Cyber Kill Chain vs MITRE ATT&CK: Mana yang Lebih Baik

Cyber Kill Chain dan MITRE ATT&CK Framework adalah dua model berbeda yang digunakan untuk memahami dan memerangi serangan cyber. Meskipun kedua model memiliki tujuan yang sama dalam memahami dan memitigasi ancaman dunia maya, keduanya berbeda dalam pendekatan dan cakupannya. Cyber Kill Chain adalah model tujuh tahap yang memecah serangan siber menjadi beberapa tahap, sedangkan The MITRE ATT&CK Framework menggunakan pendekatan yang lebih terperinci.

Model-model ini memungkinkan tim keamanan siber untuk mengidentifikasi dan memprioritaskan ancaman, mengembangkan pertahanan yang efektif, berbagi intelijen ancaman siber, dan membuat katalog taktik dan prosedur permusuhan.

Apa itu Kerangka Cyber Kill Chain?

Terinspirasi oleh rantai pembunuhan yang dilakukan militer, Cyber Kill Chain adalah pendekatan langkah demi langkah yang membantu mengidentifikasi dan mencegah serangan dunia maya. Pertama kali diperkenalkan oleh Lockheed Martin pada tahun 2011, Cyber Kill Chain menguraikan serangan siber yang umum dalam 7 tahap, termasuk titik-titik di mana tim keamanan informasi dapat melakukan intervensi, sehingga membantu mereka mencegah, mendeteksi, atau mencegat serangan. Mari kita lihat:

  1. Pengintaian: Pada tahap ini, peretas mengumpulkan informasi tentang target, seperti infrastruktur jaringan, postur keamanan, kredensial karyawan, dll. Mereka menggunakan berbagai taktik untuk mengumpulkan informasi ini.
  2. Persenjataan: Setelah peretas menerima informasi target, mereka mencari cara untuk menggunakannya guna mendapatkan akses ke sistem atau jaringan mereka. Hal ini dapat dilakukan melalui serangan rekayasa sosial, seperti phishing, ransomware, dll., atau taktik lain untuk menginstal file atau perangkat lunak berbahaya ke dalam sistem.
  3. Pengiriman: Setelah mereka mengidentifikasi target dan metode untuk menyerangnya, peretas melakukan penetrasi melalui email phishing atau dengan mengeksploitasi kerentanan. Dengan memanfaatkan kelemahan dalam sistem, penyerang dapat menjalankan rencananya tanpa bergantung pada karyawan untuk menginstal malware, sehingga meningkatkan kemungkinan keberhasilannya.
  4. Eksploitasi: Sebagai langkah berikutnya, peretas menggunakan kerentanan yang teridentifikasi untuk mendapatkan akses lebih dalam ke jaringan dan mengeksploitasi akses ini demi keuntungan mereka. Mereka mungkin melakukan pemindaian jaringan atau mencoba mengambil kata sandi.
  5. Instalasi: Selanjutnya, peretas berusaha membangun kehadirannya secara terus-menerus dengan memasang perangkat lunak berbahaya di beberapa sistem. Hal ini memungkinkan mereka untuk mempertahankan akses dan melanjutkan serangan kapan saja, bahkan jika titik masuk mereka ditemukan dan dihapus. Tujuan mereka adalah menginfeksi sebanyak mungkin sistem dan menciptakan akses pintu belakang untuk menjamin kelangsungan serangan mereka.
  6. Perintah dan Kontrol: Pada tahap ini, peretas membangun infrastruktur perintah dan kontrol, yang memungkinkan mereka mengawasi dan mengontrol sistem yang disusupi, mengirimkan perintah ke malware, dan mengekstrak data. Langkah ini penting bagi penyerang untuk mempertahankan kendali atas lingkungan yang disusupi.
  7. Tindakan Sesuai Tujuan: Pada tahap terakhir, peretas mencapai tujuan spesifik mereka, seperti mencuri informasi sensitif, mengganggu operasi bisnis, atau aktivitas berbahaya lainnya. Pada tahap ini, pengguna mungkin tiba-tiba melihat pemberitahuan yang tidak biasa di layar mereka yang menunjukkan enkripsi atau tidak tersedianya file, karena penyerang secara terbuka mengungkapkan dirinya.

Apa itu Kerangka MITRE ATT&CK?

Kerangka Kerja MITRE ATT&CK adalah sumber daya komprehensif yang memantau taktik dan teknik pelaku kejahatan selama proses serangan. Hal ini dirancang untuk meningkatkan sikap keamanan organisasi dengan memberikan wawasan tentang motivasi peretas atas tindakan mereka dan bagaimana tindakan tersebut berkaitan dengan strategi pertahanan tertentu.

Kerangka kerja ini berisi data dari intelijen ancaman publik, laporan insiden, dan penelitian tentang teknik baru dari analis dan penyerang keamanan siber. Ini adalah kerangka kerja penting bagi para profesional keamanan siber untuk memahami dan melawan perilaku jahat. Terdiri dari 14 taktik yang menjelaskan alasan serangan tersebut. Taktiknya meliputi:

  1. Pengintaian: Ini mencakup metode yang digunakan untuk mengumpulkan informasi target sebagai persiapan untuk serangan yang ditargetkan di masa depan.
  2. Pengembangan sumber daya: Ini mencakup menyiapkan sumber daya untuk merencanakan atau meluncurkan serangan di masa depan.
  3. Akses awal: Ini mencakup metode yang digunakan oleh penyerang untuk menetapkan titik masuk awal ke dalam jaringan melalui berbagai vektor serangan, seperti serangan rekayasa sosial, pencurian kredensial, dll.
  4. Eksekusi: Ini mencakup pemasangan malware ke dalam sistem lokal atau jarak jauh yang disusupi.
  5. Persistensi: Ini mencakup mempertahankan akses ke sistem yang disusupi meskipun sistem dimatikan atau dimodifikasi.
  6. Peningkatan hak istimewa: Ini termasuk memperoleh akses tingkat tinggi dalam jaringan perusahaan Anda.
  7. Penghindaran pertahanan: Ini mencakup penggunaan teknik untuk menghindari terdeteksi setelah memasuki jaringan.
  8. Akses kredensial: Ini termasuk memperoleh nama pengguna, sandi, dan kredensial masuk lainnya.
  9. Penemuan: Ini mencakup pengumpulan informasi tentang lingkungan target untuk mengidentifikasi sumber daya yang dapat diakses atau dikendalikan yang dapat membantu melaksanakan serangan terencana.
  10. Pergerakan lateral: Ini mencakup pengendalian sistem dalam jaringan, dan pergerakan lateral untuk mengakses sumber daya dan sistem tambahan.
  11. Pengumpulan: Ini mencakup penggunaan berbagai metode untuk mengumpulkan informasi dari sumber yang sesuai dalam organisasi Anda.
  12. Perintah dan kendali: Ini mencakup pembuatan saluran komunikasi rahasia dan tidak dapat dilacak untuk mendapatkan kendali atas sistem.
  13. Eksfiltrasi: Ini mencakup penerapan metode yang mengambil data secara ilegal dari jaringan Anda.
  14. Dampak: Ini termasuk mengganggu ketersediaan atau integritas data dan mengganggu operasi bisnis dengan mengganggu, merusak, menonaktifkan, atau menghancurkan data atau proses bisnis.

Rantai Pembunuhan Cyber Vs. MITRE ATT&CK: Perbedaan Utama

Cyber Kill Chain dan MITRE ATT&CK dari Lockheed Martin melibatkan pemahaman bagaimana serangan cyber terjadi, namun keduanya memiliki beberapa perbedaan utama. Sementara MITRE ATT&CK memberikan informasi rinci tentang berbagai taktik, teknik, dan prosedur yang digunakan oleh penyerang, Cyber Kill Chain menawarkan gambaran yang lebih umum dengan tujuh taktik.

Cyber Kill Chain berfokus pada gagasan bahwa melanggar salah satu dari tujuh taktik akan mengganggu serangan, sementara MITRE ATT&CK berfokus pada pemahaman dan melawan taktik dan teknik individu dalam konteks apa pun yang muncul. Selain itu, Cyber Kill Chain tidak menyertakan detail spesifik untuk serangan seluler atau ICS seperti yang dilakukan MITRE ATT&CK.

Rantai Pembunuhan Cyber vs. ATT&CK: Mana yang Lebih Baik?

Cyber Kill Chain memiliki beberapa keunggulan dibandingkan MITRE ATT&CK, termasuk kemampuannya untuk mendorong pertahanan proaktif dengan mengidentifikasi tahap-tahap serangan dan memungkinkan para pembela HAM mengalokasikan investasi keamanan berdasarkan tahap-tahap yang paling rentan. Namun, hal ini juga memiliki keterbatasan. Misalnya, hal ini mungkin tidak memperhitungkan semakin canggihnya ancaman dan semua potensi vektor serangan. Selain itu, fokusnya pada malware dapat menyebabkan kurangnya perhatian terhadap jenis serangan lain, seperti ancaman orang dalam.

Kerangka kerja MITRE ATT&CK, di sisi lain, menawarkan pandangan yang lebih komprehensif dan terperinci tentang taktik, teknik, dan prosedur yang digunakan oleh pelaku ancaman. Dokumen ini bersifat dinamis dan terus diperbarui untuk mencerminkan ancaman dan taktik terkini, menjadikannya sumber daya berharga bagi organisasi. Namun, hal ini bisa sangat menyulitkan bagi pemula karena kompleksitasnya dan tingkat keahlian yang diperlukan, dan mungkin memerlukan pemantauan berkelanjutan untuk pembaruan baru guna memastikan kesiapan menghadapi ancaman terbaru. Selain itu, sifatnya yang dinamis mungkin membuatnya kurang efektif dalam mendeteksi dan mengganggu serangan secara real-time.

Memilih Antar Model

Pilihan antara Cyber Kill Chain dan MITRE ATT&CK pada akhirnya bergantung pada kebutuhan dan tujuan spesifik organisasi. Bagi organisasi dengan sumber daya keamanan siber yang terbatas atau mereka yang baru mengenal keamanan siber, Cyber Kill Chain dapat menjadi titik awal yang berharga. Di sisi lain, MITRE ATT&CK memberikan tingkat analisis dan panduan yang lebih mendalam untuk organisasi dengan kebutuhan keamanan yang lebih canggih.

Menerapkan Model

Saat meninjau arsitektur keamanan, kerangka MITRE ATT&CK dapat diterapkan sebagai “lensa” untuk menilai teknik dan taktik mana yang dapat dimitigasi atau dideteksi oleh pengendalian saat ini, dan di mana solusi baru harus fokus. Selain itu, kerangka kerja ini dapat digunakan untuk memodelkan jalur serangan dan TTP musuh tingkat lanjut, sehingga memungkinkan tim merah untuk mensimulasikan serangan dan meningkatkan kemampuan deteksi dan respons. Kerangka kerja ini juga memberikan taksonomi yang konsisten untuk indikator kompromi (IOC) dan perilaku penyerang, sehingga memungkinkan pertukaran informasi yang efektif di dalam dan antar organisasi.

Lanskap Ancaman yang Berkembang

Penting juga untuk menyadari bahwa lanskap ancaman terus berkembang, dan teknik, taktik, serta prosedur serangan baru sering muncul. Hasilnya, matriks MITRE ATT&CK diperbarui secara berkala, menyoroti perlunya tim keamanan untuk terus menyempurnakan perlindungan dan kesiapsiagaan mereka seiring dengan semakin canggihnya serangan.

Kesimpulan

Cyber Kill Chain dan MITRE ATT&CK adalah dua kerangka kerja penting untuk memahami dan menganalisis serangan cyber. Meskipun kedua kerangka kerja tersebut memiliki kekuatan dan kelemahan masing-masing, menggabungkan keduanya dalam strategi pertahanan Anda dapat memberikan pemahaman yang jelas tentang siklus hidup serangan cyber. MITRE ATT&CK menawarkan pandangan luas mengenai taktik, teknik, dan prosedur yang digunakan oleh pelaku ancaman, sedangkan Cyber Kill Chain memberikan pendekatan yang lebih terstruktur untuk memahami perkembangan serangan cyber. Dengan mengintegrasikan kedua kerangka kerja tersebut, Anda dapat meningkatkan pertahanan Anda terhadap potensi ancaman.

Artikel terkait