Incident Handling (Penanganan Insiden)
Sebuah insiden keamanan komputer didefinisikan sebagai setiap kejadian yang tidak diinginkan nyata atau dicurigai dalam kaitannya dengan keamanan sistem komputer atau jaringan komputer.
Talak Reconnaissance
serangan
Pelecehan Pemerasan perdagangan
Pornografi Kegiatan Kejahatan terorganisir Subversion Hoax Peringatan
Sebuah insiden keamanan meliputi : Bukti manipulasi data Akses tidak sah atau upaya akses yang tidak sah dari sumber internal dan eksternal Ancaman dan serangan oleh media elektronik Halaman Web defaced Deteksi beberapa aktivitas yang tidak biasa , seperti kode yang mungkin berbahaya atau pola lalu lintas diubah Serangan Denial - of-service Serangan lain berbahaya , seperti serangan virus , yang merusak server atau workstation Jenis lain dari insiden yang melemahkan kepercayaan dan keyakinan dalam sistem teknologi informasi
Kategori Insiden : Rendah Insiden tingkat rendah adalah insiden yang paling tidak berbahaya dan harus ditangani dalam satu hari kerja . ď‚ž Kategori Insiden : Mid Level Insiden tingkat menengah adalah jenis yang lebih serius dari insiden . Mereka harus ditangani pada hari yang sama peristiwa itu terjadi ,dan biasanya dalam waktu dua sampai empat jam setelah kejadian telah terjadi . ď‚ž Kategori Insiden : Tingkat Tinggi Insiden tingkat tinggi yang parah dan harus ditangani sesegera mungkin. ď‚ž
Administrator perlu melihat tanda-tanda berikut insiden keamanan : • entri log Mencurigakan • Sistem alarm dari IDS • Kehadiran account pengguna dijelaskan pada jaringan • Adanya file yang mencurigakan atau ekstensi file yang tidak diketahui pada sistem • file atau folder Diubah • layanan biasa berjalan atau port dibuka • perilaku sistem Unusual • ikon drive yang Berubah • Drives tidak dapat diakses • Lebih paket diterima dari yang diharapkan
Kunci untuk mencegah insiden adalah meminimalkan kerentanan . Hal ini dapat dilakukan dengan menggunakan strategi berikut: • Memindai : Alat untuk memonitor dan memindai untuk kerentanan harus ditempatkan di seluruh jaringan dan digunakan secara teratur . Profesional terlatih harus on call untuk menangani ditemukan kerentanan . • Auditing : Monitoring dan kepatuhan kelompok melakukan audit untuk memastikan langkah-langkah yang tepat diambil ketika kerentanan ditemukan . • Mendeteksi intrusi : Internet Security and Acceleration ( ISA ) Server log harus ditinjau , dan akses remote audit dilakukan untuk memastikan bahwa akses akun remote diaktifkan hanya untuk pengguna otentik . • Membangun pertahanan - mendalam : Sistem administrator harus menetapkan strategi pertahanan berlapis-lapis ,disebut pertahanan mendalam , daripada mengandalkan satu titik perlindungan. • Mengamankan klien untuk pengguna remote : Administrator sistem harus memastikan bahwa setiap pengguna mencoba untukjarak jauh mengakses jaringan ditolak jika mereka tidak memiliki patch yang benar , program , dan pengaturan keamanan .
Manajemen insiden melibatkan tidak hanya menanggapi insiden tetapi juga memicu peringatan untuk mencegah potensi risiko dan ancaman . Software yang terbuka untuk serangan harus diakui sebelum seseorang mengambil keuntungan dari kerentanan . Manajemen insiden meliputi: • Analisis kerentanan • Analisis artefak • pelatihan kesadaran keamanan • deteksi intrusi • Pemantauan Publik atau teknologi
Kegiatan pengelolaan insiden yang dilakukan oleh orang-orang berikut : • Penasihat hukum menetapkan aturan dan peraturan dalam sebuah organisasi . Aturanaturan ini dapat berdampak pada keamanan dalam negeri kebijakan dan praktek dari organisasi ketika sistem apapun yang digunakan untuk kegiatan berbahaya atau berbahaya . • Manajer firewall membuat filter di tempat di mana serangan denial - of-service yang sering dibuat . • Penyedia layanan outsourcing perbaikan sistem terinfeksi oleh virus dan malware .
Analisis ancaman adalah deteksi sistematis, identifikasi , dan evaluasi kerentanan di fasilitas , operasi , atau sistem . Ini melibatkan mencermati kondisi dan proses yang penting untuk mencegah gangguan usaha . Analisis ancaman adalah komponen kunci dalam keputusan manajemen risiko , sementara penilaian ancaman memeriksa setiap ancaman dan kemungkinan terjadinya .
Meneliti
proses keamanan fisik Membuat program manajemen risiko Mengidentifikasi dan memeriksa ancaman yang berhubungan dengan pelanggan Memberikan data, tren , metodologi , dan kemungkinan tindakan berisiko terjadi Mengidentifikasi dan mendefinisikan arus proses keamanan
Identifikasi
ancaman sekarang dan potensi Meneliti ancaman Langkah-langkah pengendalian Ancaman kategorisasi berdasarkan tingkat keparahan , probabilitas , dan kerentanan Profil Risiko
1 . Mendefinisikan dan mengklasifikasikan jaringan atau sistem sumber daya 2 . Menetapkan tingkat relatif yang penting bagi sumber daya 3 . Mengidentifikasi potensi ancaman setiap sumber daya 4 . Mengembangkan rencana untuk menghadapi potensi masalah yang paling serius 5 . Mendefinisikan dan menerapkan cara-cara untuk meminimalkan konsekuensi jika terjadi serangan
Kerugian Yang nyata akibat insiden : • jam Hilang produktivitas • Investigasi dan pemulihan • Hilangnya bisnis • Kehilangan atau pencurian sumber daya Kerugian tak berwujud , yang lebih sulit untuk mengidentifikasi dan mengukur : • Reputasi perusahaan • Kehilangan goodwill • Kerusakan psikologis , yaitu rasa takut atau kehilangan semangat • Tanggung jawab hukum
Perubahan kontrol adalah prosedur yang menangani atau mengendalikan semua perubahan berwenang untuk aset seperti perangkat lunak dan hardware .
Seorang pengguna menghadapi pelanggaran harus melaporkan hal berikut : • Intensitas pelanggaran keamanan • Keadaan yang mengungkapkan kerentanan • Kekurangan dalam desain , dan dampak atau tingkat kelemahan • Masuk log terkait dengan kegiatan si penyusup • bantuan khusus diperlukan , yang didefinisikan sejelas mungkin • Waktu pelanggaran , zona waktu daerah , dan sinkronisasi informasi dari sistem dengan waktu server nasional melalui NTP ( Network Time Protocol )
Pusat
Koordinasi CERT Manajer keamanan situs Lembaga penegak hukum
Tanggal , waktu, dan lokasi kejadian Apa yang terjadi Bagaimana hal itu terjadi Tipe data yang terpengaruh dalam pelanggaran ( catatan kertas , catatan elektronik , atau data lain ) Orang-orang yang terlibat dalam pelanggaran tersebut ( nama , judul , informasi kontak , dan keterlibatan mereka ) Setiap kerusakan tiba-tiba diketahui atau diamati Setiap tindakan korektif sudah diambil Informasi awal Insiden Keamanan Formulir Pelaporan
Ketidakpahaman
lingkup masalah Takut publikasi negatif Potensi kerugian dari pelanggan
Prosedur respon insiden berisi tujuh langkah berikut : 1. Identifikasi sumberdaya yang terkena dampak 2. penilaian insiden 3. Penugasan identitas kejadian dan tingkat keparahan 4. Penugasan anggota gugus tugas 5. mengandung ancaman 6. pengumpulan bukti 7. analisis forensik
Jelas
garis dukungan manajemen kebijakan Tentukan pendekatan organisasi Tentukan luar prosedur notifikasi Alamat sambungan jarak jauh dan mencakup semua karyawan terpencil atau kontraktor Tentukan perjanjian mitra Identifikasi anggota tim insiden dan menggambarkan peran, tanggung jawab , dan fungsi Menentukan metode untuk pelaporan dan pengarsipan historis kejadian
Sebuah tim respon insiden keamanan komputer ( CSIRT ) adalah organisasi layanan yang bertanggung jawab untuk menerima , meninjau , dan menanggapi laporan insiden keamanan komputer dan kegiatan .
Gunakan daftar periksa berikut untuk memastikan bahwa respon insiden ditangani dengan benar : Pastikan insiden Hubungi departemen / lembaga staf keamanan Manajer TI ditunjuk atau orang lain dengan prosedur departemen Keamanan ditunjuknya anggota kontak CSIRT Panggilan atau hubungi organisasi CSIRT yang tepat untuk perusahaan Anda Mulailah buku log ( siapa, apa , kapan, dan di mana ) Identifikasi jenis kejadian Hubungi otoritas polisi setempat dengan yurisdiksi di lokasi kejadian Ikuti server / operasi sistem prosedur khusus untuk snapshot sistem menyuntik / mengembalikan sistem Tutup kerentanan dan memastikan bahwa semua patch telah dipasang Kembali ke beroperasi normal Siapkan laporan dan melakukan analisis lanjutan Merevisi prosedur pencegahan dan penyaringan Log semua tindakan
Insiden Penyidik dan Koordinator ( IIC ) Insiden penyidik dan koordinator ( IIC ) menentukan tingkat keparahan kejadian dan melakukan investigasi tugas dan analisis teknis. Insiden Penghubung ( IL ) Insiden penghubung ( IL ) mendukung dan berkoordinasi dengan IIC. Senior System Manager ( SSM ) Manajer Sistem Senior ( SSM ) bertanggung jawab untuk mengendalikan akses berbagai modul akuntansi dan informasi. Sistem Informasi Security Manager ( ISSM ) Informasi Manajer sistem keamanan ( ISSM ) adalah orang yang bertanggung jawab untuk pembentukan dan pemeliharaan keamanan yang dibutuhkan untuk manajemen risiko . Sistem Informasi Keamanan Officer ( ISSO ) Setiap anggota tim melaporkan informasi ke sistem petugas keamanan informasi ( ISSO ) untuk mempertahankan kebijakan dan prosedur .
Tujuan dari perencanaan kontingensi adalah untuk mempertahankan cadangan untuk semua dokumen dalam rangka untuk membiarkan perusahaan atau fungsi dekat dengan normal setelah serangan bisnis .
Titik awal analisis dan penilaian risiko Dampak Apa jenis bencana dapat terjadi Probabilitas mereka terjadi Probabilitas mereka terjadi Mengembangkan rencana Pengujian rencana Personil pelatihan Mempertahankan rencana Informasi pendukung Pemberitahuan / aktivasi Pemulihan Rekonstitusi Rencana lampiran
Penanganan insiden adalah seperangkat prosedur yang dilakukan untuk mengatasi berbagai jenis insiden yang disebabkan oleh berbagai kerentanan
Ini melengkapi organisasi dengan prosedur yang dapat diikuti jika insiden yang pernah terjadi. Ini menghemat waktu dan usaha , yang dinyatakan terbuang dalam memperbaiki kerusakan yang disebabkan oleh insiden . Ini membantu organisasi untuk belajar dari pengalaman masa lalu dan untuk pulih dari kerugian . Keterampilan dan teknologi yang dibutuhkan untuk mengatasi insiden dapat ditentukan terlebih dahulu dengan bantuan Insiden proses pelaporan . Melindungi organisasi dari konsekuensi hukum yang mungkin harus menghadapi dalam kasus insiden parah. Ini membantu untuk menentukan pola yang sama dalam insiden untuk menangani mereka lebih efisien .
1 . Persiapan Persiapan membuat organisasi menyadari potensi kerusakan pada keamanan atau integritas sistem dengan membuat respon rencana akrab bagi organisasi . 2 . Identifikasi Pada tahap identifikasi , insiden dianalisis untuk menentukan sifat , intensitas , dan efek pada jaringan dan sistem . 3 . Penahanan Penahanan membatasi tingkat dan intensitas insiden 4 . Pemberantasan Setelah insiden itu diidentifikasi dan berisi , langkah berikutnya adalah untuk memberantas itu . 5 . Pemulihan Pada tahap ini , sistem yang terkena dikembalikan ke keadaan normal mereka. 6 . Tindak lanjut Proses menindaklanjuti insiden segera setelah sistem pulih membantu tim respon insiden efektif menangani insiden serupa di masa mendatang .
Adalah penting bahwa tim respon insiden belajar dari setiap kejadian itu pertemuan . Kebutuhan organisasi menjadi tuan rumah pertemuan dengan semua pihak yang terlibat dan mengajukan pertanyaan-pertanyaan berikut : • Apa jenis insiden terjadi ? • Kapan itu terjadi? • Seberapa baik staf dan manajemen merespon dalam memerangi insiden itu ? Apakah mereka mengikuti terdokumentasi prosedur ? • Informasi apa yang diperlukan ? • Apa yang harus dilakukan jika staf insiden serupa terjadi ? • Apa tindakan pencegahan akan mencegah insiden serupa di masa depan? • Apa alat tambahan atau sumber daya yang diperlukan untuk mendeteksi , menganalisis , dan mengurangi insiden masa depan ?
Sebuah tim respon insiden keamanan komputer ( CSIRT ) terlatih dalam menangani masalah-masalah keamanan yang berkaitan dengan intrusi dan insiden .
CSIRT harus tahu klien sebaik mungkin . Ini harus tahu misinya . Apa tujuan dan apa yang akan menjadi tugasnya ? Para anggota tim harus mengetahui jenis insiden mereka akan menangani, apa jenis kegiatan akan dilakukan , dan apa yang harus dicapai . Mereka juga harus mengetahui struktur organisasi . Bagaimana mereka beroperasi ? Bagaimana itu diikat bersama-sama ? Mereka harus tahu tentang sumber daya yang mereka miliki untuk memfasilitasi kegiatan dan tugas-tugas mereka . Apa dana yang akan diberikan oleh manajemen organisasi untuk memelihara dan menerapkan CSIRT ? Komponen CSIRT mempengaruhi satu sama lain , antara berbagai tim TI dan manajemen . CSIRT harus mencatat semua informasi yang dikumpulkan , terutama jika tim yang tersebar di berbagai tempat
• Manager atau memimpin tim • manajer Asisten , supervisor , atau pemimpin kelompok • Hotline , help desk , atau staf triase • Penanganan Insiden • Kerentanan penangan • Staf Analisis artefak • spesialis Landasan • Pelatih
Komunikasi Ketrampilan
Presentasi
Diplomasi Kemampuan
untuk mengikuti kebijakan Dan
prosedur keterampilan Tim Integritas Mengetahui Batas seseorang Mengatasi stres Pemecahan masalah
Alokasi
tugas Pemberdayaan Tanggung Jawab Akuntabilitas Layanan reaktif Layanan Proaktif jasa manajemen mutu Keamanan
Tingkat CSIRT dukungan didasarkan pada berikut : • Jenis dan tingkat keparahan insiden atau masalah • Tipe klien • Ukuran dari komunitas pengguna yang terkena dampak • Sumber daya yang tersedia
Ancaman
terhadap keselamatan fisik manusia Root atau sistem tingkat serangan pada setiap mesin Kompromi yang dibatasi account layanan rahasia atau instalasi perangkat lunak Serangan Denial - of-service Serangan besar-besaran dalam bentuk apapun Kompromi dari account pengguna individu Pemalsuan dan keliru
1.
Virus dan Worm Insiden Mengisolasi sistem Beritahu pihak yang berwenang Mengidentifikasi masalah Mengandung virus atau worm Menyuntik sistem Kembali ke mode pengoperasian normal Melakukan analisis tindak lanjut
2.
Insiden hacker Mengidentifikasi masalah Beritahu pihak yang berwenang Mengidentifikasi hacker Beritahu CERT Melakukan analisis tindak lanjut
3.
Insiden Sosial Menanggapi insiden sosial agak berbeda dari menanggapi worm atau virus insiden . beberapa penyerang akan menggunakan teknik untuk mengelabui orang untuk mengungkapkan password atau informasi lain yang membahayakan suatu keamanan sistem target .
4.
Insiden fisik Kegiatan yang mencurigakan , seperti sebagai orang-orang berkeliaran tanpa pengawasan atau membuka pintu yang biasanya terkunci, bisa menjadi potensi resiko keamanan .
CSIRT
internal CSIRT nasional Pusat Koordinasi Pusat Analisis Tim Penjual penyedia tanggap Insiden
1. 2. 3. 4. 5. 6. 7.
Mendapatkan Dukungan Manajemen dan Buy-In Tentukan Rencana Strategis Pembangunan CSIRT Kumpulkan Informasi yang relevan Desain Visi CSIRT Mengkomunikasikan Visi CSIRT Mulai Implementasi CSIRT Umumkan CSIRT
APCERT ( Asia Pacific Computer Emergency Response Team ) AusCERT ( Australia Computer Emergency Response Team ) HKCERT ( Pusat Hong Kong Computer Emergency Response Team Koordinasi ) JPCERT / CC (Jepang Computer Emergency Response Team / Koordinasi Pusat ) MyCERT ( Computer Emergency Response Team Malaysia ) PakCERT ( Computer Emergency Response Team Pakistan ) SingCERT ( Singapore Computer Emergency Response Team )