Sebuah studi University of Maryland menyebutkan, rata-rata terjadi satu serangan siber setiap 39 detik. Di tengah digitalisasi yang berlangsung masif dan global, pelaku kejahatan siber terus memperbarui cara untuk mengeksploitasi kelemahan dalam infrastruktur teknologi informasi (TI).
Dalam konteks ini, pendekatan “selangkah lebih maju” atau proaktif menjadi kunci. Salah satu upaya yang dinilai penting adalah memiliki akses terhadap intelijen ancaman agar organisasi dapat memahami risiko dan menyiapkan respons yang tepat.
Mengapa Intelijen Ancaman Dibutuhkan
Intelijen ancaman dipandang sebagai komponen penting dalam ekosistem keamanan siber. Gartner mendefinisikan intelijen ancaman sebagai pengetahuan berbasis bukti—termasuk konteks, mekanisme, indikator, implikasi, dan rekomendasi yang berorientasi tindakan—mengenai ancaman atau potensi bahaya yang dapat muncul terhadap aset.
Secara garis besar, terdapat perbedaan antara data ancaman dan intelijen ancaman. Data ancaman merupakan nilai yang dikumpulkan melalui observasi dan, jika berdiri sendiri, tidak memiliki konteks. Sementara itu, intelijen ancaman merupakan hasil analisis atas data tersebut, yang kemudian diterjemahkan menjadi wawasan yang dapat ditindaklanjuti untuk menerapkan solusi spesifik sekaligus memperkuat fondasi keamanan siber bisnis.
Perkembangan lanskap ancaman yang cepat membuat aliran data terus meningkat. Di sisi lain, keterbatasan tenaga profesional keamanan siber yang terampil dalam penilaian ancaman dan kerentanan juga menjadi tantangan. Karena itu, organisasi memerlukan perangkat dan pendekatan yang tepat untuk menentukan informasi mana yang relevan dan bagaimana memprioritaskannya.
Empat Tipe Utama Intelijen Ancaman
Secara umum, intelijen ancaman dibagi menjadi empat jenis utama: strategis, taktis, teknis, dan operasional. Pemahaman atas fungsi masing-masing jenis intelijen ini membantu organisasi memperoleh informasi yang tepat dan menyalurkannya kepada pihak yang sesuai.
1. Strategic Threat Intelligence
Intelijen ancaman strategis biasanya berisi analisis tingkat tinggi mengenai tren ancaman siber yang luas dan berkembang dari waktu ke waktu, serta bagaimana dampaknya terhadap bisnis. Jenis ini ditujukan untuk audiens nonteknis, terutama para pengambil keputusan dalam organisasi.
Berbeda dari jenis intelijen lainnya, intelijen strategis umumnya bersumber dari sumber terbuka, seperti laporan dan publikasi sejenis.
2. Tactical Threat Intelligence
Intelijen ancaman taktis merujuk pada informasi mengenai taktik, teknik, dan prosedur (TTP) yang digunakan aktor ancaman. Informasi ini cenderung berfokus pada kondisi saat ini dan dibutuhkan oleh pihak yang bertanggung jawab atas keamanan infrastruktur TI untuk memahami penyebab serangan dan menyusun strategi pertahanan.
3. Technical Threat Intelligence
Intelijen ancaman teknis berfokus pada indikator kompromi (indicators of compromise/IoC), misalnya URL mencurigakan atau kumpulan malware. Jenis intelijen ini membantu mengidentifikasi jejak teknis yang dapat digunakan untuk mendeteksi atau memblokir aktivitas berbahaya.
4. Operational Threat Intelligence
Intelijen ancaman operasional bertujuan menjawab pertanyaan “siapa, apa, dan bagaimana” terkait serangan yang terjadi di dunia maya. Jenis ini memiliki sejumlah tumpang tindih dengan intelijen ancaman teknis karena dapat memuat elemen teknis, seperti vektor serangan atau jenis domain perintah/kontrol yang digunakan.
Selain itu, intelijen ancaman operasional juga dapat diperoleh dari masuknya saluran komunikasi aktor ancaman, sehingga memungkinkan diperolehnya wawasan yang lebih spesifik untuk memahami kemampuan para pelaku kejahatan siber.
Menempatkan Informasi pada Pihak yang Tepat
Keempat jenis intelijen ancaman tersebut memiliki peran berbeda. Dengan memahami karakteristiknya, organisasi dapat memilih dan memanfaatkan informasi yang paling sesuai dengan kebutuhan—baik untuk pengambilan keputusan di tingkat manajemen maupun untuk operasional pertahanan di tingkat teknis.
