Threat Intelligence & Incident Response

Pelatihan ini dirancang untuk membekali peserta dengan pemahaman mendalam kepada peserta mengenai bagaimana ancaman siber berkembang di sektor perbankan serta bagaimana intelijen ancaman (Threat Intelligence) dapat digunakan untuk mendeteksi, menganalisis, dan memprediksi serangan sebelum mengakibatkan gangguan terhadap layanan kritikal. Peserta akan mempelajari alur penyusunan threat intelligence yang dapat ditindaklanjuti (actionable), metode analisis ancaman, pemetaan taktik penyerang, serta integrasi data intelijen dengan sistem deteksi bank seperti SIEM, SOAR, fraud monitoring, dan sistem keamanan lainnya.

Selain itu, pelatihan ini membekali peserta dengan kemampuan menyusun dan mengeksekusi prosedur Incident Response (IR) yang terstruktur, cepat, dan sesuai standar keamanan perbankan seperti ISO 27035, NIST SP 800-61, serta ketentuan regulator. Peserta akan dilatih menangani berbagai jenis insiden—mulai dari phishing, ransomware, insider threat, hingga kebocoran data—dengan pendekatan teknis dan koordinatif. Dengan metode studi kasus, simulasi insiden, dan penyusunan playbook, peserta mampu meningkatkan ketahanan siber bank secara menyeluruh.

OBJECTIVE

• Memahami landscape ancaman siber terhadap sektor perbankan dan sistem keuangan.
• Mampu menyusun siklus Threat Intelligence yang terukur dan dapat diintegrasikan dengan operasi keamanan bank.
• Menguasai teknik analisis ancaman, termasuk pemetaan taktik/teknik menggunakan MITRE ATT&CK.
• Memahami arsitektur serta peran SIEM, SOAR, IDS/IPS, dan log management dalam deteksi ancaman.
• Menyusun dan melaksanakan prosedur Incident Response sesuai standar industri dan regulasi perbankan.
• Mampu menilai tingkat keparahan insiden serta menentukan langkah mitigasi, eradikasi, dan recovery yang tepat.
• Menyusun playbook IR untuk berbagai kategori insiden yang relevan di bank.
• Menghasilkan rencana peningkatan keamanan operasional berbasis intelijen ancaman.

COURSE OUTLINE

A. Fundamental Threat Intelligence dalam Perbankan

• Perkembangan ancaman siber terhadap sistem pembayaran, mobile banking, internet banking, ATM, dan core banking.
• Terminologi TI: indikator kompromi (IOC), indikator serangan (IOA), TTP (Tactics, Techniques, Procedures).
• Klasifikasi ancaman: cybercriminal, hacktivist, APT, insider threat, dan supply chain attack.

B. Siklus Threat Intelligence yang Terstruktur

1. Direction (Perencanaan)
   • Menentukan intelligence requirement berdasarkan risiko bank dan critical assets.
   • Jenis intelijen: Strategic, Tactical, Operational, Technical.
2. Collection (Pengumpulan)
   • Sumber intelijen internal: log SIEM, endpoint telemetry, fraud monitoring.
   • Sumber eksternal: FS-ISAC, CERT, regulator, open-source intelligence (OSINT), dark web.
3. Processing & Analysis
   • Normalisasi dan korelasi data ancaman.
   • Analisis IOC/IOA dan pemetaan MITRE ATT&CK.
   • Threat attribution dan pembuatan threat scoring.
4. Dissemination & Feedback
   • Distribution ke tim SOC, IT Operation, Fraud, dan Manajemen Risiko.
   • Evaluasi efektivitas intelijen dan continuous improvement.

C. Teknologi Deteksi Ancaman di Lingkungan Perbankan

1. SIEM & Log Analytics
   • Arsitektur SIEM, rule creation, korelasi event high-risk perbankan.
   • Threat hunting berbasis log behaviour.
2. Endpoint Security / EDR
   • Analisis proses berbahaya, beaconing, malware behaviour.
3. Network Monitoring / IDS–IPS
   • Deteksi anomali jaringan, command & control traffic, lateral movement.
4. SOAR Automation
   • Automasi respons awal: blok IP, isolasi endpoint, pemberitahuan insiden.

D. Incident Response Perbankan (ISO 27035 & NIST SP 800-61)

1. Preparation
   • Membentuk tim IR, akses tools, kontak pihak internal dan eksternal, kesiapan dokumentasi.
2. Identification
   • Penentuan insiden vs event.
   • Penilaian dampak dan klasifikasi insiden sesuai kebijakan bank.
3. Containment
   • Isolasi sistem terdampak, pengamanan bukti digital, pemutusan akses penyerang.
   • Containment jangka pendek dan jangka panjang.
4. Eradication
   • Pembersihan malware, patching kerentanan, pemulihan konfigurasi sistem.
5. Recovery
   • Pemulihan sistem ke kondisi normal, verifikasi keamanan, monitoring pasca-insiden.
6. Lessons Learned
   • Root cause analysis, perbaikan SOP, pembaruan playbook, peningkatan compliance.

E. Penanganan Insiden Spesifik Perbankan

• Serangan phishing dan social engineering pada nasabah & karyawan.
• Fraud digital, credential stuffing, dan brute force pada sistem auth bank.
• Ransomware pada workstation & server pendukung layanan.
• Insider threat: kebocoran data, misuse of privilege, manipulasi transaksi.
• Kebocoran data nasabah dan pelanggaran kerahasiaan informasi.

F. Penyusunan Playbook Incident Response

• Identifikasi kategori insiden prioritas.
• Alur koordinasi: SOC – IR – IT Ops – Legal – PR – regulator.
• Penentuan threshold eskalasi dan siapa melakukan apa (RACI).
• Template laporan insiden sesuai kebutuhan auditor & regulator.

G. Threat Hunting Proaktif

• Metode hunting: hypothesis-driven & IOC-driven hunting.
• Penggunaan MITRE ATT&CK untuk menemukan aktivitas tersembunyi.
• Analisis anomali perilaku user & perangkat kritikal.

H. Regulasi & Kepatuhan Keamanan Perbankan

• Ketentuan OJK, BI, ISO 27001, PCI DSS terkait insiden siber.
• Reporting insiden ke regulator dan audit trail.

I. Penyusunan Roadmap Keamanan Berbasis Threat Intelligence

• Integrasi intelijen ke SOC dan GRC.
• Pengembangan kapasitas tim, peningkatan tools, maturity model IR.
• Rencana 6–12 bulan untuk penguatan ketahanan siber bank.