Issuu on Google+

Chapter 5 ~Incident Handling~ Ria Rizky Fatmawati


Insiden keamanan Sebuah insiden keamanan meliputi : • Bukti manipulasi data • Akses tidak sah atau upaya akses yang tidak sah dari sumber internal dan eksternal • Ancaman dan serangan oleh media elektronik • Halaman Web defaced • Deteksi beberapa aktivitas yang tidak biasa , seperti kode yang mungkin berbahaya atau pola lalu lintas diubah • Serangan Denial - of-service • Serangan lain berbahaya , seperti serangan virus , yang merusak server atau workstation • Jenis lain dari insiden yang melemahkan kepercayaan dan keyakinan dalam sistem teknologi informasi


Kategori Insiden • Rendah Tingkat rendah insiden bisa menjadi salah satu dari berikut : - Kompromi password - berbagi Diduga akun - Penyalahgunaan peripheral komputer - tindakan rutin komputer disengaja - Kegagalan scan dan probe jaringan - Adanya virus komputer atau worm • Mid Level Insiden tingkat menengah dapat diidentifikasi dengan mengamati salah satu dari berikut : • pemutusan hubungan kerja karyawan ramah • Pelanggaran akses khusus atau istimewa ke komputer atau fasilitas komputasi yang secara normal hanya dapat diakses oleh administrator • akses ilegal jaringan • tidak sah menyimpan atau mengolah data • Penghancuran properti bernilai kurang dari $ 100.000 • pencurian Pribadi jumlah kurang dari $ 100.000 • Adanya virus komputer atau worm intensitas tinggi


Tingkat Tinggi Insiden tingkat tinggi yang parah dan harus ditangani sesegera mungkin. Ini meliputi : • Tersangka break-in komputer • Serangan Denial - of-service • Adanya virus berbahaya atau worm , yang dapat menyebabkan korupsi serius atau kehilangan data • Perubahan hardware, software , dan firmware tanpa otentikasi • Penghancuran properti senilai lebih dari $ 100.000 • Pencurian senilai lebih dari $ 100.000 • Pornografi anak • Berjudi • Pengunduhan ilegal materi berhak cipta , termasuk musik , video , dan software • Download file ilegal lainnya • Setiap pelanggaran hukum


Bagaimana Identifikasi sebuah Insiden ? Administrator perlu melihat tanda-tanda insiden keamanan berikut : • entri log Mencurigakan • Sistem alarm dari IDS • Kehadiran account pengguna dijelaskan pada jaringan • Adanya file yang mencurigakan atau ekstensi file yang tidak diketahui pada sistem • file atau folder Diubah • layanan biasa berjalan atau port dibuka • perilaku sistem Unusual • ikon drive yang Berubah • Drives tidak dapat diakses • Lebih paket diterima dari yang diharapkan


Cara Mencegah suatu Insiden • Memindai • Auditing • Mendeteksi intrusi • Membangun pertahanan-mendalam • Mengamankan klien untuk pengguna remote


Mendefinisikan Hubungan Antara Respon Insiden, Insiden Penanganan dan Manajemen Insiden Gambar ini menggambarkan hubungan antara respon insiden, penanganan insiden, dan manajemen insiden.


Manajemen Insiden Manajemen insiden meliputi: • Analisis kerentanan • Analisis artefak • pelatihan kesadaran keamanan • deteksi intrusi • Pemantauan Publik atau teknologi • personil sumber daya manusia dapat mengambil langkah-langkah untuk karyawan kebakaran diduga dalam kegiatan komputer yang berbahaya . • Penasihat hukum menetapkan aturan dan peraturan dalam sebuah organisasi . • Manajer firewall membuat filter di tempat di mana serangan denial - of-service yang sering dibuat . • Penyedia layanan outsourcing perbaikan sistem terinfeksi oleh virus dan malware .


Memperkirakan Biaya dari Insiden Kerugian yang nyata dapat diukur dan meliputi: • jam Hilang produktivitas • Investigasi dan pemulihan • Hilangnya bisnis • Kehilangan atau pencurian sumber daya Kerugian tak berwujud , yang lebih sulit untuk mengidentifikasi dan mengukur , meliputi : • Reputasi perusahaan • Kehilangan goodwill • Kerusakan psikologis , yaitu rasa takut atau kehilangan semangat • Tanggung jawab hukum


Pelaporan insiden Seorang pengguna menghadapi pelanggaran harus melaporkan hal berikut : • Intensitas pelanggaran keamanan • Keadaan yang mengungkapkan kerentanan • Kekurangan dalam desain , dan dampak atau tingkat kelemahan • Masuk log terkait dengan kegiatan si penyusup • bantuan khusus diperlukan , yang didefinisikan sejelas mungkin • Waktu pelanggaran , zona waktu daerah , dan sinkronisasi informasi dari sistem dengan waktu server nasional melalui NTP ( Network Time Protocol )


Kebijakan Respon Insiden •

Sebuah kebijakan penanganan insiden yang baik harus mencakup hal-hal berikut : Jelas garis dukungan manajemen kebijakan : kebijakan harus memiliki dukungan manajemen . • Tentukan pendekatan organisasi • Tentukan luar prosedur notifikasi • Alamat sambungan jarak jauh dan mencakup semua karyawan terpencil atau kontraktor : Kebijakan harus termasuk koneksi remote . • Identifikasi anggota tim insiden dan menggambarkan peran, tanggung jawab , dan fungsi • Mengembangkan rencana komunikasi internal yang mengidentifikasi siapa yang akan diberitahu dan bagaimana mereka akan dihubungi • Menentukan metode untuk pelaporan dan pengarsipan historis kejadian


Prosedur Penanganan Insiden Proses penanganan tanggap terdiri dari enam tahapan sebagai berikut : 1 . persiapan 2 . identifikasi 3 . penahanan 4 . pemberantasan 5 . pemulihan 6 . Tindak lanjut


CSIRT Sebuah tim respon insiden keamanan komputer (CSIRT) terlatih dalam menangani masalah-masalah keamanan yang berkaitan dengan intrusi dan insiden. Visi CSIRT • CSIRT harus tahu klien sebaik mungkin. • Ini harus tahu misinya. Apa tujuan dan apa yang akan menjadi tugasnya? • Para anggota tim harus mengetahui jenis insiden mereka akan menangani, apa jenis kegiatan yang akan dilakukan, dan apa yang harus dicapai. • Mereka juga harus mengetahui struktur organisasi. Bagaimana mereka beroperasi? Bagaimana itu diikat bersama-sama? • Mereka harus tahu tentang sumber daya yang mereka miliki untuk memfasilitasi kegiatan dan tugas-tugas mereka. Apa dana yang akan diberikan oleh manajemen organisasi untuk memelihara dan menerapkan CSIRT? • Komponen CSIRT mempengaruhi satu sama lain, antara berbagai tim TI dan manajemen. • CSIRT harus mencatat semua informasi yang dikumpulkan, terutama jika tim yang tersebar di berbagai tempat.


Siapa yang Bekerja dalam CSIRT ? Peran staf CSIRT mungkin termasuk yang berikut : • Manager atau memimpin tim • manajer Asisten , supervisor , atau pemimpin kelompok • Hotline , help desk , atau staf triase • Penanganan Insiden • Kerentanan penangan • Staf Analisis artefak • spesialis Landasan • Pelatih


Kategori Layanan CSIRT Layanan CSIRT dapat dikelompokkan menjadi tiga kategori: • Layanan reaktif yang dipicu oleh suatu peristiwa atau permintaan, seperti laporan dari host dikompromikan, widespreading kode berbahaya, kerentanan perangkat lunak, atau alarm dari deteksi intrusi. • Layanan proaktif memberikan bantuan dan informasi untuk membantu mempersiapkan, melindungi, dan sistem klien aman dalam mengantisipasi serangan, masalah, atau peristiwa. • Jasa manajemen mutu Keamanan meningkatkan pelayanan yang ada dan mapan yang independen terhadap insiden penanganan dan secara tradisional dilakukan oleh daerah lain dari suatu organisasi seperti IT, audit, atau pelatihan departemen


Prosedur Insiden - Spesifik 1 . Mengisolasi sistem . 2 . Beritahu pihak yang berwenang . 3 . Mengidentifikasi masalah. 4 . Mengandung virus atau worm . 5 . Menyuntik sistem . 6 . Kembali ke mode pengoperasian normal . 7 . Melakukan analisis tindak lanjut .


Insiden hacker 1 . Mengidentifikasi masalah. 2 . Beritahu pihak yang berwenang . 3 . Mengidentifikasi hacker . 4 . Beritahu CERT . 5 . Melakukan analisis tindak lanjut .


Langkah-langkah CSIRT dalam menangani kasus


Contoh CSIRT CSIRT dapat diklasifikasikan ke dalam jenis berikut sesuai dengan layanan yang ditawarkan: • CSIRT internal menawarkan layanan penanganan insiden kepada organisasi induknya, seperti bank, universitas, atau agen federal. • CSIRT nasional memberikan layanan kepada seluruh bangsa. • Pusat Analisis mensintesis data dari berbagai sumber untuk menemukan tren dan pola dalam kegiatan insiden. Informasi ini digunakan untuk memprediksi aktivitas masa depan atau memberikan peringatan dini ketika kegiatan saat ini cocok seperangkat karakteristik ditentukan sebelumnya. • Tim Penjual berkoordinasi dengan organisasi yang melaporkan dan melacak kerentanan. Tim vendor lainnya menyediakan layanan penanganan insiden internal organisasi mereka sendiri. • Penyedia tanggap Insiden bekerja untuk menyewa.


Langkah-langkah untuk Membuat CSIRT • • • • • • •

Langkah 1: Mendapatkan Dukungan Manajemen dan Buy-In Langkah 2 : Tentukan Rencana Strategis Pembangunan CSIRT Langkah 3 : Kumpulkan Informasi yang relevan Langkah 4 : Desain Visi CSIRT Langkah 5 : Mengkomunikasikan Visi CSIRT Langkah 6 : Mulai Implementasi CSIRT Langkah 7 : Umumkan CSIRT


Dunia CERT • • • •

APCERT (Asia Pacific Computer Emergency Response Team). APCERT merupakan aliansi dari CSIRT 13 negara di kawasan Asia Pasifik. AusCERT (Australia Computer Emergency Response Team). AusCERT dari Australia adalah salah satu CERT yang terkemuka di kawasan Asia Pasifik. HKCERT (Pusat Hong Kong Computer Emergency Response Team Koordinasi). HKCERT didirikan untuk menangani ancaman keamanan dan kejahatan cyber. JPCERT / CC (Jepang Computer Emergency Response Team / Koordinasi Pusat). JPCERT / CC adalah sebuah organisasi nirlaba independen yang didirikan pada tahun 1992. Ini bertindak sebagai sebuah asosiasi sentral di Jepang untuk menangani masalah yang berhubungan dengan keamanan yang berkaitan dengan komputer dan jaringan . MyCERT ( Computer Emergency Response Team Malaysia ). MyCERT diperkenalkan pada tanggal 13 Januari 1997 , dan mulai beroperasi pada tanggal 1 Maret 1997, dari kantor Berhad Mimos di Bukit Jalil Teknologi Taman Malaysia . Ini menunjukkan penanggulangan untuk insiden keamanan komputer dan metode pencegahan kepada komunitas internet .


• •

PakCERT ( Computer Emergency Response Team Pakistan ). PakCERT dibentuk untuk menangani layanan keamanan dan untuk menjaga terhadap penyerang . SingCERT ( Singapore Computer Emergency Response Team ). SingCERT awalnya didirikan pada Oktober 1997 bekerjasama dengan Center for Internet Research , National University of Singapore ( NUS ) . Ini adalah sebuah program dari Infocomm Development Authority of Singapore ( IDA ) dan bertanggung jawab penanganan insiden keamanan di Singapura . TWCERT / CC ( Taiwan Computer Emergency Response Team / Koordinasi Pusat ). TWCERT / CC adalah pusat one-stop untuk yang berkaitan dengan komputer atau yang berhubungan dengan internet tim respon insiden di Taiwan . CNCERT / CC (Cina Computer Emergency Response Team / Koordinasi Pusat ) : CNCERT / CC diperkenalkan pada bulan Oktober 2000 sebagai organisasi fungsional di bawah Tanggap Darurat Internet Kantor Koordinasi Departemen Industri Informasi Cina .


Chapter 5 ria