga, bahkan hingga 15 tahun lalu, banyak yang masih meragukan kemungkinan untuk mengaitkan serangan siber dengan aktor tertentu, berpikir bahwa lebih penting untuk fokus pada masalah praktis seperti memperbaiki kerentanannya. Namun, pandangan ini berubah pada tahun 2014, ketika pemerintah AS mengindikasikan lima anggota Tentara Pembebasan Rakyat China dengan menyertakan nama lengkap dan foto mereka, yang menunjukkan bahwa atribusi serangan siber memang memungkinkan.
Tantangan Atribusi
Hingga saat ini, vendor-vendor masih menggunakan nama kode yang berbeda untuk aktor ancaman yang sama. Tetapi, mengapa hal ini terjadi? Ada beberapa alasan mengapa ini terjadi:
- Atribusi Itu Sulit: Meskipun banyak vendor yang dapat menghubungkan aktor ancaman dengan insiden atau kampanye sebelumnya, atribusi serangan kepada individu atau organisasi tertentu masih sulit dilakukan. Banyak vendor, seperti CrowdStrike, mampu mengidentifikasi klaster aktivitas, tetapi melacak aktivitas ini hingga individu atau institusi tertentu sangat jarang dilakukan dengan keyakinan penuh.
- Perbedaan Visibilitas: Pemain industri yang berbeda memiliki tingkat akses yang bervariasi terhadap data ancaman. Misalnya, penyedia layanan telekomunikasi mungkin memiliki gambaran ancaman yang lebih jelas dibandingkan produsen ponsel atau penyedia sistem operasi, yang mempersulit kemampuan untuk mengonfirmasi temuan di seluruh industri. Vendor yang memiliki akses ke data lebih rinci, seperti CrowdStrike, mungkin dapat membuat penentuan berdasarkan telemetri endpoint yang tidak dimiliki vendor lainnya.
- Berbagi Informasi Lebih Cepat: Nama aktor ancaman memungkinkan vendor untuk berbagi riset dengan cepat, meskipun atribusi belum sepenuhnya dipastikan. Nama kode memungkinkan pemangku kepentingan untuk membahas kelompok tertentu seiring waktu tanpa perlu konsensus pada atribusi terakhir. Ini sangat penting untuk berbagi informasi sebelum atribusi yang kredibel dapat dilakukan.
- Hambatan Hukum dan Praktis: Berbagai perusahaan keamanan siber menghadapi pembatasan unik, seperti kewajiban perlindungan data pelanggan dan masalah kekayaan intelektual, yang dapat membatasi kemampuan mereka untuk berbagi informasi secara bebas. Ini sangat penting dalam industri global, di mana kerangka hukum berbeda antar negara.
Yang paling penting, analisis yang ketat sangat diperlukan dalam keamanan siber. Vendor seperti CrowdStrike menggunakan proses verifikasi yang sangat ketat sebelum menerima penentuan atribusi dari organisasi lain. Ini membantu memastikan bahwa aktor yang tepat diidentifikasi dan temuan yang ada akurat.
Nilai dari Nama Kode Aktor Ancaman
Nama kode aktor ancaman membantu mengelola kompleksitas ini dan menyediakan sistem yang terstruktur untuk tim keamanan. Seiring waktu, berbagai sistem telah muncul untuk mengatasi kebutuhan ini. Misalnya, Google Mandiant menggunakan sistem penamaan numerik (misalnya, APT28), yang skalanya baik tetapi memberikan sedikit konteks. Sistem berbasis elemen kimia yang digunakan Microsoft sebelumnya (misalnya, BARIUM) memiliki keterbatasan, dan mereka telah beralih ke sistem berbasis cuaca.
CrowdStrike, di sisi lain, menggunakan sistem penamaan berbasis kripto (misalnya, OPERATOR PANDA). Sistem ini memiliki dua bagian: bagian pertama merujuk pada grup yang menargetkan atau aktivitasnya, dan bagian kedua menunjukkan asal negara atau motivasi aktor tersebut. Misalnya, “OPERATOR PANDA” merujuk pada aktor negara China yang menargetkan sektor telekomunikasi.
Sistem ini memiliki beberapa keuntungan:
- Memberikan konteks yang berharga tentang motivasi aktor ancaman (misalnya, negara, kriminal, atau aktivis).
- Dapat mengakomodasi situasi di mana beberapa aktor memiliki atribusi yang sama, seperti ketika beberapa grup terkait dengan birokrasi seperti Keamanan Negara China (MSS).
- Memungkinkan pembaruan atribusi “terakhir” seiring dengan informasi baru yang tersedia atau setelah kelompok negara atau organisasi kriminal (seperti SPIDERS) mengubah struktur mereka atau beralih ke platform ransomware-as-a-service (RaaS).
- Memfasilitasi diskusi yang berguna antara organisasi dengan informasi yang berbeda, seperti antara penegak hukum dan penyedia layanan respons insiden.
Perlu Keselarasan Lebih dalam Pelaporan
Penggunaan nama kode aktor ancaman bukanlah usaha untuk menghindari menyebutkan aktor tertentu seperti Rusia atau China. Sebaliknya, ini memungkinkan fleksibilitas, terutama ketika informasi baru muncul atau saat atribusi masih belum jelas. Namun, industri keamanan siber bisa melakukan lebih banyak untuk menyelaraskan praktik pelaporan dan meningkatkan kolaborasi.
Untuk ancaman yang paling serius, proses kolaboratif dan analitis seperti sistem National Intelligence Estimate (NIE) milik Komunitas Intelijen AS bisa sangat membantu.
Kesimpulan: Menuju Akuntabilitas yang Lebih Besar
Pembuat kebijakan dapat dan harus melakukan lebih banyak untuk menanggapi aktor asing yang menyerang bisnis, pemerintah, dan infrastruktur penting AS. Diperlukan pendekatan yang lebih terkoordinasi dalam operasi penegakan hukum dan penghancuran infrastruktur yang berbahaya. Diplomasi yang lebih efektif atau pendekatan yang lebih tegas terhadap negara-negara seperti Rusia, China, Iran, dan Korea Utara sangat penting untuk mengatasi ancaman siber dengan lebih baik.
Apakah Anda sudah mempertimbangkan untuk menggunakan CrowdStrike sebagai solusi SaaS untuk organisasi Anda?
CrowdStrike menghadirkan platform keamanan yang sangat canggih, dirancang untuk melindungi organisasi Anda dari ancaman berbasis identitas serta serangan dunia maya lainnya dengan teknologi berbasis AI yang inovatif. Dengan Falcon Identity Protection, Anda dapat mengurangi risiko pelanggaran data, mempermudah manajemen keamanan, dan meningkatkan efisiensi operasional tim IT Anda.
Jika Anda ingin mengetahui lebih lanjut mengenai bagaimana CrowdStrike dapat memperkuat keamanan di organisasi Anda, jangan ragu untuk menghubungi CrowdStrike Indonesia. Tim kami siap memberikan informasi yang lebih mendalam dan membantu Anda memilih solusi yang paling sesuai dengan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, Anda dapat menghubungi PT. iLogo Infralogy Indonesia yang siap memberikan penjelasan lebih lengkap mengenai solusi ini.