Pendahuluan

Serangan siber semakin hari semakin kompleks. Tidak cukup hanya mengetahui bahwa sebuah sistem diserang, tetapi juga bagaimana serangan itu terjadi, siapa pelakunya, dan apa tujuannya. Untuk membantu analis keamanan memahami hal tersebut, dibutuhkan kerangka atau framework analisis serangan.

Dua framework yang paling sering digunakan adalah MITRE ATT&CK dan Diamond Model. Keduanya memiliki pendekatan yang berbeda, namun sama-sama penting dalam dunia keamanan siber.

Mengapa Framework Analisis Serangan Diperlukan?

Tanpa framework, analisis serangan akan:

  • Tidak terstruktur

  • Sulit dibandingkan antar kasus

  • Bergantung pada interpretasi masing-masing analis

Framework membantu:

  • Menyamakan bahasa antar tim

  • Memudahkan dokumentasi insiden

  • Mendukung threat intelligence dan respons insiden

Dengan framework, analisis menjadi lebih sistematis dan mudah dipahami.

Apa Itu MITRE ATT&CK?

MITRE ATT&CK adalah framework yang mendokumentasikan cara-cara penyerang melakukan serangan berdasarkan teknik yang digunakan di dunia nyata.

ATT&CK berfokus pada:

  • Perilaku penyerang

  • Teknik yang digunakan

  • Tujuan di setiap tahap serangan

Framework ini sangat populer di SOC dan tim keamanan.

Struktur MITRE ATT&CK

MITRE ATT&CK disusun dalam beberapa komponen utama:

  • Tactics: tujuan penyerang (misalnya initial access, privilege escalation)

  • Techniques: cara yang digunakan untuk mencapai tujuan

  • Sub-techniques: detail teknik yang lebih spesifik

ATT&CK dibagi menjadi beberapa matriks seperti:

  • Enterprise

  • Mobile

  • ICS (Industrial Control System)

Framework ini cocok untuk memetakan serangan secara teknis.

Apa Itu Diamond Model?

Diamond Model of Intrusion Analysis adalah framework yang membantu analis memahami hubungan antar elemen dalam sebuah serangan.

Diamond Model tidak fokus pada teknik, tetapi pada siapa dan apa yang terlibat dalam serangan.

Framework ini sering digunakan dalam investigasi dan threat intelligence.

Struktur Diamond Model

Diamond Model memiliki empat elemen utama:

  1. Adversary – pelaku atau aktor serangan

  2. Capability – kemampuan atau alat yang digunakan

  3. Infrastructure – server, domain, atau jaringan pendukung

  4. Victim – target serangan

Keempat elemen ini saling terhubung dan membentuk satu kesatuan analisis.

Perbedaan Pendekatan MITRE ATT&CK dan Diamond Model

Perbedaan utama keduanya terletak pada sudut pandang:

  • MITRE ATT&CK fokus pada bagaimana serangan dilakukan

  • Diamond Model fokus pada siapa, apa, dan hubungan dalam serangan

ATT&CK lebih teknis dan detail, sedangkan Diamond Model lebih analitis dan strategis.

Kelebihan dan Keterbatasan

Kelebihan MITRE ATT&CK:

  • Sangat detail

  • Mudah dipetakan ke kontrol keamanan

  • Cocok untuk threat hunting

Keterbatasan MITRE ATT&CK:

  • Kurang fokus pada aktor

  • Bisa terasa kompleks bagi pemula

Kelebihan Diamond Model:

  • Membantu memahami pola serangan

  • Cocok untuk analisis kampanye

  • Fokus pada hubungan antar elemen

Keterbatasan Diamond Model:

  • Tidak detail secara teknis

  • Kurang cocok untuk deteksi langsung

Kapan Menggunakan MITRE ATT&CK?

MITRE ATT&CK cocok digunakan saat:

  • Melakukan threat hunting

  • Menganalisis log dan alert SOC

  • Mengevaluasi kontrol keamanan

  • Memetakan teknik serangan

Framework ini membantu tim memahami teknik yang digunakan penyerang.

Kapan Menggunakan Diamond Model?

Diamond Model lebih tepat digunakan untuk:

  • Investigasi insiden

  • Analisis aktor dan kampanye serangan

  • Threat intelligence

  • Pelaporan strategis

Framework ini membantu menjawab pertanyaan “siapa menyerang siapa dan dengan apa”.

Menggunakan Keduanya Secara Bersamaan

MITRE ATT&CK dan Diamond Model bukan untuk dibandingkan siapa yang lebih baik, tetapi untuk digunakan bersama.

Contoh:

  • ATT&CK untuk memetakan teknik serangan

  • Diamond Model untuk memahami aktor dan infrastrukturnya

Dengan kombinasi keduanya, analisis menjadi lebih lengkap.

Kesimpulan

MITRE ATT&CK dan Diamond Model adalah dua framework yang saling melengkapi. ATT&CK membantu memahami teknik dan tahapan serangan, sementara Diamond Model membantu memahami aktor dan relasi di balik serangan.

Memilih framework yang tepat tergantung pada tujuan analisis. Dalam banyak kasus, menggunakan keduanya secara bersamaan justru memberikan hasil terbaik.

Related Posts: