Dari Pasif ke Proaktif

Dokumen ini adalah lapisan pertahanan terpadu untuk menghadapi setiap alat di military-and-intelligence-tools Hierarchy. Setiap lapisan sesuai dengan level ancaman (0–6) dan mencakup tindakan teknis, prosedural, serta kebijakan. Tidak ada satu lapisan yang sempurna; prinsip defense-in-depth adalah kunci.


🛡️ Level 0 — OSINT Hygiene & Exposure Reduction

Ancaman: Maltego, Shodan, Google Dorks — pengumpulan data publik.

TindakanDetailAlat Terkait
Data HygieneHapus metadata dari dokumen publik (Word, PDF, gambar). Gunakan ExifTool.Google Dorks
WHOIS PrivacyGunakan WHOIS privacy guard pada semua domain. Jangan gunakan email pribadi.Maltego
DNS & CT MonitoringJangan cantumkan hostname internal di sertifikat SSL publik. Monitor Certificate Transparency logs.Shodan, Maltego
robots.txt & noindexPasang Disallow untuk direktori sensitif, dan meta noindex di halaman internal.Google Dorks
Self-Dorking BerkalaJalankan query Google Dorks dan Shodan terhadap domain/netblock sendiri untuk menemukan eksposur.Google Dorks, Shodan
Directory ListingMatikan directory listing di server web (Options -Indexes / autoindex off).Google Dorks
File ExposureJangan simpan file backup (.bak, .old, .sql, .env) di direktori publik. Blokir akses ke /.git/.Google Dorks
OSINT MonitoringGunakan Maltego defensif untuk memetakan eksposur sendiri dan hubungan supply chain.Maltego

🛡️ Level 1 — Pentest & Exploit Hardening

Ancaman: Metasploit, BloodHound, Burp Suite — eksploitasi kerentanan.

TindakanDetailAlat Terkait
Patch ManagementPerbarui semua sistem secara berkala, terutama untuk CVE yang dieksploitasi di alam liar. Gunakan Shodan vuln: untuk cek eksposur.Metasploit, Shodan
EDR & XDRDeploy Endpoint Detection and Response yang memonitor process injection, memory tampering, dan anomali perilaku.Metasploit
Active Directory HardeningTerapkan tiered admin model (T0, T1, T2). Hapus GenericAll/WriteDACL yang tidak perlu. Gunakan LAPS. Monitor BloodHound ingest.BloodHound
Credential GuardAktifkan Windows Defender Credential Guard untuk melindungi hash NTLM dan Kerberos.BloodHound, Metasploit
Web Application Firewall (WAF)Pasang WAF dengan aturan ketat untuk mendeteksi payload SQLi, XSS, XXE, dan path traversal.Burp Suite
Rate LimitingBatasi permintaan dari satu IP/token untuk mencegah brute-force (Intruder-style).Burp Suite
Input ValidationValidasi semua input di sisi server. Gunakan parameterized query. Encode output.Burp Suite
Burp Collaborator BlockingBlokir domain *.burpcollaborator.net di firewall DNS.Burp Suite

🛡️ Level 2 — C2 & Post-Exploitation Detection

Ancaman: Cobalt Strike, Havoc C2, Empire, Sliver — C2 dan lateral movement.

TindakanDetailAlat Terkait
Network Traffic Analysis (NTA)Analisis NetFlow/IPFIX untuk beaconing pattern (interval periodik, jitter). Gunakan RITA, Zeek, atau NDR komersial.Semua C2
JA3/JARM FingerprintingBlokir atau alert pada JA3 hash yang dikenal milik framework C2 (Cobalt Strike, Havoc, Sliver).Cobalt Strike, Havoc, Sliver
HTTPS InspectionInspeksi SSL/TLS di proxy untuk membandingkan SNI dengan Host header (deteksi domain fronting).Cobalt Strike
PowerShell LoggingAktifkan Script Block Logging (Event ID 4104), Module Logging (4103), dan Transcription. Kirim ke SIEM.Empire
Constrained Language ModeTerapkan Constrained Language Mode untuk user non-admin agar PowerShell Empire tidak bisa jalan.Empire
AMSI HardeningMonitor upaya menonaktifkan AMSI (memory patching, registry changes). Jangan hanya mengandalkan AMSI.Empire, Havoc
WDAC / AppLockerBatasi executable dan script yang bisa dijalankan hanya dari path tepercaya.Semua C2
Sysmon DeploymentMonitor Event ID 1 (process create), 7 (image load), 8 (CreateRemoteThread), 10 (ProcessAccess), 11 (file create).Semua C2
YARA Memory ScanningJalankan YARA scan berkala pada process memory untuk mendeteksi implant C2 (sleep stub, reflective loader).Cobalt Strike, Havoc
Detect Indirect SyscallsGunakan alat seperti Moneta atau HalosGate detector untuk menemukan syscall dari luar ntdll.dll.Havoc
DNS MonitoringMonitor DNS untuk query ke domain C2 (termasuk DNS tunneling). Analisis entropy query.Sliver, Empire
WireGuard MonitoringMonitor koneksi WireGuard keluar ke IP asing yang tidak dikenal.Sliver
Block Go-http-client UABlokir User-Agent Go-http-client di proxy/WAF (default Sliver).Sliver
Deception (Honey Tokens)Sebarkan kredensial palsu, file canary, dan service palsu yang jika diakses akan trigger alert.Semua C2

🛡️ Level 3 — Anti-Spyware & Mobile Hardening

Ancaman: Pegasus, FinSpy, Predator — infeksi spyware mobile dan desktop.

TindakanDetailAlat Terkait
Lockdown Mode (iOS 16+)Aktifkan Lockdown Mode pada individu berisiko tinggi. Ini adalah pertahanan terkuat terhadap Pegasus dan Predator.Pegasus, Predator
Strong PassphraseGunakan alphanumeric >12 karakter di semua perangkat. Hindari PIN 4/6 digit.Pegasus, FinSpy, GrayKey
USB Restricted ModeMatikan akses USB saat terkunci (Settings > Face ID & Passcode > USB Accessories).Cellebrite UFED, GrayKey
MVT (Mobile Verification Toolkit)Jalankan MVT secara berkala pada backup iOS/Android untuk mendeteksi IOC Pegasus, Predator, FinSpy.Pegasus, Predator
iShutdown AnalysisAnalisis shutdown.log untuk proses aneh yang gagal dimatikan (indikasi spyware).Pegasus
Update BerkalaSelalu perbarui iOS/Android/Chrome/Safari ke versi terbaru. Banyak 0-day spyware ditambal dengan cepat.Predator, Pegasus
Hindari Link MencurigakanJangan klik link dari sumber tidak dikenal. Verifikasi pengirim via saluran kedua.Predator
Android HardeningMatikan “Unknown Sources”. Periksa Device Admin & Accessibility Services secara berkala.FinSpy, Predator
iOS HardeningPeriksa Profil Manajemen Perangkat secara berkala. Jangan instal profil dari sumber tidak dikenal.FinSpy, Predator
Enhanced Safe Browsing (Chrome)Aktifkan “Enhanced Safe Browsing” untuk perlindungan terhadap link exploit.Predator
Desktop SpywareGunakan EDR yang mampu mendeteksi kernel driver tidak dikenal, webcam/mic access tanpa izin.FinSpy
Secure Boot & TPMAktifkan Secure Boot dan TPM untuk mencegah bootkit/MBR infection.FinSpy

🛡️ Level 4 — Hardware & Forensics Counter-Forensics

Ancaman: Cellebrite UFED, GrayKey, PC-3000, Victoria HDD — ekstraksi data paksa.

TindakanDetailAlat Terkait
Full Disk Encryption (FDE)Aktifkan FileVault (macOS), BitLocker (Windows), LUKS (Linux), atau Data Protection (iOS). Enkripsi adalah pertahanan utama.Cellebrite UFED, PC-3000
Strong PassphraseGunakan alphanumeric panjang untuk FDE. Jangan gunakan PIN sederhana.GrayKey
Self-Encrypting Drive (SED)Gunakan drive dengan enkripsi hardware Opal 2.0. PC-3000 tidak bisa mendekripsi tanpa kunci.PC-3000
ATA PasswordAktifkan password ATA di BIOS/UEFI. Meskipun PC-3000 bisa bypass pada beberapa drive, ini menambah lapisan.PC-3000
Erase Data After 10 AttemptsAktifkan “Erase Data” di iOS untuk menghapus perangkat setelah 10 upaya gagal.GrayKey, Cellebrite UFED
USB Restricted ModeLihat Level 3.Cellebrite UFED, GrayKey
Physical DestructionUntuk data sangat sensitif: degaussing (HDD) atau shredding fisik. Lebih pasti daripada secure erase.PC-3000, Victoria
Monitor SMART AttributesDeteksi perubahan mencurigakan pada SMART (erase count, power-on hours reset).Victoria
Forensik Chain of CustodyJika drive adalah bukti, selalu lakukan pre-imaging verification (Victoria) dan imaging dengan hardware imager (PC-3000) jika rusak.Victoria, PC-3000

🛡️ Level 5 — Communications Security (COMSEC)

Ancaman: Verint, PRISM, UPSTREAM, TEMPORA — intersepsi komunikasi.

TindakanDetailAlat Terkait
End-to-End Encryption (E2EE)Gunakan Signal, WhatsApp (chat, bukan backup), Session, Matrix/Elements. Verint/TEMPORA tidak bisa mendekripsi konten E2EE.Semua SIGINT
VPN & TorGunakan VPN tanpa log (Mullvad, IVPN, ProtonVPN) atau Tor untuk menyembunyikan IP dan metadata.Semua SIGINT
Tor Pluggable TransportsGunakan obfs4 atau meek bridge untuk menyembunyikan traffic Tor dari DPI.UPSTREAM, TEMPORA
Metadata ObfuscationMinimalkan metadata: gunakan nomor burner, email burner, hindari pola komunikasi yang bisa diprediksi.ICREACH, XKEYSCORE
CompartmentalizationPisahkan identitas digital: satu perangkat/akun untuk normal, satu untuk sensitif. Jangan pernah campur.PRISM, XKEYSCORE
Cloud EncryptionEnkripsi file sebelum upload ke cloud (Cryptomator, rclone crypt, Veracrypt). Matikan backup tidak terenkripsi.PRISM
Non-US ServicesPertimbangkan layanan berbasis di yurisdiksi dengan perlindungan privasi kuat (EU dengan GDPR).PRISM
Self-HostingHosting email/file sendiri dengan enkripsi penuh.PRISM
PSTN/GSM AvoidanceHindari panggilan PSTN/GSM untuk percakapan sensitif. Gunakan VoIP dengan E2EE (Signal voice).Verint

Ancaman: XKEYSCORE, Palantir, ICREACH — pengawasan massal negara.

TindakanDetailAlat Terkait
Dukung Reformasi PengawasanAdvokasi untuk reformasi FISA Section 702, USA PATRIOT Act, dan penghentian pengawasan massal tanpa warrant.XKEYSCORE, PRISM
Dukung Enkripsi KuatLawan upaya pelemahan enkripsi (backdoor, key escrow). Dukung organisasi seperti EFF, ACLU, Privacy International.Semua
Transparansi PerusahaanDukung perusahaan teknologi untuk melaporkan jumlah dan jenis permintaan data pemerintah.PRISM
FOIA & LitigasiGunakan permintaan Freedom of Information Act untuk mengungkap program pengawasan. Dukung litigasi privasi.XKEYSCORE, Palantir
Whistleblower ProtectionDukung perlindungan hukum bagi whistleblower yang mengungkap penyalahgunaan.Semua
International AdvocacyDukung perjanjian internasional untuk melindungi privasi digital (seperti GDPR, Convention 108+).Semua
Community AwarenessEdukasi komunitas tentang ancaman pengawasan digital. Latih penggunaan alat privasi.Semua

🧩 Peta Pertahanan Menyeluruh

COUNTERMEASURE STACK
────────────────────────────────────────────────────────────

Level 0  │ Data Hygiene + Self-Dorking + WHOIS Privacy
Level 1  │ Patch Mgmt + EDR + AD Hardening + WAF + Rate Limiting
Level 2  │ NTA + JA3 + PowerShell Logging + WDAC + Deception
Level 3  │ Lockdown Mode + Strong Passphrase + MVT + USB Restricted Mode
Level 4  │ Full Disk Encryption + Erase Data + Physical Destruction
Level 5  │ E2EE + Tor/VPN + Metadata Obfuscation + Compartmentalization
Level 6  │ Legal Reform + Encryption Advocacy + Whistleblower Support

PRINSIP:
────────────────────────────────────────────────────────────
• Defense-in-depth: Jangan bergantung pada satu lapisan.
• Assume breach: Desain seolah-olah Anda sudah dikompromikan.
• Least privilege: Batasi hak akses ke minimum yang diperlukan.
• Continuous monitoring: Deteksi dini, respons cepat.
• Privacy by design: Enkripsi dan minimalkan data sejak awal.

🔗 Koneksi dalam Vault

Dokumen ini adalah ringkasan defensif dari seluruh alat di military-and-intelligence-tools Hierarchy:


📚 Referensi

  • NSA, Defense in Depth: A Practical Strategy for Achieving Information Assurance (2012).
  • NIST SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations.
  • Center for Internet Security (CIS), Critical Security Controls v8.
  • EFF, Surveillance Self-Defense Guide.
  • Microsoft, Best Practices for Securing Active Directory (2020).
  • Apple, Platform Security Guide (2024).

Countermeasure Stack | Defensive Layers Against the Shadow Arsenal | Level 0–6 Hardening Guide