
Organisasi modern menghadapi lawan yang sangat terampil, sabar, dan terukur. Perubahan ini telah membawa era operasi terkoordinasi di mana aktor ancaman elit tidak hanya mengkompromikan sistem dan pergi, tetapi dapat menghabiskan berminggu-minggu atau berbulan-bulan diam-diam memantau jaringan, memetakan arsitektur, dan mengidentifikasi target bernilai tinggi. Operasi seperti ini merupakan ciri khas dari Advanced Persistent Threat (APT).
APA YANG TERJADI?
Framework keamanan siber tradisional telah lama mengandalkan pertahanan perimeter yang dirancang untuk menangkap aktivitas berbahaya di gerbang. Namun, begitu sebuah grup APT menembus jaringan, mereka seringkali secara sengaja memanipulasi alat administratif native dan mengumpulkan kredensial yang sah untuk menyatu dengan lalu lintas bisnis sehari-hari. Karakteristik utama APT terdiri dari tiga elemen: Advanced (menggunakan malware kustom dan zero-day), Persistent (beroperasi dengan metodologi “low-and-slow” selama berbulan-bulan), dan Threat (didukung oleh struktur organisasi berdana besar, seringkali negara-bangsa).
Lifecycle serangan APT mengikuti pola yang terstruktur: Reconnaissance (pengumpulan OSINT dan pemetaan infrastruktur target), Initial Infiltration (melalui spear-phishing atau supply chain compromise), Establishing Footholds (deploy backdoor dan rootkit), Lateral Movement (memanen kredensial dan memetakan Active Directory), hingga Data Exfiltration atau Disruption. Setiap tahap dirancang untuk meminimalkan breakout time — jendela kritis antara kompromi awal dan pergerakan lateral penyerang.
Alat deteksi tradisional secara konsisten gagal melawan aktor tingkat lanjut karena beberapa alasan: Signature-based defenses hanya mengenali hash file yang dikenal, tetapi APT menulis kode kustom dan menggunakan LotL tactics. Dwell time yang lama berarti serangan bisa terjadi sebelum tim SIEM atau EDR menghasilkan alert. Alert fatigue dan data silos membuat SOC kesulitan membedakan anomali jaringan rutin dari aktifitas APT. Sementara itu, fragmentasi vendor taxonomy mempersulit kolaborasi lintas tim.
DETAIL TEKNIS
Untuk mengalahkan APT modern, organisasi harus beralih dari monitoring internal reaktif ke threat intelligence proaktif, melacak infrastruktur adversary di web terbuka, deep web, dan dark web sebelum serangan diluncurkan. Pemetaan observasi ke MITRE ATT&CK framework memungkinkan tim keamanan menguraikan Tactics, Techniques, dan Procedures (TTP) spesifik dari adversary, memungkinkan mereka memblokir langkah penyerang selanjutnya.
Breakout time — jendela kritis antara kompromi awal satu mesin dan kemampuan penyerang untuk bergerak lateral ke sistem lain — adalah metrik utama. Untuk grup APT elite, jendela ini bisa sangat sempit. Melacak infrastruktur threat actor secara real-time memungkinkan tim keamanan mengenali vektor entry awal secara langsung dan menghentikan aktor sebelum mereka dapat meningkatkan hak akses atau bergerak melampaui endpoint asli.
Intelligence Graph yang terpusat dapat secara otomatis memetakan, menghubungkan, dan memperbarui relasi antara miliaran entitas — termasuk IP, domain, strain malware, dan grup ancaman — di seluruh dataset global secara real-time, memberikan pertahanan visibilitas yang belum pernah ada sebelumnya terhadap infrastruktur adversary. Integrasi dengan Third-Party Risk memungkinkan organisasi memperoleh visibilitas real-time ke postur keamanan vendor, kontraktor, dan partner mereka.
DAMPAK TERHADAP INDONESIA
Indonesia telah menjadi target yang semakin menarik bagi grup APT, terutama yang didukung negara. BSSN mencatat peningkatan signifikan serangan terhadap infrastruktur pemerintah Indonesia dalam beberapa tahun terakhir. Kasus-kasus seperti serangan terhadap website BSSN sendiri, Kementerian Kesehatan, dan beberapa BUMN menunjukkan bahwa Indonesia menjadi medan pertempuran siber yang aktif.
SKKNI Siber yang diterbitkan oleh BSSN memberikan kerangka kerja bagi organisasi Indonesia untuk membangun kemampuan pertahanan siber, termasuk penetapan SOC (Security Operations Center) dan penggunaan threat intelligence. Namun, realitanya banyak organisasi Indonesia masih bergantung pada pertahanan reaktif — hanya merespons setelah serangan terjadi, bukan memantau dan memblokir sebelum serangan terjadi. Hal ini terutama terlihat pada organisasi yang belum mengadopsi SIEM dengan konfigurasi yang memadai atau belum memiliki tim CTI (Cyber Threat Intelligence) yang aktif.
Adopsi teknologi cloud yang semakin luas di Indonesia, termasuk penggunaan layanan dari vendor asing, meningkatkan attack surface yang harus dipantau. Organisasi Indonesia perlu memahami bahwa pertahanan perimeter konvensional tidak lagi cukup. Visibilitas terhadap ekosistem eksternal — termasuk dark web, forum underground, dan infrastruktur C2 yang baru didaftarkan — adalah kebutuhan mendesak, bukan kemewahan.
REKOMENDASI MITIGASI
Implementasikan threat intelligence platform yang mampu memantau infrastruktur adversary secara proaktif. Fokus pada pemantauan newly registered domains, alokasi IP berbahaya, dan diskusi di forum ilegal untuk mengidentifikasi fase setup threat actor. Gunakan mapping ke MITRE ATT&CK framework untuk memahami dan memblokir TTP spesifik yang digunakan oleh APT groups yang menargetkan sektor Anda.
Kurangi breakout time dengan memastikan deteksi terjadi segera setelah initial compromise. Implementasikan EDR dengan deteksi behavioral yang kuat, konfigurasi SIEM dengan correlation rules yang mempertimbangkan konteks external threat intelligence, dan pastikan tim SOC memiliki playbook untuk respons terhadap alert yang dikaitkan dengan threat intelligence. Latih tim secara berkala menggunakan tabletop exercises dan purple team exercises.
Bangun visibilitas terhadap supply chain dan third-party risk. Evaluasi postur keamanan vendor dan partner secara berkala. Implementasikan network segmentation untuk membatasi dampak potensial kompromi. Pertimbangkan penggunaan managed detection and response (MDR) atau managed threat intelligence services jika sumber daya internal terbatas. Yang terpenting, bangun budaya security awareness di seluruh organisasi — karena setiap karyawan adalah potensi vektor serangan.
Analisa Retasan
Pandangan Recorded Future ini menyoroti pergeseran fundamental yang sudah lama diperlukan dalam keamanan siber: dari pertahanan reaktif yang berfokus pada perimeter ke pendekatan proaktif yang berfokus pada visibilitas eksternal. Paradigma “castle and moat” — di mana pertahanan difokuskan pada pertahanan perimeter — tidak relevan lagi ketika lawan seperti APT groups secara aktif beroperasi di dalam jaringan selama berbulan-bulan sebelum terdeteksi. Konsep breakout time sebagai metrik utama sangat tepat karena memaksa organisasi untuk fokus pada satu hal yang paling dapat dikontrol: seberapa cepat mereka dapat mendeteksi dan merespons setelah kompromi awal terjadi. Dalam konteks di mana APT groups seperti Lazarus Group dan APT41 telah terdokumentasi menggunakan LotL tactics untuk tetap tersembunyi, kemampuan untuk membedakan aktivitas admin yang sah dari aktivitas malicious yang menyamar menjadi keterampilan yang sangat kritis.
Poin tentang fragmentasi vendor taxonomy perlu mendapat perhatian serius. Ketika satu grup ancaman disebut dengan pola cuaca oleh satu vendor, hewan oleh vendor lain, atau angka acak oleh vendor ketiga, kolaborasi lintas organisasi menjadi sangat sulit. Ini bukan hanya masalah nomenclature — ini adalah masalah operational. Ketika tim SOC di Indonesia menerima intel dari mitra internasional tentang ancaman yang disebut “Volt Typhoon” oleh Microsoft tetapi “Bronze Butler” oleh Trend Micro, mereka perlu waktu dan upaya ekstra untuk memastikan bahwa mereka berbicara tentang aktor yang sama. Standarisasi melalui MITRE ATT&CK dan kerangka referensi yang konsisten adalah langkah penting yang harus diadopsi oleh organisasi Indonesia.
Bagi lanskap keamanan siber Indonesia, pesan utamanya adalah: pertahanan yang hanya berfokus pada internal tidak akan pernah cukup untuk mengalahkan APT. BSSN, sebagai lembaga yang bertanggung jawab atas keamanan siber nasional, perlu memperkuat kapabilitas threat intelligence nasional, termasuk membangun platform sharing threat intelligence yang menghubungkan SOC pemerintah, BUMN, dan sektor kritis lainnya. Investasi dalam human analyst yang mampu melakukan threat hunting aktif — bukan sekadar mengoperasikan SIEM — adalah kebutuhan mendesak. Tanpa kemampuan ini, organisasi Indonesia akan selalu berada satu langkah di belakang APT groups yang beroperasi dengan sumber daya dan kesabaran yang jauh lebih besar.
🔗 Sumber: Recorded Future — Tracking Advanced Persistent Threat Groups


