Mengenal CTEM, Strategi Baru Menentukan Prioritas Keamanan Siber

Dalam beberapa tahun terakhir, pendekatan terhadap keamanan siber mengalami perubahan signifikan. Tim keamanan tidak lagi puas dengan metode lama yang memandang ancaman (threats) dan kerentanan (vulnerabilities) secara terpisah. Di dunia nyata, serangan siber tidak terjadi karena satu faktor tunggal, melainkan karena pertemuan antara kerentanan teknis, niat penyerang, serta kondisi lingkungan yang memungkinkan eksploitasi terjadi.

Keamanan siber kini bukan hanya soal apa yang berpotensi salah atau siapa yang mungkin menyerang. Pertanyaan yang jauh lebih penting adalah: di mana ancaman dan kerentanan itu bertemu dan benar-benar menciptakan risiko nyata bagi organisasi. Dari sinilah konsep paparan (exposure) menjadi krusial.

Paparan mana yang benar-benar berdampak?
Apakah penyerang mampu mengeksploitasinya?
Dan apakah sistem pertahanan yang sudah dibangun benar-benar efektif di kondisi nyata?

Pertanyaan-pertanyaan tersebut mendorong lahirnya pendekatan Continuous Threat Exposure Management (CTEM), sebuah kerangka kerja yang semakin relevan bagi organisasi yang ingin mengelola keamanan siber secara terpadu dan berorientasi pada hasil.

Memahami Makna CTEM Secara Utuh

Menurut Gartner, CTEM adalah pendekatan berkelanjutan yang menekankan siklus identifikasi, prioritisasi, dan perbaikan paparan yang dapat dieksploitasi di seluruh permukaan serangan (attack surface). Tujuan akhirnya adalah meningkatkan postur keamanan organisasi secara menyeluruh dan terukur.

CTEM bukan sekadar aktivitas pemindaian berkala atau laporan otomatis dari satu alat keamanan. Lebih dari itu, CTEM merupakan model operasional yang terstruktur dan berulang, sehingga keamanan tidak lagi bersifat reaktif, melainkan proaktif dan adaptif terhadap perubahan ancaman.

Pendekatan CTEM dibangun di atas lima tahapan utama. Tahap pertama adalah Scoping, yaitu proses untuk menilai ancaman dan kerentanan yang ada, sekaligus menentukan apa yang paling penting untuk dilindungi. Pada fase ini, organisasi harus mengidentifikasi aset kritis, proses bisnis utama, serta aktor ancaman yang paling relevan.

Tahap kedua adalah Discovery, di mana organisasi memetakan seluruh paparan dan jalur serangan yang mungkin terjadi di lingkungan mereka. Pemetaan ini membantu tim keamanan memahami bagaimana seorang penyerang dapat bergerak dari satu titik ke titik lain dalam sistem.

Selanjutnya adalah Prioritization. Di sinilah CTEM menunjukkan nilai utamanya. Tidak semua kerentanan memiliki tingkat risiko yang sama. CTEM membantu memfokuskan perhatian pada celah yang secara realistis dapat dieksploitasi oleh penyerang, bukan sekadar yang memiliki skor teknis tinggi.

Tahap keempat adalah Validation, yaitu pengujian asumsi melalui simulasi serangan yang aman dan terkontrol. Tujuannya untuk memastikan bahwa paparan yang dianggap berbahaya memang benar-benar bisa dimanfaatkan dalam kondisi nyata.

Tahap terakhir adalah Mobilization, di mana hasil temuan digunakan untuk mendorong perbaikan sistem, penyempurnaan proses, serta peningkatan kesiapan tim berdasarkan bukti yang jelas.

Manfaat Nyata CTEM bagi Organisasi

Salah satu keunggulan utama CTEM adalah kemampuannya menggeser fokus keamanan dari sekadar daftar kerentanan menjadi manajemen paparan berbasis risiko. CTEM mengintegrasikan berbagai proses yang sebelumnya berjalan terpisah, seperti penilaian kerentanan, manajemen kerentanan, pengelolaan attack surface, hingga pengujian dan simulasi serangan.

Dengan menyatukan penilaian dan validasi paparan, tim keamanan dapat mencatat dan melaporkan dampak nyata dari setiap tindakan mitigasi terhadap penurunan risiko siber. Hal ini sangat penting bagi manajemen, karena keamanan kini dapat diukur berdasarkan hasil, bukan hanya aktivitas.

Ironisnya, tantangan terbesar keamanan siber saat ini bukanlah kekurangan teknologi, melainkan terlalu banyak alat. Setiap alat sering berdiri sendiri dan menciptakan silo informasi. CTEM hadir untuk menjawab tantangan tersebut dengan menyatukan pandangan terhadap ancaman, kerentanan, dan permukaan serangan, sehingga organisasi dapat bertindak pada paparan yang benar-benar relevan.

Peran Penting Threat Intelligence dalam CTEM

Setiap tahun, puluhan ribu kerentanan baru dilaporkan. Pada tahun 2024 saja, jumlahnya mencapai lebih dari 40.000. Namun, fakta menunjukkan bahwa kurang dari 10 persen dari kerentanan tersebut benar-benar dieksploitasi oleh penyerang.

Di sinilah Threat Intelligence memainkan peran penting. Dengan menghubungkan kerentanan ke taktik, teknik, dan prosedur (TTP) yang digunakan penyerang dalam kampanye nyata, threat intelligence membantu organisasi memfokuskan sumber daya pada risiko yang paling relevan.

Threat intelligence kini bukan lagi sekadar pelengkap, melainkan kebutuhan utama. Informasi ini memungkinkan organisasi menetapkan Priority Intelligence Requirements (PIR), yaitu konteks ancaman yang paling berpengaruh terhadap lingkungan mereka. Dengan pendekatan ini, tim keamanan dapat mengetahui celah mana yang sedang dimanfaatkan, siapa targetnya, dan dalam kondisi apa serangan terjadi.

Validasi sebagai Kunci Pengurangan Risiko

Threat intelligence yang telah diprioritaskan tidak akan memberikan dampak nyata jika tidak diikuti dengan proses pengujian dan validasi. Validasi bertujuan untuk memastikan bahwa informasi ancaman yang dimiliki benar-benar relevan dengan kondisi lingkungan organisasi, sekaligus menguji sejauh mana kontrol keamanan yang ada mampu menghadapi skenario serangan yang paling mungkin terjadi. Melalui proses ini, organisasi dapat memahami bukan hanya potensi risiko, tetapi juga dampak langsungnya terhadap operasional bisnis apabila serangan benar-benar terjadi.

Validasi yang efektif membantu menjawab pertanyaan penting: apakah sistem pertahanan yang telah dibangun benar-benar berfungsi saat dibutuhkan, atau hanya terlihat baik di atas kertas. Dengan pengujian berbasis skenario nyata, tim keamanan dapat melihat bagaimana penyerang dapat mengeksploitasi celah tertentu, jalur mana yang paling berisiko, serta bagian mana dari sistem yang perlu segera diperkuat.

Namun, program validasi keamanan tidak boleh hanya berfokus pada aspek teknologi semata. Manusia dan proses memiliki peran yang sama pentingnya. Perangkat keamanan seperti EDR, SIEM, atau WAF yang canggih sekalipun tidak akan memberikan perlindungan optimal jika prosedur penanganan insiden tidak jelas, dokumentasi respons insiden sudah tidak diperbarui, atau jalur eskalasi tidak berjalan efektif saat situasi darurat terjadi. Dalam banyak kasus, kegagalan respons bukan disebabkan oleh teknologi yang lemah, melainkan oleh koordinasi tim yang kurang siap.

Oleh karena itu, pendekatan validasi modern mulai menggabungkan berbagai metode, seperti breach and attack simulation, tabletop exercise, dan automated penetration testing. Konvergensi dari berbagai pendekatan ini melahirkan konsep Adversarial Exposure Validation (AEV), yaitu metode validasi yang meniru cara berpikir dan bertindak penyerang secara realistis. Dengan AEV, organisasi tidak hanya mengetahui adanya celah keamanan, tetapi juga memahami bagaimana celah tersebut dapat dimanfaatkan dan seberapa besar dampaknya.

CTEM Bukan Sekadar Tren

Penting untuk dipahami bahwa CTEM bukanlah sebuah produk yang bisa dibeli dan langsung digunakan. CTEM adalah pendekatan strategis berbasis hasil, yang implementasinya membutuhkan dukungan lintas tim dan dorongan dari manajemen puncak.

Langkah awal yang paling realistis adalah memulai dari tahap Scoping dengan menjawab pertanyaan-pertanyaan kunci, seperti risiko bisnis utama, lingkungan dan aset yang menjadi fokus, relevansi aktor ancaman, hingga kapasitas organisasi dalam melakukan perbaikan.

Dengan pendekatan yang terukur dan selaras dengan risiko, CTEM membantu organisasi membangun keamanan siber yang tidak hanya kuat secara teknis, tetapi juga relevan, efektif, dan berkelanjutan.