Penanganan Insiden Tri Puji Widiastuti
Jenis Insiden • • • • • • • • •
Talak Reconnaissance serangan Pelecehan Pemerasan perdagangan Pornografi Kegiatan Kejahatan terorganisir Subversion Hoax / Lelucon Peringatan / Surat Protes
Insiden keamanan • Bukti manipulasi data • Akses tidak sah atau upaya akses yang tidak sah dari sumber internal dan eksternal • Ancaman dan serangan oleh media elektronik • Halaman Web defaced • Deteksi beberapa aktivitas yang tidak biasa , seperti kode yang mungkin berbahaya atau pola lalu lintas diubah • Serangan Denial - of-service • Serangan lain berbahaya , seperti serangan virus , yang merusak server atau workstation • Jenis lain dari insiden yang melemahkan kepercayaan dan keyakinan dalam sistem teknologi informasi
Kategori Insiden •
Tingkat Rendah Tidak berbahaya dan harus ditangani dalam satu hari kerja . Tingkat rendahi nsiden bisa menjadi salah satu dari berikut - Kompromi password - Diduga berbagi akun - Penyalahgunaan peripheral komputer - tindakan rutin komputer disengaja - Kegagalan scan dan probe jaringan - Adanya virus komputer atau worm
•
Tingkat Pertengahan Ditangani pada hari yang sama peristiwa itu terjadi ,dan biasanya dalam waktu dua sampai empat jam setelah kejadian telah terjadi . - pemutusan hubungan kerja karyawan ramah - Pelanggaran akses khusus atau istimewa ke komputer atau fasilitas komputasi yang secara normal hanya dapat diakses oleh administrator - akses ilegal jaringan - tidak sah menyimpan atau mengolah data - Penghancuran properti bernilai kurang dari $ 100.000 - pencurian Pribadi jumlah kurang dari $ 100.000 - Adanya virus komputer atau worm intensitas tinggi
• Tingkat Tinggi harus ditangani segera - Tersangka break-in komputer - Serangan Denial - of-service - Adanya virus berbahaya atau worm , yang dapat menyebabkan korupsi serius atau kehilangan data - Perubahan hardware, software , dan firmware tanpa otentikasi - Penghancuran properti senilai lebih dari $ 100.000 - Pencurian senilai lebih dari $ 100.000 - Pornografi anak - Berjudi - Pengunduhan ilegal materi berhak cipta , termasuk musik , video , dan software - Download file ilegal lainnya - Setiap pelanggaran hukum
• • • • • • • • • •
Tanda-tanda insiden keamanan yang perlu di identifikasi administrator : entri log Mencurigakan Sistem alarm dari IDS Kehadiran account pengguna dijelaskan pada jaringan Adanya file yang mencurigakan atau ekstensi file yang tidak diketahui pada sistem file atau folder Diubah layananbiasaberjalan atauportdibuka perilaku sistemUnusual Ikon drive yang Berubah Drivestidak dapat diakses Lebihpaketditerimadari yang diharapkan
• • • • •
Cara Mencegah suatu Insiden Meminda Auditing Mendeteksi intrusi Membangun pertahanan-mendalam Mengamankan klien untuk pengguna remote
Mendefinisikan Hubungan Antara Respon Insiden, Insiden Penanganan dan Manajemen Insiden. Respon insiden adalah salah satu fungsi yang dilakukan dalam penanganan insiden. Penanganan insiden merupakan salah satu layanan disediakan sebagai bagian dari manajemen insiden.
Manajemen Insiden • Analisis kerentanan meliputi : - Identifikasi ancaman sekarang dan potensi - Meneliti ancaman - Langkah-langkah pengendalian - Ancaman kategorisasi berdasarkan tingkat keparahan , probabilitas , dan kerentanan - Profil Risiko • Analisis artefak • pelatihan kesadaran keamanan • deteksi intrusi • Pemantauan Publik atau teknologi
•
• •
•
Kegiatan pengelolaan insiden yaitu : Personil sumber daya manusia dapat mengambil langkah-langkah untuk karyawan kebakaran diduga dalam kegiatan komputer yang berbahaya . Penasihat hukum menetapkan aturan dan peraturan dalam sebuah organisasi . Manajer firewall membuat filter di tempat di mana serangan denial - of-service yang sering dibuat . Penyedia layanan outsourcing perbaikan sistem terinfeksi oleh virus dan malware .
Tugas Analisis Ancaman dan Penilaian • Meneliti proses keamanan fisik • Membuat program manajemen risiko • Mengidentifikasi dan memeriksa ancaman yang berhubungan dengan pelanggan • Memberikan data, tren , metodologi , dan kemungkinan tindakan berisiko terjadi • Mengidentifikasi dan mendefinisikan arus proses keamanan
Memperkirakan Biaya dari Insiden Kerugian yang dapat diukur meliputi: • Hilang jam produktivitas • Investigasi dan pemulihan • Hilangnya bisnis • Kehilangan atau pencurian sumber daya Kerugian yang sulit diukur meliputi : • Reputasi perusahaan • Kehilangan goodwill • Kerusakan psikologis , yaitu rasa takut atau kehilangan semangat • Tanggung jawab hukum
• Ubah Kontrol Perubahan kontrol adalah prosedur yang menangani atau mengendalikan semua perubahan berwenang untuk aset seperti perangkat lunak danhardware .
Pelaporan Insiden • Intensitas pelanggaran keamanan • Keadaan yang mengungkapkan kerentanan • Kekurangan dalam desain , dan dampak atau tingkat kelemahan • Masuk log terkait dengan kegiatan si penyusup • bantuan khusus diperlukan , yang didefinisikan sejelas mungkin • Waktu pelanggaran , zona waktu daerah , dan sinkronisasi informasi dari sistem dengan waktu server nasional melalui NTP ( Network Time Protocol)
Laporan insiden harus dilaporkan ke pusat koordinasi CERT, manajer keamanan situs , atau situs lain . Hal ini dapatjuga dilaporkan ke lembaga penegak hukum , seperti FBI dan USSS Elektronik Kejahatan Cabang jika diperlukan . Laporkan Pelanggaran Privasi atau Keamanan, pengguna harus melaporkan informasi berikut : • Tanggal , waktu, dan lokasi kejadian • Apa yang terjadi • Bagaimana hal itu terjadi
Alasan Organisasi Tidak Laporkan Kejahatan Komputer : • • • •
Ketidak pahaman lingkup masalah Takut publikasi negatif Potensi kerugian dari pelanggan Keinginan untuk menangani hal-hal internal • Kurangnya kesadaran serangan
Respon Insiden langkah prosedur respon insiden yaitu : 1. Identifikasisumberdaya yang terkena dampak 2. Penilaianinsiden 3. Penugasanidentitaskejadian dantingkatkeparahan 4. Penugasan anggotagugus tugas 5. Mengandungancaman 6. Pengumpulan bukti 7. Analisis forensik
• • • • • • • •
Kebijakan Respon Insiden mencakup hal berikut : Kebijakan harus memiliki dukungan manajemen . Tentukan pendekatan organisasi Tentukan luar prosedur notifikasi Alamat sambungan jarak jauh dan mencakup semua karyawan terpencil atau kontraktor Tentukan perjanjian mitra Identifikasi anggota tim insiden dan menggambarkan peran, tanggung jawab , dan fungsi Mengembangkan rencana komunikasi internal yang mengidentifikasi siapa yang akan diberitahu dan bagaimana mereka akan dihubungi Menentukan metode untuk pelaporan dan pengarsipan historis kejadian
• • • • • •
•
Insiden Respon Checklist Pastikan insiden Hubungi departemen / lembaga staf keamanan Manajer TI ditunjuk atau orang lain dengan prosedur departemen Keamanan ditunjuknya anggota kontak CSIRT Panggilan atau hubungi organisasi CSIRT yang tepat untuk perusahaan Anda , baik untuk negara Anda beradadalam , organisasi federal, atau Anda CSIRT perusahaan individu Pastikan untuk menginformasikan orang-orang yang tepat dalam organisasi Anda , seperti kantor CIO atau CSIO
• Isolasi sistem , kecuali keputusan CSIRT adalah untuk meninggalkan sistem terhubung untuk memantauserangan aktif • Mulailah buku log ( siapa, apa , kapan, dan di mana ) • Identifikasi jenis kejadian ( virus , worm, atau hacker ) • Buat estimasi awal dari tingkat masalah , termasuk jumlah sistem • Hubungi otoritas polisi setempat dengan yurisdiksi di lokasi kejadian , dikoordinasikan dengan CSIRT • Ikuti server / operasi sistem prosedur khusus untuk snapshot sistem
• menyuntik / mengembalikan sistem • Tutup kerentanan dan memastikan bahwa semua patch telah dipasang • Kembali ke beroperasi normal • Siapkan laporan dan melakukan analisis lanjutan • Merevisi prosedur pencegahan dan penyaringan • Log semua tindakan
Insiden penyidik ​dan koordinator ( IIC ) menentukan tingkat keparahan kejadian dan melakukan investigasi tugas dan analisis teknis. Insiden penghubung (IL) bertindak sebagai saksi sekunder untuk semua perubahan yang dibuat ke komputer dan sistem jaringan selama analisis forensik . Manajer Sistem Senior (SSM) bertanggung jawab untuk mengendalikan akses berbagai modul akuntansi daninformasi. Informasi Manajer sistem keamanan ( ISSM ) adalah orang yang bertanggung jawab untuk pembentukan dan pemeliharaankeamanan yang dibutuhkan untuk manajemen risiko .
Pedoman perencanaan kontinjensi • Titik awal, berfokus pada pengembangan dan pemeliharaan rencana kontingensi • analisis dan penilaian risiko Dampak • Mengembangkan rencana • Pengujian rencana • Personil pelatihan • Mempertahankan rencana • Informasi pendukung • Pemberitahuan / aktivasi • Pemulihan • Rekonstitusi • Rencana lampiran
Penanganan Insiden 3 fungsi dasar penanganan insiden : • Pelaporan Insiden • Analisis insiden • Respon Insiden Manfaat dari penanganan insiden : • Ini melengkapi organisasi dengan prosedur yang dapat diikuti jika insiden yang pernah terjadi. • Ini menghemat waktu dan usaha , yang dinyatakan terbuang dalam memperbaiki kerusakan yang disebabkan oleh insiden . • Ini membantu organisasi untuk belajar dari pengalaman masa lalu dan untuk pulih dari kerugian .
Tahap prosedur penanganan insiden 1. Persiapan 2. Identifikasi 3. Penahanan 4. Pemberantasan 5. Pemulihan 6. Tindak lanjut / follow up
• • • • • • • •
Data Insiden meliputi: Jumlah insiden ditangani Waktu per insiden Jumlah total jam kerja bekerja pada insiden Jumlah waktu dari awal sampai akhir insiden Waktu yang dibutuhkan untuk setiap tahap proses penanganan insiden Waktu yang dibutuhkan oleh tim respon insiden untuk menanggapi laporan awal kejadian Penilaian Tujuan setiap insiden (menentukan efektivitas respon) penilaian subyektif dari setiap kejadian (evaluasi kinerja)
Media Downgrade dan Deklasifikasi Informasi diturunkan atau dideklasifikasi ketika informasi tidak lagi dianggap sensitif. Hal ini dapat karena berlalunya waktu atau terjadinya peristiwa tertentu Penghancuran / Sanitasi Media Media sanitasi adalah proses menghapus data rahasia dari media penyimpanan, dengan jaminan yang wajar bahwa data tidak dapat diambil dan direkonstruksi.
Tim respon insiden keamanan komputer (CSIRT) • • • • •
• •
CSIRT Visi CSIRT harus tahu klien sebaik mungkin. Ini harus tahu misinya. Apa tujuan dan apa yang akan menjadi tugasnya? Para anggota tim harus mengetahui jenis insiden mereka akan menangani, apa jenis kegiatan akan dilakukan, dan apa yang harus dicapai. Mereka juga harus mengetahui struktur organisasi. Bagaimana mereka beroperasi?Bagaimana itu diikat bersama-sama? Mereka harus tahu tentang sumber daya yang mereka miliki untuk memfasilitasi kegiatan dan tugas-tugas mereka. Apa dana yang akan diberikan oleh manajemen organisasi untuk memelihara dan menerapkan CSIRT? Komponen CSIRT mempengaruhi satu sama lain, antara berbagai tim TI dan manajemen. CSIRT harus mencatat semua informasi yang dikumpulkan, terutama jika tim yang tersebar di berbagai tempat.
Keterampilan Dibutuhkan Staffing Security Incident Response Team Komputer • • • • • • •
Komunikasi tertulis dan lisan Pemecahan masalah Mengatasi stres Mengetahui batas seseorang Integritas keterampilan Tim Kemampuan untuk mengikuti kebijakan dan prosedur • Diplomasi • Keterampilan Presentasi • Manajemen waktu
Kategori Layanan CSIRT • Layanan reaktif yang dipicu oleh suatu peristiwa atau permintaan • Layanan proaktif memberikan bantuan dan informasi untuk membantu mempersiapkan, melindungi, dan sistem klien aman dalam mengantisipasi serangan, masalah, atau peristiwa. • jasa manajemen mutu Keamanan meningkatkan pelayanan yang ada dan mapan yang independen terhadap insiden penanganan dan secara tradisional dilakukan oleh daerah lain dari suatu organisasi
Prosedur Insiden - Spesifik Virus dan Worm Insiden 1.Mengisolasi sistem . 2.Beritahu pihak yang berwenang . 3.Mengidentifikasi masalah. 4.Mengandung virus atau worm . 5.Menyuntik sistem . 6.Kembali ke mode pengoperasian normal . 7.Melakukan analisis tindak lanjut .
Insiden hacker 1.Mengidentifikasi masalah. 2.Beritahu pihak yang berwenang . 3.Mengidentifikasi hacker . 4.Beritahu CERT . 5.Melakukan analisis tindak lanjut .
Langkah-langkah untuk Membuat CSIRT • Langkah 1: Mendapatkan Dukungan Manajemen dan Buy-In • Langkah 2 : Tentukan Rencana Strategis Pembangunan CSIRT • Langkah 3 : Kumpulkan Informasi yang relevan • Langkah 4 : Desain CSIRT Visi • Langkah 5 : Mengkomunikasikan Visi CSIRT • Langkah 6 : Mulai Implementasi CSIRT • Langkah 7 : Umumkan CSIRT
Dunia CERT • APCERT (Asia Pacific Computer Emergency Response Team) • AusCERT (Australia Computer Emergency Response Team) • HKCERT (Pusat Hong Kong Computer Emergency Response Team Koordinasi) • TWCERT / CC ( Taiwan Computer Emergency Response Team / Koordinasi Pusat ) • CNCERT / CC (Cina Computer Emergency Response Team / Koordinasi Pusat ) • SingCERT ( Singapore Computer Emergency Response Team ) • PakCERT ( Computer Emergency Response Team Pakistan ) • MyCERT ( Computer Emergency Response Team Malaysia ) • JPCERT / CC (Jepang Computer Emergency Response Team / Koordinasi Pusat)
• • • •
Amerika Utara CERT US-CERT ( Amerika Serikat Komputer Darurat Kesiapan Tim ) CERT - CC ( Computer Emergency Response Team / Koordinasi Pusat ) CanCERT ( Computer Emergency Response Team Kanada) PERTAMA ( Forum Respon Insiden dan Tim Keamanan )
Amerika Selatan CERT • CAIS [ The Pendidikan Nasional dan Penelitian Jaringan ( Rede Nacional de Ensino e Pesquisa - RNP ) ] • NBS / CAIS - Brasil Jaringan Penelitian CSIRT / NIC BR Keamanan Kantor Brasil CERT
• • • • • • •
Eropa CERT EuroCERT ( Eropa CERT ) FUNET ( Finlandia University dan Research Network ) SURFnet - CERT ( Computer Emergency Response Team dari Belanda ) DFN - CERT ( Deutche Forschungsnetz CERT ) JANET - CERT CERT Polska ( CERT NASK / Penelitian dan Jaringan Akademik di Polandia ) Swiss Akademik dan Penelitian Jaringan CERT