Kerangka Lengkap Defensive Security: Fondasi, Deteksi, dan Respon

admin

Dunia IT atau cyber security tidak hanya terdiri dari tiga lapisan (fondasi, tool, dan teori), melainkan mencakup beberapa komponen utama dalam konteks defensive security (blue team) sebagai berikut:

  1. FONDASI DEFENSIVE SECURITY
    (yang tidak berubah dan bersifat fundamental)

Isi teknis:

  • memory (stack, heap)
  • process dan privilege
  • TCP/IP, DNS
  • authentication vs authorization
  • request/response web

Penjelasan sederhana:
Memahami cara kerja sistem secara internal agar dapat mengetahui bagaimana sistem dapat diserang dan dilindungi.

Contoh:

  • memahami bagaimana kredensial dapat dicuri
  • memahami bagaimana user dapat memperoleh hak akses administrator tanpa izin
  1. CORE OPERASIONAL (MONITORING DAN TOOL)
    (digunakan langsung untuk operasional dan perlindungan sistem)

Isi teknis:

  • log monitoring
  • SIEM
  • alerting system
  • endpoint dan network monitoring

Penjelasan sederhana:
Menggunakan alat untuk memantau sistem dan mendeteksi aktivitas mencurigakan secara cepat.

Contoh:

  • mendeteksi login tidak wajar
  • melihat anomali traffic jaringan
  1. PLAYBOOK (URUTAN PENANGANAN)
    (prosedur kerja yang terstruktur dalam menghadapi insiden)

Isi teknis:

  • detect → analyze → respond → recover

Penjelasan sederhana:
Mengikuti langkah penanganan insiden secara sistematis agar tidak terjadi kesalahan atau kepanikan.

Contoh:

  • tidak langsung mematikan sistem
  • melakukan analisis terlebih dahulu sebelum tindakan
  1. PROBLEM SOLVING
    (digunakan ketika alert atau tool tidak memberikan jawaban jelas)

Isi teknis:

  • analisis log mendalam
  • korelasi event
  • identifikasi root cause

Penjelasan sederhana:
Mencari penyebab utama dari suatu kejadian ketika informasi yang tersedia tidak cukup jelas.

Contoh:

  • menghubungkan beberapa log kecil menjadi satu insiden besar
  • menemukan sumber serangan yang tersembunyi
  1. RESEARCH / ADVANCED
    (tingkat lanjutan)

Isi teknis:

  • threat hunting
  • malware analysis
  • reverse engineering
  • deteksi teknik bypass

Penjelasan sederhana:
Melakukan analisis mendalam untuk memahami pola serangan dan meningkatkan kemampuan deteksi.

Contoh:

  • menganalisis malware
  • memahami teknik serangan baru
  1. REAL-WORLD THINKING
    (pola pikir defender)

Isi teknis:

  • risk-based thinking
  • attacker mindset awareness
  • prioritas berdasarkan dampak

Penjelasan sederhana:
Berpikir berdasarkan risiko nyata dan memahami cara berpikir attacker.

Contoh:

  • tidak semua alert harus ditindaklanjuti
  • fokus pada ancaman yang benar-benar berbahaya
  1. ENGINEERING (BUILD SYSTEM)
    (pembangunan sistem pertahanan)

Isi teknis:

  • arsitektur keamanan
  • logging system
  • monitoring infrastructure
  • automation

Penjelasan sederhana:
Membangun sistem pertahanan yang terstruktur dan dapat berjalan secara berkelanjutan.

Contoh:

  • membangun sistem monitoring terpusat
  • membuat otomatisasi deteksi dan respon
  1. REPORTING DAN VALUE
    (komponen yang memberikan nilai bagi organisasi)

Isi teknis:

  • laporan insiden
  • analisis dampak
  • rekomendasi perbaikan

Penjelasan sederhana:
Menjelaskan kejadian, dampak, dan langkah perbaikan kepada pihak terkait.

Contoh:

  • menjelaskan bagaimana serangan terjadi
  • memberikan solusi untuk mencegah kejadian ulang
  1. BUSINESS SIDE
    (aspek bisnis dalam defensive security)

Isi teknis:

  • risk management
  • compliance
  • kebijakan keamanan

Penjelasan sederhana:
Mengelola keamanan agar selaras dengan kebutuhan dan risiko bisnis.

Contoh:

  • menentukan prioritas perlindungan
  • menyesuaikan keamanan dengan kebutuhan organisasi
  1. META-SKILL
    (tingkat tertinggi dalam pengambilan keputusan)

Isi teknis:

  • decision making
  • efisiensi operasional

Penjelasan sederhana:
Menentukan tindakan yang paling efektif dalam situasi tertentu.

Contoh:

  • tidak semua alert harus diinvestigasi secara mendalam
  • memilih respon yang paling efisien dan berdampak

Ringkasan:

Fondasi: memahami cara kerja sistem
Monitoring/Tool: mendeteksi aktivitas mencurigakan
Playbook: mengikuti prosedur penanganan
Problem solving: mencari penyebab saat tidak jelas
Research: memahami ancaman lebih dalam
Thinking: fokus pada risiko nyata
Engineering: membangun sistem pertahanan
Reporting: menjelaskan insiden dengan jelas
Business: mengelola risiko dan kebutuhan
Meta: mengambil keputusan secara tepat

Insight utama:

Yang memberikan respon cepat adalah monitoring dan playbook.
Yang meningkatkan kemampuan adalah fondasi dan problem solving.
Yang membedakan secara signifikan adalah research dan experience.

Penutup:

Defensive security tidak hanya berfokus pada penggunaan tool, tetapi juga mencakup pemahaman sistem, kemampuan analisis, pembangunan sistem pertahanan, serta kemampuan mengelola dan menyampaikan risiko secara efektif.

Tambahan:

Offensive security cenderung lebih cepat menghasilkan uang secara praktis karena mampu menunjukkan hasil secara langsung, seperti menemukan celah atau menembus sistem. Nilainya terlihat jelas dan mudah dijual dalam bentuk layanan seperti penetration testing atau bug bounty.

Sementara itu, defensive security tidak selalu memberikan hasil yang terlihat secara instan karena berfokus pada pencegahan, pemantauan, dan respons terhadap ancaman. Nilainya muncul dalam bentuk perlindungan jangka panjang dan pencegahan kerugian, sehingga lebih bersifat berkelanjutan dan stabil.

Dengan demikian, offensive security unggul dalam menghasilkan nilai secara cepat, sedangkan defensive security unggul dalam menjaga keberlangsungan dan stabilitas sistem dalam jangka panjang. Kombinasi keduanya memberikan pendekatan yang paling kuat dan komprehensif dalam cyber security.

Leave a Reply

Your email address will not be published.