Perbedaan Indicator of Attacks & Indicator of Compromise
Berkontemplasi:
Apa itu Indicator of Attacks (IOA/IOAs)?
Lalu apa bedanya dengan Indicator of Compromises (IOC/IOCs)?
Prolog:
Ancaman di ruang Siber tidak terlepas dari pilar; Confidentiality, Integrity, & Availability (CIA Triad).
Dunia IT sangatlah dinamis bukan? Apalagi IT Security. Bidang yang fokusnya lebih spesifik dari sekian banyak opsi permukaan dunia IT secara umum.
Karena dinamis, dampaknya serangan yang terjadi di dunia Siber selalu bertambah secara eksponansial. Seiring waktu, mereka juga semakin berevolusi menjadi lebih canggih dan lebih terkoordinir.
Jadi bagaimana cara mengidentifikasikan ancaman serangan siber jaman sekarang yang sangat dinamis serta berevolusi ini?
Jawabannya adalah: IOA & IOCs.
Tulisan ini akan membantu Anda untuk memahami perbedaan Indicator of Attacks & Indicator of Compromises.
"SI SERUPA TAPI TAK SAMA"
Security Alert
Adalah kumpulan log yang di design untuk memberikan peringatan sedini mungkin. Membantu para Satpam IT yang biasanya sehari-hari hidup di lingkup Security Operation Center untuk tetap peka dengan kemungkinan yang ada. Walaupun peringatan itu ternyata "False Positive" namun itu bisa berguna di saat melakukan paska investigasi lebih dalam.
Vulnerability Assessment
Adalah detil prosedur memberikan penilaian terhadap suatu kemungkinan kerentanan yang ada di suatu sistem/server/jaringan. Ancaman yang ditemukan dalam melakukan penilaian bisa diklasifikasikan berdasarkan tingkatan seberapa mengancam temuan tersebut.
Mengacu pada CVSS V3, temuan dapat diklasifikasikan sebagai berikut:
- None = Tidak memiliki dampak yang berarti pada proses bisnis organisasi.
- Low = Biasanya hanya bersifat informasi yang dampaknya relatif kecil bagi organisasi. Dan Threat Actor harus melakukan akses fisik maupun lokal demi memanfaatkan informasi minim yang ia dapatkan.
- Medium = Bisa mengeksploitasi sistem tapi sangat terbatas, biasanya Threat Actor harus mengelaborasikan dengan Social Engineering Technique untuk melancarkan aksinya.
- High = Bisa menyebabkan downtime, data loss, data exfiltration, dan memungkinkan untuk melanjutkan skenario teknik Privilege Escalation.
- Critical = Bisa mendapatkan root level suatu sistem.
Cyber Security Incident
Adalah sebuah pesan bahwsannya disana mungkin terjadi ultimatum informasi atau terjadinya penetrasi keamanan. Insiden keamanan siber tergantung dari entitas skenario penyerangan yang dilakukan Threat Actor. Jika pada suatu peristiwa keamanan siber terkonfirmasi "True Positive" maka harus menjadi prioritas untuk diselesaikan secara vertikal maupun horizontal.
Threats Analysis
Mengidentifikasi ancaman dengan metode end to end journey. Kebanyakan ancaman jaman sekarang yang terjadi di industri sudah dapat teridentifikasi Taktik, Teknik, Prosedurnya. Menganalisa ancaman dari segala perspektif secara dalam. Bahkan sampai meninjau detil kecil seperti: apakah "Semut Merah" bisa menjadi ancaman fisik bagi aset backbone cable Internet organisasi? Harus pakai jenis kabel Shielded Twisted Pair untuk outdoor? Atau lebih tepat menggunakan Unshielded Twisted Pair untuk indoor? Bagaimana membuat best practices security posture dari hasil analisa ancaman yang sudah di assessment. Tugas utama dari menganalisa ancaman yakni menemukan motif skenario jahat yang mungkin dilakukan Threat Actor lalu mengkoordinasikan hal ini dengan tim IT lain untuk mengisolasi serta mengurangi resiko dari ancaman tersebut. Hal ini juga disebut pro-active defend.
Indicator of Attacks
IOA/IOAs adalah seperangkat set data yang memberikan informasi relevan untuk memprediksi ciri-ciri setiap ancaman ini kemungkinan besar adalah serangan. Sebenarnya IOA/IOAs ini hakikatnya adalah IOC/IOCS. Tapi IOA/IOAs ini lebih spesifik digunakan sebagai Theat Modeller pada fase pro-active defend. Secara sederhana IOAs adalah pertolongan pertama (P3K) dalam upaya mengurangi ancaman yang dihadapi suatu organisasi.
Contoh dari Indicators of Attacks:
- Advance Persistence Threats
- Remote Command Execution
- DNS Tunneling
- Fast Flux DNS
- Beaconing Attempt
- Port Scanning
- Communication to Command & Control
- Remote Code Execution
- Comand & Control Heartbeat Detection
- Watering Hole Attack
- Data Ex-filtration
Indicator of Compromises
IOC/IOCs adalah potongan dari bukti data yang bersifat fakta, data ini berpotensi untuk diamati dalam daftar entri atau file log sistem, yang juga akan mengidentifikasi lebih dalam kemungkinan aktivitas berbahaya pada suatu sistem atau jaringan. Dalam istilah keamanan siber, ini adalah "data residu" yang diamati pada sistem jaringan atau dalam sistem operasi.
Dalam skenario umum, IOC/IOCs adalah; botnet, malicious software signatures, Public/Private IP Addresses, hash MD5 file, URL atau nama-nama uknown domain yang sedang berinteraksi dengan Command & Control. IOC/IOCs dibuat berdasarkan proses beberapa langkah yang didorong oleh pengalaman analis dan pengetahuan secara empiris bukan apriori.
Contoh dari Indicators of Compromises:
- Abnormal network traffic
- Unique traffic to some domain
- Abnormal privileged user account activity
- Login deviation
- An abnormal number of reading request in the database
- Suspicious registry or system file changes
- Suspicious DNS Requests and Web traffic showing non-human behavior
- The internal system continuously requesting for malicious domains
- Internal machine or IP communication to external domains or host on non-standard ports
- Internal host getting flagged in distinct threat Indicator (Policies)
- Land Speed violation (Account is trying to log in from a different location)
- Abnormal Spike in User Behavior
- Abnormal Traffic to Un-categorized Proxy Events
- Volumetric Traffic Anomaly – Network Flow
- Spike in anomalous – Connections (Internal or Externals)
- Rare behavior – non-legitimate website accessed
- Abnormal volume of a packet transferred
Indicator of Attacks v.s. Indicator of Compromises
- Indicator of Compromises bersifat responsive sedangkan Indicator of Attacks bersifat pro-active.
- Indicator of Compromises digunakan setelah paska insiden, sedangkan Indicator of Attacks digunakan pada saat insiden sedang terjadi.
- Indicator of Compromises sudah dikenal menjadi standar dunia, sedangkan Indicator of Attacks masih ambigu dan bersifat kontekstual.
- Elaborasi IOC/IOCs secara periodik dapat menghasilkan IOA/IOAs.
Indicator of Pivots
IOP/IOPs merujuk pada karakteristik yang sekuensial. Hal ini dapat digunakan untuk menentukan gerakan arah serta tingkat resistensi Threat Actor. Poin Pivot menggunakan perilaku sistem/jaringan sebagai acuannya. Contoh: apakah amplitudo dalam jaringan tersebut anomali naik-turun begitu cepat & serentak, mengapa tidak seperti biasanya?
Poin pivot adalah indikator prediksi yang membantu perusahaan untuk mengidentifikasi pergerakan ancaman secara horizontal atau vertikal. Secara umum, ketika Threat Actor sudah di dalam sistem, maka ada 2 hal dasar yang harus dipikirkan:
- Kemana "Threat Actor" ingin pergi?
- Bagaimana "Threat Actor" bisa pergi?
IOPs pada dasarnya membantu semua perusahaan untuk menemukan semua serangan canggih yang memiliki signatures dari IOAs + IOCs.
Contoh dari Indicator of Pivots:
- Lateral Movement – Account Level
- Lateral Movement – System Access Model
- Lateral Movement – Port Access Frames
- Lateral Movement – Probable Exploited Assets
- Lateral Movement – Probable Vulnerable Assets
- Account Escalation Vertically or Horizontally
The urgency of Cyber Threat Intelligence
Pemanfaatan intelijen ancaman siber, secara pragmatis telah terbukti bermanfaat dalam semua aspek dalam kehidupan kita sehari-hari dalam upaya menjaga Cyber Hygiene.
Penerapan intelijen ancaman siber yang terfokus tidak hanya memberikan wawasan terhadap ancaman siber tetapi juga membantu para pemangku kepentingan dalam menentukan risiko bisnis (pro-active defend), mekanisme merespon insiden (reactive defend) dan prosedur tindakan paska terjadinya insiden (post-passive defend).
Tentang Penulis: Christian Ronaldo Sopaheluwakan (Uncertified Ethical Hacker)