Issuu on Google+

Chapter 5 Rangga Dwi Prakoso 471.101.0028


Subversi Subversion adalah sebuah insiden di mana sistem tidak berperilaku dengan cara yang diharapkan. Hal ini menyebabkan pengguna untuk percaya bahwa perilaku ini adalah karena serangan terhadap integritas dari sistem, jaringan, atau aplikasi. Pada kenyataannya, adalah sesuatu yang lain sama sekali. Contoh ini akan menempatkan server keuangan palsu untuk menemukan kartu kredit angka atau halaman Web secara ilegal indeks. Dalam insiden subversif pelaku memodifikasi link web sehingga setiap kali ada menggunakan salah satu link, mereka diarahkan ke alamat web yang tidak terkait.


Lelucon Hoax adalah peringatan email dari virus yang mungkin memiliki efek buruk pada sistem. Virus tidak benarbenar ada, tetapi perusahaan tertentu disalahkan untuk efek imajiner, menyebabkan panik dan menyalahkan yang tidak perlu. Tipuan meyakinkan orang untuk mengirim email ke orang lain, menginformasikan mereka tentang virus ini seharusnya, panik pengguna yang bisa kemudian menyebabkan kerusakan pada sistem mereka.


Kategori Insiden Insiden dapat diklasifikasikan sebagai rendah, pertengahan, atau insiden tingkat tinggi, tergantung pada intensitas dan efeknya. Kategori Insiden : Rendah Insiden tingkat rendah adalah insiden yang paling tidak berbahaya dan harus ditangani dalam satu hari kerja. Tingkat rendah insiden bisa menjadi salah satu dari berikut : • Kompromi password • Berbagi Diduga akun • Penyalahgunaan peripheral komputer • Tindakan rutin komputer disengaja • Kegagalan scan dan probe jaringan • Adanya virus komputer atau worm


Kategori Insiden : Mid Level Insiden tingkat menengah adalah jenis yang lebih serius dari insiden . Mereka harus ditangani pada hari yang sama peristiwa itu terjadi , dan biasanya dalam waktu dua sampai empat jam setelah kejadian telah terjadi . Insiden tingkat menengah dapat diidentifikasi dengan mengamati salah satu dari berikut:

• Pemutusan hubungan kerja karyawan ramah • Pelanggaran akses khusus atau istimewa ke komputer atau fasilitas komputasi yang secara normal hanya dapat diakses oleh administrator • Akses ilegal jaringan • Tidak sah menyimpan atau mengolah data • Penghancuran properti bernilai kurang dari $ 100.000 • Pencurian Pribadi jumlah kurang dari $ 100.000 • Adanya virus komputer atau worm intensitas tinggi


Kategori Insiden : Tingkat Tinggi Insiden tingkat tinggi yang parah dan harus ditangani sesegera mungkin. Ini meliputi : • Tersangka break-in komputer • Serangan Denial - of-service • Adanya virus berbahaya atau worm , yang dapat menyebabkan korupsi serius atau kehilangan data • Perubahan hardware, software , dan firmware tanpa otentikasi • Penghancuran properti senilai lebih dari $ 100.000 • Pencurian senilai lebih dari $ 100.000 • Pornografi anak • Berjudi • Pengunduhan ilegal materi berhak cipta , termasuk musik , video , dan software • Download file ilegal lainnya • Setiap pelanggaran hukum Tim respon insiden menangani insiden tingkat tinggi . Jenis kejadian tersebut dilaporkan ke komputer petugas keamanan


Insiden keamanan Sebuah insiden keamanan meliputi : • Bukti manipulasi data • Akses tidak sah atau upaya akses yang tidak sah dari sumber internal dan eksternal • Ancaman dan serangan oleh media elektronik • Halaman Web defaced • Deteksi beberapa aktivitas yang tidak biasa , seperti kode yang mungkin berbahaya atau pola lalu lintas diubah • Serangan Denial - of-service • Serangan lain berbahaya , seperti serangan virus , yang merusak server atau workstation • Jenis lain dari insiden yang melemahkan kepercayaan dan keyakinan dalam sistem teknologi informasi.


Respon Insiden Tanggapan terhadap insiden keamanan didasarkan pada bukti yang terdokumentasi dan tidak rusak. Prosedur respon insiden berisi tujuh langkah berikut: 1. Identifikasi sumberdaya yang terkena dampak 2. Penilaian insiden 3. Penugasan identitas kejadian dan tingkat keparahan 4. Penugasan anggota gugus tugas 5. Mengandung ancaman 6. Pengumpulan bukti 7. Analisis forensik


Bagaimana Identifikasi sebuah Insiden Alat deteksi intrusi dapat memperingatkan administrator jaringan atau staf tentang banyak pelanggaran keamanan jauh lebih cepat daripada manual mengidentifikasi gangguan . Administrator jaringan harus waspada dan memeriksa setiap aktivitas yang mencurigakan pada jaringan . Meskipun sistem deteksi intrusi ( IDS ) adalah penting, mengandalkan itu tidak menjamin melengkapi perlindungan dari jaringan dan sistem . Administrator perlu melihat tanda-tanda berikut insiden keamanan : • Entri log Mencurigakan • Sistem alarm dari IDS • Kehadiran account pengguna dijelaskan pada jaringan • Adanya file yang mencurigakan atau ekstensi file yang tidak diketahui pada sistem • File atau folder Diubah • Layanan biasa berjalan atau port dibuka • Perilaku sistem Unusual • Ikon drive yang Berubah • Drives tidak dapat diakses • Lebih paket diterima dari yang diharapkan


Prosedur Penanganan Insiden Setiap kali sebuah insiden ditemui , satu set tertentu dari prosedur harus diikuti untuk melacak kegiatan atau peristiwa yang terjadi . Sebuah analisis kejadian harus dilakukan , termasuk : sejauh mana kerusakan telah terjadi, apa yang membuat insiden itu terjadi , dan apa langkahlangkah keamanan harus diambil sehingga sama Insiden tidak terjadi lagi. Untuk menangani insiden itu , satu set standar tertentu kegiatan atau langkah-langkah yang harus diambil. Insiden Proses penanganan tanggap terdiri dari enam tahapan sebagai berikut :


1. 2. 3. 4. 5. 6.

Persiapan Identifikasi Penahanan Pemberantasan Pemulihan Tindak lanjut

Sebuah daftar personil harus dibuat sehingga pengguna bisa mengetahui siapa yang harus dihubungi, kapan harus menghubungi mereka, dan bagaimana menghubungi mereka. Halaman-halaman berikut akan detail setiap langkah-langkah , menguraikan apa yang harus dan tidak harus dilakukan.


I. Persiapan Persiapan membuat organisasi menyadari potensi kerusakan pada keamanan atau integritas sistem dengan membuat respon rencana akrab bagi organisasi. Dalam setiap sistem di LAN , hanya administrator yang harus diberikan akses penuh . Para anggota staf harus diberitahu tentang perubahan teratur dengan bantuan papan buletin dan pemberitahuan, dan mereka harus dibiasakan dengan jenis terbaru dari virus, worm , dan spam . Alat khusus harus digunakan untuk menghindari potensi kerusakan dan ancaman dari virus dan worm . Sistem harus selalu diperbarui dengan perangkat lunak antivirus terbaru dan alat pemberantasan untuk menjamin keamanan sistem dan jaringan . Pelatihan yang tepat harus diberikan kepada anggota staf sehingga mereka menyadari tren terbaru dalam konfigurasi keamanan dan manajemen . Tes periodik untuk insiden harus dilakukan untuk memastikan semua orang siap setiap saat .


II. Indentifikasi Pada tahap identifikasi , insiden dianalisis untuk menentukan sifat,intensitas, dan efek pada jaringan dan sistem . Anggota staf disediakan dengan panduan tentang cara untuk mengidentifikasi insiden. Mereka harus berhati-hati untuk dicatat acara dengan baik guna membantu tim respon insiden menangani situasi. Insiden diidentifikasi melalui empat langkah berikut : 1. 2. 3. 4.

Memvalidasi insiden Mengidentifikasi sifat kejadian Mengidentifikasi dan melindungi bukti Logging dan membuat laporan apapun anomali telah terjadi


III. Penahanan Containment membatasi tingkat dan intensitas insiden . Langkah pertama yang dilakukan dalam penawaran tahap penahanan dengan informasi penting yang diperoleh selama tahap identifikasi . Ini adalah tugas dari petugas keamanan komputer ( CSO ) untuk menyelidiki dan mendiskusikan dengan manajemen di mana untuk menjaga data sensitif . Informasi tersebut harus baik disimpan di CD atau sistem lainnya yang mungkin terputus dari jaringan, atau harus melewati ke yang lain , jaringan yang lebih aman. Dalam beberapa kasus , jika virus sederhana atau terkenal ditemukan bahwa tidak menimbulkan ancaman berat , organisasi harus menggunakan pemberantasan virus dan alat deteksi dan perangkat lunak untuk menghapusnya.


IV. Pemberantasan Setelah insiden itu diidentifikasi dan berisi , langkah berikutnya adalah untuk memberantas itu . Dalam kasus virus , insiden tim respon harus menghilangkan virus dari semua sistem dan media , termasuk flash drive dan media backup, menggunakan disetujui virus tools pemberantasan . Ada berbagai macam insiden yang meninggalkan benda berbahaya yang dapat sulit untuk menemukan . Data dan informasi yang dikumpulkan selama fase penahanan akan membantu dalam penghentian dan penghapusan setiap sisa kerusakan yang disebabkan oleh serangan itu. Mereka juga akan membantu untuk menentukan bagaimana insiden itu dapat dihindari di masa depan.


V. Pemulihan Pada tahap ini , sistem yang terkena dikembalikan ke keadaan normal mereka. Ini melibatkan memvalidasi sistem dan pemantauan mereka untuk setiap infeksi lebih lanjut . Ini hanya dapat dilakukan ketika kerentanan telah benar-benar dihapus . Pertama , tim respon insiden perlu menentukan tindakan . Intrusi dapat sederhana atau kompleks, tergantung pada jumlah kerusakan atau potensi kerusakan yang ditimbulkan oleh insiden tersebut dan akan memerlukan tindakan yang tepat tergantung pada jenis intrusi dan sistem yang terlibat . Selanjutnya, tim harus memantau dan memvalidasi sistem. Anggota tim perlu menentukan integritas dari sistem serta bahwa setiap backup dengan mencoba untuk membaca data mereka. Setelah data pulih dari sistem dan backup, mereka melakukan verifikasi untuk memeriksa keberhasilan operasi dan untuk melihat apakah sistem ini kembali pemantauan tugas normal.


VI. Follow Up Proses menindaklanjuti insiden segera setelah sistem pulih membantu tim respon insiden efektif menangani insiden serupa di masa mendatang. Hal ini dilakukan melalui lima langkah berikut:

1. Melakukan analisis biaya: Sebuah analisis biaya singkat harus dilakukan untuk menentukan biaya yang berkaitan dengan sebagai berikut: • Membangun sebuah insiden • Mengatasi kerugian yang disebabkan oleh insiden tersebut • Kehilangan data • Kerugian dalam perangkat keras dan peralatan


2. Mendokumentasikan insiden biaya: Waktu yang diperlukan oleh tim respon internal untuk menanggapi insiden tersebut dan biaya yang terkait harus dihitung. Biaya ini meliputi: • Biaya moneter Associated • Pengaruh insiden pada bisnis organisasi • Jumlah data yang hilang dan biaya yang terkait dengan itu • Setiap kehilangan hardware 3. Laporan persiapan: Tim respon insiden juga bertanggung jawab atas penyusunan laporan, termasuk pelajaran dari insiden dan analisis biaya dijelaskan di atas. Laporan yang diperoleh bisa digunakan untuk pelatihan staf dan profesional. Laporan tersebut harus menentukan cara untuk meningkatkan kesadaran staf tanpa membuat perubahan apapun untuk keamanan.

4. Revisi kebijakan dan prosedur: Kebijakan dan prosedur harus direvisi sesuai dengan perubahan dalam teknologi.


Cara Mencegah suatu Insiden Kunci untuk mencegah insiden adalah meminimalkan kerentanan. Hal ini dapat dilakukan dengan menggunakan berikut strategi: • Memindai: Alat untuk memonitor dan memindai untuk kerentanan harus ditempatkan di seluruh jaringan dan digunakan secara teratur. Profesional terlatih harus on call untuk menangani ditemukan kerentanan. • Auditing: Monitoring dan kepatuhan kelompok melakukan audit untuk memastikan langkah-langkah yang tepat diambil ketika kerentanan ditemukan. • Mendeteksi intrusi: Internet Security and Acceleration (ISA) Server log harus ditinjau, dan akses remote audit dilakukan untuk memastikan bahwa akses akun remote diaktifkan hanya untuk pengguna otentik. • Membangun pertahanan-mendalam: Sistem administrator harus menetapkan strategi pertahanan berlapis-lapis, disebut pertahanan-mendalam, daripada mengandalkan satu titik perlindungan. • Mengamankan klien untuk pengguna remote: Administrator sistem harus memastikan bahwa setiap pengguna mencoba untuk jarak jauh mengakses jaringan ditolak jika mereka tidak memiliki patch yang benar, program, dan pengaturan keamanan.


Pelaporan Insiden Seorang pengguna menghadapi pelanggaran harus melaporkan hal berikut : • Intensitas pelanggaran keamanan • Keadaan yang mengungkapkan kerentanan • Kekurangan dalam desain , dan dampak atau tingkat kelemahan • Masuk log terkait dengan kegiatan si penyusup • Bantuan khusus diperlukan , yang didefinisikan sejelas mungkin • Waktu pelanggaran , zona waktu daerah , dan sinkronisasi informasi dari sistem dengan waktu server nasional melalui NTP ( Network Time Protocol )


CSIRT Sebuah tim respon insiden keamanan komputer (CSIRT) terlatih dalam menangani masalah-masalah keamanan yang berkaitan dengan intrusi dan insiden. Tim mengamankan jaringan dari serangan asing. Ini juga melatih karyawan tentang teknik untuk menangani insiden dan mengambil tindakan yang diperlukan, serta metode pelaporan insiden. Insiden tim respon harus hadir dalam sebuah organisasi untuk memastikan keamanan jaringan dalam organisasi tersebut. CSIRT ketersediaan adalah 24/7. Ini menyediakan satu titik kontak untuk melaporkan insiden keamanan.


Motivasi Dibalik CSIRT Telah ada peningkatan jumlah insiden keamanan komputer yang dilaporkan dan dalam jumlah organisasi yang dipengaruhi oleh insiden ini. Organisasi harus menyadari bahwa kebijakan keamanan dan praktek yang diperlukan sebagai bagian dari strategi manajemen risiko mereka. Untuk melindungi aset informasi, peraturan baru harus diterapkan. Sistem dan aset tidak dapat dilindungi hanya oleh sistem dan administrator jaringan. Sebuah rencana dan strategi yang disiapkan diperlukan .


Siapa yang Bekerja dalam CSIRT Peran staf CSIRT mungkin termasuk yang berikut : • Manager atau memimpin tim • Manajer Asisten , supervisor , atau pemimpin kelompok • Hotline , help desk , atau staf triase • Penanganan Insiden • Kerentanan penangan • Staf Analisis artefak • spesialis Landasan • Pelatih • Teknologi menonton


Peran lain mungkin termasuk yang berikut : • Staf Dukungan • Jaringan atau sistem administrator • Staf infrastruktur CSIRT • Pemrogram atau pengembang ( untuk membangun alat CSIRT ) • Web developer dan pengelola • Hubungan Media • Hukum atau paralegal staf atau penghubung • staf penegak hukum atau penghubung • Auditor atau staf jaminan kualitas • Staf Pemasaran


Kategori Layanan CSIRT Layanan CSIRT dapat dikelompokkan menjadi tiga kategori: • Layanan reaktif yang dipicu oleh suatu peristiwa atau permintaan, seperti laporan dari host dikompromikan, widespreading kode berbahaya, kerentanan perangkat lunak, atau alarm dari deteksi intrusi atau penebangan sistem. Layanan ini mewakili mayoritas pekerjaan CSIRT. • Layanan proaktif memberikan bantuan dan informasi untuk membantu mempersiapkan, melindungi, dan sistem klien aman dalam mengantisipasi serangan, masalah, atau peristiwa. Kinerja layanan ini secara langsung akan mengurangi jumlah insiden di masa depan.


• Jasa manajemen mutu Keamanan meningkatkan pelayanan yang ada dan mapan yang independen terhadap insiden penanganan dan secara tradisional dilakukan oleh daerah lain dari suatu organisasi seperti IT, audit, atau pelatihan departemen. Jika CSIRT melakukan atau membantu dengan layanan ini, titik CSIRT pandang dan keahlian dapat memberikan wawasan untuk membantu meningkatkan keamanan secara keseluruhan organisasi dan mengidentifikasi risiko, ancaman, dan sistem kelemahan. Layanan ini umumnya proaktif tetapi memberikan kontribusi langsung untuk mengurangi jumlah insiden.


Chapter5 rangga