Penanganan Insiden Keamanan


Saya lanjutkan sharing materi oleh-oleh dari pertemuan APCERT AGM. Kali ini adalah sharing dari US-CERT tentang penanganan insiden keamanan. Judul lengkapnya adalah Best Practices and common mistakes in responding to major incidents. US-CERT memiliki tim IRT (Incident Response Team) yang tugasnya adalah menangani insiden keamanan, mengidentifikasi penyerang dan melakukan analisa malware dan tools yang digunakan penyerang.

Penanganan Insiden

Tahapan kerja yang dilakukan IRT dalam penanganan insiden adalah:

  • Preparation: persiapan
  • Identification: Detection and analysis; mengidentifikasi serangan, melakukan deteksi dan analisis.
  • Containment, Eradication and recovery: Menghentikan serangan, membersihkan sistem yang diserang dan mengoperasikan kembali sistem
  • Post-Incident: Lessons learned: Dokumentasi dan mengambil pelajaran dari insiden

Selain penganganan insiden tim IRT US-CERT itu juga menyediakan layanan lain seperti:

  • incident triage: kategorisasi insiden
  • network topology review: analisa jaringan diantaranya trafik ingres, egres, remote akses, segmentasi, dan interkoneksi
  • infrastructure configuration review: analisa konfigurasi perangkat jaringan
  • incident spesific risk overview:
  • log analysis
  • Hunt analysis: melakukan deteksi dan identifikasi
  • Security program review
  • Digital media analysis: melakukan digital forensik terhadap digital artifact
  • Malware analysis: mempelajari malware dengan reverse engineering

Pada tahun 2015 tim IRT berhasil menangani 14 macam insiden keamanan, yang terjadi di sektor pemerintahan maupun swasta. Terjadi penurunan jumlah insiden dibandingkan 2014 sebanyak 17 insiden, namun pada tahun ini insiden yang terjadi lebih kompleks. Penanganan insiden membutuhkan waktu 1 minggu – 2 bulan. Selain itu dilaporkan juga pada tahun 2016 ada 725 organisasi/perusahaan yang mengalami insiden. Klasifikasi organisasi tersebut berdasarkan sektornya adalah:

  • 43% sektor bisnis
  • 36% kesehatan
  • 9% pendidikan
  • 7% pemerintahan dan militer
  • 3% sektor perbankan

Sementara tahun ini dilaporkan ada 29 juta akun yang diretas. Akun yang diretas ini berasal dari organisasi yang bergerak di bidang berikut:

  • 59% kesehatan
  • 42% pemerintahan dan militer
  • 8% Bisnis
  • 1% pendidikan
  • 0,1% keuangan

Kemudian presenter dari US-CERT juga menceritakan best practice tentang penanganan insiden, Langkah-langkahnya adalah sebagai berikut:

Tahap Incident Response Plan:

  • Kenali tipe insiden
  • Buat pembagian tugas dan tanggung jawab tim IRT
  • Buat prosedur pengambilan keputusan
  • Buat prosedur terkait lainnya

Tahapan latihan insiden response

  • Lakukan latihan simulasi insiden
  • Lakukan simulasi forensik,
  • latihan pengumpulan data
  • Latihan penggunaan tools

Tahapan Identifikasi insiden

  • Buat gambaran menyeluruh terhadap insiden
  • Lakukan capture data forensik dan log
  • Analisa data, pahami tujuan penyerangan, dan metoda penyerangan
  • Tentukan akibat dari penyerangan
  • Cari tahu apakah penyerang masih ada di sistem?

Tahapan Incident Containment

  • Lakukan pengawasan terhadap sistem yang diserang
  • Pisahkan sistem yang diserang dari jaringan (isolasi)
  • Kurangi dampak dari penyerangan
  • Pelajari malware apa yang digunakan, akun apa yang berhasil diretas, serta host mana saja yang telah diretas (TTP)
  • Lakukan langkah Containment dan Eradication

Incident Eradication

  • Pisahkan sistem yang diretas
  • Beri peringatan/ lakukan blok terhadap jaringan penyerang
  • Reset password
  • De-priviledge user account
  • Reset service account password
  • Pasang mekanisme pengawasan tambahan
  • Lakukan langkah penanganan secara cepat

Incident recovery

  • Bangun kembali sistem yang diretas secara offline
  • Lakukan validasi dan restore data
  • Lakukan monitoring terhadap sistem

Tahapan setelah insiden

  • Lakukan evaluasi akhir
  • Pelajari apa saja yang telah berjalan dengan baik dan apa yang tidak berjalan dengan baik pada penanganan insiden
  • Buat laporan lengkap
  • Evaluasi kebijakan, prosedur, dan penangan insiden
  • Buat signature baru untuk menangani serangan
  • Tentukan bidang mana saja yang dapat diperbaiki untuk mencegah insiden
  • Beri laporan ke pimpinan

Karena presentasinya masih panjang, sampai disini dulu. Nanti akan saya lanjutkan pada tulisan berikutnya

Semoga Bermanfaat!

web US-CERT

https://www.us-cert.gov

 

 

 

 

 

 

 

Computer Security Incident Handling – 6 Steps


Silahkan tuliskan tanggapan, kritik maupun saran