Dalam dunia keamanan siber yang berkembang pesat, memisahkan aktivitas jahat dari yang sah merupakan tantangan besar. Banyak teknik yang digunakan penyerang—terutama yang memanfaatkan alat bawaan sistem—tampak seperti aksi normal. Untuk menangani hal ini, Fortinet bekerja sama dengan MITRE Center for Threat-Informed Defense (CTID) dalam proyek Ambiguous Techniques yang bertujuan memperkuat metoda deteksi dan mengurangi false positives. Inisiatif ini dikembangkan sebagai bagian dari rangkaian penelitian Summiting the Pyramid versi 3.0 dan baru saja diterapkan di komunitas CTID sebagai pendekatan mutakhir dalam engineering deteksi.
Summiting the Pyramid v3.0.0 dan Ambiguous Techniques
Model Summiting the Pyramid dirancang untuk mengarahkan fokus deteksi ke taktik, teknik, dan prosedur (TTP) yang sulit diubah oleh penyerang—sebagai strategi yang lebih tahan lama daripada hanya mengikuti indikator seperti IP atau file hash. Versi 3.0 memperkenalkan konsep baru: Ambiguous Techniques, yaitu teknik yang observasinya tidak cukup jelas untuk menyimpulkan niat jahat atau sah. Fortinet bersama MITRE merancang metode untuk mengurai aktivitas semacam ini dan memutuskan secara tepat kapan suatu peristiwa berpotensi berbahaya .
Tiga Tingkatan Konteks untuk Menentukan Niat
Metode ini menggabungkan tiga lapis konteks untuk memproses setiap indikasi:
- Peripheral-Level Context
Lingkup ini melihat aktivitas sebelum kompromi, seperti reconnaissance. Dengan bantuan intelijen eksternal yang relevan (contoh: threat feeds industri tertentu), defender proaktif mendeteksi ancaman lebih awal. - Chain-Level Context
Fokus pada urutan teknik beriringan—apa yang terjadi sebelum dan setelah suatu teknik. Misalnya, kombinasi “archive data” dengan “exfiltrate” memberi indikasi yang kuat soal aktivitas malicious. - Technique-Level Context
Memecah detail teknis dalam empat kategori:- Who: identitas pengguna atau kredensial terkait,
- What: event, flag, registry, API yang dilibatkan,
- When: frekuensi atau waktu kejadian di luar pola umum,
- Where: lokasi sistem, file, endpoint, atau IP yang digunakan.
Pendekatan ini memungkinkan analisis yang lebih presisi, mengurangi false positives sekaligus meningkatkan akurasi deteksi dengan membandingkan konteks teknis dan eksploitasi historis.
Manfaat Implementasi Ambiguous Techniques
| Aspek | Manfaat |
| Deteksi Lebih Akurat | Mengurangi false positives melalui analisis kontekstual dan chain-level |
| Respons Lebih Cepat | Alert berkualitas tinggi mempercepat waktu tanggap tim keamanan (MTTR) |
| Tahan Uji Adaptasi | Taktik penyerang yang kompleks makin sulit dielakkan karena fokus pada TTP tak berubah |
| Kolaborasi Lebih Luas | Metode ini tersedia untuk komunitas (MITRE CTID) sehingga para vendor dapat menyempurnakan sistem mereka |
Peran Fortinet dalam Proyek Ini
Fortinet berperan aktif sebagai research partner di MITRE CTID, berkontribusi nyata dalam pembuatan framework ini. Melalui tim FortiGuard Labs, mereka menyediakan data intelijen ancaman yang luas—termasuk signature dan teknik deteksi—untuk menyempurnakan model Summiting the Pyramid, termasuk modul Ambiguous Techniques.
Sumber daya ini mendukung ecosystem kolaborasi publik–swasta, menghasilkan metode deteksi yang lebih kuat. Organisasi dan vendor, termasuk Microsoft dan AttackIQ, turut menggunakan proyek ini untuk memperkuat SOC mereka.
Dorongan ke Arah Deteksi Proaktif
Hasil dari proyek ini adalah paradigma baru: Deteksi bukan hanya soal mengenali tanda bahaya, melainkan mengerti niat di balik tersebut. Dengan analisis behavior dan intelligence-driven, defender kini dapat:
- Mencermati indikasi awal serangan sebelum terjadi kompromi nyata.
- Menyusun playbook respons lebih kontekstual dan efektif.
- Meningkatkan confidence tim SOC untuk melakukan eskalasi berdasarkan tingkat ancaman nyata.
Kesimpulan
Inisiatif Ambiguous Techniques dari Fortinet dan MITRE CTID menandai langkah maju dalam detection engineering. Pendekatan kontekstual tiga lapis—peripheral, chain, technique—membantu mengidentifikasi aktivitas ancaman yang tersembunyi di balik aksi yang tampak sah.
Memberdayakan defender dengan cara berpikir threat-informed, bukan sekadar indikator-based, adalah cara terbaik untuk menghadapi evolusi serangan. Fortinet, sebagai pelopor, terus mendorong adopsi dan inovasi bersama komunitas cybersecurity global—untuk membentuk pertahanan siber yang lebih tangguh dan adaptif menghadapi tantangan mendatang.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan fortinet indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!