Issuu on Google+

M. Wahyu Ikhsan Prakoso - 4711010008


INTRODUCTION TO INCIDENT HANDLING  Sebuah insiden adalah suatu peristiwa atau

rangkaian peristiwa yang mengancam keamanan sistem komputer dan jaringan. Ini mencakup system crashes, packet flooding, dan penggunaan yang tidak sah dari account pengguna lain. Bab ini akan menunjukkan bagaimana insiden ini ditangani.


TYPES OF INCIDENTS Insiden dapat diklasifikasikan sebagai berikut :  Penolakan  Gangguan

 Pemerasan  Perdagangan pornografi  Aktivitas kejahatan terorganisir  Hoax / Lelucon  Surat protes


SECURITY INCIDENTS Sebuah insiden keamanan meliputi : Manipulasi bukti data – data. Akses tidak sah atau upaya akses yang tidak sah dari sumber internal dan eksternal. Ancaman dan serangan oleh media elektronik. Halaman Web yang di rubah wajahnya.

Deteksi beberapa aktivitas yang tidak biasa, seperti kode yang mungkin berbahaya atau pola lalu lintas diubah. Serangan Denial-of-service. Serangan lain berbahaya, seperti serangan virus, yang merusak server atau workstation. Jenis lain dari insiden yang melemahkan kepercayaan dan keyakinan dalam sistem teknologi informasi.


CATEGORIES OF INCIDENTS  Category of Incidents: Level rendah

- Penyalahgunaan peripheral komputer - Tindakan rutin komputer yang tidak disengaja - Kehadiran virus komputer atau worm  Category of Incidents: Level menengah

- Pemutusan hubungan kerja karyawan - Pelanggaran akses khusus ke komputer atau fasilitas komputasi apapun yang biasanya hanya dapat diakses oleh administrator  Category of Incidents: Level tinggi

- Pornografi anak - Perjudian - Download ilegal materi berhak cipta, termasuk musik, video, dan software


HOW TO IDENTIFY AN INCIDENT Alat

deteksi intrusi dapat memperingatkan administrator jaringan atau staf tentang banyaknya pelanggaran keamanan jauh lebih cepat daripada mengidentifikasinya secara manual. Administrator jaringan harus waspada dan memeriksa setiap aktivitas yang mencurigakan pada jaringan. Administrator perlu melihat tanda - tanda berikut :  Entri log Mencurigakan

 Sistem alarm dari IDS  Kehadiran file yang mencurigakan atau ekstensi file

yang tidak diketahui pada sistem

 File atau folder diubah


INCIDENT MANAGEMENT Manajemen

insiden melibatkan tidak hanya bagaimana merespon sebuah insiden tetapi juga membuat peringatan untuk mencegah potensi risiko dan ancaman. Software yang terbuka untuk serangan harus diketahui sebelum seseorang mengambil keuntungan dari kerentanan tersebut. Manajemen insiden meliputi : 1.

Vulnerability analysis

2.

Artifact analysis

3.

intrusion detection

4.

Public or technology monitoring


THREAT ANALYSIS AND ASSESSMENT Analisis ancaman adalah deteksi sistematis,

identifikasi, dan evaluasi kerentanan di fasilitas, operasi, atau sistem. Ini melibatkan kondisi dan proses yang penting untuk mencegah gangguan. Analisis ancaman adalah komponen kunci dalam keputusan manajemen risiko, sementara penilaian ancaman memeriksa setiap ancaman dan kemungkinan yang terjadi. Tugas penting dari analisis ancaman dan penilaian meliputi: 1.

Meneliti proses keamanan fisik

2.

Membuat program manajemen risiko

3.

Mengidentifikasi dan memeriksa ancaman yang berhubungan dengan pelanggan

4.

Mengidentifikasi dan mendefinisikan arus proses keamanan


VULNERABILITY ANALYSIS Analisis kerentanan atau penilaian adalah proses mengidentifikasi kerentanan teknis hadir dalam komputer dan jaringan. Hal ini juga mengidentifikasi setiap kelemahan dalam kebijakan dan praktek sistem operasi. Hal ini diperlukan untuk melakukan analisis kerentanan pada semua sistem untuk melindungi data penting. Proses analisis kerentanan meliputi : 1.

2. 3. 4.

5.

Identifikasi ancaman yang ada dan berpotensi. Meneliti ancaman Langkah-langkah pengendalian Ancaman kategorisasi berdasarkan tingkat keparahan, probabilitas, dan kerentanan Profil risiko


ESTIMATING THE COST OF AN INCIDENT Kerugian yang nyata dapat diukur dan meliputi:  Jam kehilangan produktivitas.  Investigasi dan pemulihan.  Kerugian bisnis.  Kehilangan atau pencurian sumber

daya.


CHANGE CONTROL Change control adalah prosedur yang menangani atau mengendalikan semua perubahan untuk aset seperti perangkat lunak dan perangkat keras. Ini juga dapat melacak dari hak akses dan proses. Ini melibatkan permintaan perubahan, merekam hasil, mendokumentasikan, pengujian hasil setelah perubahan, dan mendapatkan persetujuan untuk permintaan. Change control melibatkan analisis masalah, memperbarui hasil, dan mengirimkan permintaan perubahan untuk personil yang bersangkutan atau perwakilannya. Perubahan ini ditinjau oleh manajemen, dan jika dipandang perlu, diberikan otorisasi untuk perubahan.


INCIDENT REPORTING Seorang pengguna yang menghadapi pelanggaran harus melaporkan hal berikut:  Intensitas pelanggaran keamanan.  Keadaan yang mengungkapkan kerentanan.  Kekurangan dalam desain, dan dampak atau tingkat

kelemahan.

 Daftar masuk terkait dengan kegiatan si penyusup.  Bantuan khusus yang diperlukan, yang didefinisikan sejelas

mungkin.

 Waktu pelanggaran, zona waktu daerah, dan informasi

sinkronisasi sistem dengan server waktu nasional melalui NTP (Network Time Protocol).


WHY ORGANIZATIONS DO NOT REPORT COMPUTER CRIMES Sering terjadi, kejahatan komputer tidak dilaporkan. Beberapa alasan untuk ini adalah sebagai berikut:  Ketidakpahaman ruang lingkup masalah : Banyak organisasi

berasumsi bahwa insiden mereka adalah unik dan tidak ada perusahaan lain yang menghadapi serangan tersebut.

 Takut publikasi yang negatif : Beberapa orang mungkin

berpikir bahwa jika keluar kata tentang serangan, orang akan memandang rendah perusahaan tersebut, sehingga mempengaruhi nilainya.

 Potensi kerugian pelanggan


INCIDENT RESPONSE Tanggapan terhadap insiden keamanan didasarkan pada bukti yang terdokumentasi dan tidak rusak. Prosedur penanganan insiden berisi tujuh langkah berikut: 1. Identifikasi sumber daya yang terkena dampak. 2. penilaian insiden.

3. Penugasan identitas kejadian dan tingkat keparahan. 4. Penugasan anggota gugus. 5. Mengandung ancaman. 6. Pengumpulan bukti. 7. Analisis forensik.


INCIDENT HANDLING Penanganan insiden adalah seperangkat prosedur yang dilakukan untuk mengatasi berbagai jenis insiden yang disebabkan oleh kerentanan yang berbeda. Penanganan insiden melibatkan tiga fungsi dasar berikut : • Pelaporan Insiden

• Analisis insiden • Respon Insiden


PROCEDURE FOR HANDLING INCIDENTS 1. Preparation 2. Identification 3. Containment 4. Eradication 5. Recovery 6. Follow-up


CSIRT Sebuah tim respon insiden keamanan komputer (CSIRT) terlatih dalam menangani masalah-masalah keamanan yang berkaitan dengan intrusi dan insiden. Tim mengamankan jaringan dari serangan asing. Ini juga melatih karyawan tentang teknik untuk menangani insiden dan mengambil tindakan apa yang diperlukan, serta metode pelaporan sebuah insiden. Tim respon insiden harus hadir dalam sebuah organisasi untuk memastikan keamanan jaringan dalam organisasi tersebut. CSIRT siap siaga 24/7. Ini menyediakan satu titik kontak yang terpadu untuk melaporkan insiden keamanan.


EXAMPLES OF CSIRTS CSIRT dapat diklasifikasikan ke dalam jenis

berikut sesuai dengan layanan yang ditawarkan:

• CSIRT internal menawarkan layanan penanganan insiden kepada organisasi induknya, seperti bank, universitas, atau agen federal.

• CSIRT nasional memberikan layanan kepada seluruh bangsa, seperti Jepang Computer Emergency Response Pusat Koordinasi Tim (JPCERT / CC).


CHAPTER SUMMARY  Sebuah insiden keamanan komputer didefinisikan sebagai

setiap kejadian yang tidak diinginkan, nyata atau dicurigai adanya kaitan dengan keamanan sistem komputer atau jaringan komputer.

 Penanganan insiden melibatkan tiga fungsi dasar: pelaporan

insiden, analisis insiden, dan penanganan insiden.

 Pelaporan insiden adalah proses pelaporan informasi

mengenai suatu pelanggaran keamanan yang dihadapi dalam format yang tepat.

 CSIRT memberikan respon cepat untuk menjaga keamanan

dan integritas sistem.

 Membangun kemampuan respon insiden yang efektif adalah

sulit, tanpa dukungan dan persetujuan manajemen.


chapter 5