/data/photo/2025/08/13/689c5cc3d1aab.jpg)
/data/photo/2026/04/15/69def708301c2.jpg)
/data/photo/2026/04/04/69d0f87df37fd.jpg)
![[QUIZ] Idolamu di Upin Ipin Bisa Menentukan Career Path yang Cocok untukmu](https://image.idntimes.com/post/20260219/upload_dda55f3afb4c689a82a3ce23e66a8e05_d55d8904-977f-468f-8e13-b9bed74694f6.jpg)
/data/photo/2022/02/18/620f4f71b287e.jpg)
Mengapa Intelijen Ancaman Jadi Kunci Prioritas dan Validasi CTEM di 2026
- Siklus CTEM: Lima Fase dalam Satu Lingkaran Berkelanjutan
- Fondasi Awal: Scoping dan Discovery
- Prioritization: Tempat Intelijen Ancaman Berperan
- Priority Intelligence Requirements (PIRs) di OpenCTI
- Validasi: Membuktikan Kontrol Anda Efektif Terhadap Ancaman Nyata
- Validasi Berbasis Intelijen dengan OpenCTI dan OpenAEV
- Mobilisasi: Menutup Siklus dengan Tindakan
- CTEM sebagai Fondasi Pertahanan Berbasis Intelijen
- Analisis Redaksi
Continuous Threat Exposure Management (CTEM) kini bukan sekadar istilah populer, tetapi telah menjadi kerangka kerja penting dalam keamanan siber. Menurut prediksi Gartner, organisasi yang memprioritaskan investasi CTEM akan mengalami dua pertiga lebih sedikit pelanggaran pada tahun 2026. Namun, kenyataannya di tahun 2026, tim Security Operations Center (SOC) masih menghadapi dilema klasik: terlalu banyak data paparan yang tidak dapat mereka tindaklanjuti dan tidak ada metode yang andal untuk menentukan apa yang benar-benar penting.
"96% tim keamanan mengalami kesulitan memvalidasi apakah risiko keamanan mereka dapat dieksploitasi, sementara dua dari tiga tim menyatakan tidak memiliki pandangan terpadu tentang paparan risiko siber mereka." – Survei pasar pihak ketiga yang dipesan oleh Filigran
Hal ini jelas menunjukkan bahwa untuk mendapatkan manfaat nyata dari CTEM, organisasi perlu menggunakan intelijen ancaman siber secara lebih efektif. Bukan hanya soal manajemen aset dan kerentanan yang lebih baik atau bermitra dengan satu penyedia CTI saja, tetapi kemampuan untuk menyatukan berbagai sinyal menjadi gambaran lengkap tentang lanskap ancaman. Artikel ini akan membahas dua fase CTEM yang paling krusial dan dapat diperbaiki: Prioritas dan Validasi.
Siklus CTEM: Lima Fase dalam Satu Lingkaran Berkelanjutan
CTEM adalah proses lima fase yang didefinisikan oleh Gartner untuk menilai secara konsisten aksesibilitas, paparan, dan exploitability aset digital dan fisik organisasi. Berikut ringkasannya:
- Scoping: Menentukan aset mana yang penting bagi bisnis dan termasuk dalam cakupan program CTEM.
- Discovery: Membentuk gambaran aset yang terekspos terhadap potensi serangan.
- Prioritization: Memilah informasi agar fokus pada yang harus diuji, divalidasi, dan diperbaiki terlebih dahulu.
- Validation: Membuktikan apakah kontrol keamanan dapat menghentikan serangan nyata.
- Mobilization: Mengubah temuan menjadi tindakan oleh tim keamanan dan TI.
Fase-fase ini bukanlah proses linear melainkan lingkaran berkelanjutan yang saling bergantung, dan keseluruhan siklus bergantung pada keberadaan intelijen ancaman yang tersusun dan terstruktur.
Fondasi Awal: Scoping dan Discovery
Banyak program CTEM gagal di fase awal karena cakupan yang terlalu luas (semua dianggap kritis) atau terlalu sempit (hanya aset perimeter). Scoping efektif harus menyelaraskan proses bisnis, aset, dan data yang paling penting serta mempertimbangkan siapa pelaku ancaman yang relevan.
Misalnya, perusahaan jasa keuangan dan penyedia layanan kesehatan memiliki lanskap ancaman yang sangat berbeda, sehingga program CTEM mereka harus disesuaikan.
Setelah itu, discovery melakukan inventarisasi aset yang terekspos, konfigurasi yang salah, kerentanan, dan jalur serangan potensial. Di sinilah intelijen ancaman memberikan nilai tambah signifikan.
Misalnya, mengetahui bahwa suatu CVE sedang aktif dieksploitasi oleh kelompok ransomware yang menargetkan sektor Anda akan mengubah prioritas penanganannya di fase berikutnya.
Prioritization: Tempat Intelijen Ancaman Berperan
Fase prioritas adalah kunci nilai CTEM. Rata-rata perusahaan memiliki puluhan ribu kerentanan terbuka. Di tahun 2024 saja, lebih dari 40.000 CVE baru diumumkan. Tidak mungkin semua bisa diperbaiki sekaligus, yang penting adalah menentukan apa yang benar-benar berisiko berdasarkan siapa yang menargetkan saat ini.
Namun data menunjukkan sebagian besar tim belum mampu melakukannya dengan baik. Sekitar 42% waktu SOC terbuang untuk menyelidiki risiko yang akhirnya dianggap prioritas rendah atau tidak dapat dieksploitasi. Sementara itu, 96% tim percaya bahwa prioritisasi meningkatkan efektivitas deteksi dan respons ancaman.
Ini menunjukkan adanya kesenjangan besar: prioritas diakui penting, tetapi hampir separuh kapasitas operasional terbuang pada risiko yang tidak relevan.
Prioritisasi yang efektif menggabungkan tiga faktor utama:
- Kritisitas aset: Apa yang penting bagi bisnis?
- Exploitability: Apakah kerentanan ini realistis untuk diserang? Apa Taktik, Teknik, dan Prosedur (TTP) yang digunakan penyerang?
- Relevansi pelaku ancaman: Apakah aktor ancaman di sektor kita benar-benar menggunakan TTP ini?
Untuk itu diperlukan intelijen yang terstruktur dan dikurasi, bukan hanya skor CVSS semata. Sebagai contoh, CVSS 9.8 tanpa eksploitasi aktif adalah masalah berbeda dari CVSS 7 yang sering muncul dalam kampanye ancaman terbaru.
Pemetaan aset terhadap kampanye aktor ancaman, pencocokan CVE dengan data eksploitasi aktif, dan pemahaman teknik ATT&CK yang muncul di insiden terbaru adalah kunci.
Priority Intelligence Requirements (PIRs) di OpenCTI
Salah satu cara praktis mengoperasionalkan ini adalah dengan Priority Intelligence Requirements (PIRs): pertanyaan intelijen terstruktur yang organisasi butuhkan agar selaras dengan risiko bisnis dan lanskap ancaman yang telah ditentukan di fase scoping.
Misalnya, melalui platform OpenCTI, tim SOC atau CTI dapat mendefinisikan PIR secara formal dan terus mengukur apakah intelijen yang masuk menjawab kebutuhan tersebut. Ini menghindarkan tim dari banjir data yang tidak terarah.
Contoh PIR: "Kelompok ransomware mana yang menargetkan organisasi manufaktur di Eropa, dan teknik akses awal apa yang mereka gunakan?" OpenCTI akan mengolah intelijen dari berbagai sumber untuk menampilkan aktor ancaman, teknik mereka, dan kaitannya dengan CVE dan aset yang terpengaruh.
Dengan ini, prioritas bukan lagi tugas mingguan yang membosankan, melainkan pandangan dinamis berbasis bukti dan konteks kaya.
Validasi: Membuktikan Kontrol Anda Efektif Terhadap Ancaman Nyata
Setelah prioritas jelas, pertanyaan berikutnya adalah: jika penyerang mencoba mengeksploitasi, apakah kontrol keamanan kita dapat mendeteksi dan menghentikannya?
Fakta menunjukkan kurang dari 40% organisasi menerapkan validasi berkelanjutan yang dipandu intelijen, dan 14,5% hanya menggunakan intelijen secara selektif atau tidak sama sekali dalam validasi.
Inilah bottleneck utama antara mengetahui risiko dan mengetahui risiko itu benar-benar berbahaya. Solusinya juga sama: integrasi intelijen ancaman dalam simulasi serangan dan pengujian kontrol keamanan.
Kontrol yang efektif kemarin belum tentu efektif hari ini karena perubahan konfigurasi, blind spot pada aturan deteksi, atau evolusi teknik penyerang. Validasi harus menjadi disiplin operasional rutin, bukan pengujian tahunan atau simulasi acak.
Validasi yang bermakna harus mencerminkan teknik yang dipakai aktor ancaman yang menargetkan organisasi saat ini, bukan teknik acak.
Validasi Berbasis Intelijen dengan OpenCTI dan OpenAEV
Biasanya tim intelijen ancaman dan tim pengujian keamanan terpisah, tetapi CTEM mengintegrasikan keduanya. Setelah ancaman diprioritaskan, pengujian bisa segera dijalankan untuk mengetahui apakah kontrol mampu menghalau serangan tersebut.
Filigran menghubungkan OpenCTI dan OpenAEV dalam workflow berikut:
- Analisis ancaman dilakukan di OpenCTI, termasuk pemetaan teknik ATT&CK dan indikator terkait.
- Konten ancaman tersebut dikirim ke OpenAEV untuk membuat skenario simulasi serangan yang realistis dan terfokus.
- OpenAEV menjalankan simulasi di lingkungan produksi atau terkendali, mengukur efektivitas EDR, SIEM, dan firewall.
Hasilnya konkret: "Kami meniru teknik akses awal yang dipakai aktor X dengan payload spesifik. EDR kami gagal mendeteksi, berikut aturan deteksi yang perlu diperbaiki. Setelah perbaikan, sistem berhasil memblokir dan memberi alert dalam delapan menit."
Ini membedakan CTEM matang dari sekadar pengelolaan kerentanan mahal tanpa hasil nyata.
Mobilisasi: Menutup Siklus dengan Tindakan
Semua hasil di atas hanya bernilai jika diikuti tindakan cepat dan tepat. Mobilisasi berarti menyampaikan informasi yang tepat kepada tim yang tepat dengan kecepatan yang sesuai, disertai panduan remediasi yang terstruktur dan tanggung jawab yang jelas.
Intelijen juga memandu prioritas remediasi: perbaikan harus diurutkan berdasarkan relevansi aktor ancaman terkini, bukan hanya tingkat keparahan teknis. Kerentanan yang sedang aktif dieksploitasi harus diprioritaskan di atas yang sudah lama tidak disentuh.
CTEM sebagai Fondasi Pertahanan Berbasis Intelijen
Jika dijalankan dengan baik, CTEM memanfaatkan intelijen ancaman proaktif untuk mendeteksi tanda-tanda awal ancaman dan kerentanan, memperkuat pengambilan keputusan strategis, dan mengurangi risiko siber secara keseluruhan.
Setiap keputusan prioritas terhubung dengan perilaku aktor ancaman nyata. Setiap validasi mencerminkan teknik serangan dunia nyata. Setiap tindakan remediasi diurutkan berdasarkan ancaman yang paling relevan.
Ini adalah esensi dari pertahanan berbasis intelijen: keamanan yang selalu dipandu oleh intelijen dalam menetapkan prioritas, pengujian, dan investasi.
Kesenjangan antara "kami tahu ancaman ini" dan "kami sudah membuktikan bisa menghentikannya" adalah titik lemah sebagian besar program keamanan.
Menutup kesenjangan itu secara berkelanjutan dengan bukti berbasis intelijen adalah apa yang CTEM seharusnya capai.
Untuk informasi lebih lanjut dan uji coba platform XTM, kunjungi situs resmi Filigran.
Analisis Redaksi
Menurut pandangan redaksi, tantangan utama CTEM saat ini bukan hanya soal pengumpulan data kerentanan, tetapi bagaimana mengekstrak nilai dari data tersebut melalui intelijen ancaman yang terstruktur dan terkontekstualisasi. Mengingat 42% waktu SOC terbuang pada risiko yang tidak relevan, ada kebutuhan mendesak untuk mengintegrasikan intelijen ancaman secara mendalam dalam alur kerja keamanan, terutama di fase prioritas dan validasi.
Lebih jauh, validasi berbasis simulasi serangan yang diselaraskan dengan intelijen ancaman nyata adalah game-changer untuk mengatasi blind spot dan adaptasi teknik penyerang yang terus berubah. Ini menandakan pergeseran paradigma dari reaktif menjadi proaktif dan berbasis bukti nyata.
Ke depan, organisasi yang ingin tetap tangguh harus berinvestasi dalam platform CTEM yang mengintegrasikan intelijen ancaman dan simulasi serangan dalam satu ekosistem, agar respons ancaman menjadi lebih cepat, tepat sasaran, dan terukur. Mengabaikan aspek ini dapat membuat program CTEM hanya menjadi latihan formalitas tanpa dampak nyata.
Dengan tren meningkatnya kompleksitas ancaman siber dan volume data yang terus membengkak, kemampuan untuk menutup kesenjangan antara mengetahui risiko dan membuktikan kontrol efektif akan menjadi kunci keunggulan kompetitif di bidang keamanan siber.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
