Bayangkan anda sedang memandu kereta. Tiba-tiba, anda menerima berita tentang kemalangan besar yang berlaku di hadapan. Apa tindakan anda? Sudah tentu, anda akan mencari laluan alternatif untuk mengelakkan kesesakan dan risiko terperangkap.
Begitu juga dengan Threat Intelligence (Perisikan Ancaman). Ia berfungsi seperti notifikasi awal yang memberi amaran tentang “kemalangan” atau ancaman siber yang telah berlaku kepada organisasi lain dan berpotensi menjejaskan organisasi anda. Dalam konteks keselamatan maklumat, ISO/IEC 27001:2022 menetapkan kawalan khusus berkaitan Threat Intelligence di bawah Annex A.5.7 – Threat Intelligence. Kawalan ini mengkehendaki organisasi untuk mengumpul, menganalisis dan mentafsir maklumat ancaman sebagai langkah proaktif bagi mengurangkan risiko keselamatan maklumat dan memastikan tindak balas yang lebih pantas terhadap ancaman yang berpotensi.
Apa Itu Threat Intelligence?
Threat Intelligence ialah proses proaktif yang membantu organisasi mengenal pasti ancaman siber lebih awal sebelum ia menjejaskan sistem dan rangkaian organisasi. Ia berfungsi seperti radar amaran awal yang memberi maklumat penting tentang potensi serangan.Contohnya:
-
-
- a) Alamat IP berniat jahat (Abusive/Malicious IP) : Merujuk kepada senarai alamat IP yang telah disenarai hitamkan (blacklist) kerana terlibat dalam aktiviti serangan siber terhadap sistem-sistem atau rangkaian di seluruh dunia. IP ini dikenal pasti sebagai sumber serangan seperti malware, phishing, atau percubaan pencerobohan.
-
-
- b) Domain Berbahaya: Laman web atau domain yang dikenal pasti sebagai ancaman kerana menjadi hos kepada perisian hasad atau aktiviti penipuan.
-
- c) Indicators of Compromise (IoC): Petunjuk bahawa sistem telah diceroboh, seperti fail mencurigakan, URL berbahaya atau aktiviti rangkaian yang tidak normal.
Kenapa perlu mengumpul maklumat ancaman ini ? Adakah antivirus dan firewall tidak mencukupi ? Berikut merupakan antara sebab kenapa Threat Intelligence penting untuk dilaksanakan dalam organisasi :
1. Meningkatkan Kesedaran Ancaman:
Dengan Threat Intelligence, organisasi dapat mengetahui teknik serangan terkini. Contohnya, serangan phishing menggunakan emel palsu yang nampak sah tetapi sebenarnya mencuri data pengguna.
2. Respon yang proaktif, pantas dan efektif terhadap ancaman :
Ancaman yang dikenalpasti melalui Threat Intelligence boleh dimasukkan ke dalam senarai blok firewall atau sistem pencegahan pencerobohan (IPS). Ini membolehkan organisasi mencegah serangan sebelum ia berlaku.
3. Mengurangkan Risiko Kerosakan:
Threat Intelligence membantu organisasi untuk mengurangkan risiko kerosakan terhadap sistem, data, dan rangkaian organisasi. Dengan mengetahui lebih awal tentang ancaman tersebut, organisasi dapat mengambil tindakan proaktif untuk menghalangnya.
4. Pemulihan insiden yang cepat:
Jika organisasi terkena serangan, Threat Intelligence boleh membantu mengenal pasti tanda-tanda kompromi (IoC) dan mengesan punca serangan dengan cepat.
5. Pematuhan Standard Keselamatan:
ISO/IEC 27001:2022 menetapkan bahawa setiap organisasi perlu mengumpul dan mengkaji maklumat ancaman secara berkala. Ini bukan sahaja untuk menjaga keselamatan tetapi juga untuk memenuhi piawaian keselamatan maklumat global.
Pengurusan Threat Intelligence dalam organisasi biasanya dikendalikan oleh bahagian atau Unit Keselamatan Siber atau Pusat Operasi Keselamatan. Mereka berperanan dalam pengumpulan data ancaman, analisis mendalam, penyebaran maklumat, tindak balas segera dan penilaian keberkesanan. Di Universiti Kebangsaan Malaysia, Bahagian Keselamatan Siber, Pusat Teknologi Maklumat bertanggungjawab melaksanakan Threat Intelligence untuk menghalang serangan siber dan juga memperkukuh pertahanan keselamatan siber secara menyeluruh dan berkesan.
Threat Intelligence bukan sekadar laporan atau data biasa, tetapi berfungsi sebagai radar keselamatan yang membantu organisasi mengesan ancaman siber lebih awal sebelum ia berlaku. Dengan pendekatan yang sistematik, organisasi bukan sahaja dapat melindungi aset digital dan menjaga reputasi, tetapi juga mengurangkan kos pemulihan melalui tindakan pencegahan yang proaktif. Ia memastikan keselamatan siber berada pada tahap optimum dengan mengenal pasti ancaman, bertindak balas dengan pantas dan meminimumkan risiko serangan secara menyeluruh.
Disediakan oleh :
Nurtasneem binti Md Yusoff
Bahagian Keselamatan Siber, Pusat Teknologi Maklumat
Universiti Kebangsaan Malaysia
