Dalam dunia cyber security kita mengenal Blue Team sebagai kelompok pembela dalam lingkup penetration testing. Lalu, sebenarnya apa itu Blue Team? dan apa toolkit yang digunakan dalam pengerjaannya? Blue Team atau Tim Biru adalah sekumpulan individu yang mempunyai tugas utama untuk melindungi, menjaga, dan mengoptimalkan sistem keamanan dari resiko cyber attack yang terjadi di dunia maya. Blue Team biasa nya terdiri dari pakar, operator, dan analisis keamanan yang berkolaborasi mengemban tanggung jawab sebagai team keamanan dari sistem suatu organisasi. Blue Team sendiri memiliki peran yang sentral dalam strategi sistem keamanan suatu organisasi, dengan adanya Blue Team ini dapat mencegah adanya kerugian dari dampak cyber attack di dunia maya. Dalam perannya Blue Team memiliki toolkit yang membantu untuk menjaga keamanan suatu organisasi.
Network Analysis
Salah satu metode yang digunakan Blue Team dalam mengantisipasi cyber attack adalah dengan menganalisis suatu jaringan. Sebuah metode yang berfokus pada analisis arus jaringan yang ada di dunia maya dengan tujuan untuk mendapatkan informasi, setelah mendapatkan informasi dari jaringan, Blue Team akan melakukan strategi untuk melindungi dan mempertahankan sistem keamanan suatu organisasi.
Wireshark
Wireshark adalah sebuah aplikasi yang dapat digunakan untuk menganalisis jaringan. Melalui aplikasi Wireshark, pengguna dapat membaca dan menganalisis arus jaringan yang terjadi ada lingkup cyberspace. Kelebihan aplikasi Wireshark adalah bisa digunakan secara bebas dan gratis.
Cara kerja Wireshark yaitu:
- Wireshark akan mulai melakukan perekaman data yang terjadi dalam arus jaringan
- Lalu, Wireshark otomatis menganalisis data yang telah direkam
- Selanjutnya, Wireshark akan menampilkan informasi lengkap dari data yang telah direkam melalui arus jaringan, seperti data muatan paket, alamat dan sumber pengirim paket, protokol yang dipakai, dan masih banyak lagi.
- Setelah tampilan informasi yang berhasil dianalisis oleh Wireshark ditampilkan, pengguna dapat melakukan tindakan lanjutan, seperti identifikasi masalah, memecahkan masalah, dan evaluasi sistem jaringan.
Arkime
Arkime adalah aplikasi yang memiliki sistem Full Packet Capture (FCP) atau artinya pengambilan paket lengkap setiap bit yang melintas di arus jaringan tertentu. Pencatatan yang dilakukan Arkime digunakan Blue Team untuk menganalisis setiap aktivitas arus jaringan secara terperinci.
Arkime digunakan pada multiple clustered system yang menyediakan kemampuan untuk menghitung dan menangani gigabit per detik pada setiap traffic yang ada dalam arus jaringan. Arkime dapat menyimpan sekaligus mengekspor semua data secara lengkap dalam format Packet Capture (PCAP) dan Application Programming Interface (API) yang ada pada aplikasi Arkime memakai format tipe JavaScript Object Notation (JSON)
3 komponen utama yang ada pada aplikasi Arkime dalam menunjang kinerja suatu sistem adalah Traffic Capture System, Web Interface, dan penyimpanan data berformat elasticsearch.
Incident Management (IM)
Manajemen Insiden adalah konsep untuk mendeteksi dan menyelidiki masalah yang terjadi di dalam sistem jaringan, tujuan utama dari manajemen insiden adalah menyelesaikan gangguan atau masalah yang diakibatkan oleh cyber attack agar suatu sistem dapat berfungsi secara normal dan mampu meminimalisir dampak yang timbul dari serangan tersebut.
TheHive
Dalam menyelidiki insiden yang ada pada jaringan, aplikasi TheHive mampu untuk membuat perencanaan dan deteksi dini masalah lalu merespon dengan mendokumentasikan masalah yang terjadi terkait dengan jaringan. TheHive termasuk dalam platform open source dan gratis dalam penggunaannya.
MISP
MISP adalah forum berbagi untuk menangani informasi malware dan ancaman terkait cyber attack. Platform ini adalah sebuah forum terbuka untuk mendiskusikan terkait cyber attack yang akurat, open source, dan fleksibel bagi pengguna. Sebuah alat yang dapat digunakan oleh Blue Team untuk mengumpulkan, menyimpan, berbagi, dan menganalisis lebih lanjut dari respon yang berpotensi menjadi ancaman di dunia maya.
MISP akan mengumpulkan beragam informasi ancaman dari berbagai sumber, untuk mendapatkan gambaran yang lebih kompleks terkait sebuah serangan yang dihadapi oleh jaringan dalam suatu sistem organisasi. Melalui analisis yang dihasilkan MISP, Blue Team dapat membuat perencanaan pertahanan keamanan lebih lanjut. Kelebihan MISP adalah aktivitas respon yang lebih dinamis dalam forum yang menghasilkan informasi lebih cepat untuk menangani ancaman cyber attack.
Endpoint Detection and Response (EDR)
Nama lain dari Endpoint Detection and Response (EDR) adalah Endpoint Threat Detection and Response (ETDR) yaitu, konsep keamanan endpoint yang terintegrasi dengan menggabungkan pemantauan berkelanjutan secara real-time dan kolektivitas data endpoint yang mempunyai kemampuan respon dan menganalisa secara otomatis. Salah satu aplikasi yang dapat digunakan pada konsep EDR adalah Cortex XDR.
Cortex XDR
Cortex XDR adalah platform deteksi, respon, dan analisis yang dikembangkan oleh perusahaan Palo Alto Networks. Dengan gabungan ancaman jaringan, endpoint, dan email ke dalam satu database. Cortex EDR akan otomatis mendeteksi dan merespon cyber attack menggunakan kecerdasan buatan (AI).
Blue Team dapat menggunakan berbagai macam tools dan teknik dalam tugasnya untuk menjaga sistem keamanan, dengan evaluasi efektifitas dan deteksi dini potensi ancaman cyber attack. Peranan Blue Team sangat penting dalam suatu organisasi, Blue Team adalah garda terdepan dalam sistem keamanan dunia maya.
