Incident handling Zufar Fathi S 4711010025
Jenis Insiden Insiden dapat diklasifikasikan sebagai satu atau lebih hal berikut : • Penolakan • Rekonaisasi Serangan • Gangguan • Pemerasan • Pornografi Perdagangan • Kegiatan Kejahatan Organisasi • Subversi • Berita Hoax • Surat protes
Insiden keamanan Insiden dapat diklasifikasikan sebagai rendah , pertengahan , atau insiden tingkat tinggi , tergantung pada intensitas dan efeknya . • Kategori Insiden : Rendah •
Insiden tingkat rendah adalah insiden yang paling tidak berbahaya dan harus ditangani dalam satu hari kerja .
• Kategori Insiden : Mid Level •
Insiden tingkat menengah adalah jenis yang lebih serius dari insiden . Mereka harus ditangani pada hari yang sama peristiwa itu terjadi , dan biasanya dalam waktu dua sampai empat jam setelah kejadian telah terjadi .
• Kategori Insiden : Tingkat Tinggi
Manajemen Insiden Manajemen insiden melibatkan tidak hanya menanggapi insiden tetapi juga memicu peringatan untuk mencegah potensi risiko dan ancaman . Software yang terbuka untuk serangan harus diakui sebelum seseorang mengambil keuntungan dari kerentanan . Manajemen insiden meliputi: • Analisis kerentanan • Analisis artefak • pelatihan kesadaran keamanan • deteksi intrusi • Pemantauan Publik atau teknologi
Analisis Ancaman dan Penilaian Analisis ancaman adalah deteksi sistematis, identifikasi , dan evaluasi kerentanan di fasilitas , operasi , atau sistem . Ini melibatkan mencermati kondisi dan proses yang penting untuk mencegah gangguan usaha . Analisis ancaman adalah komponen kunci dalam keputusan manajemen risiko , sementara penilaian ancaman memeriksa setiap ancaman dan kemungkinan terjadinya . Tugas penting dari analisis ancaman dan penilaian meliputi: • Meneliti proses keamanan fisik • Membuat program manajemen risiko • Mengidentifikasi dan memeriksa ancaman yang berhubungan dengan pelanggan • Memberikan data, tren , metodologi , dan kemungkinan tindakan berisiko terjadi • Mengidentifikasi dan mendefinisikan arus proses keamanan. Ancaman analisis melibatkan kedua mengidentifikasi dan mengevaluasi risiko itu .
Memperkirakan Biaya dari Insiden Kerugian yang nyata dapat diukur dan meliputi: • jam Hilang produktivitas • Investigasi dan pemulihan • Hilangnya bisnis • Kehilangan atau pencurian sumber daya Kerugian tak berwujud , yang lebih sulit untuk mengidentifikasi dan mengukur , meliputi : • Reputasi perusahaan • Kehilangan goodwill • Kerusakan psikologis , yaitu rasa takut atau kehilangan semangat • Tanggung jawab hukum
Pelaporan insiden Seorang pengguna menghadapi pelanggaran harus melaporkan hal berikut : • Intensitas pelanggaran keamanan • Keadaan yang mengungkapkan kerentanan • Kekurangan dalam desain , dan dampak atau tingkat kelemahan • Masuk log terkait dengan kegiatan si penyusup • bantuan khusus diperlukan , yang didefinisikan sejelas mungkin • Waktu pelanggaran , zona waktu daerah , dan sinkronisasi informasi dari sistem dengan waktu server nasional melalui NTP ( Network Time Protocol )
Respon insiden Tanggapan terhadap insiden keamanan didasarkan pada bukti yang terdokumentasi dan tidak rusak. Prosedur respon insiden berisi tujuh langkah berikut: 1. Identifikasi sumberdaya yang terkena dampak 2. penilaian insiden 3. Penugasan identitas kejadian dan tingkat keparahan 4. Penugasan anggota gugus tugas 5. mengandung ancaman 6. pengumpulan bukti 7. analisis forensik
Perencanaan kontinjensi Lima komponen utama dari rencana kontingensi TI adalah sebagai berikut : • Informasi pendukung : Menyediakan pengenalan dan konsep rinci rencana • Pemberitahuan : Perlengkapan prosedur pemberitahuan dan penilaian kerusakan , dan menawarkan aktivasi rencana • Pemulihan : Memberikan informasi tentang memulihkan data dengan bantuan backup • Rekonstitusi • Rencana lampiran
Anggaran / Alokasi Sumber Daya Dua hambatan utama dari penanganan insiden dan proses perencanaan respon anggaran dan sumber daya kendala . Secara umum, anggaran dan sumber daya yang dialokasikan sesuai dengan pengalaman sebelumnya dan dirasakan risiko. Tidak ada aturan standar atau praktik alokasi anggaran untuk skenario ini karena kembalinya investasi untuk penanganan insiden dalam sistem informasi tidak dapat diukur . Dokumentasi sebelumnya insiden dan kerugian dapat membantu pengambil keputusan untuk memperkirakan potensi penghematan pencegahan dan penanganan insiden .
insiden Penanganan Beberapa manfaat dari penanganan insiden meliputi : • Ini melengkapi organisasi dengan prosedur yang dapat diikuti jika insiden yang pernah terjadi. • Ini menghemat waktu dan usaha , yang dinyatakan terbuang dalam memperbaiki kerusakan yang disebabkan oleh insiden . • Ini membantu organisasi untuk belajar dari pengalaman masa lalu dan untuk pulih dari kerugian . • Keterampilan dan teknologi yang dibutuhkan untuk mengatasi insiden dapat ditentukan terlebih dahulu dengan bantuan Insiden proses pelaporan . • Melindungi organisasi dari konsekuensi hukum yang mungkin harus menghadapi dalam kasus insiden parah. • Ini membantu untuk menentukan pola yang sama dalam insiden untuk menangani mereka lebih efisien .
Prosedur Penanganan Insiden Setiap kali sebuah insiden ditemui , satu set tertentu dari prosedur harus diikuti untuk melacak kegiatan atau peristiwa yang terjadi . Sebuah analisis kejadian harus dilakukan , termasuk : sejauh mana kerusakan telah terjadi , apa yang membuat insiden itu terjadi , dan apa langkah-langkah keamanan harus diambil sehingga sama Insiden tidak terjadi lagi . Untuk menangani insiden itu , satu set standar tertentu kegiatan atau langkah-langkah yang harus diambil . insiden Proses penanganan tanggap terdiri dari enam tahapan sebagai berikut : 1 . persiapan 2 . identifikasi 3 . penahanan 4 . pemberantasan 5 . pemulihan 6 . Tindak lanjut
CSIRT Sebuah tim respon insiden keamanan komputer terlatih dalam menangani masalah-masalah keamanan yang berkaitan dengan intrusi dan insiden . Tim mengamankan jaringan dari serangan asing. Ini juga melatih karyawan tentang teknik untuk menangani insiden dan mengambil tindakan yang diperlukan , serta metode pelaporan insiden . insiden tim respon harus hadir dalam sebuah organisasi untuk memastikan keamanan jaringan dalam organisasi tersebut . CSIRT ketersediaan adalah 24/7 . Ini menyediakan satu titik kontak untuk melaporkan insiden keamanan .
Visi CSIRT • CSIRT harus tahu klien sebaik mungkin . • Para anggota tim harus mengetahui jenis insiden mereka akan menangani, apa jenis kegiatan akan dilakukan , dan apa yang harus dicapai . • Mereka juga harus mengetahui struktur organisasi . • Mereka harus tahu tentang sumber daya yang mereka miliki untuk memfasilitasi kegiatan dan tugas-tugas mereka . • Komponen CSIRT mempengaruhi satu sama lain , antara berbagai tim TI dan manajemen . • CSIRT harus mencatat semua informasi yang dikumpulkan , terutama jika tim yang tersebar di berbagai tempat .
Motivasi Dibalik CSIRT Telah ada peningkatan jumlah insiden keamanan komputer yang dilaporkan dan dalam jumlah organisasi yang dipengaruhi oleh insiden ini . Organisasi harus menyadari bahwa kebijakan keamanan dan praktek yang diperlukan sebagai bagian dari strategi manajemen risiko mereka. Untuk melindungi aset informasi , peraturan baru harus diterapkan . Sistem dan aset tidak dapat dilindungi hanya oleh sistem dan administrator jaringan . Sebuah rencana dan strategi yang disiapkan diperlukan .
Kategori CSIRT Layanan Layanan CSIRT dapat dikelompokkan menjadi tiga kategori: • Layanan reaktif yang dipicu oleh suatu peristiwa atau permintaan, seperti laporan dari host dikompromikan, widespreading kode berbahaya, kerentanan perangkat lunak, atau alarm dari deteksi intrusi atau penebangan sistem. Layanan ini mewakili mayoritas pekerjaan CSIRT. • Layanan proaktif memberikan bantuan dan informasi untuk membantu mempersiapkan, melindungi, dan sistem klien aman dalam mengantisipasi serangan, masalah, atau peristiwa. Kinerja layanan ini secara langsung akan mengurangi jumlah insiden di masa depan. • jasa manajemen mutu Keamanan meningkatkan pelayanan yang ada dan mapan yang independen terhadap insiden penanganan dan secara tradisional dilakukan oleh daerah lain dari suatu organisasi seperti IT, audit, atau pelatihan departemen.
Contoh CSIRT CSIRT dapat diklasifikasikan ke dalam jenis berikut sesuai dengan layanan yang ditawarkan: • CSIRT internal menawarkan layanan penanganan insiden kepada organisasi induknya, seperti bank, universitas, atau agen federal. • CSIRT nasional memberikan layanan kepada seluruh bangsa, seperti Jepang Computer Emergency Response Pusat Koordinasi Tim (JPCERT / CC). • Pusat Koordinasi dapat mengkoordinasikan dan memfasilitasi penanganan insiden di berbagai CSIRT untuk negara tertentu, negara, jaringan riset, atau badan lainnya. • Pusat Analisis mensintesis data dari berbagai sumber untuk menemukan tren dan pola dalam kegiatan insiden. Informasi ini digunakan untuk memprediksi aktivitas masa depan atau memberikan peringatan dini ketika kegiatan saat ini cocok seperangkat karakteristik ditentukan sebelumnya. • Tim Penjual berkoordinasi dengan organisasi yang melaporkan dan melacak kerentanan. Tim vendor lainnya menyediakan layanan penanganan insiden internal organisasi mereka sendiri. • penyedia tanggap Insiden bekerja untuk menyewa.
Langkah-langkah untuk Membuat CSIRT 1. Mendapatkan Dukungan Manajemen dan Buy-In 2 . Tentukan Rencana Strategis Pembangunan CSIRT 3 . Kumpulkan Informasi yang relevan 4 . Desain CSIRT Visi 5 . Mengkomunikasikan Visi CSIRT 6 . Mulai Implementasi CSIRT 7 . Umumkan CSIRT
Jenis Insiden dan Tingkat Dukungan Sumber daya akan diberikan sesuai dengan prioritas sebagai berikut, dimulai dengan yang paling penting: 1. Ancaman terhadap keselamatan fisik manusia 2. Root atau sistem tingkat serangan pada setiap mesin 3. Kompromi yang dibatasi account layanan rahasia atau instalasi perangkat lunak, khususnya mereka yang akses ke data rahasia 4. Serangan Denial-of-service 5. Apapun di atas di situs lain 6. Serangan besar-besaran dalam bentuk apapun, seperti serangan sniffing, serangan rekayasa sosial, password cracking serangan, ledakan virus yang merusak, dan serangan yang melibatkan beberapa mesin atau jasa; jenis serangan melibatkan beberapa laporan dari entitas pelaporan yang berbeda 7. Kompromi dari account pengguna individu 8. Pemalsuan dan keliru, dan pelanggaran keamanan lainnya yang berhubungan dengan aturan dan peraturan daerah Jenis insiden lain selain yang disebutkan akan diprioritaskan sesuai dengan tingkat keparahan jelas mereka dan luasnya.
• Tingkat CSIRT dukungan didasarkan pada berikut: •
• Jenis dan tingkat keparahan insiden atau masalah
•
• Tipe klien
•
• Ukuran dari komunitas pengguna yang terkena dampak
•
• Sumber daya yang tersedia
Deskripsi Layanan Atribut Untuk setiap layanan yang disediakan, CSIRT harus menyediakan klien dengan deskripsi layanan atau formal tingkat layanan kesepakatan sebagai sedetail mungkin. Secara khusus, setiap layanan yang disediakan oleh CSIRT harus mencakup.
Prosedur Insiden - Spesifik Virus dan Worm Insiden 1 . Mengisolasi sistem . 2 . Beritahu pihak yang berwenang . 3 . Mengidentifikasi masalah. 4 . Mengandung virus atau worm . 5 . Menyuntik sistem . 6 . Kembali ke mode pengoperasian normal . 7 . Melakukan analisis tindak lanjut .
Insiden hacker Insiden hacker termasuk upaya login berulang , berulang FTP atau perintah telnet , dan diulang dialback upaya . 1 . Mengidentifikasi masalah. 2 . Beritahu pihak yang berwenang . 3 . Mengidentifikasi hacker . 4 . Beri tahu CERT . 5 . Melakukan analisis tindak lanjut .
Bab Ringkasan ■ Sebuah insiden keamanan komputer didefinisikan sebagai setiap kejadian yang tidak diinginkan nyata atau dicurigai dalam kaitannya dengan keamanan sistem komputer atau jaringan komputer. ■ insiden Penanganan melibatkan tiga fungsi dasar: pelaporan insiden, analisis insiden, dan penanganan insiden. ■ pelaporan Insiden adalah proses pelaporan informasi mengenai suatu pelanggaran keamanan yang dihadapi dalam format yang tepat. ■ CSIRT memberikan respon cepat untuk menjaga keamanan dan integritas sistem. ■ Membangun kemampuan respon insiden yang efektif adalah sulit tanpa dukungan manajemen dan persetujuan