Tactics, Techniques, and Procedures (TTP) adalah metode yang digunakan oleh para profesional TI dan militer untuk menentukan perilaku aktor ancaman (hacker). Ketiga elemen ini membantu memahami musuh atau attacker dengan lebih baik. Sementara setiap elemen penting dengan sendirinya, dengan mempelajari ketiga elemen tersebut, serangan dapat lebih mudah diburu, diidentifikasi, dan dinetralkan. Mengetahui TTP peretas dapat membantu dalam mengidentifikasi serangan lebih awal sehingga dapat menetralisirnya sebelum kerusakan signifikan terjadi.
Kerangka kerja (framework) MITRE ATT&CK adalah basis pengetahuan Tactics, Techniques, and Procedures (TTP) yang telah terdokumentasi dengan baik. TTP adalah pola perilaku yang dilakukan oleh pelaku kejahatan secara nyata. Contohnya adalah laporan terkenal yang diterbitkan oleh FireEye tentang kelompok spionase Mandiant APT1.
Dalam laporan tersebut, FireEye telah mendokumentasikan pola perilaku, teknik, taktik, perangkat lunak, indikator kompromi, data yang dieksfiltrasi, hingga waktu serangan. Kerangka kerja MITRE ATT&CK menyederhanakan hasil ini untuk memasukkan daftar Advanced Persistent Threat (APT) dengan teknik dan tools yang ditemukan di alam liar.
Berikut ini adalah pengertian dari Tactics, Techniques, and Procedures ;
Tactics
Strategi generik dari awal hingga akhir yang diikuti oleh peretas/attacker untuk mencapai tujuan mereka. Inilah maksud dari tujuan serangan siber. Peretas sering mencuri data penting untuk dimonetisasi melalui forum web gelap online.
Techniques
Technique adalah metode atau alat umum yang tidak spesifik yang akan digunakan penjahat untuk mengkompromikan informasi Anda. Inilah “bagaimana” serangan siber dilakukan. Contohnya adalah pengguna phishing melalui lampiran email atau tautan berbahaya.
Procedures
Procedures adalah orkestrasi serangan selangkah demi selangkah. Prosedur seringkali merupakan cara terbaik untuk membuat profil penyerang. Berbagai kelompok peretasan mengikuti prosedur umum seperti pengintaian, pencacahan, lalu penyerangan.
Dengan mempelajari TTP dapat membantuk perusahaan dalam menangani kasus serangan siber. Berikut ini beberapa cara mencegah serangan terjadi.
- Setelah mengenali kemungkinan serangan-serangan yang terjadi, prioritaskan tingkat risikonya dan kita perlu putuskan apakah itu mirip dengan insiden lain yang pernah dilihat dan diketahui oleh TI sebelumnya.
- Menggunakan pengetahuan dari TTP ini dan memfokuskan tindakan dengan tepat.
- Identifikasi kemungkinan vektor serangan.
- Dilengkapi dengan pengetahuan yang sudah didapatkan sebelumnya, kita perlu menentukan sistem mana yang paling mungkin diserang.
- Pertahankan dari serangan yang mungkin terjadi dengan menggunakan prosedur pemantauan, mitigasi, dan netralisasi sendiri.
Cukup sekian dari saya. Terima kasih.
Referensi :
