Panduan Tugas Teknik Internet

Panduan tambahan tentang penanganan insiden. Berikut pendekatan untuk penanganan insiden :
1. Mempersiapkan dan merencanakan (apa tujuan dan sasaran dalam menangani suatu kejadian)
2. Pemberitahuan (siapa yang harus dihubungi jika terjadi insiden)
• Manajer dan personel lokal
• Penegakan hukum dan lembaga investigasi
• Tim penanganan insiden keamanan komputer
• Situs yang terpengaruh dan terlibat
• Komunikasi internal
• Hubungan masyarakat dan siaran pers
3. Mengidentifikasi insiden (apakah itu insiden dan seberapa serius insiden itu)
4. Penanganan (apa yang harus dilakukan ketika insiden terjadi)
• Pemberitahuan (siapa yang harus diberitahu tentang kejadian itu)
• Melindungi log bukti dan aktivitas (dari mana catatan harus disimpan sebelum, selama, dan
setelah kejadian)
• Penahanan (bagaimana kerusakan bisa dibatasi)
• Eradikasi (cara menghilangkan alasan kejadian)
• Pemulihan (cara membangun kembali layanan dan sistem)
• Tindak lanjut (tindakan apa yang harus diambil setelah kejadian)
5. Aftermath (apa implikasi dari insiden masa lalu)
6. Respon administratif terhadap insiden

Keamanan Berlapis dan IDS

Keamanan komputer paling efektif ketika beberapa lapisan kontrol keamanan yang digunakan
dalam suatu organisasi, dan IDS paling baik digunakan ketika diimplementasikan menggunakan
pendekatan keamanan berlapis.

Unsur-unsur pendekatan keamanan berlapis yang efektif yaitu :

1. Kebijakan, Prosedur, Standar, dan Pedoman Kemanan termasuk Tingkat Tinggi Kebijakan
Keamanan
2. Securuty Kemanan perimeter seperti router, firewall, dan perangkat lainya.
3. Produk keamanan host perangkat keras atau lunak
4. Audit, pemantauan, deteksi intruksi, dan respons

Masing-masing lapisan ini dapat diimplementasikan secara independen dari yang lain, namun
saling terkait saat berfungsi. IDS yang menghasilkan peringatan untuk akses tidak sah. upaya atau
pemindaian port tidak berguna tanpa rencana respons untuk bereaksi terhadap masalah

Keamanan Komputer dan Tim Respon insiden

CERT / CC

adalah pusat koordinasi tim tanggap darurat komputer (CERT) untuk Institut Rekayasa Perangkat
Lunak (SEI), pusat penelitian dan pengembangan yang didanai pemerintah federal yang didanai
pemerintah federal . CERT / CC meneliti bug perangkat lunak yang berdampak pada keamanan
perangkat lunak dan internet, menerbitkan penelitian dan informasi tentang temuannya, dan bekerja
dengan bisnis dan pemerintah untuk meningkatkan keamanan perangkat lunak dan internet secara
keseluruhan.

FedCIRC

Federal Computer Incident Response Center (FedCIRC) adalah organisasi yang “Membangun
kemitraan kolaboratif dari respons insiden komputer, keamanan, dan para profesional penegak hukum
yang bekerja sama untuk menangani keamanan komputer insiden dan untuk menyediakan layanan
keamanan proaktif dan reaktif untuk AS Pemerintah federal ". Piagam FedCIRC menyatakan:
“FedCIRC memberikan bantuan dan panduan dalam respon insiden dan menyediakan pendekatan
terpusat untuk insiden menangani lintas batas agensi. ”Misi FedCIRC adalah melakukan yang berikut:

 Menyediakan informasi teknis, alat, metode, bantuan kepada lembaga sipil,

dan bimbingan
 Bersikap proaktif dan menyediakan kegiatan penghubung dan dukungan analitis
 Mendorong pengembangan produk dan layanan berkualitas melalui kerja sama hubungan ratif
dengan badan sipil federal, Departemen Pertahanan, akademisi, dan industri swasta
 Mempromosikan profil keamanan tertinggi untuk teknologi informasi pemerintah(TI) sumber
daya
 Mendorong respon insiden dan menangani kesadaran prosedural dengan pemerintahan federal
yang salah

FIRST

Forum Respon Tim Insiden dan Keamanan (FIRST) menyatukan berbagai tim respon insiden
keamanan komputer dari pemerintah, komersial, dan organisasi akademik. PERTAMA bertujuan untuk
membina kerja sama dan koordinasi di Indonesia.

Tujuan PERTAMA adalah sebagai berikut:

 Untuk membina kerja sama di antara para konstituen teknologi informasi dalam efek
pencegahan, deteksi, dan pemulihan dari insiden keamanan komputer
 Untuk menyediakan sarana untuk komunikasi informasi peringatan dan penasehat tentang
potensi ancaman dan situasi insiden yang muncul
 Untuk memfasilitasi tindakan dan kegiatan anggota PERTAMA termasuk kegiatan penelitian
dan operasional
 Untuk memfasilitasi berbagi informasi, alat, dan teknik terkait keamanan

Proses Pemberitahuan Insiden Keamanan

Proses pemberitahuan insiden keamanan harus menyediakan beberapa mekanisme eskalasi. Untuk
mendefinisikan mekanisme seperti itu, CSIRT harus membuat klasifikasi internal skema insiden.
Terkait dengan setiap tingkat insiden akan sesuai Prosedur. Daftar berikut adalah contoh dari berbagai
tingkat insiden.
✦ Prioritas Satu - Lindungi kehidupan manusia dan keselamatan manusia; kehidupan manusia selalu
didahulukan dari semua pertimbangan lainnya.
✦ Prioritas Dua - Melindungi data yang terbatas dan internal. Mencegah eksploitasi
sistem, jaringan, atau situs terbatas. Menginformasikan sistem sensitif sensitif terbatas yang
terpengaruh, jaringan, atau situs tentang penetrasi yang sudah terjadi sementara mematuhi peraturan
pemerintah yang berlaku.
✦ Prioritas Tiga - Lindungi data lain, termasuk manajerial, karena kehilangan data mahal dalam hal
sumber daya. Mencegah eksploitasi sistem lain,jaringan atau situs dan menginformasikan sistem,
jaringan, atau situs yang sudah terpengaruh tentang penetrasi yang sukses.
✦ Prioritas Empat - Mencegah kerusakan sistem (misalnya, kehilangan atau perubahan file sistem,
kerusakan pada drive disk, dan sebagainya). Kerusakan pada sistem dapat terjadi dalam waktu dan
pemulihan tyang lama
✦ Prioritas Lima - Meminimalkan gangguan sumber daya komputasi. Lebih baik dalam banyak kasus
untuk mematikan sistem atau memutuskan sambungan dari jaringan daripada risiko kerusakan data atau
sistem. Setiap pemilik data dan sistem harus mengevaluasi trade-off antara mematikan dan melepaskan.
Keputusan ini harus dibuat sebelum insiden terjadi. Disana mungkin menjadi perjanjian layanan di
tempat yang mungkin mengharuskan menjaga sistem tetap sama.Namun, kerusakan dan ruang lingkup
lekuk mungkin begitu luas sehingga perjanjian layanan mungkin harus ditimpa

Pemberitahuan otomatis dan mekanisme pemulihan

Pemberitahuan otomatis dan mekanisme pemulihan dapat memberikan kemampuan otomatis di
satu atau lebih area berikut: pencegahan penyusup, deteksi penyusup, dan
penilaian kerusakan. Sejumlah respons penyusup otomatis telah diterapkan
mented sebagai bagian dari sistem deteksi intrusi. Beberapa tanggapan mungkin aktif, misalnya
sebagai mengakhiri proses, menutup koneksi, dan menonaktifkan akun. Lain
responsnya pasif, seperti mengirim e-mail ke administrator sistem.
Penilaian kerusakan biasanya dilakukan setelah serangan. Sejumlah kerentanan-
Alat pemindaian yang kuat, seperti Tiger, dapat digunakan untuk melakukan penilaian kerusakan.
Alat-alat lain, seperti Tripwire, secara khusus dikembangkan untuk membantu dalam penilaian
kerusakan.
ment. Di Texas A&M University, alat prototipe disebut Insiden Otomatis
Sistem Respons (AIRS) dikembangkan untuk melakukan kontrol kerusakan dan kerusakan
penilaian pada masing-masing host di jaringan.
Selain itu, IDS berbasis host, yang melakukan pemantauan aktivitas waktu nyata, dapat
mempertahankan tingkat kecurigaan untuk setiap pengguna serta tingkat kecurigaan keseluruhan
host yang dipantau.
Meskipun tidak mutlak diperlukan, kemampuan IDS berbasis host untuk bekerja sama dan
berbagi informasi untuk melacak pengguna saat mereka terhubung ke host lain yang dipantau juga
penting.
Pemberitahuan dan pemulihan otomatis menarik karena tidak memerlukan kontinu
Pengawasan manusia, dapat bertindak lebih cepat daripada manusia, dan dapat disesuaikan dengan,
dan akan secara konsisten mengikuti, kebijakan yang ditentukan. Kapasitas respons otomatis umum
bilities termasuk logging sesi, penghentian sesi, memposting acara di acara tersebut
menghibur, dan memperingatkan personel melalui email, paging, dan cara lain. Archi
tecture untuk mengumpulkan informasi kejadian terdiri dari empat komponen penting:
sor, kolektor, backing store, dan mesin analisis.
Namun, sebagian besar IDS membutuhkan operator manusia untuk berada di loop. Mengingat saat ini
kematangan teknologi IDS, bahaya respons otomatis adalah signifikan, dan
lebih penting daripada keuntungan sebelumnya. Dengan frekuensi false positive yang ada
dalam generasi IDS saat ini, potensi respons yang tidak pantas terhadap misdi-
agnosis terlalu tinggi. Selain itu, respons otomatis dapat dieksploitasi oleh pelaku
trator yang bertujuan untuk menginduksi serangan penolakan layanan dengan menipu serangan dari a
pengguna yang sah. Juga, banyak alat deteksi intrusi menyediakan beberapa bentuk
tanggapan penyusup yang dikawinkan, tetapi beberapa alat keamanan melakukan pemulihan otomatis

Ringkasan
Bab ini mengulas kode berbahaya, seperti virus, kuda Troya, dan worm,
digunakan oleh penyerang untuk mengganggu dan membahayakan sistem informasi. Serangan bisa
terjadi
bentuk serangan DDoS, rekayasa sosial, panggilan perang, dan kata sandi brute-force
menebak untuk mendapatkan akses tidak sah ke infrastruktur kritis dan kecerdasan berharga
properti tual. Kemudian, bergeser ke sisi target dari persamaan, bab ini dieksplorasi
deteksi intrusi dan metodologi respon untuk melawan kegiatan berbahaya
kerupuk. Sebagai contoh ide-ide baru dalam deteksi intrusi, bab ini menyediakan
ikhtisar honeypots dan honeynets. Entitas-entitas ini bertindak sebagai umpan target
dipekerjakan untuk menjerat penyusup jahat dan mengumpulkan informasi yang akan menggagalkan
upaya mereka, karakterisasi perilaku mereka, dan mengarah pada ketakutan mereka.
Bab ini ditutup dengan praktik terbaik untuk menangani dan merespons insiden
melawan agresi terhadap sumber daya komputasi dan jaringan yang berharga