Ketika sebuah serangan siber berhasil lolos dari firewall, IDS, dan antimalware, siapa yang akan menemukannya? Di sinilah threat hunting berperan. Tidak seperti monitoring keamanan biasa yang menunggu alert muncul, threat hunting adalah pendekatan proaktif mencari ancaman yang sudah berada di dalam jaringan sebelum terlambat.
Menurut Rudi Hartono, Security Engineer dengan pengalaman 8 tahun di sektor perbankan Indonesia, “Banyak organisasi mengira mereka aman karena punya SOC, padahal serangan modern bisa diam di jaringan selama berbulan-bulan tanpa terdeteksi.” Dalam praktiknya, Rudi pernah menemukan aktivitas mencurigakan di server internal sebuah bank yang sudah berlangsung 6 bulan tanpa terdeteksi oleh sistem otomatis. “Threat hunting adalah bedanya antara ketahuan setelah data bocor dengan menemukan musuh sebelum mereka berhasil,” tegasnya.
Apa Itu Threat Hunting?
Threat hunting adalah proses proaktif mencari ancaman keamanan yang sudah berhasil menyusup ke dalam jaringan namun belum terdeteksi oleh sistem otomatis. Konsepnya sederhana: tim keamanan tidak menunggu alert dari SIEM atau IDS, melainkan secara aktif mencari indikasi kompromi (IoC) dan pola serangan yang tersembunyi.
Pendekatan ini berakar pada asumsi bahwa tidak ada sistem keamanan yang sempurna. Meskipun firewall, antivirus, dan EDR sudah terpasang, selalu ada celah yang bisa dimanfaatkan penyerang. Threat hunter bertugas menemukan lubang jarum di tumpukan jerami sebelum menjadi kebakaran besar.
Konsep ini pertama kali dipopulerkan oleh komunitas keamanan siber sekitar tahun 2015 sebagai respons terhadap meningkatnya serangan advanced persistent threat (APT). Serangan APT dikenal karena kemampuannya bersembunyi di jaringan korban selama berbulan-bulan hingga bertahun-tahun. Deteksi berbasis signature tidak cukup untuk menghadapi ancaman semacam ini, sehingga dibutuhkan pendekatan manusia yang bisa berpikir lateral dan menghubungkan titik-titik yang tersebar.
Kapan Threat Hunting Dilakukan?
Threat hunting bisa dilakukan secara rutin sebagai bagian dari operasi keamanan harian, atau secara insidental setelah ada indikasi pelanggaran. Beberapa pemicu umum: lonjakan traffic aneh di jam tidak biasa, komunikasi ke IP mencurigakan, atau setelah berita tentang kerentanan zero-day yang baru terungkap. Baca juga: Bagaimana SOC 24/7 Bekerja? Di Balik Layar Ruang Monitoring Keamanan untuk memahami konteks operasi keamanan yang lebih luas.
Apa Perbedaan Threat Hunting dengan SOC Monitoring Biasa?
Banyak yang mengira threat hunting sama dengan aktivitas SOC sehari-hari. Padahal, keduanya punya pendekatan yang sangat berbeda. Berikut perbandingan utamanya:
- SOC Monitoring bersifat reaktif – merespons alert yang muncul dari SIEM, IDS, atau tool monitoring lainnya. Tim SOC menunggu notifikasi sebelum bertindak.
- Threat Hunting bersifat proaktif – hunter mencari ancaman berdasarkan hipotesis, bukan menunggu alert. Mereka berburu sebelum alarm berbunyi.
- SOC fokus pada known threats yang bisa dideteksi oleh signature dan rule-based detection. Threat hunting mencari unknown threats yang tidak tertangkap aturan otomatis.
- SOC bekerja dengan volume tinggi – ratusan atau ribuan alert per hari. Threat hunting bekerja dengan analisis mendalam – beberapa kasus per minggu.
Bayangkan SOC seperti satpam yang berjaga di pos dan merespons ketika ada laporan mencurigakan. Threat hunter adalah detektif yang berkeliling mencari jejak halus yang mungkin terlewat oleh satpam. Keduanya penting, tapi fungsinya berbeda. Baca juga: Apa Itu SIEM? Fungsi dan Cara Kerja Security Information & Event Management untuk memahami tool utama yang digunakan SOC.
Bagaimana Proses Threat Hunting Berjalan?
Threat hunting bukan sekadar membuka log dan mencari anomali secara acak. Prosesnya terstruktur dan biasanya mengikuti tiga tahap utama:
1. Membuat Hipotesis
Hunter memulai dengan pertanyaan spesifik: “Apakah ada komunikasi mencurigakan ke command-and-control server?” atau “Apakah ada user yang menjalankan PowerShell dengan parameter tidak biasa?” Hipotesis ini dibangun dari threat intelligence, pengalaman insiden sebelumnya, dan pemahaman tentang teknik serangan terbaru.
2. Investigasi Melalui Data
Hunter mengumpulkan dan menganalisis data dari berbagai sumber: log endpoint, network traffic, DNS queries, dan authentication logs. Tool seperti SIEM membantu mengkonsolidasi data ini, tapi interpretasi dan analisis tetap dilakukan oleh manusia yang memahami pola serangan.
3. Eskalasi dan Remediasi
Jika ancaman ditemukan, hunter akan mengeskalasi ke tim incident response untuk ditindaklanjuti. Temuan yang lebih ringan mungkin langsung diremediasi, sementara pola serangan baru akan didokumentasikan sebagai hunting lead untuk investigasi berikutnya.
Skill Apa yang Dibutuhkan untuk Menjadi Threat Hunter?
Menurut laporan SANS Institute, threat hunter yang efektif membutuhkan kombinasi skill teknis dan analitis yang tidak biasa. Berikut beberapa kompetensi kuncinya:
- Pemahaman jaringan mendalam – protokol TCP/IP, DNS, HTTP, dan analisis packet-level
- Penguasaan endpoint forensics – analisis registry Windows, log event, process tree
- Kemampuan scripting – Python atau PowerShell untuk otomatisasi analisis data
- Threat intelligence – memahami TTPs (Tactics, Techniques, Procedures) attacker dari framework seperti MITRE ATT&CK
- Data analysis – kemampuan query dan korelasi data dari volume log yang besar
- Mindset investigatif – rasa ingin tahu tinggi dan kemampuan berpikir seperti penyerang
Sari Wijaya, SOC Analyst Lead di sebuah perusahaan teknologi Indonesia, menekankan bahwa “skill paling penting untuk threat hunter bukan sekadar teknis, tapi kemampuan bertanya yang tepat. Hunter harus terus berpikir: di mana lagi penyerang bisa bersembunyi?” Dalam pengalamannya memimpin tim hunting, Sari menemukan bahwa hunter terbaik adalah mereka yang tidak pernah puas dengan jawaban pertama dan selalu menggali lebih dalam.
Apa Tools Threat Hunting yang Paling Sering Digunakan?
Threat hunter mengandalkan berbagai tools untuk mengumpulkan dan menganalisis data. Berikut beberapa yang paling esensial:
- SIEM Platform – Splunk, Elastic Stack, atau Microsoft Sentinel untuk agregasi dan korelasi log
- EDR Tools – CrowdStrike, SentinelOne, atau Microsoft Defender for Endpoint untuk data endpoint real-time
- Network Analysis – Zeek atau Suricata untuk analisis traffic jaringan
- Threat Intelligence Platform – MISP atau OpenCTI untuk enrichment IoC
- YARA Rules – untuk pattern matching pada file dan proses mencurigakan
Menariknya, banyak threat hunter profesional juga menggunakan tools open-source dan script custom yang mereka bangun sendiri. Fleksibilitas analisis lebih penting daripada fitur tool yang lengkap tapi kaku.
Penguasaan terhadap tools ini tidak harus sekaligus. Threat hunter pemula biasanya mulai dari penguasaan SIEM seperti Splunk atau Elastic Stack, lalu secara bertahap memperdalam EDR dan network analysis. Yang terpenting adalah pemahaman konsep di balik tool tersebut – karena teknologi akan terus berganti, tapi pola serangan dasar cenderung konsisten.
FAQ Seputar Threat Hunting
Apakah threat hunting hanya untuk perusahaan besar?
Tidak. Meskipun perusahaan besar biasanya punya tim dedicated, prinsip threat hunting bisa diterapkan di organisasi skala menengah dengan memanfaatkan tools open-source dan melatih tim SOC yang sudah ada untuk melakukan hunting secara berkala.
Berapa lama waktu yang dibutuhkan untuk belajar threat hunting?
Untuk seseorang yang sudah punya dasar SOC atau blue team, transisi ke threat hunting biasanya membutuhkan 6-12 bulan pembelajaran intensif. Fokus utama adalah menguasai threat intelligence, analisis data, dan framework MITRE ATT&CK.
Apa perbedaan threat hunting dan incident response?
Threat hunting mencari ancaman yang belum ditemukan, sementara incident response menangani insiden yang sudah terkonfirmasi. Threat hunting adalah langkah preventif, incident response adalah langkah kuratif. Keduanya saling melengkapi.
Bagaimana memulai karir threat hunting dari posisi SOC Analyst?
Jalur paling umum adalah mengembangkan skill analisis data dan threat intelligence sambil bekerja sebagai SOC Analyst. Manfaatkan akses ke SIEM untuk mempelajari pola log, dalami framework MITRE ATT&CK, dan latih kemampuan scripting untuk otomatisasi. Sertifikasi seperti SANS FOR508 atau eLearnSecurity THP bisa menjadi akselerator yang signifikan.
Kesimpulan
Threat hunting adalah evolusi berikutnya dari pendekatan keamanan siber. Di era di mana penyerang semakin canggih dan bisa bersembunyi selama berbulan-bulan, menunggu alert saja tidak lagi cukup. Organisasi perlu berinvestasi pada kemampuan proaktif ini – entah dengan membangun tim internal atau melatih personel SOC yang sudah ada.
Kunci sukses threat hunting bukan pada tool mahal, melainkan pada mindset investigatif dan kemauan untuk terus belajar. Seperti kata Rudi Hartono, “Threat hunter yang baik tidak pernah berhenti bertanya: apa yang terlewat hari ini?”