SOP IH - Database PDF

STANDARD OPERATING PROCEDURE
Incident Handling Database
Indonesia Government Computer Security

Incident Response Team (Gov-CSIRT)
Direktorat Keamanan Informasi

Direktorat Jendral Aplikasi Informatika
DAFTAR ISI
TUJUAN .................................................................................................................................... 3
RUANG LINGKUP ................................................................................................................... 3
PROSEDUR PENANGANAN ........................................................................................................... 3
1. Tahap Persiapan (Preparation) ........................................................................................................ 4
2. Tahap Identifikasi ......................................................................................................................... 11
3. Containment .................................................................................................................................. 14
4. Pemberantasan .............................................................................................................................. 16
5. Pemulihan ..................................................................................................................................... 17
6. Tahap Tindak Lanjut ..................................................................................................................... 19
LAMPIRAN A - Informatif ..................................................................................................... 21
LAMPIRAN B – Diagram Alir................................................................................................ 26
LAMPIRAN C - Formulir ....................................................................................................... 32
LAMPIRAN D – Formulir Setiap Tahap................................................................................. 36
Direktorat Keamanan Informasi, Halaman 2/40

TUJUAN
Panduan ini dimaksudkan untuk membantu organisasi memahami tentang
penanganan suatu insiden yang terjadi pada data-data yang dimiliki oleh organisasi.
Penanganan insiden yang terjadi pada data-data organisasi, akan sangat bermanfaat
untuk mengurangi resiko yang diakibatkannya. Resiko yang terjadi pada bocornya
data-data penting/rahasia yang dimiliki oleh organisasi bisa jadi akan sangat
membahayakan kelangsungan hidup organisasi tersebut, terutama apabila data
tersebut jatuh kepada organisasi pesaingnya.
RUANG LINGKUP
Prosedur ini menetapkan suatu proses untuk penanganan insiden keamanan
data/database di mana kerahasiaan, integritas atau ketersediaan telah atau mungkin
dilanggar. Insiden pada keamanan data mungkin bisa disebabkan karena beberapa
hal seperti, pencurian data, pembobolan data, dan pembuangan limbah dari data
rahasia. Semua pelanggaran itu harus ditangani, dinilai, diselidiki dan dilaporkan
sesuai dengan standar prosedur yang ada.
PROSEDUR PENANGANAN
Penanganan suatu insiden ditujukan utuk mencapai hal-hal sebagai berikut,
a. Mengumpulkan informasi sebanyak mungkin tentang sifat insiden;
b. Menghalangi atau mencegah eskalasi kerusakan yang disebabkan oleh
insiden tersebut, jika mungkin;
c. Memperbaiki kerusakan yang disebabkan oleh insiden tersebut;
d. Mengumpulkan bukti insiden itu, yang sesuai;
e. Memulihkan layanan sesegera mungkin;
f. Mengambil langkah-langkah proaktif untuk mengurangi insiden masa
depan
Supaya tujuan diatas dapat terlaksana dengan baik, maka perlu ditentukan tahap-
tahap untuk melakukan penganan terhadap insiden yang terjadi. Tahap-tahap
tersebut dapat digambarkan sebagai berikut,

Gambar 1.
Tahap-tahap penanganan insiden
1. Tahap Persiapan (Preparation)

Ini adalah tahap persiapan dimana kebijakan, prosedur, teknologi, dan suber daya
manusia harus disiapkan secara matang, dimana akan digunakan pada proses
pencegahan dan penanganan terhadap insiden yang terjadi pada keamanan
data/database. Dalam suatu organisasi/institusi, kemampuan melakukan respon
yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi
penanganan insiden yang terjadi pada data. Langkah-langkah yang harus diambil
pada tahap ini adalah;
Penyiapan Personil (orang)
Meskipun memiliki kendali proses dan teknis yang kuat, keamanan dapat
dikompromikan dengan memanfaatkan personil dan membuat mereka melakukan
tindakan yang sebaliknya tidak diizinkan. Tim penanganan insiden yang terampil
dan adanya matrik eskalasi merupakan komponen kunci dari startegi penanganan
yang efektif. Sebuah tim penanganan insiden yang baik adalah sumber daya
sangat berharga ketika dibutuhkan untuk menangani situasi yang mungkin timbul
karena adanya gangguan pada database. Sebagaimana personil adalah sumber
daya organisasi utama yang akhirnya bisa dirugikan oleh gangguan yang terjadi
pada database organisasi, kesadaran akan keamanan merupakan salah satu dari
isu-isu yang perlu terus menerus dipantau dan ditingkatkan untuk perlindungan
yang tepat dari berbagai serangan.
1. Kesadaran Keamanan :
Kesadaran keamanan dapat dianggap sebagai yang paling penting dari semua
langkah-langkah persiapan, yang dapat membantu dalam mengidentifikasi
dan mencegah sebagian besar masalah yang akan timbul. Hal ini mendidik
pengguna tentang cara melindungi informasi, apa yang harus dilakukan dan
apa yang tidak harus dilakukan, siapa yang harus dihubungi pada keadaan
darurat dan bagaimana cara menganalisis jika mendapatkan kesulitan
2. Matrik ekskalasi penanganan insiden
Setiap organisasi harus memiliki matrik eskalasi penanganan insiden yang
secara jelas mendefinisikan siapa yang harus dihubungi dalam kasus insiden.
Hal ini juga menunjukkan tingkat eskalasi untuk keterlibatan lebih jauh
sesuai dengan kompleksitas atau dampak dari insiden.
3. Tim Terampil Penangan Insiden
Sebuah tim penanganan insiden yang berpengetahuan dan terampil dapat
mengurangi sebagian besar dampak terhadap bisnis. Tim penanganan insiden
harus dimiliki pemahaman yang sangat baik dan tingkat keterampilan dalam
berbagai teknologi yang digunakan oleh perusahaan. Karena banyak
perusahaan memiliki kantor-kantor cabang yang berlokasi di wilayah
geografis yang berbeda, tim komando pusat dan tim lokal/regional yang
sesuai sangat direkomendasikan untuk dibentuk. Tim Perintah Pusat Tentu
saja, harus memandu tim lokal dalam menangani insiden .
Penyiapan dokumen-dokumen yang dibutuhkan, yaitu
Dokumen Kebijakan dan Prosedur
Suatu dokumen kebijakan biasanya menguraikan persyaratan tertentu atau aturan
yang harus dipenuhi. Suatu dokumen prosedur adalah dokumen yang memandu
pengguna secara teknis dalam proses (langkah demi langkah) tentang cara untuk
mencapai persyaratan yang telah ditetapkan dan diuraikan dalam dokumen
kebijakan. Beberapa kebijakan, yang sering digunakan untuk membantu dalam
mencegah masuknya malware dan menghentikan penyebaran itu adalah,
a. Kebijakan Keamanan :
Sebuah kebijakan keamanan adalah dokumen tingkat tinggi dari top
manajemen yang menunjukkan pendekatan organisasi terhadap
keamanan informasi. Menurut standar ISO 27001 Keamanan Informasi,
dokumen harus memberikan arahan dan dukungan dari manajemen
untuk keamanan informasi sesuai dengan kebutuhan bisnis, hukum, dan
peraturan yang relevan.
b. Kebijakan penggunaan Antivirus:

Beberapa program jahat (virus) ada yang memiliki kemampuan untuk
merusak data-data yang terdapat pada sistem komputer. Kebijakan
Antivirus adalah kebijakan yang mendefinisikan apa yang harus dan
tidak boleh dilakukan dari para pengguna mengenai perangkat lunak
antivirus yang mereka gunakan, termasuk bagaimana cara mengelolah
perangkat lunak antivirus. Suatu prosedur manual harus mengikuti
kebijakan ini, yang bisa membimbing pengguna tentang cara memeriksa
versi dan definisi virus baru, dan bagaimana untuk menjaga perangkat
lunak agar selalu harus diperbaharui (update). Hal ini juga harus
memandu pengguna tentang cara untuk mengidentifikasi apakah
antivirus tersebut bekerja benar atau tidak.
c. Kebijakan penggunaan yang diperbolehkan (acceptable use)
Kebijakan ini berisi tentang sesuatu yang diperbolehkan atau tidak
diperbolehkan, termasuk pemanfaatan semua sumber daya organisasi.
Hal ini akan membantu pencegahan terhadap bocor dan rusaknya data-
data rahasia yang dimiliki oleh organisasi, karena para anggota
organisasi akan peduli terhadap tindakannya yang mungkin secara
sengaja maupun tidak menimbulkan resiko bagi sumber daya organisasi.
d. Kebijakan penggunaan Internet
Sebuah Kebijakan Penggunaan Internet adalah sebuah kebijakan yang
mendefinisikan bagaimana pengguna diarahkan dalam menggunakan
akses internet yang disediakan oleh organisasi. Hal ini juga harus
menentukan tindakan disiplin apa yang akan dikenakan apabila terjadi
pelanggaran. Hal ini membantu mencegah pengguna dari browsing situs
yang tidak sah dan men-download perangkat lunak dari internet, yang
bisa menjadikan pintu masuk bagi program jahat yang bisa merusak
data-data penting dari perusahaan/organisasi.
e. Kebijakan penggunaan Email
Kebijakan penggunaan email harus menentukan bagaimana email
perusahaan digunakan secara aman. Hal ini harus mencegah pengguna
dari menggunakan email perusahaan untuk penggunaan pribadi,
termasuk penerbitan dan pendaftaran pada kelompok dan forum di
internet. Hal ini akan mengurangi jumlah spam yang diterima oleh mail

server organisasi dan juga membantu mengurangi probabilitas pengguna
menerima konten berbahaya melalui email mereka.
f. Kebijakan penggunaan laptop
Kebijakan laptop harus menentukan bagaimana pengguna diarahkan
untuk mengetahui tindakan apa saja yang bisa dan boleh dilakukan oleh
pengguna dalam menggunakan laptopnya. Hal ini juga harus
menetapkan langkah apa yang perlu diambil pengguna untuk
memastikan keamanan, tidak hanya keamanan fisik dari laptop itu
sendiri, tetapi juga dari informasi yang terkandung didalamnya.
g. Kebijakan melakukan Backup
Kebijakan melakukan backup harus mendefinisikan apa, kapan, dan
bagaimana informasi harus dibackup. Hal ini harus mendefinisikan
secara jelas mengenai jenis informasi dan kapan waktu proses backup
harus dilakukan, dan bagaimana cara untuk melakukannya. Backup yang
baik kadang-kadang bisa menjadi satu-satunya cara untuk pulih dari
hilangnya data-data yang terdapat pada sistem komputer.
h. Kebijakan pelaporan dan mekanisme pelacakan insiden
Keberhasilan di balik rencana penanganan insiden adalah memiliki
mekanisme pelaporan dan pelacakan yang mudah digunakan dan efektif.
Pengguna umumnya mengharapkan mekanisme pelaporan yang dapat
dengan mudah dipahami dan menangkap insiden dengan informasi
sesedikit mungkin. Pengguna juga harus bisa memberikan tingkat
prioritas formal yang dapat divalidasi dan diubah, jika diperlukan oleh
helpdesk atau tim keamanan pusat. Nama, nomor telepon dan alamat
email untuk menghubungi dalam kasus terjadinya suatu aktivitas
berbahaya yang dicurigai harus diberikan melalui semua media
komunikasi seperti situs intranet perusahaan, buletin dan catatan kecil di
sekitar workstation pengguna.
i. Prosedur dan formulir penanganan insiden
Organisasi harus memiliki rencana dan prosedur penanganan insiden
yang tepat dan bisa dilakukan di tempat organisasi berada. Organisasi
harus menyediakan form yang dapat digunakan untuk mencatat dan

merekam semua kejadian secara rinci, selama penanganan insiden pada
semua tahapan.
j. Dokumen tentang audit
Catatan dari audit secara berkala pada sistem informasi akan membantu
dalam mengungkap setiap aktivitas berbahaya yang ada. Catatan ini
dapat mengungkap kegiatan yang dilakukan pengguna pada sistem yang
mungkin tidak disadari. Tim audit biasanya terdiri dari personil terlatih
yang tahu apa yang harus dicari.
k. Dokumen profil perangkat lunak pada proses bisnis
Disarankan untuk memiliki profil dari semua perangkat lunak dan
proses-proses yang harus berjalan pada sistem berdasarkan proyek atau
departemen. Hal ini dapat membantu dalam identifikasi secara cepat dari
keberadaan perangkat lunak atau proses yang tidak diketahui yang
mungkin terinfeksi dari malware .
l. Dokumen pengetahuan
Sebuah dokumentasi rinci dari pengetahuan dasar yang baik dan mudah
mendapatkannya, dapat menghemat banyak waktu ketika insiden terjadi.
Ketika sebuah Insiden terjadi, semua dokumentasi mengenai penanganan
kejadian harus ditambahkan ke dokumen basis pengetahuan. Jadi jika
insiden yang sama terjadi lagi, proses penanganannya akan menjadi lebih
cepat karena sudah ada catatan cara penanggulangannya. Hal ini akan
menghemat banyak waktu yang akan dikonsumsi dalam analisis ulang
insiden tersebut. Sebuah template Root Cause Analysis yang dapat
menangkap sebagian besar rincian Insiden harus disiapkan dan
digunakan.
Penyiapan Teknologi yang akan dipakai
Pada insiden ini teknologi yang dipakai hampir sama dengan teknologi yang
digunakan untuk menangani insiden malware. Gangguan pada data yang terdapat
pada sistem komputer bisa jadi disebabkan oleh adanya malware yang menyerang
pada suatu sistem komputer. Malware bisa menjadi salah satu perantara bagi
penyerang untuk merusak atau mencuri data pada sistem komputer target.
Berbagai infrastruktur teknis & perangkat lunak yang dapat mencegah malware
termasuk Antivirus Scanner Online, URL dan email filter, Virus Submissions

URL , Mesin Uji (mesin Nyata dan mesin virtual), Utilitas dari sistem operasi dan
peralatan Reverse Engineering, harus disiapkan guna penanganan insiden pada
data.
a. Filter URL dan email :
Hampir semua organisasi saat ini terhubung ke Internet untuk berbagai tujuan
termasuk email. Koneksi ke internet dan email adalah jalan yang paling
umum bagi malware untuk memasuki jaringan intranet perusahaan. Entri
tersebut harus ditolak pada perimeter jaringan, sehingga setiap lalu lintas
berbahaya dapat dihentikan sebelum mereka memasuki jaringan (LAN)
perusahaan. Filter URL dapat membantu dalam mencegah pengguna dari
men-download file dari internet yang mungkin berisi program tersembunyi
yang berbahaya. Penyaringan terhadap email juga harus dilakukan untuk
menyaring setiap email yang rentan membawa lampiran berbahaya. Terdapat
berbagai alat gratis dan komersial untuk penyaringan URL. Squid adalah
salah satu yang populer dan stabil, merupakan perangkat lunak open source
pada web proxy yang mendukung penyaringan URL. SquidGuard adalah tool
dapat digunakan untuk menyederhanakan tugas penyaringan URL. Tools ini
adalah plug-in untuk squid yang merupakan kombinasi dari filter, redirector,
dan akses kontrol, yang dapat digunakan untuk membuat aturan akses
berdasarkan pada waktu, kelompok pengguna, dan URL. Berbagai blacklist
juga dapat digunakan untuk melakukan penyaringan URL .
b. Penenonaktifkan perangkat removable
Sebagian besar pembuat malware saat ini telah mengembangkan teknik untuk
menyalin virus ke perangkat removable dan mereka jalankan segera setelah
alat terkoneksi ke sistem. Disarankan untuk menonaktifkan semua perangkat
removable, jika tidak diperlukan. Hal ini dapat dilakukan dengan melepas
kabel koneksi pada motherboard, menonaktifkan port onboard, (USB,
Bluetooth, IR) di BIOS dan juga pada tingkat OS dengan memanfaatkan
GPO (Group Policy Objects) pada windows dan pembatasan akses dalam
Linux (seperti semua perangkat juga file). Kadang-kadang menonaktifkan
USB port pada tingkat BIOS mungkin tidak tepat, jika sistem menggunakan
USB keyboard dan mouse. Masalah ini dapat diatasi dengan menggunakan
pembatasan tingkat OS, terdapat beberapa produk yang diciptakan untuk

tujuan ini (seperti Pointsec, Safend, Safeboot), yang memiliki efisiensi dan
fitur yang jauh lebih baik daripada metode dengan memblokir seperti yang
dibahas atas.
c. Hash sistem file :
Langkah penting lainnya dalam tahap persiapan adalah koleksi hash untuk
file-file yang penting, terutama file sistem. Biasanya, jika mesin berperilaku
tidak normal atau dicurigai terinfeksi dengan malware, file yang dimodifikasi
dapat dideteksi dengan membandingkan hash sistem file dengan hash yang
asli. file-file juga dapat diperiksa untuk setiap infeksi malware dengan
menggunakan layanan online scan antivirus yang telah dikenal atau dapat
pula menyampaiakn laporan kepada Vendor antivirus untuk dilakukan
analisis.
d. Intrusion Detection System
Salah satu cara mudah untuk memeriksa setiap perubahan pada file sistem
adalah dengan menggunakan Intrusion Detection System (IDS) berbasis host.
IDS ini awalnya menghitung nilai hash dari semua file sistem dan
menyimpannya di database. Hash dari file tersebut berubah setiap kali sistem
melakukan modifikasi pada file. Dengan cara ini setiap perubahan tidak sah
dapat diidentifikasi. IDS juga memeriksa setiap proses tersembunyi,
mengurai log untuk setiap aktivitas yang mencurigakan. Ada banyak
perangkat lunak IDS baik yang free maupun komersial. Perangkat lunak open
source seperti Samhain, OSSEC dan Osiris adalah beberapa IDs berbasis
Host.
e. Antivirus
Organisasi harus memiliki perangkat lunak antivirus yang tersedia
dilingkungannnya, terutama untuk semua sistem yang memiliki koneksi
internet atau Perangkat removable (USB , DVDRW drive dll ) yang aktif.
Dalam hal ini dianjurkan untuk menggunakan model client-server yang jauh
lebih mudah dalam hal pengelolahan. Status kerja dari antivirus pada client,
instalasi pada client secara remote, dan pemindaian jarak jauh pada sistem
adalah beberapa keuntungan pada model menggunakan solusi berbasis
server.

f. Virus Removal Tools:
Komponen lain yang harus disediakan dalam penanganan insiden malware
adalah tool dari berbagai vendor antivirus untuk menghapus malware. Tool
penghapus virus bisa lebih efektif, efisien, dan mudah untuk bekerja
daripada mesin antivirus. Namun, tool tersebut terbatas hanya bekerja
sebagian besar satu keluarga malware. McAfee Stringer adalah alat removal
untuk suatu kelompok malware.
g. Utilitas Sistem Operasi:
Ketika wabah virus terjadi, program utilitas dapat digunakan dalam sistem
operasi yang lumpuh. Dalam situasi seperti itu, sumber non-terinfeksi bisa
sangat membantu. Operasi asli utilitas bersama dengan utilitas pihak ketiga
dapat disalin pada media yang hanya memiliki fungsi baca seperti CD-
ROM atau DVD - ROM, sehingga tidak terinfeksi ketika dijalankan. Untuk
Microsoft Windows, SysInternals host adalah utilitas yang berdaya kuat dan
sederhana. Utilitas ini dapat diunduh bebas biaya dan ditambahkan ke
"Utilitas Toolkit". Utilitas ini dapat digunakan untuk mengumpulkan
sampel untuk analisis malware atau untuk mengidentifikasi, menampung,
dan memberantas malware.
2. Tahap Identifikasi
Tahap ini adalah tahap di mana penelusuran terhadap insiden yang terjadi pada
data/database organisasi mulai diidentifikasi. Penyebab terjadinya insiden harus
dilakukan pada tahap ini. Penyebab adanya gangguan dari database bisa berasal
dari dalam sistem komputer maupun dari manusia sebagai pengguna sistem
komputer. Dari dalam sistem komputer yang digunakan, penyebabnya bisa
berasal dari
a. Malware yang menyerang sistem komputer
Malware yang menyerang pada sistem dan jaringan komputer bisa
menyebabkan juga terjadinya gangguan pada server database. Gangguan
yang ditimbulkan bisa berupa terganggunya akses terhadap layanan data dan
bahkan bisa merusak data-data pada komputer maupun server data base. Hal-
hal berikut bisa menjadi ciri-ciri terjadinya gangguan akses terhadap database
yang disebabkan oleh malware
1. Antivirus tidak berfungsi seperti yang diharapkan
2. Kegagalan membuka utilitas sistem pada sisi client
3. Lambatnya Respon CPU
4. Sistem / Aplikasi crash :
b. Gangguan sistem jaringan komputer
Salah satu faktor penting dari keamanan database adalah ketersediaan dari
database itu sendiri. Saat ini, hampir semua database ditempatkan pada mesin
khusus yang berupa server database. Untuk mengakses data-data dalam
database, bisa dilakukan dengan menggunakan model client server. Pada
model client server, peranan dari jaringan komputer sangatlah penting.
Gangguan keamanan pada jaringan komputer bisa mengakibatkan gangguan
pada layanan database. Pengamatan pertama yang bisa dilihat pada gangguan
adalah lamanya waktu yang dibutuhkan untuk mengakses server database,
bahkan koneksi terhadap database bisa terputus.
Gangguan lain pada sistem jaringan adalah terdapatnya proses pemindaian
dan capture data-pada yang keluar masuk pada server database. Proses ini
bisa terdeteksi dengan menggunakan tool IDS berbasis host pada server,
maupun IDS berbasis jaringan. Identifikasi bisa dilakukan dengan melakukan
pemeriksaan pada log dari IDS tersebut. Disamping memasang IDS, tool
lainnya yang bisa digunakan adalah snort, tcpdump, ettercap.
c. Kerentanan aplikasi database yang digunakan
Konfigurasi dan manajemen patch adalah pendekatan prinsip untuk
memperbaiki kelemahan dari sistem basis data. Fitur-fitur default dari aplikasi
pembangun database harus diubah. Identifikasi dapat dilakukan dengan
melihat patch yang pernah dilakukan dan memeriksa fitur-fitur default dari
sistem aplikasi database.
d. Kerentanan kode/program
Kerentanan kode-kode(program) yang digunakan untuk mengakses database,
dapat dimanfaatkan oleh penyerang untuk menembus sistem keamanan dari
database. Kode-kode itu meliputi kode-kode sql maupun kode-kode yang
digunakan untuk membangun aplikasi dari sistem database. Pemeriksaan
terhadap kode-kode itu bisa dilakukan untuk mengidentifikasi dari adanya

gangguan keamanan pada database. Contoh dari serangan pada rentannya
kode-kode adalah sql injection, buffer overflow, cross site scripting.
e. Kelalaian pengguna database
Apabila tidak ditemukannya adanya tanda-tanda bahwa penyebabnya berasal
pada sistem komputer, maka identifikasi harus diarahkan kepada para
pengguna sistem komputer. Beberapa perilaku dari pengguna komputer yang
bisa membahayakan keamanan data,
1. Penggunaan password yang sembarangan
Kerahasiaan password yang tidak terjaga dengan baik, bisa
mengakibatkan password jatuh ke pihak yang tidak diinginkan.
Akibatnya adalah pihak-pihak yang tidak memiliki akses ke dalam
database dapat mengakses database tersebut. Dengan demikian maka
pihak tersebut akan dengan mudah menguasai database.
2. Lupa melakukan log off dari sistem komputer
Kealpaan dalam melakukan log off pada sistem komputer dapat
dimanfaatkan oleh pihak lain untuk mengambil dan bahkan menghapus
data-data penting yang terdapat pada sistem komputer.
Identifikasi dari kasus ini bisa berupa ditolaknya akses ke dalam databse
(record telah diubah atau dihapus), padahal tidak ditemukannya gejala
malware, gangguan pada sistem jaringan komputer, dan kerentanan kode-
kode sql dan program aplikasi database yang digunakan.
Sedangkan pada kasus tercurinya database, identifikasi sulit dilakukan,
karena dampak dari pencurian database tidak bisa dirasakan secara langsung.
Pemilik data baru menyadari bahwa data-data telah tercuri apabila pihak
pencuri telah melakukan ekspose terhadap data-data yang telah dicuri
tersebut.
Pada tahap identifikasi ini, disamping melakukan identifikasi untuk mengetahui
penyebab terganggunya sistem database, juga dilakukan identifikasi terhadap
penting atau tidaknya data/informasi yang telah mengalami gangguan. Hal itu
dilakukan untuk melihat dampak yang diakibatkan oleh terganggunya
data/informasi yang memiliki tingkat kerahasiaan tinggi.

3. Containment
Pada tahap ini akan dilakukan pencegahan lebih lanjut terhadap kerusakan atau
kebocoran lebih lanjut dari data-data penting/rahasia dari organisasi.
Apabila gangguan pada database disebabkan oleh adanya malware, maka
dilakukan proses containment seperti pada prosedur penanganan insiden malware.
Apabila gangguan pada database disebabkan oleh adanya gangguan pada sistem
jaringan, maka dilakukan proses containment seperti pada prosedur penagnanan
insiden jaringan.
Memblokir password yang digunakan untuk mengakses database
Apabila penyebabnya berasal dari keteledoran dari para pengguna sistem
komputer, terutama penggunaan password yang sembarangan, maka semua
password-password tersebut harus diganti. Administrator sistem komputer harus
memblokir semua password, dan memberikan password baru kepada para
pengguna sistem.
Melihat insiden yang pernah ada (Basis Pengetahuan)
Langkah selanjutnya setelah mengidentifikasi gejala dasar malware adalah
menelusuri dokumen untuk mencari pengetahuan yang berisi insiden yang pernah
terjadi di masa lalu. Jika insiden tersebut merupakan pengulangan, maka prosedur
yang diikuti sebelumnya harus dieksekusi dan dianalisis secara mendalam dari
setiap langkah untuk mengidentifikasi penyebab terulangnya kejadian dan
memastikan apakah Langkah-langkah tersebut cukup atau tidak. Jika belum,
maka diperlukan perbaikan secara utuh pada prosedur.
Melakukan backup semua data pada database
Sebelum memasuki fase pemberantasan, semua data yang terdapat pada database
yang ada diambil sebagai backup dan harus terus diisolasi dari backup lain yang
mungkin telah terganggu keamanannya. Hal ini dilakukan untuk mengembalikan
data yang hilang, setelah selesainya analisis.
Memeriksa konfigurasi dan patch dari aplikasi database
Konfigurasi default dari aplikasi database harus diubah, konfigurasi default
merupakan salah satu kelemahan dari suatu aplikasi yang dapat dimanfaatkan
untuk menyerang dan mengganggu fungsi normal dari suatu aplikasi.
Memeriksa konfigurasi dan patch dari sistem operasi database server

Kerentanan yang terdapat pada sistem operasi yang digunakan pada database
server juga bisa digunakan oleh penyerang untuk mengganggu layanan data pada
database server. Kerentanan itu harus diperiksa untuk memastikan keamanan dari
sistem operasi yang digunakan.
Memeriksa kode-kode program yang digunakan pada database
Kode-kode program yang digunakan untuk mengakses dan memanipulasi data-
data pada suatu data base harus memenuhi standar keamanan tertentu. Tidak
amannya penggunaan kode-kode ini bisa dimanfaatkan oleh penyusup untuk
masuk ke dalam database. Apabila seorang penyusup berhasil masuk ke dalam
database dan mendapatkan hak akses penuh, maka penyusup dapat mencuri dan
bahkan menghapus data-data penting dalam database.
Melakukan investigasi terhadap personil
Investigasi terhadap personil dilakukan untuk mengetahui seberapa besar tingkat
keamanan terhadap hak akses ke dalam database yang dimiliki oleh para
personil/karyawan. Bagaimana para karyawan dalam mengelolah kunci dan
password yang telah dimilikinya harus mendapatkan perhatian. Penyusup ke
dalam sistem database bisa memanfaatkan celah keamanan dari kerentanan
pengelolahan hak akses para pengguna yang sah. Keteledoran dalam menyimpan
password dapat menyebabkan password jatuh ke pihak-pihak yang tidak
bertanggung jawab.
Memeriksa penyandian yang digunakan pada data
Supaya data-data yang tersimpan pada database memiliki keamanan yang relatif
tinggi, maka data-data tersebut harus disandikan (enkripsi). Data-data yang telah
terenkripsi akan sulit diketahui arti sebenarnya dari data tersebut. Proses
penyandian data dapat dilakukan pada data yang sedang dikirimkan pada
jaringan, maupun data penting (memiliki tingkat kerahasiaan tinggi) yang
tersimpan pada database.
Memeriksa integritas database
Memeriksa integritas data ditujukan untuk melihat tingkat keparahan dari
kerusakan data yang diakibatkan oleh adanya gangguan pada sistem database.
Informasi yang di simpan dalam basis data bisa berupa apa saja yang membuat ke
akuratan informasi dalam basis data itu perlu dipertanyakan. Untuk itulah
integritas data dibutuhkan untuk menjaga keakuratan dan kebenaran data.

Integritas data merupakan sebuah batasan atau syarat yang di peruntukan dalam
basis data yang berfungsi dalam pembatasan data yang dapat simpan dalam basis
data itu sendiri. Batasan itu menjaga kerusakan terhadap database dengan
memastikan bahwa perubahan tidak menyebabkan inkosistesi dari data. Integritas
di sini mengacu pada konsistesi, akurasi dan keakuratan data yang disimpan
dalam database.
4. Pemberantasan
Tahap ini merupakan tahapan untuk melakukan pemberantasan terhadap
penyebab dari terjadinya insiden pada data/database. Pemberantasan yang
dilakukan harus berdasarkan sumber dari serangan, yaitu
 Serangan malware, apabila terganggunya keamanan database disebabkan
oleh malware, maka dilakukan prosedur pemberantasan malware (terdapat
pada penanganan insiden malware)
 Serangan pada network, apabila terganggunya keamanan database
disebabkan oleh adanya serangan pada jaringan, maka dilakukan prosedur
pemberantasan gangguan pada jaringan (terdapat pada penanganan insiden
jaringan).
 Memperbaharui kerentanan dari sistem operasi dari server database
 Memperbaharui kerentanan pada kode-kode pemrograman
Apabila ditemukan adanya kerentanan pada kode-kode pemrograman yang
digunakan untuk mengakses database, maka segera perbaharui kode-kode
program tersebut sesuai dengan standar keamanan yang telah ditetapkan oleh
vendor/pembuat bahasa pemrograman. Contoh halaman web yang bisa
digunakan sebagai panduan untuk membuat kode/program dengan
menggunakan php
 https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
 http://www.php.net/manual/en/security.php
 Memperbaharui konfigurasi dari aplikasi dengan mengubah semua
konfigurasi default sesuai dengan yang disyaratkan oleh vendor pembuat
suatu aplikasi. Dibawah ini adalah halaman web yang berisi tentang
konfigurasi yang aman dari aplikasi database
 http://www.symantec.com/connect/articles/securing-mysql-step-step
 https://www.owasp.org/index.php/OWASP_Backend_Security_Proje
ct_MySQL_Hardening
 http://dev.mysql.com/doc/refman/5.0/en/security.html
 Memperbaharui metode akses
Apabila terdapat kerentanan terhadap metode akses terhadap suatu sistem
atau database, maka segera perbaharui kerentanan tersebut. Tindakan ini bisa
sampai perubahan pada personil yang memiliki hak akses terhadap suatu
sistem.
 Memperbaharui metode pengiriman data
Data-data yang dikirimkan melewati media pada jaringan harus memiliki
tingkat keamanan yang tinggi. Data-data yang disalurkan pada media harus
disandikan agar tidak mudah dibaca oleh pihak-pihak yang melakukan
pengintaian dan capture pada lalu lintas jaringan komputer. Hal ini terutama
untuk data-data yang disalurkan dengan menggunakan media udara
(wireless).
5. Pemulihan
Pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal
seperti semula. Pada insiden keamanan data/database, pemulihan dilakukan
terhadap penyebab terjadinya kebocoran/kerusakan data/database. Langkah-
langkah yang dilakukan adalah sebagai berikut
a. Apabila serangan berasal dari sistem jaringan, konfirmasikan bahwa
serangan pada jaringan telah selesai dan layanan database bisa dilakukan
kembali. Untuk melihat pulihnya jaringan bisa dilakukan dengan
memanfaatkan perintah pada command prompt seperti ping, tracert,
pathping.
b. Apabila serangan berasal dari adanya malware, maka konfirmasikan juga
bahwa malware telah dibersihkan, dan client dapat mengakses database
pada server secara aman.
c. Validasi sistem
Sistem yang telah pulih, harus divalidasi terhadap kesalahan atau
kekurangan konfigurasi apapun. Jika ada kekurangan pada perangkat
lunak atau data yang ditemukan, maka akan ditambahkan. Melakukan
patching dan mengubah konfigurasi pada sistem database, apabila
konfigurasi pada sistem database telah menjadi penyebab terjadinya
insiden pada database, harus dilakukan. Sebuah tanda tangan dari
pengguna dan pemilik sistem seharusnya diminta untuk
mengkonfirmasikan pemulihan lengkap dan normal dari sistem .
d. Pemulihan Operasi
Setelah validasi sistem pulih selesai, pemilik sistem memutuskan kapan
untuk menempatkan sistem kembali online. Rekomendasi mengenai
keamanan sistem dapat diberikan kepada pemilik sistem. Pemilik harus
mengakui rekomendasi ini melalui memo yang telah ditandatangani.
Rekomendasi berisi tentang penguatan pertahanan terhadap sistem dari
database, misalnya mengharuskan dilakukannya enkripsi pada penyaluran
data melalui jaringan, data-data penting yang tersimpan juga harus
dienkripsi, dan bisa juga rekomendasi untuk mengganti kunci-kunci
enkripsi yang ada
e. Pemulihan Database
Apabila telah terjadi kerusakan pada database, maka database yang telah
terganggu (rusak atau hilang) harus dipulihkan kembali dengan cara
melakukan restore dari backup yang telah dilakukan.
f. Pemulihan terhadap metode akses
Pemulihan terhadap metode akses dilakukan dengan mengganti password-
password yang telah diblokir. Password-password baru tersebut harus
diubah oleh para penggunanya dengan mengikuti mekanisme yang telah
diberikan oleh administrator. Konfirmasi pengubahan password harus
dilakukan oleh para pengguna.
g. Pemantauan Sistem
Akhirnya aktifitas penting pada tahap pemulihan adalah melakukan
pemantauan secara cermat agar sistem database tidak terganggu kembali.
Pemantauan ini dilakukan untuk melihat adanya
1. Infeksi dan penyebaran malware
2. Aktifitas gangguan pada jaringan (DOS, DDOS)
3. Aktifitas pemindaian dan capture pada lalu lintas jaringan
4. Aktifitas pada server database (memantau log)

6. Tahap Tindak Lanjut
Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat
sebagai referensi untuk dimasa mendatang. Fase ini dapat memberikan masukan
kepada tahap persiapan untuk meningkatkan pertahanan. Tahap dimana semua tahap
sebelumnya telah dilalui, tujuan dari tahap ini adalah untuk,
a. Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang
telah didapatkan pada penanganan insiden yang telah dilakukan.
mendokumentasikan dampak dan biaya dari terjadinya insiden serangan
pada sistem database.
b. Pembelajaran, adalah langkah yang sangat penting yang sering diabaikan.
Pelajaran harus dapat dipetik dari kegiatan sesegera mungkin setelah
penanganan insiden usai. Semua keputusan dan langkah-langkah yang
diambil sepanjang siklus penanganan insiden harus ditinjau. Semua
prosedur harus ditinjau untuk melihat di mana perbaikan dapat dilakukan.
Salah satu hal penting yang harus dilakukan setelah berhasil menangani
sebuah insiden adalah memperbarui pengetahuan. Catatan tentang
penambahan pengetahuan ini harus ditambahkan pada dokuman laporan
dan direview oleh semua pihak yang telah berperan dalam penanganan
insiden. Hal ini akan membantu dalam penanganan insiden serupa di masa
depan dengan mudah, efisien, dan cepat
c. Peningkatan kepedulian terhadap keamanan jaringan, dengan melakukan
review setelah setiap kejadian, akan memungkinkan bagi organisasi untuk
melakukan perbaikan terus-menerus dan berpotensi pada pengurangan
yang signifikan akibat dampak insiden.
d. Peningkatan pertahanan
Setelah penanganan selesai, Root Cause Analysis digunakan untuk
menguatkan berbagai kontrol keamanan yang terdapat dalam perusahaan.
Tim teknis dapat dibuat peduli dan menyadari terjadinya gejala serangan
pada sistem database yang sama, tim penanganan insiden dapat diberikan
insiden serupa untuk melatih diri dan manajemen dapat memperkenalkan
kontrol keamanan yang baru untuk mengurangi risiko di masa depan.

e. Memperbaharui segala standar dan prosedur
Semua jalan masuknya penyusup ke dalam sistem database yang
diidentifikasi harus tepat diblokir untuk mencegah serangan masuk ke
dalam jaringan data dimasa depan. Hal ini dapat dilakukan dengan
menambahkan aturan baru di perimeter dan perangkat penyaringan
lainnya (seperti filter URL, filter email, IDS). Memungkinan
pembaharuan pada dokumen-dokumen berikut:
 Standard Operating Procedures
 Prosedur Operasi Darurat
 Disaster Recovery plan (DRP)

LAMPIRAN A - Informatif
KEAMANAN SISTEM DATABASE
Keamanan database adalah suatu cara untuk melindungi database dari ancaman, baik dalam
bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi atau kejadian baik secara
sengaja maupun tidak yang bersifat merugikan dan mempengaruhi sistem, dan memiliki
konsekuensi terhadap perusahaan/organisasi yang memiliki sistem database.
Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi
juga meliputi bagian lain dari sistem database, yang tentunya dapat mempengaruhi database
tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak,
orang dan data.
Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang
mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator
database. Seorang administratorlah yang memegang peranan penting pada suatu sistem
database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang
cukup agar dapat mengatur suatu sistem database.
Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh
pengguna yang tidak berhak. Sistem keamanan database adalah sistem, proses, dan prosedur
yang melindungi database dari aktivitas yang sengaja maupun tidak disengaja. Sistem yang
aman memastikan kerahasian data yang terdapat didalamnya. Beberapa aspek keamanan
yaitu :
 Mambatasi akses ke data dan layanan
 Melakukan autentifikasi pada user
 Memonitor aktivitas-aktivitas yang mencurigakan
Keamanan database dapat dikelompokan sebagai berikut :
 Pencurian dan penipuan.
Pencurian dan penipuan database tidak hanya mempengaruhi lingkungan database
tetapi juga seluruh perusahaan/organisasi. Keadaan ini dilakukan oleh orang, dimana
seseorang ingin melakukan pencurian data atau manipulasi data, seperti saldo
rekening, transaksi, transfer dan lain-lain. Untuk itu fokus harus dilakukan pada
kekuatan sistem agar menghindari akses oleh orang yang tidak memiliki kewenangan.
 Hilangnya kerahasiaan dan privasi

Suatu data dapat memiliki nilai kerahasiaan, karena data tersebut merupakan sumber
daya yang strategis pada perusahaan, maka pada kasus ini data tersebut harus
diamankan dengan memberikan hak akses pada orang tertentu saja.
 Hilangnya integritas
Integritas ini berkaitan dengan akurasi dan kebenaran data dalam database, seperti
data korup. Hal ini akan secara serius mempengaruhi proses bisnis
perusahaan/organisasi.
 Hilangnya ketersediaan
Hilangnya ketersediaan berarti data, sistem, keduanya tidak dapat diakses, layanan
mati, yang tentunya secara serius sangat mempengaruhi perusahaan/organisasi. Saat
ini banyak perusahaan yang membutuhkan kemampuan sistem yang aktif 7 x 24 , 7
hari 1 minggu.
Berdasarkan pengelompokan tersebut, tentunya banyak aspek yang harus kita perhatikan
demi terciptanya keamanan database. Bisa saja seseorang mencuri komputer kita yang berisi
data penting, mungkin juga karyawan yang diberi hak untuk mengakses data melakukan
kejahatan dengan menjual informasi tersebut pada pihak lain demi kepentingan pribadi. Hal-
hal tersebut memang termasuk kendala keamanan database yang harus mendapat perhatian,
tetapi seorang administrator tidak dapat mengawasi kelemahan tersebut. Seorang
administrator hanya fokus pada sistem database itu sendiri, dan hal inilah yang seharusnya
menjadi perhatian juga dalam organisasi.
Tentunya perkembangan teknologi mengharuskan suatu perusahaan untuk
mengimplementasikan sistem database yang bukan hanya aman tetapi juga mudah diakses
dan handal, menyala 7x24 jam, 7 hari 1 minggu tanpa off.
Penyebaran informasi secara global sangat menguntungkan semua pihak. Dengan adanya
internet, komunikasi antar cabang, perusahaan, konsumen dan sebagainya semakin mudah.
Pemberian informasi mengenai perusahaan kepada masyarakat melalui internet merupakan
salah satu strategi komunikasi, marketing, public relation perusahaan tersebut, adanya
transaksi on line yang meningkatkan gaya hidup masyarakat dan lain-lain. Semua itu tidak
terlepas dari suatu perkembangan sistem database dan tentunya membuat keamanan menjadi
rentan.
Sangatlah mudah dalam suatu lingkungan database diciptakan suasana yang menakutkan,
tanpa kepastian dan keraguan. Sebagai seorang administrator sangat perlu memperhatikan
kondisi tersebut. Tentukan resiko yang sebenarnya dan selidiki apa yang dapat dilakukan

terhadap kondisi itu. Sebenarnya kebanyakan database terkonfigurasi dalam keadaan yang
mudah ditembus, akan tetapi hal ini bukan berarti database tidak dapat dibuat aman
sebagaimana mestinya.
Secara garis besar keamanan database dikategorikan sbb:
 Keamanan Server
Perlindungan Server adalah suatu proses pembatasan akses yang sebenarnya pada
database dalam server itu sendiri. Server sebagai tempat database harus benar-benar
dijamin keamanannya.
 Trusted Ip Access
Setiap server harus dapat mengkonfigurasikan alamat ip yang diperbolehkan
mengakses dirinya. Sistem harus tidak mengijinkan semua orang untuk dapat
mengakses server, sebagaimana tidak mengijinkan seseorang memasuki rumah tanpa
ijin. Jika server melayani suatu web server maka hanya alamat web server itu saja
yang dapat mengakses server database tersebut. Jika server database melayani
jaringan internal maka hanya alamat jaringanlah yang boleh menghubungi server.
Sangat dianjurkan untuk tidak menggabungkan server web dengan server database
informasi internal perusahaan, ini adalah suatu cara yang buruk untuk seorang admin.
Trusted Ip Acces merupakan server database terbatas yang hanya akan memberi
respon pada alamat ip yang dikenali saja.
 Koneksi Database
Saat ini semakin banyaknya aplikasi dinamis menjadi sangat menggoda untuk
melakukan akses yang cepat bahkan update yang langsung tanpa authentifikasi. Jika
ingin mengijinkan pemakai dapat mengubah database melalui web page, pastikan
untuk memvalidasi semua masukan untuk memastikan bahwa inputan benar, terjamin
dan aman. Sebagai contoh, pastikan untuk menghilangkan semua code SQL agar tidak
dapat dimasukan oleh user. Jika seorang admin membutuhkan koneksi ODBC,
pastikan koneksi yang digunakan unik.
 Kontrol Akses Tabel
Kontrol akses tabel ini adalah salah satu bentuk keamanan database yang sering
diabaikan, karena cukup sulit penerapannya. Penggunaan control akses table yang
benar membutuhkan kolaborasi antara sistem administrator dengan pengembang
database. Hal inilah yang sulit dilakukan. Pemberian ijin user untuk mengakses
informasi dapat membuat informasi terbuka kepada publik.

Pelanggaran keamanan mungkin terjadi karena seorang hacker yang mampu melewati
langkah-langkah keamanan yang telah dibentuk. Ini mungkin juga dikenal sebagai suatu
pelanggaran keamanan. Keamanan pelanggaran bisa terjadi bukan hanya karena hacker,
tetapi juga karena kecerobohan. Ada undang-undang tentang pelanggaran keamanan yang
menyatakan bahwa seseorang harus diberitahu ketika informasi vitalnya telah diganggu.
Ada banyak cara yang berbeda tentang bagaimana menangani pelanggaran keamanan ketika
keamanan database telah dilanggar.
Database (dan khususnya SQL) telah lama menjadi bagian Integral dari sistem dalam
menjalankan bisnis, baik dalam bentuk awalnya, yaitu file database biasa maupun dalam
bentuk sekarang ini,yaitu database yang berorientasi pada tingkat lanjut. Kebutuhan atas
penyimpanan dan pengaksesan informasi secara cepat menjadi hal-hal yang mendesak bagi
tiap bisnis atau aplikasi, begitu pula web.
Aplikasi-aplikasi web sekarang ini berpasangan dengan database. Database dipakai untuk
beragam kegunaan mulai dari menyimpan nama-nama user dan password-pasword untuk
akses resmi, sampai untuk menyimpan alamat-alamat email user, dan informasi kartu kredit
untuk mempermudah pengiriman produk dan pembayarannya. Oleh karena itu, pemahaman
menyeluruh mengenai keamanan web harus mencakup juga lapisan databasenya dan
terpenting memahami juga bagaimana penyusup berusaha memasuki aplikasi untuk
memperoleh akses ke bagian-bagian datanya.
Keamanan database merupakan satu dari sekian banyak metodologi yang sering diabaikan
dan tidak dikembangkan untuk melengkapi dan memperketat kebijaksanaan atas keamanan
database, beberapa cara dibawah ini berguna untuk pencegahan dalam tiap kelemahan.
1. Selalu mengupdate patch
Baik untuk Microsoft maupun oracle, patch-patch dan beberapa perbaikan baru
biasanya diedarkan secara regular. Memastikan untuk nengunduh dan menginstalnya
segera setelah patch-patch itu tersedia. Selalu menguji patch terlebih dahulu pada
system mirror atau pada sistem yang tak menghasilkan produksi, tidak pada sistem
yang sebenarnya,
2. Menerapkan aturan-aturan firewall yang ketat
Memastikan memeriksa konfigurasi firewall dari waktu ke waktu dan selalu
memblock port-port akses database seperti TCP dan UDP 1434 (MS SQL) dan TCP
1521-1520 (Oracle).
3. Sanitasi/Penyaringan Input

Penyaringan harus dilakukan pada yang di terima dari user, data–data yang diterima
harus diperiksa tipenya (integer, string, dan seterusnya) dan harus memotong
karakter-karakter yang tidak diinginkan, misalnya meta karakter.
4. Membuang Stored Procedure
Stored Procedure adalah sebuah prosedur yang disimpan dalam suatu tabel database.
Memastikan telah membuang semua stored procedure (termasuk extended stored
procedure) dari keseluruhan database, termasuk master. Script-script yang
kelihatannya tidak berbahaya ini bisa memberi bantuan dalam menumbangkan
bahkan database yang paling aman sekalipun.
5. Enkripsi Session
Jika server database terpisah dari Web server, memastikan untuk mengenkripsi
session dengan beberapa cara, misalnya menggunakan IPSec built-in Pada
Windows.
6. Sedikit Hak-hak khusus
Memastikan untuk menerapkan sesedikit mungkin hak-hak akses untuk mengakses
file-file database.

LAMPIRAN B – Diagram Alir
MULAI
DAFTAR anggota dan

Menyiapkan personil dan tempat ketua tim
Menentukan tata cara

berkomunikasi
Dokumen-dokumen yang
Menyiapkan dokumen dibutuhkan
Menyiapkan tool
SELESAI
LANGKAH-LANGKAH PADA TAHAP PERSIAPAN

MULAI
Mengidentifikasi adanya malware
Mengidentifikasi adanya serangan pada

jaringan
Mengidentifikasi kelemahan aplikasi database
Menidentifikasi kelemahan sistem operasi

server database
Mengidentifikasi kelemahan kode-kode/

program
Mengidentifikasi kelalaian pengguna
SELESAI
LANGKAH-LANGKAH PADA TAHAP IDENTIFIKASI

MULAI
Memblokir password menuju database
Melakukan backup data pada database
Memeriksa konfigurasi aplikasi database
Memeriksa konfigurasi sistem opersai server

database
Memeriksa kode-kode pembangun aplikasi

database
Melakukan investigasi pada pengguna
Memeriksa penyandian data
Memeriksa integritas data
Dokumen
pengetahuan Menelusuri insiden yang pernah terjadi
SELESAI
LANGKAH-LANGKAH PADA TAHAP CONTAINMENT

MULAI
Memperbaiki kelemahan sistem operasi

server database
Memperbaiki kerentanan kode/program

pembangun database
Memperbaiki konfigurasi aplikasi

database
Memperbaiki metode akses
Memperbaiki metode pengiriman data
SELESAI
LANGKAH-LANGKAH PADA TAHAP ERADICATION

MULAI
Validasi sistem
Pemulihan database
Pemulihan operasi
Pemulihan akses
Pemantauan sistem
SELESAI
LANGKAH-LANGKAH PADA TAHAP RECOVERY

MULAI
Laporan Kegiatan
Membuat Dokumentasi laporan kegiatan
Melakukan review terhadap langkah-langkah

yang telah dilakukan
Pembuatan basis pengetahuan baru

- jenis gangguan pada data dan database Dokumen pengetahuan
baru
- penyebab gangguan
- penanganan pada gangguan
Melatih tim yang lain
Meningkatkan pertahanan
- aturan akses pada database server
- sistem otentikasi dan otorisasi
- sistem penyandian
SELESAI
LANGKAH-LANGKAH PADA TAHAP TINDAK LANJUT

LAMPIRAN C - Formulir
Formulir laporan penanganan insiden

1. Informasi Pembuat Laporan
Nama Lengkap
Jabatan pada tim
Internal/External
Nama Institusi (external)
Nomor Telepon tempat kerja
Nomor HP
Alamat E-mail
Nomor Fax
Informasi tambahan
2. Jenis insiden : Database
Nomor insiden : …………………………………..
 Dampak dari Malware  Kelemahan kode program aplikasi

 Dampak dari gangguan pada jaringan  Kerentanan server database
 Tercurinya password  Kelemahan enkripsi
 Kelemahan kode sql  Lainnya ..............…………………………
Deskripsi singkat dari insiden:

3. Cakupan dari insiden (pilih salah satu)
 Kritis (misal, berpengaruh pada sumber daya informasi yang membahayakan keamanan umum secara
luas di luar institusi/lembaga)
 Besar (misal, berpengaruh pada seluruh database pada sistem bisnis utama dari institusi/lembaga)
 Sedang (misal, hanya berpengaruh pada database milik bagian/departemen tertentu dari
institusii/lembaga)
 Kecil (misal, hanya berpengaruh pada data komputer atau akun pengguna pada institusi/lembaga)
Perkiraan jumlah sistem yang terkena dampak:
Perkiraan jumlah pengguna yang terkena dampak:
Pihak ketiga yang terkena dampak (partner):
Informasi tambahan dari cakupan insiden:
4. Dampak dari insiden
 Berhenti/hilangnya layanan  Pengungkapan tidak sah dari data/informasi

 Berhenti/hilangnya produktifitas  Pengubahan tidak sah dari data/informasi
 Hilangnya reputasi  Lainnya, ………………………………………………………….
 Berkurang/hilangnya pendapatan
Informasi lain dari dampak insiden
5. Sensitivitas dari data yang terkena insiden
 Data/info rahasia/sensitiv  Informasi Identitas Pribadi Personil

 Data/info Non-sensitive  Data/info tentang HAKI/copyrighted
 Data/info yang disediakan untuk publik  Data/info tentang critical infrastructure/key
 Data/info keuangan resources
 Lainnya, ………………………………………………………..
Data dienkripsi ? Ya ____ tidak ____
Besarnya data/informasi yang terkena insiden:
(ukuran file, jumlah record)
Informasi tambahan:

6. Sistem yang terkena insiden
Sumber serangan (alamat IP, port):
Tujuan serangan (alamat IP, port):
Alamat IP dari sistem:
Nama Domain dari sistem:
Fungsi dari sistem: (database server, application

server)
Sistem Operasi dari sistem server database:
( version, service pack, configuration )
Level Patching dari sistem server database:
( latest patches loaded, hotfixes )
Perangkat lunak security pada server database:
(anti-virus, anti-spyware, firewall, versions, date of

latest definitions)
Lokasi fisik dari sistem:
(propinsi, kota, gedung,ruang,meja/rak/lemari)
Informasi tambahan dari sistem:
7. Pengguna yang terkena dampak
Nama dan pekerjaan pengguna:
Level hak akses dari pengguna:
( regular user, domain administrator, root)
Informasi tambahan pengguna:

8. Timeline dari insiden
Tanggal dan waktu kejadian pertama kali terdeteksi,

ditemukan, atau diberitahu tentang insiden itu:
Tanggal dan waktu saat kejadian yang sebenarnya terjadi:

(perkiraan, jika tanggal dan waktu yang tepat tidak
diketahui):
Tanggal dan waktu ketika insiden itu ditangani atau ketika

semua sistem/fungsi telah dipulihkan (menggunakan
tanggal dan waktu terakhir):
Tenggang waktu antara penemuan dan kejadian :
Tenggang waktu antara penemuan dan pemulihan :
Keterangan tambahan:
9. Pemulihan dari insiden
Tindakan yang dilakukan untuk

mengidentifikasi sumber daya
yang terkena dampak:
Tindakan yang dilakukan untuk

memulihkan insiden:
Rencana tindakan untuk mencegah

berulangnya insiden:
Informasi tambahan pemulihan insiden:

LAMPIRAN D – Formulir Setiap Tahap
Form untuk tahap Persiapan
Hari/tanggal:
Waktu:
Nama anggota tim pengisi form:
Tanda tangan:
Persiapan
Nama anggota tim Ketua : .......................................
Anggota :
1. ...................................
2. ...................................
3. ...................................
Metode komunikasi  Handphone

 Email
 Tlp. kantor
Dokumen yang dibutuhkan 1. .........................................

2. .........................................
3. .........................................
4. .........................................
Tool/alat yang digunakan 1. .........................................

2. .........................................
3. .........................................
4. .........................................

Form untuk tahap Identifikasi
Hari/tanggal:
Waktu:
Tanda tangan:
Penjelasan secara singkat tentang insiden

database yang terjadi (adanya data yang
rusak/rusak)
Penjelasan secara singkat dampak dari

insiden database (seberapa penting data
yang rusak/hilang)
Berapa banyak sistem informasi/layanan

yang terdapat pada sistem yang
terpengaruh oleh insiden database
Penjelasan singkat mengenai dugaan

awal penyebab dari gangguan pada
database
Penjelasan secara singkat kapan dan

darimana insiden database pertama kali
diketahui

Form untuk tahap Containment
Hari/tanggal:
Waktu:
Tanda tangan:
penghentian akses kepada sistem, layanan, dan data

Penjelasan tentang akses, sistem, dan
layanan yang telah dinonaktifkan karena
adanya insiden pada keamanan database
Pencatatan password-password milik

siapa saja yang telah diblokir untuk
akses ke dalam database
Pencatatan waktu saat semua akses,

sistem, dan layanan dinonaktifkan
Informasi Sistem Back up
Apakah back up sistem berhasil

dilakukan?  Ya  Tidak, jika tidak, apakah
penyebabnya ?
Nama personil yang melakukan back up
Waktu proses back up dimulai
Waktu prosees back up selesai
Apakah media back up dilindungi dan  Ya  tidak, Jika tidak, apakah

disegel? penyebabnya ?

Form untuk tahap Eradication
Hari/tanggal:
waktu:
Tanda tangan:
Nama Sistem
Nama semua personil yang melakukan

proses forensik terhadap sistem yang
mengalami insiden
Apakah kerentanan yang menyebabkan  Ya  Tidak, jika ya, deskripsikan

insiden keamanan dapat teridentifikasi? secara detail
Jelaskan prosedur validasi yang digunakan

untuk memastikan bahwa
 kerentanan telah dikurangi
 penyebab gangguan telah
dihilangkan

Form untuk tahap Follow Up
Hari/tanggal:
waktu:
Nama personil pengisi form:
Tanda tangan:
Jelaskan secara singkat tentang insiden

keamanan yang terjadi dan tindakan apa yang
telah diambil
Berapa banyak waktu yang dihabiskan untuk
menangani insiden tersebut ?
Adakah biaya ( langsung dan tidak langsung
) dari insiden itu ?
Apa nama organisasi/institusi yang telah
mambantu dan dapat melakukannya dengan
baik dalam menangani dan mengelolah
insiden tersebut ?
Kesulitan apa yang dihadapi dalam
menangani dan mengelolah insiden tersebut ?
Apakah ada persiapan yang memadai dalam
nenangani kejadian tersebut ?
Apakah deteksi insiden terjadi segera ? Jika
tidak, mengapa ?
Alat tambahan apa yang bisa digunakan
untuk membantu dalam merespon dan
mengelolah insiden keamanan ?
Apakah komunikasi antara anggota tim
cukup memadai ? Jika tidak, apa yang bisa
diperbaiki ?
Apakah komunikasi dengan organisasi-
organisasi luar yang telah membantu cukup
memadai ? Jika tidak, apa yang bisa
diperbaiki ?
Apakah prosedur perbaikan telah memadai
untuk mencegah terjadinya insiden yang
sama pada masa depan ?

SOP IH - Database PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

SOP IH - Database PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

STANDARD OPERATING PROCEDURE

Incident Handling Database

Indonesia Government Computer Security

Direktorat Keamanan Informasi

RUANG LINGKUP ................................................................................................................... 3

PROSEDUR PENANGANAN ........................................................................................................... 3

1. Tahap Persiapan (Preparation) ........................................................................................................ 4

2. Tahap Identifikasi ......................................................................................................................... 11

6. Tahap Tindak Lanjut ..................................................................................................................... 19

LAMPIRAN A - Informatif ..................................................................................................... 21

LAMPIRAN B – Diagram Alir................................................................................................ 26

LAMPIRAN C - Formulir ....................................................................................................... 32

LAMPIRAN D – Formulir Setiap Tahap................................................................................. 36

Direktorat Keamanan Informasi, Halaman 2/40

Direktorat Keamanan Informasi, Halaman 3/40

1. Tahap Persiapan (Preparation)

Direktorat Keamanan Informasi, Halaman 5/40

Direktorat Keamanan Informasi, Halaman 6/40

Direktorat Keamanan Informasi, Halaman 7/40

Direktorat Keamanan Informasi, Halaman 8/40

Direktorat Keamanan Informasi, Halaman 9/40

Direktorat Keamanan Informasi, Halaman 10/40

Direktorat Keamanan Informasi, Halaman 12/40

Direktorat Keamanan Informasi, Halaman 13/40

Direktorat Keamanan Informasi, Halaman 14/40

Direktorat Keamanan Informasi, Halaman 15/40

Direktorat Keamanan Informasi, Halaman 18/40

Direktorat Keamanan Informasi, Halaman 19/40

Direktorat Keamanan Informasi, Halaman 20/40

KEAMANAN SISTEM DATABASE

Direktorat Keamanan Informasi, Halaman 21/40

Direktorat Keamanan Informasi, Halaman 22/40

Direktorat Keamanan Informasi, Halaman 23/40

Direktorat Keamanan Informasi, Halaman 24/40

Direktorat Keamanan Informasi, Halaman 25/40

DAFTAR anggota dan

Menentukan tata cara

LANGKAH-LANGKAH PADA TAHAP PERSIAPAN

Direktorat Keamanan Informasi, Halaman 26/40

Mengidentifikasi adanya malware

Mengidentifikasi adanya serangan pada

Mengidentifikasi kelemahan aplikasi database

Menidentifikasi kelemahan sistem operasi

Mengidentifikasi kelemahan kode-kode/

Mengidentifikasi kelalaian pengguna

LANGKAH-LANGKAH PADA TAHAP IDENTIFIKASI

Direktorat Keamanan Informasi, Halaman 27/40

Memblokir password menuju database

Melakukan backup data pada database

Memeriksa konfigurasi aplikasi database

Memeriksa konfigurasi sistem opersai server

Memeriksa kode-kode pembangun aplikasi

Melakukan investigasi pada pengguna

Memeriksa penyandian data

Memeriksa integritas data

LANGKAH-LANGKAH PADA TAHAP CONTAINMENT

Direktorat Keamanan Informasi, Halaman 28/40

Memperbaiki kelemahan sistem operasi

Memperbaiki kerentanan kode/program

Memperbaiki konfigurasi aplikasi

Memperbaiki metode akses

Memperbaiki metode pengiriman data

LANGKAH-LANGKAH PADA TAHAP ERADICATION