Sekarang di 2H 2025, keamanan siber lanskap tidak hanya aktif; ini terspesialisasi dalam industri dan ditargetkan secara presisi. Pelaku ancaman yang canggih tidak lagi menggunakan pendekatan “semprot dan berdoa”.
Sebaliknya, mereka mempelajari sektor Anda, mengeksploitasi model bisnis Anda, dan bahkan melatih malware mereka untuk meniru alur kerja Anda.
Kepala Pejabat Keamanan dan Strategi Informasi, Concentric.ai.
Untuk melampaui penyerang, CISO harus memahami siapa yang menargetkan industri mereka, bagaimana mereka melakukannya, dan mengapa – dan kemudian mengubah pengetahuan tersebut menjadi tindakan melalui program intelijen ancaman (TIP) yang kuat.
Tanpa intelijen ancaman, pertahanan Anda didasarkan pada dugaan. Pelaku ancaman mengetahui industri Anda, lingkungan Anda, dan pengguna Anda. Pertahanan Anda juga harus mengetahuinya.
Program Intelijen Ancaman Esensial (TIP)
Kemampuan intelijen ancaman yang matang bukan sekadar mengumpulkan masukan—tetapi juga menerjemahkan data ancaman menjadi pertahanan yang dapat ditindaklanjuti. Dengan program modern, Anda dapat:
– Identifikasi pelaku ancaman dan taktik, teknik, dan prosedur (TTP) yang menargetkan industri Anda dengan ketelitian tinggi.
– Gunakan kerangka kerja seperti MITRE ATT&CK untuk mengurangi risiko.
– Meningkatkan deteksi dan respons melalui informasi keamanan dan manajemen peristiwa (SIEM), orkestrasi keamanan, otomatisasidan respons (SOAR), serta deteksi dan respons titik akhir (EDR).
– Sesuaikan pelatihan kesadaran dengan skenario serangan nyata.
– Memberikan laporan siap eksekutif yang menginformasikan keputusan.
Untuk membuka nilai intelijen ancaman, integrasikan ke dalam struktur keamanan Anda. Misalnya:
Rekayasa deteksi – Memetakan TTP ke MITRE, membangun deteksi, dan memperkaya SIEM/extend deteksi dan respons (XDR) dengan indikator kompromi (IoC) aktor yang relevan.
Respons otomatis (SOAR) – Tandai peringatan berdasarkan aktor dan sektor serta pedoman pemicu yang selaras dengan profil ancaman.
Manajemen kerentanan – Prioritaskan patch yang terkait dengan ancaman aktif.
Kesadaran keamanan – Simulasikan phishing berbasis aktor (misalnya, QR-phishing dari TA577) dan latih tim terhadap serangan suara deepfake.
CISO harus menyertakan pembaruan intelijen ancaman kepada dewan direksi dan tim eksekutif dengan pembaruan program mereka yang dijadwalkan secara rutin.
Hal ini harus mencakup tren ancaman industri dan insiden sejenis, motif aktor dan teknik yang berkembang, serta dampak risiko dan kebutuhan pendanaan.
Wawasan ini menggambarkan keamanan siber sebagai sesuatu yang strategis dan selaras dengan bisnis—bukan sekadar reaktif.
Pelaku ancaman berdasarkan industri
Setiap industri menghadapi ancaman khusus. Berikut ini ringkasan beberapa pelaku ancaman utama, teknik, dan tren berdasarkan sektor.
Pelaku Ancaman dalam Pelayanan Kesehatan
Pelaku ancaman termasuk Scattered Spider (UNC3944), Black Basta, RansomHub, dan NoEscape. TTP terdiri dari pertukaran SIM untuk melewati otentikasi multi-faktor (MFA), kompromi platform berbasis cloud dan SaaS, pergerakan lateral melalui Remote Desktop Protocol (RDP) dan titik akhir yang tidak dikelola, dan penyalahgunaan akses vendor pihak ketiga.
Pelaku yang berdampak pada layanan kesehatan adalah (1) menggunakan rekayasa sosial seperti palsu pekerjaan tawaran untuk menyamar sebagai orang dalam atau vendor; (2) melewati MFA melalui layanan bantuan dan penyalahgunaan proses pemulihan; dan (3) memanfaatkan pergerakan lateral tingkat lanjut, seperti Living Off the Land Binaries (LOLBins), Windows Management Instrumentation (WMI), dan PsExec, untuk bertahan di seluruh jaringan yang tersegmentasi.
FBI telah memperingatkan bahwa aktor Scattered Spider menargetkan layanan kesehatan perangkat lunak meja bantuan dan melewati autentikasi dua faktor (2FA) melalui peniruan panggilan dukungan. Lifewire melaporkan bahwa bypass MFA menjadi titik masuk yang umum ransomware kampanye di bidang kesehatan.
Jasa Keuangan – Pelakunya termasuk APT38 (Lazarus), TA577, dan Storm 1811. TTP terdiri dari penipuan suara berkemampuan Deepfake, QR-phishing yang menargetkan aplikasi perbankan seluler, penerapan investasi jahat dan aplikasi pembayarandan penyalahgunaan pemroses pembayaran pihak ketiga.
Pelaku ancaman di sektor jasa keuangan
Di sektor jasa keuangan, pelaku ancaman (1) menggunakan penipuan suara deepfake untuk mengotorisasi transfer palsu; (2) meluncurkan phishing kode QR untuk mencuri kredensial keuangan; dan (3) menyebarkan aplikasi palsu untuk mengambil data dan menyebarkannya perangkat lunak perusak—Mengeksploitasi kesenjangan dalam pelatihan, keamanan seluler, dan risiko vendor.
FBI baru-baru ini menyoroti meningkatnya skema penipuan suara deepfake, yang mengakibatkan kerugian jutaan dolar akibat penipuan kawat di lembaga keuangan.
Perusahaan keamanan siber melaporkan lonjakan kampanye phishing kode QR yang menyamar sebagai bank-bank besar, sehingga menyebabkan kompromi kredensial dan pengambilalihan akun. Peringatan industri telah mencatat munculnya aplikasi seluler nakal yang menyamar sebagai alat fintech yang sah, yang meningkatkan paparan terhadap pencurian kredensial dan infeksi malware seluler.
Pelaku ancaman di bidang manufaktur & PL
Pelaku ancaman di sini antara lain Volt Typhoon, Sandworm, LockBit 3.0, dan Muddled Libra Scattered Spider. TTP terdiri dari teknik Living-off-the-land menggunakan WMI dan PsExec, pengambilan kredensial, manipulasi protokol ICS (sistem kontrol industri), dan eksploitasi protokol lama dan khusus OT.
Dalam vertikal ini, Volt Typhoon menargetkan lingkungan teknologi informasi (TI)/teknologi operasional (OT) hibrid, memanfaatkan segmentasi yang lemah dan kontrol identitas untuk mempertahankan akses jangka panjang dan memungkinkan gangguan di masa depan. Beberapa lembaga pemerintah mengkonfirmasi bahwa Volt Typhoon telah melakukan pre-positioning pada jaringan TI untuk beralih ke OT untuk potensi sabotase (CISA Advisory).
Para analis melaporkan Volt Typhoon mempertahankan akses rahasia ke jaringan OT perusahaan utilitas kecil di AS selama hampir satu tahun, menunjukkan kegigihan dan kerahasiaan yang canggih. Sasaran Sandworm yang terus menerus terhadap sistem pengendalian industri menyoroti meningkatnya risiko terhadap sektor manufaktur dan infrastruktur penting.
Pelaku ancaman di ritel & eCommerce
Aktor di sini termasuk Magecart Group 6, Storm‑0539 (alias ATLAS LION), dan LAPSUS$. TTP terdiri dari pembajakan checkout melalui plugin browser dan skimmer JS, pengambilalihan akun melalui pencurian kredensial atau sesi, dan serangan yang dibantu orang dalam untuk akses sistem langsung.
Pelaku ancaman ritel mengeksploitasi kredensial karyawan yang disusupi dan kampanye phishing—seringkali melalui QR dan SMS—untuk memasukkan skimmer kartu pembayaran, membajak alur pembayaran, dan membuat kartu hadiah palsu.
Operasi-operasi ini semakin banyak yang menggabungkan phishing yang didukung AI dan taktik rekrutmen orang dalam untuk melewati MFA, dan melakukan kompromi secara diam-diam sistem POSdan mengumpulkan data pembayaran pelanggan dalam jangka waktu lama. Skimmer Magecart mencuri kartu pembayaran e-niaga situs dan menyebabkan kebangkitan metode checkout berbasis JS.
Microsoft mengamati kampanye spear phishing dan smishing Storm-0539 yang menargetkan alur kerja kartu hadiah di pengecer AS, memungkinkan bypass MFA melalui halaman phishing yang dibantu AI (Microsoft). Peringatan CISA dan studi kasus mengungkapkan bahwa LAPSUS$ merekrut orang dalam dan menyalahgunakan akun valid untuk pemerasan data non-tebusan di seluruh entitas ritel (CISA).
Pelaku ancaman di bidang teknologi & SaaS
Aktor di sini termasuk Midnight Badai salju (APT29), UNC5537, dan UNC3886. TTP terdiri dari eksfiltrasi token OAuth, keracunan rantai pasokan CI/CD (misalnya, Tindakan GitHub), dan sideload DLL.
APT Teknologi & SaaS menargetkan pipeline cloud-native, mengeksploitasi token OAuth dan alur kerja integrasi berkelanjutan (CI)/pengiriman/penerapan berkelanjutan (CD), sambil menggunakan sideloading pustaka tautan dinamis (DLL) untuk persistensi dan eskalasi yang tersembunyi.
APT29 terus memanfaatkan pencurian token OAuth untuk infiltrasi mendalam layanan awan dan lingkungan SaaS (Microsoft). Serangan rantai pasokan baru-baru ini berfokus pada alur kerja GitHub Actions, meracuni jaringan pipa yang dibangun untuk memasukkan pintu belakang (CISA Alert). UNC5537 dan UNC3886 telah diamati menggunakan sideloading DLL untuk melewati daftar putih aplikasi dan mengeksekusi malware dengan kedok perangkat lunak yang sah (CrowdStrike).
Energi & Infrastruktur Kritis – Aktornya termasuk Volt Typhoon, ChamelGang, Xenotime, dan DarkTortilla. TTP terdiri dari implan firmware, serangan lubang berair pada portal vendor, dan pencurian kredensial teknisi lapangan.
Pelaku ancaman yang menargetkan infrastruktur penting menggunakan implan firmware, serangan vendor, dan kredensial insinyur lapangan yang dicuri—yang mengeksploitasi kelemahan rantai pasokan dan identitas. Volt Typhoon terus memanfaatkan pencurian token OAuth untuk infiltrasi mendalam pada layanan cloud dan lingkungan SaaS (CISA).
Xenotime terkenal karena menyebarkan malware yang menargetkan sistem kontrol industri, memanfaatkan kredensial yang dicuri dari personel lapangan untuk meningkatkan akses (Dragos).
Kata Terakhir: Jangan Hanya Mengamankan—Melawan Musuh
Tanpa intelijen ancaman, pertahanan Anda hanya bisa ditebak. Pelaku ancaman mengetahui industri Anda, perangkat lunak Anda, dan sistem Anda. Pertahanan Anda juga harus mengetahuinya dan Anda harus mengkomunikasikan informasi ini kepada dewan direksi atau tim eksekutif Anda.
Organisasi harus membangun program keamanan siber berdasarkan musuhnya—bukan berdasarkan asumsi. Pelaku ancaman sangat fokus pada industri, sehingga membangun mesin intelijen ancaman terpusat yang mendukung deteksi, respons, dan pelatihan sangatlah penting.
Yang terakhir, tim harus menggunakan intelijen yang didukung berita untuk melaporkan keadaan yang mendesak, dan melakukan pengarahan eksekutif triwulanan.
