Logo
Cybersecurity

Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

Sudah Ada di Dalam Jaringan Anda Sebagian besar organisasi baru mendeteksi pelanggaran keamanan setelah 194 hari aktivitas penyerang sudah berlangsung di dalam jaringan mereka. ITSEC Asia, pemimpin keamanan siber di Indonesia, menjelaskan mengapa Threat Hunting adalah disiplin proaktif yang mengubah situasi ini secara mendasar.

Ajeng HadeAjeng Hade
|
Mei 12, 2026
Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

Pendahuluan

Ada satu pertanyaan yang harus direnungkan oleh setiap pemimpin keamanan: jika seorang penyerang masuk ke jaringan Anda enam bulan lalu, apakah Anda akan mengetahuinya? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi sebuah pelanggaran kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Alat-alat pencegahan, semaju apapun, telah terbukti tidak mampu menutup celah tersebut sendirian.

Firewall, perangkat lunak antivirus, dan autentikasi multi-faktor memang diperlukan. Namun itu saja tidak cukup.

Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam threat hunting: praktik proaktif berbasis intelijen yang bertujuan mencari para penyerang yang telah melewati perimeter dan beroperasi dalam diam. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi di Singapura, Australia, dan UAE, bekerja sama dengan organisasi-organisasi di seluruh kawasan tersebut untuk membangun kemampuan ini sebelum pelanggaran berikutnya membuat hal itu menjadi mendesak.

Sumber: IBM Cost of a Data Breach Report 2024

Celah yang Tidak Bisa Ditutup oleh Keamanan Reaktif

Kelemahan mendasar dari keamanan siber yang bersifat reaktif terletak pada arsitekturnya. Security Operations Center memantau tanda-tanda ancaman yang sudah dikenal dan memicu peringatan ketika sesuatu cocok dengan pola yang telah ditetapkan. Alat deteksi endpoint mengamati perilaku yang menyerupai malware yang sudah dikenal. Sistem-sistem ini memang berharga, tetapi dirancang berdasarkan apa yang sudah dipahami. Pelaku ancaman yang canggih, termasuk kelompok negara-bangsa dan operator ransomware tingkat lanjut, telah bertahun-tahun belajar cara beroperasi di dalam batas-batas yang dianggap normal oleh sistem deteksi.

Laporan Ancaman Global CrowdStrike mendokumentasikan bagaimana waktu breakout penyerang, jeda antara akses awal dan pergerakan lateral melalui jaringan, telah menyusut menjadi hanya 62 menit untuk intrusi tercepat yang pernah diamati, dengan rata-rata di bawah tiga jam. Pada saat peringatan berbasis tanda tangan berbunyi, penyerang sudah bergerak lebih jauh. Threat hunting membalik dinamika ini sepenuhnya. Alih-alih menunggu peringatan sebagai sinyal bahwa sesuatu telah salah, para threat hunter beroperasi dengan asumsi bahwa penyerang yang mampu sudah berada di dalam jaringan dan mulai mencari indikator keberadaan tersebut. Inilah perbedaan antara merespons alarm kebakaran dan mengirim penyidik untuk menemukan kabel yang berasap sebelum gedung terbakar.

Sumber: CrowdStrike Global Threat Report 2024 · IBM Cost of a Data Breach Report 2024

Bagaimana Threat Hunting Sebenarnya Bekerja

Threat hunting adalah disiplin berbasis hipotesis, bukan fungsi pemantauan pasif. Seorang threat hunter memulai dengan asumsi yang didasarkan pada intelijen ancaman, lalu menganalisis lingkungan secara spesifik untuk mencari bukti perilaku berbahaya. Proses ini bergantung pada telemetri berkualitas tinggi: log endpoint yang komprehensif, data aliran jaringan, catatan autentikasi, dan feed aktivitas cloud yang menjadi bahan baku investigasi. Menurut penelitian SANS Institute tentang kematangan threat hunting, organisasi di tingkat kematangan yang lebih tinggi bergerak dari investigasi yang bersifat ad hoc menuju program hunt yang terstruktur dan dapat diulang, dengan hipotesis yang terdefinisi, prosedur yang terdokumentasi, dan hasil yang terukur.

Program threat hunting yang matang umumnya beroperasi melalui tiga aktivitas inti:

• Pembentukan Hipotesis: setiap hunt dimulai dengan asumsi yang diinformasikan oleh intelijen ancaman, misalnya bahwa kelompok pelaku tertentu yang diketahui menarget lembaga keuangan cenderung menyalahgunakan Windows Management Instrumentation untuk pergerakan lateral, kemudian memvalidasi atau membantah asumsi tersebut melalui analisis log yang mendalam.

• Analisis Telemetri: para hunter memeriksa perilaku endpoint, anomali autentikasi, aliran jaringan yang tidak biasa, dan pola eskalasi hak istimewa yang secara rutin luput dari alat otomatis karena tidak cocok dengan tanda-tanda berbahaya yang sudah dikenal.

• Rekayasa Deteksi: setiap hunt yang selesai, baik yang berhasil mengidentifikasi penyerang maupun yang mengonfirmasi lingkungan yang bersih, menghasilkan logika deteksi yang disempurnakan untuk meningkatkan sistem otomatis yang diandalkan oleh SOC ke depannya.

MITRE ATT&CK, kerangka kerja yang diakui secara global yang mengkatalogkan taktik, teknik, dan prosedur para penyerang, menyediakan kosakata terstruktur yang digunakan threat hunter untuk merumuskan hipotesis dan memastikan cakupan yang konsisten di seluruh kill chain. Organisasi yang menyelaraskan program hunting mereka dengan ATT&CK menunjukkan pemikiran sistematis tentang perilaku penyerang, bukan sekadar mengejar insiden individual secara terpisah.

Sumber: SANS Institute: Threat Hunting Maturity Model · MITRE ATT&CK Framework

Industri yang Tidak Bisa Menunggu Peringatan

Konsekuensi dari mengabaikan threat hunting tidak merata. Organisasi di sektor kesehatan, layanan keuangan, infrastruktur kritis, dan telekomunikasi menanggung risiko yang tidak proporsional karena mereka memegang data dan mengendalikan sistem yang secara eksplisit diprioritaskan oleh penyerang canggih. Penelitian Ponemon Institute 2024 menempatkan rata-rata biaya pelanggaran data di sektor kesehatan sebesar USD 9,77 juta, tertinggi di antara sektor mana pun selama empat belas tahun berturut-turut. Angka-angka ini tidak terutama didorong oleh biaya respons pelanggaran, melainkan oleh biaya waktu dwell penyerang yang tidak terdeteksi: berbulan-bulan selama penyerang bergerak melalui jaringan, mengeksfiltrasi data, dan membangun persistensi sebelum ada yang menyadarinya.

Kerangka regulasi yang mengatur industri-industri ini juga mulai mencerminkan kenyataan ini. NIST Cybersecurity Framework 2.0 secara eksplisit memasukkan pemantauan berkelanjutan dan deteksi ancaman proaktif sebagai fungsi keamanan inti. Regulator di Indonesia melalui strategi keamanan siber nasional BSSN, dan secara internasional melalui kerangka seperti Direktif NIS2 Uni Eropa, semakin mengharapkan organisasi untuk mendemonstrasikan kemampuan deteksi ancaman yang aktif, bukan sekadar pertahanan perimeter. Bagi organisasi yang beroperasi di lingkungan-lingkungan ini, pertanyaannya bukan lagi apakah threat hunting perlu masuk dalam program keamanan, melainkan apakah kemampuan tersebut sudah cukup matang untuk efektif saat paling dibutuhkan.

Sumber: Ponemon Institute Data Breach Research · NIST Cybersecurity Framework 2.0 · BSSN National Cybersecurity Strategy

Bangun Kesiapan Threat Hunting Sebelum Insiden Memaksanya

Organisasi yang terus mengalami kompromi berulang bukan karena nasib buruk. Mereka beroperasi tanpa kemampuan investigatif dan proaktif yang akan memberi tahu mereka, dengan pasti, apakah seorang penyerang sedang hadir saat ini dan apa yang berubah setelah insiden terakhir. Threat hunting menutup celah itu dengan mengubah telemetri pasif menjadi intelijen aktif dan mengonversi pengeluaran keamanan dari pusat biaya yang reaktif menjadi fungsi pengurangan risiko yang nyata.

Waktu untuk membangun kemampuan ini adalah sebelum seorang penyerang membuatnya menjadi keharusan. ITSEC Asia menyediakan kemampuan threat hunting, forensik digital, dan respons insiden untuk organisasi di Indonesia, Singapura, Australia, dan UAE. Jika organisasi Anda ingin menilai kematangan threat hunting saat ini atau membangun kemampuan deteksi proaktif sebelum sebuah insiden memaksa pembicaraan itu, hubungi spesialis keamanan kami.

👉Konsultasikan dengan spesialis keamanan kami: https://itsec.asia/contact

Share this post

You may also like

Apa yang Membedakan AI-Powered Penetration Testing dari Automated Scanner?
Cybersecurity

Apa yang Membedakan AI-Powered Penetration Testing dari Automated Scanner?

PENDAHULUAN Seberapa banyak temuan yang ditandai oleh vulnerability scanner setiap minggu yang benar-benar terbukti nyata? Riset dari OWASP menunjukkan false positive rate untuk jenis vulnerability umum berada di kisaran 15% hingga 30%, dan riset terpisah dari Snyk menemukan bahwa tim security kini menghabiskan sekitar 70% waktu mereka untuk mengejar alert yang ternyata tidak ada apa-apanya. Kesenjangan antara apa yang dilaporkan oleh tool dan apa yang sebenarnya bisa dieksploitasi bukanlah gangguan kecil. Inilah alasan mengapa sepertiga perusahaan yang disurvei mengaku terlambat merespons serangan sungguhan karena tim mereka sibuk menangani ancaman palsu. ITSEC Asia, perusahaan cybersecurity terkemuka di Indonesia, bekerja sama dengan organisasi di seluruh kawasan yang telah mempelajari hal ini dengan cara yang sulit, dan pertanyaan yang terus muncul cukup sederhana. Jika scanner sudah mencentang semua kotak yang diperlukan, mengapa AI-powered penetration testing masih diperlukan, dan apa sebenarnya yang dilakukannya secara berbeda? Sumber: OWASP false positive research via DEV Community [https://dev.to/kuboidsecurelayer/why-automated-vulnerability-scanners-miss-most-real-security-vulnerabilities-2p96] · Snyk: Minimizing False Positives [https://snyk.io/blog/minimizing-false-positives-enhancing-security-efficiency/] PERBEDAAN MENDASAR: MENGIKUTI ATURAN VERSUS BERNALAR SEPERTI ATTACKER Automated scanner bekerja dengan mencocokkan apa yang dilihatnya terhadap library pola-pola yang

ITSEC AsiaITSEC Asia
|
Jul 03, 2026 5 minutes read
Web Application Penetration Testing: Mengapa Aplikasi Web Masih Menjadi Target Utama Serangan Siber?
Cybersecurity

Web Application Penetration Testing: Mengapa Aplikasi Web Masih Menjadi Target Utama Serangan Siber?

Hampir seluruh organisasi modern bergantung pada aplikasi web. Mulai dari portal pelanggan, platform e-commerce, internet banking hingga sistem internal perusahaan, aplikasi web telah menjadi fondasi dari transformasi digital. Namun, semakin besar peran sebuah aplikasi, semakin tinggi pula nilainya di mata para pelaku ancaman. Tidak mengherankan jika aplikasi web masih menjadi salah satu pintu masuk yang paling sering dimanfaatkan dalam berbagai insiden keamanan siber. Karena itulah Web Application Penetration Testing menjadi bagian penting dalam strategi keamanan modern. APA ITU WEB APPLICATION PENETRATION TESTING? Web Application Penetration Testing adalah proses pengujian keamanan yang bertujuan untuk mengidentifikasi dan memvalidasi kelemahan pada aplikasi web sebelum dimanfaatkan oleh pihak yang tidak bertanggung jawab. Berbeda dengan vulnerability scanning yang sebagian besar dilakukan secara otomatis, penetration testing berupaya mensimulasikan teknik yang digunakan oleh attacker untuk memahami bagaimana sebuah kerentanan dapat memengaruhi keamanan aplikasi dan bisnis secara keseluruhan. Tujuannya bukan hanya menemukan celah keamanan, tetapi memahami dampak yang mungkin ditimbulkan apabila celah tersebut berhasil dieksploitasi. MENGAPA APLIKASI WEB MENJADI TARGET YANG MENARIK? APLIKASI WEB TERHUBUNG LANGSUNG DENGAN INTERNET Sebagian besar aplikasi web dapat diakses

ITSEC AsiaITSEC Asia
|
Jun 15, 2026 5 minutes read
Panduan Mengenai CSOC
Cybersecurity

Panduan Mengenai CSOC

Hacks

CSOC adalah akronim untuk Cyber Security Operation Center (Pusat Operasi Keamanan Siber), tetapi hal ini sedikit membingungkan karena tim CSOC juga dapat disebut sebagai Computer Security Incident Response Team (CSIRT) atau Tim Respons Insiden Keamanan Komputer, Computer Incident Response Center (CIRC) atau Pusat Respons Insiden Komputer, Security Operations Center (SOC) atau Pusat Operasi Keamanan, serta disebut Computer Emergency Response Team (CERT) atau Tim Respons Gawat Darurat Komputer. Untuk kepentingan artikel ini, kita akan tetap menggunakan istilah CSOC. CSOC bekerja dalam urusan pertahanan untuk menghadapi aktivitas tidak sah yang terjadi pada jaringan strategis dan kegiatan yang termasuk di dalamnya adalah: pemantauan, deteksi, analisis, serta kegiatan respons dan restorasi. CSOC adalah tim yang terdiri dari analis keamanan jaringan yang diorganisir untuk pekerjaan mendeteksi, menganalisis, merespons, melaporkan, dan mencegah insiden keamanan jaringan selama 24 jam, 7 hari dalam seminggu, dan 365 hari dalam setahun. Terdapat berbagai jenis CSOC yang dikelompokkan berdasarkan model organisasional dan operasional mereka, bukan berdasarkan seperangkat kemampuan utama mereka, jadi mari kita dalami dan melihat lebih dekat berbagai jenis CSOC. CSOC VIRTUAL Nama

ITSEC AsiaITSEC Asia
|
Jul 10, 2023 9 minutes read

Receive weekly
updates on new posts

Subscribe