Revolusi Intelijen Ancaman Siber: Otomatisasi Ekstraksi Taktik, Teknik, dan Prosedur (TTP) Adversary dengan AI

      Cyberthreat adalah kenyataan pahit di era digital, dengan serangan yang terus meningkat dalam skala dan kompleksitas. Organisasi di seluruh dunia menghadapi tantangan serius untuk menjaga keamanan dan stabilitas sistem mereka. Sebuah laporan menunjukkan bahwa pelanggaran keamanan melonjak hampir 75% pada tahun 2024 dibandingkan tahun sebelumnya, dengan rata-rata 1.876 serangan siber per kuartal. Prediksi dari Dana Moneter Internasional (IMF) bahkan memperkirakan kerugian akibat kejahatan siber global bisa mencapai $23 triliun pada tahun 2027, meningkat 175% dari tahun 2022.

      Untuk menghadapi ancaman yang berkembang pesat ini, para pembela keamanan harus selalu memperbarui pemahaman mereka tentang perilaku penyerang. Intelijen Ancaman Siber (CTI) menjadi sangat penting, membantu organisasi memahami Taktik, Teknik, dan Prosedur (TTP) musuh. TTP menguraikan "mengapa" (taktik), "bagaimana" (teknik), dan "langkah spesifik" (prosedur) yang digunakan aktor ancaman untuk melancarkan serangan siber. Informasi TTP ini memungkinkan pemetaan aktivitas musuh ke pola serangan yang sudah dikenal, seperti yang tercatat dalam kerangka kerja MITRE ATT&CK, dan menginformasikan strategi pertahanan.

Mengapa Otomatisasi Ekstraksi TTP Sangat Penting?

      Volume laporan CTI dari vendor keamanan dan komunitas riset terus meningkat dengan cepat, seiring dengan percepatan insiden siber. Menganalisis dan mengekstrak wawasan yang dapat ditindaklanjuti secara manual dari laporan-laporan ini adalah tugas yang padat karya, rawan kesalahan, dan tidak dapat diskalakan dengan laju ancaman siber yang terus meningkat. Biaya rata-rata global untuk pelanggaran data mencapai $4,44 juta pada tahun 2025, angka yang mendorong kebutuhan akan solusi yang lebih efisien.

      Otomatisasi ekstraksi TTP dari sumber teks tidak hanya mengurangi beban kerja manusia, tetapi juga meningkatkan akurasi dan kecepatan respons. Dengan sistem otomatis, analis keamanan dapat lebih baik dalam menginterpretasikan, mengorelasikan, dan memitigasi serangan yang terdeteksi, memungkinkan mereka untuk beradaptasi lebih cepat terhadap TTP musuh yang terus berevolusi. Ini adalah langkah krusial dalam mengubah sistem keamanan pasif menjadi platform intelijen operasional yang aktif.

Evolusi Metodologi Ekstraksi TTP Berbasis AI

      Bidang ekstraksi TTP otomatis telah mengalami kemajuan teknologi yang signifikan. Awalnya, penelitian mengandalkan pendekatan berbasis aturan dan metode machine learning tradisional untuk mengidentifikasi pola dalam teks. Pendekatan ini berguna namun seringkali terbatas dalam kemampuan memahami konteks dan nuansa bahasa.

      Kemudian, muncul arsitektur berbasis transformer, seperti BERT, SecureBERT, dan RoBERTa, yang merevolusi pemodelan kontekstual teks CTI. Model-model ini mampu memproses kata-kata dalam kaitannya dengan semua kata lain dalam kalimat, memungkinkan pemahaman yang jauh lebih dalam tentang niat dan makna di balik laporan ancaman. Baru-baru ini, studi mulai mengeksplorasi pendekatan berbasis Model Bahasa Besar (LLM), termasuk prompting, retrieval-augmented generation, dan fine-tuning ringan. Model-model ini menawarkan potensi untuk ekstraksi intelijen yang lebih canggih dan komprehensif.

      Sebagai contoh, pemahaman yang mendalam tentang TTP adversary sangat krusial bagi penyedia solusi keamanan seperti ARSA Technology. Dengan intelijen ini, kami dapat mengembangkan sistem yang lebih canggih, seperti AI Video Analytics untuk pemantauan area terbatas atau Face Recognition & Liveness SDK yang tahan terhadap serangan spoofing. Solusi AI ini dirancang untuk beroperasi di lingkungan nyata dengan akurasi, skalabilitas, dan keandalan operasional yang tinggi.

Tantangan dan Batasan dalam Penelitian Saat Ini

      Meskipun ada kemajuan signifikan, tinjauan sistematis oleh Mahzabin Tamanna et al. yang berjudul "What Are Adversaries Doing? Automating Tactics, Techniques, and Procedures Extraction: A Systematic Review" menemukan beberapa keterbatasan penting dalam penelitian saat ini. Banyak studi masih mengandalkan pengaturan klasifikasi single-label atau yang disederhanakan, yang tidak mencerminkan kompleksitas TTP dunia nyata yang seringkali melibatkan banyak teknik dan prosedur. Selain itu, penggunaan dataset yang terbatas atau berskala sempit membatasi generalisasi antar domain dan evaluasi realistis.

      Masalah reproduktifitas juga menjadi kendala. Banyak karya mengandalkan dataset yang bersifat proprietary (milik pribadi), kode yang distribusinya terbatas, atau korpora beranotasi yang tidak tersedia secara publik. Hal ini menghambat validasi independen dan benchmarking sistematis, mempersulit peneliti lain untuk membangun di atas pekerjaan yang ada atau membandingkan kinerja berbagai metode secara objektif.

Masa Depan Intelijen Ancaman Siber dengan Ekstraksi TTP Otomatis

      Untuk mengatasi keterbatasan yang ada, arah penelitian di masa depan perlu berfokus pada pengembangan sistem ekstraksi TTP yang lebih robust, dapat direproduksi, dan relevan secara operasional. Ini berarti menciptakan model yang dapat menangani skenario TTP yang lebih kompleks, mengintegrasikan berbagai sumber data, dan menggunakan dataset yang lebih beragam dan representatif. Selain itu, peningkatan kolaborasi dan berbagi sumber daya seperti dataset dan kode sumber akan sangat membantu kemajuan bidang ini.

      Pengembangan lebih lanjut dalam klasifikasi taktik dan pencarian teknik, di samping fokus pada klasifikasi tingkat teknik, akan memberikan gambaran intelijen ancaman yang lebih holistik. Dengan demikian, organisasi dapat membangun pertahanan siber yang lebih proaktif dan adaptif. Perusahaan seperti ARSA Technology yang memiliki pengalaman sejak 2018 dalam mengembangkan dan menerapkan solusi AI & IoT di berbagai industri, akan terus memanfaatkan kemajuan dalam intelijen ancaman siber untuk memastikan sistem keamanan yang kami bangun selalu selaras dengan ancaman terbaru.

      Memahami TTP musuh adalah fondasi untuk membangun pertahanan yang tangguh. Dengan mengotomatisasi ekstraksi TTP, kita tidak hanya meningkatkan efisiensi operasional, tetapi juga secara signifikan memperkuat kemampuan kita untuk melindungi aset digital dari ancaman yang terus berkembang.

      Jika Anda ingin mendiskusikan bagaimana solusi AI & IoT yang kuat dapat memperkuat pertahanan siber organisasi Anda, jangan ragu untuk menghubungi tim ARSA.