Modul E Topik 11 - Respon Dan Penanganan Insiden Keamanan Informasi
Modul E Topik 11 - Respon Dan Penanganan Insiden Keamanan Informasi
Contact Pengajar
Email : sutrisnoaryono@gmail.com
DTS 2021
Profil Pengajar
Latarbelakang Pendidikan Pengajar
● Bachelor, Majoring in Computer Science
● EC-Council Certified Incident Handler v2, 2019
Riwayat Pekerjaan
Photo Pengajar ● Cyber Security Services Section Head
● Cyber Security Practicioner, 5 Years
Contact Pengajar
Email : danarcoburn@gmail.com
DTS 2021
Course Definition
Unit Kompetensi “Melakukan penanganan Insiden Gangguan Keamanan Informasi ” dengan fokus Elemen Kompetensi “Mengawasi atau
mengelola tindakan pengamanan atau perbaikan ketika suatu insiden keamanan atau kerentanan/kelemahan telah terjadi/ditemukan”
Respon dan penanganan insiden adalah pendekatan terorganisir untuk menangani dan mengelola akibat dari pelanggaran atau serangan
keamanan (juga dikenal sebagai insiden). Tujuannya adalah untuk menangagi situasi dengan cara membatasi kerusakan dan mengurangi
wakt serta biaya pemuihan. Rencana respon dan penanganan insiden mencakup kebijakan yang mendefinisikan, dalam istilah tertentu, apa
yang merupakan insiden dan menyeriakan proses demi langkah yang harus diikuti ketika insiden terjadi.
CIA Triad adalah suatu model yang dirancang dengan tujuan memandu kebijakan terkait keamanan informasi pada suatu organisasi. Unsur-
unsur CIA triad terdiri dari 3 aspek yaitu Confidentiality, Integrity dan Availability. Tiga komponen tersebut merupakan komponen terpenting
yang harus dijaga dalam Cyber Security, agar suatu sistem keamanan dianggap komprehensif dan lengkap, sistem tersebut harus secara
memadai menangani seluruh Triad CIA.
Apabila salah satu atau lebih unsur-unsur tersebut terganggu atau rusak dapat mengakibatkan terjadinya insiden keamanan informasi.
Serangkaian langkah-langkah yang perlu dilakukan untuk menjaga tereksposnya informasi sensitif dari jangkauan orang-orang yang tidak
berwenang. Sederhananya confidentiality merupakan upaya untuk menjaga privasi.
Ada banyak tindakan pencegahan yang dilakukan organisasi untuk menjaga confidentiality (kerahasaiaan). Kata sandi, daftar protokol akses
dan prosedur otentikasi menggunakan perangkat lunak untuk akses ke sumber daya.
Menjaga konsistensi, akurasi dan kepercayaan terhadap data. Langkah-langkah yang perlu dilakukan untuk memastikan bahwa data tidak
bisa diubah oleh orang yang tidak berwenang serta tidak ada perubahan data saat transit.
Langkah-langkah tersebut termasuk izin dalam mengakses file dan batasan kontrol bagi akses pengguna. Kontrol ini bisa dipakai untuk
mencegah perubahan yang keliru atau penghapusan tidak disengaja dari pengguna resmi yang bisa juga menjadi masalah
Menjaga ketersediaan layanan supaya bisa diakses dengan baik. Pengukuran aspek availability dapat dinilai dari layanan yang bisa selalu
diakses dan tidak terkendala. Beberapa ancaman mendasar yang mengakibat terganggunya aspek ini namun bukan termasuk kejadian
keamanan informasi yaitu terjadinya downtime pada perangkat lunak atau kegagalan perangkat keras.
Salah satu metode serangan keamanan informasi yang dapat mengakibatkan rusaknya ketersediaan serangan yaitu denial of service (DOS),
metode serangan dengan cara aktor membanjiri secara terus menerus dengan permintaan yang dapat mengakibatkan beban pada server
sehingga pengguna sulit atau tidak bisa mengakses aplikasi.
Ketersediaan dan responsif suatu aplikasi merupakan prioritas utama pada banyak bisnis. Gangguan ketersediaan layanan pada aplikasi
walau sebentar dapat mengakibatkan kerugian. Untuk menjaga ketersediaan layanan harus memiliki persyaratan tinggi terhadap
redundansi, perangkat keamanan informasi, pemantauan layanan oleh tim ahli.
Sebuah strategi keamanan yang terdiri dari berbagai lapisan untuk melindungi sebuah sistem infomasi. Defense in Depth (DiD) dapat
diibaratkan pertahanan benteng yang berlapis. Defense in Depth (DiD) menerapkan pertahanan kompleks yang membuat penyerang
mendapatkan kesulitan untuk melakukan penetrasi ke dalam sistem dan meraih tujuan mereka.
• Fisikal
Penerapan keamanan aset organisasi dari berbagai ancaman fisik
Contoh : Access Control, kunci ruangan, Power Supply, Sistem Alarm, dan lain lain
• Perimeter
Mencakup desain dan implementasi di level perimeter
Contoh : Perimeter di server, DNS, Firewall, dan lain lain.
• Jaringan Internal
Desain dan implementasi penerapan keamanan di jaringan internal
Contoh : Firewall, Router, Switch, dan lain lain.
• Host
Implementasi keamanan di sisi individual host
Contoh : Antivirus, patch dan lain sebagainya.
• Aplikasi
Implementasi keamanan di sisi aplikasi
Contoh : Manajemen password, konfigurasi aplikasi dan lain lain
• Data
Implementasi keamanan data dalam bentuk data rest atau data transit
Contoh : Enkripsi, hashing, permission, DLP dan lain lain
Tujuan dari pengelolaan dan pelaksanaan Incident Response & Handling adalah untuk dapat meminimalkan dampak dari gangguan
keamanan informasi terhadap operasional dan bisnis, serta memastikan terjaganya aspek kerahasiaan (Confidential), Keutuhan (Integrity),
Ketersediaan (Availability).
Rencana
Sikluk penanganan insiden dimulai dengan fase rencana. Organisasi bersiap untuk mempertahankan infrastruktur dan data TI dengan
menilai postur keamanan informasi. Hal ini melibatkan pemahaman ancaman apa yang mungkin dihadapi dan pemahaman sejauh mana
negara ini rentan terhadap ancaman tersebut.
Peredaman
Setelah merencanakan taktik dan strategi pertahanannya dan menerapkan komponen yang sesuai dari arsitektur keamanannya, organisasi
tersebut akan meredam serangan.
Deteksi
Organisasi tidak bisa menahan semua upaya peyusupan, membutuhkan proses untuk medeteksi kompromi. Visibilitas ke dalam keadaan
lingkungan di semua tingkat infrastruktur TI (jaringan, aplikasi, data dll).
Respon
Setelah penyusupan terdeteksi, organisasi memobilisasi penanganan insiden untuk menanggapi intrusi. Proses ini biasanya melibatkan
pemahaman ruang lingkup insiden, berisi situasi, menghilangkan kehadiran penyerang dan memulihkan dari insiden tersebut.
Mulai membersihkan
Pembersihan selesai
Tujuan: Mengembalikan sistem terdampak ke Recovery
keadaan aman dan melakukan pemantauan
pada sistem sampai keadaan stabil.
Melanjutkan operasional
Pembelajaran
Tujuan: Dokumentasikan seluruh investigasi, point
pembelajaran dan peningkatan tata kelola, kebijakan, SOP,
tindakan dan pengendalian dalam organisasi
Persiapan
Melakukan persiapan untuk respon dan penanganan insiden, membuat dokumentasi, membangun tools, dan lain sebagainya. Kunci utama
pada tahapan ini yaitu :
• Penyusunan kebijakan
• Rencana / Strategi Respon
• Komunikasi
• Dokumentasi (Daftar Periksa, Form respon insiden)
• Menyiapkan Team
• Menyiapkan Tools
Incident
Audit Investigation Mitigation
Public
Security Awareness
Audit Digital
Forensic Recovery
Forensic
Readiness
Monitoring
Management
Audit
Security Operation Center
ISO/IEC 27039 Updated
Cyber Law
Intrusion Detection & Prevention System System
Cyber Security
ISO/IEC 27032 : Guideline for Cyber Security
DTS 2021 #Jadijagoandigital
Persiapan – Penyusunan Kebijakan
Contoh dan Referensi Kebijakan Respon dan Penanganan Insiden
Berikut merupakan referensi dan contoh kebijakan respon penanganan insiden RFC 2350: Gov-CSIRT Indonesia
Berikut merupakan referensi dan contoh kebijakan respon penanganan insiden RFC 2350: Gov-CSIRT Indonesia
Berikut merupakan referensi dan contoh kebijakan respon penanganan insiden RFC 2350: Gov-CSIRT Indonesia
Lainnya
Tim respon dan penanganan insiden harus setidaknya dibagi menjadi dua
Management Team
Memberikan perintah, memimpin dan memberi keputusan
Tim Pelaksana
Tim yang menjalankan rencana, proses, prosedur respon dan penanganan insiden
Management Team
• Terdiri dari senior manager. Sering kali melibatkan C-Level Management (seperti CIO) dan eksekutif lainnya
• Anggotanya tidak spesifik hanya ke IT, setidaknya harus ada representatif sebagai perwakilan dari masing-masing segment bisnis.
• Mendefinisikan dan mengesahkan tanggung jawab tim respon dan penanganan insiden.
• Membuat keputusan manajemen terkait dengan upaya respons dan biasanya hanya terlibat langsung dalam upaya dengan tingkat
keparahan tinggi
• Menangani permintaan dan pengesahan, seperti expenditure dari respon dan penanganan insiden.
• Memastikan sumber daya yang tempat dialokasikan untuk tim respon dan penanganan insiden.
• Menyetujui rencana komunikasi terutama dengan pelanggan, manajemen bisnis, penegak hukum.
• Secara berkala melakukan peninjauan terhadap rencana respon dan penanganan insiden.
• Memegang tanggung jawab lain yang berkaitan dengan respon dan penanganan insiden serta kebijakan terkait.
Tim Pelaksana
• Mengembangkan dan memimpin pelaksanaan rencana respon dan penanganan insiden.
• Melakukan respon dan penanganan insiden di tempat kejadian apabila dibutuhkan.
• Menyusun laporan pasca insiden keamanan informasi.
• Menyediakan pelatihan, pengetahuan dan secara berkala testing rencana respon dan penanganan informasi.
• Membangan hubungan dan prosedur intra departemen sesuai kebutuhan.
• Mengidentifikasi kesenjangan rencana respon dan penanganan insiden; dan kebutuhan pelatihan.
• Memperbaharui dokumentasi, termasuk spesifik prosedur respon dan penanganan insiden.
• Merekomendasikan standar kebijakan.
• Melakukan sesi lessons learned tiap upaya respon dan penanganan insiden.
• Secara berkala melapor ke Management Team.
Hal yang terpenting yang harus dilakukan oleh customer care adalah untuk selalu paham dan mengetahui insiden yang tengah terjadi serta
perkembangan kasusnya karena mereka akan menjadi garda depan untuk menjawab pertanyaan-pertanyaan dari pelanggan. Customer Care
bertanggung jawab untuk:
• Menyusun dan mengembangkan draft untuk menjawab terlepon, frequenly asked question (FAQ), dll.
• Mencatat volume panggilan dan pertanyaan atas kekhawatiran yang disampaikan oleh pelanggan.
Insiden keamanan informasi dapat juga mempengaruhi karyawan internal, untuk itu organisasi perlu menunjukan perwakilan karyawan yang
bertugas :
• Mengembangkan komunikasi internal untuk memberitahu seluruh karyawan atau mantan karyawan mengenai insiden.
• Mengatur rapat internal atau siaran web untuk karyawan untuk mengumpulkan informasi dari karyawan terkait insiden.
Terdiri dari pakar hukum, privasi dan kepatuhan internal yang dapat membantu tim untuk meminimalisir resiko. Tim legal bertugas untuk :
• Menentukan strategi dan cara memberitahu individu yang terpengaruh, media, penegak hukum, lembga pemerintah dan pihak ketiga
lainnya.
• Membangun hubungan dengan hukum eksternal yang diperlukan.
• Memeriksa semua dokumen atau materi tertulis yang terkait dengan insiden.
Tim IT dan tim keamanan IT akan memimpin dalam menghentikan kebocoran data, selain itu juga bertugas untuk :
• Mengidentifikasi resiko keamanan yang harus dimasukan ke dalam rencana aksi cepat tanggap terhadap insiden.
• Melatih personil dalam melakukan aksi tanggp insiden, termasuk mengamankan tempat dan mesin-mesin atau peralatan yang terinfeksi
secara offline dan menyimpan bukti-buktinya.
Jika insiden perlu dilaporkan ke media atau harus dipublikasikan dengan tujuan memberitahu individu yang terkena dampak, perwakilan PR
bertugas untuk :
• Mengidentifikasi dan menyusun notifikasi atau pemberitahuan terbaik, serta menyusun strategi manajemen krisis sebelum insiden terjadi.
• Melacak dan menganalisis liputan media dengan cepat untuk setiap pemberitaan negatif selama insiden terjadi.
• Membuat materi publikasi untuk konsumen/pelanggan mengenai insiden yang terjadi (melalui website, media statement, media sosial
dan lain lain)
Pada tahap ini anda melakukan penilaian kejadian, apakah insiden sedang terjadi. Berdasarkan pengamatan peristiwa, indicator, anda
mencari penyimpangan dari operasi normal. Anda mencari tindakan jahat, anomaly atau percobaan serangan. Pada tahap ini anda melakukan
indentifikasi menggunakan alerts dan log dari router, firewall, IDS, SIEM, Anti Virus, sistem operasi, jaringan dan lain lain.
Tahap ini selalu diikuti setelah terkonfirmasi telah terjadinya suatu insiden keamanan informasi.
Tujuannya adalah untuk menghentikan potensi hilangnya data konfidensial, mencegah perusakan lebih lanjut ke sistem dan/atau informasi
yang terkompromi, melindungi komputer dan informasi lain dalam jaringan organisasi dan internet. Mencari pemilik asset supaya perangkat
terdampak dapat dilakukan containment, eradication dan recovery.
Membuat rekomendasi apakah sistem/situs yang terkena dampak harus tetap beroperasi, dihapus dari jaringan atau dimatikan sepenuhnya.
Kumpulkan bukti digital (digital evidence) dengan data sistem saat ini dan salin untuk kebutuhan forensik
Eradication (pemberantasan) dilakukan setelah tahap containment dari suatu insiden keamanan informasi. Langkah-langkah yang diambil
disini bervariasi tergantung dari tipe insiden keamanan informasi. Tujuannya adalah untuk menyimpan bukti apabila belum dilakukan. Anda
perlu melakukan analisa tambahan sesuai kebutuhan untuk menyempurnakan investigasi. Anda perlu melakukan mitigasi attack vector yang
serupa supaya insiden keamanan informasi tidak terulang (Contoh, lakukan patch kerentanan pada sistem yang terindikasi kompromi).
Jika memungkinkan, dapatkah sistem dicitrakan ulang dan kemudian dikeraskan dengan tambalan dan/atau tindakan pencegahan lain untuk
mencegah atau mengurangi resiko serangan?
Jika tidak, jelaskan kenapa?
Apakah semua backdoor/malware/Trojan atau artifak lainnya yang ditinggalkan sudah oleh penyerang sudah dihilangkan dan apakah sistem
terdampak sudah dilakukan hardening untuk mencegah insiden serupa di kemudian waktu?
Jika tidak, Jelaskan kenapa?
Pada tahap recovery penanganan insiden, anda melakukan pemulihan dengan tujuan service sistem terdampak dapat kembali berjalan
normal dan melakukan verifikasi operasi yang dilakukan serta kualitas layanan/sistem.
Sambungkan kembali sistem ke jaringan, pulihkan dari backups jika diperlukan dan melaporkan tindakan untuk memerintahkan tim
pengambil keputusan.
Apakah sistem terdampak sudah dilakukan patch dan hardened terhadap serangan yang baru ini terjadi, serta kemungkinan serangan
terbaru yang akan datang?
Kapan waktu yang memungkinkan untuk dilakukan pemulihan terhadap sistem terdampak kembali ke production?
Tools apa yang akan digunakan untuk melakukan test, pemantauan dan verifikasi apabila sistem yang dikembalikan ke production tidak
terkompromi oleh metode yang sama dengan insiden yang sebelumnya terjadi ?
Berapa lama kamu akan merencanakan pemantauan terhadap sistem yang dipulihkan dan apa yang akan kamu cari ?
Apakah ada tolak ukur yang dapat digunakan sebagai baseline untuk membandingkan hasil pemantauan sistem yang dipulihkan dengan
baseline ?
Lesson Learnt atau pembelajaran. Pada tahap ini anda dapat mereflesikan dan mendokumentasikan apa yang terjadi. Dimana anda dapat
mempelajari apa yang gagal dan apa yang berhasil. Disinilah anda mengidentifikasi peningkatan untuk proses dan prosedur penanganan
insiden anda. Disitulah anda menulis laporan akhir anda.
Lesson Learn
Apakah semua dokumentasi penting sudah tercatat?
Jika sudah, lakukan pengelolaan laporan insiden keamanan informasi kemudian jadwalkan koordinasi untuk
pembahasan hasil laporan.
Jika belum, segera lakukan dokumentasi sebelum ada hal yang terlewat karena lupa tercatat.
Diasumsikan laporan IRH sudah selesai, apakah dapat setiap proses dapat menjawab (Who?What?Where?Why?and How?)
Apakah meeting dengan agenda lesson learned insiden bisa dijadwalkan 2 minggu setelah kejadian ditangani?
Jika tidak, mohon jelaskan dan kapan waktu yang memungkinkan untuk diadakan?
Lesson Learned Meeting
Peninjauan proses respon dan penanganan insiden bersama tim penanganan insiden terhadap insiden yang
baru saja terjadi.
Apakah meeting menbahas mengenai kesalahan atau area dimana penanganan insiden dapat dikerjakan
dengan lebih baik?
Jika tidak ada pembahasan tersebut, jelaskan kenapa
Malware merupakan suatu definisi yang diberikan untuk setiap program atau file atau kode yang dapat membahayakan suatu sistem.
Malware berusaha menyerang, merusak atau menontaktifkan komputer, sistem computer, jaringan, perangkat seluler, sering kali dengan
mengambil sebagian kendali perangkat. Malware saat ini kebanyakan bukan bertujuan untuk merukan, namun lebih ke arah pencurian data
sensitif. Adapun malware yang menyebabkan kerusakan dan kehilangan data biasanya berupa ransomware, yang mengancam user yang
menjadi korban untuk membayar sejumlah tebusan jika tidak ingin datanya hilang.
Pada bagian respon dan penanganan insiden malware akan menjelaskan mengenai prosedur penanganan insiden malware mulai dari
identifikasi, containment, eradication, recovery.
Tahap containment bertujuan untuk mencegah penyebaran malware. Prosedur yang dilakukan pada tahap containment malware adalah
sebagai berikut :
a) Meminta izin kepada pemilik sistem untuk memutus sistem yang terinfeksi malware dari jaringan
b) Isolasi sistem yang terinfeksi malware. Hal ini dapat dilakukan dengan cara mencabut kabel LAN atau memindahkan sistem tersebut ke
VLAN khusus.
c) Memutuskan hubungan dari jaringan yang mungkin akan dibutuhkan dalam melakukan analisa selanjutnya.
d) Mengubah konfigurasi routing table dan firewall untuk memisahkan sistem yang terinfeksi malware dengan sistem lainnya.
e) Melakukan backup pada data sistem yang terinfeksi malware
f) Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran malware. Jika terdapat kemiripan, maka sistem tersebut juga
harus dilakukan proses containment.
Tahap eradication merupakan tahapan dimana beberapa teknik yang berbeda-beda digunakan untuk melakukan analisa terhadap malware
dan menghapus malware dari sistem yang telah terinfeksi. Setelah file yang terinfeksi diidentifikasi, gejala malware dicatat dan executable
malware diidentifikasi dan dianalisis, kemudian semua file executable malware dan artefak yang ditinggalkan oleh penyerang dihapus, serta
menutup port yang terindikasi sebagai lubang masuknya malware.
Proses-Proses yang dilakukan dalam tahap eradication adalah sebagai berikut:
a) Menghentikan proses yang terindikasi sebagai proses yang malicious, dengan cara sebagai berikut :
• Tidak melakukan kill/end process terhadap malicious process tersebut. Hal ini dikarenakan malware akan melakukan autostart process
ketika prosesnya terhenti.
• Lakukan suspend terhadap proses tersebu dan file DLL yang dipanggil oleh proses tersebut.
• Dalam kondisi suspend, kemu satu persat lakuka kill proce dari kumpulan malicious process tersebut dimulai dari child process ke parent
process.
• Jika malicious process masih melakukan autos atau mengganti namanya dengan proses baru, maka perlu didokumentasikan lebih lanjut
dan simpan malicious program tersebut ke media untuk proses analisa yang lebih mendetail
b) Menghapus autostart process yang mencurigakan dari hasil analisa autostart.
c) Jika proses tersebut kembal, jalankan process monitor untuk mengidentifikasi apakah ada lokasi l dimana malware tersebut bersembunyi
Pada tahap recovery merupakan tahap untuk memulihkan data sistem yang terinfeksi malware serta mengembalikan seluruh sistem berkerja
normal seperti semula. Langkah yang dilakukan untuk pemulihan sistem diantaranya :
a) Validasi sistem untuk memastikan sudah tidak ada aplikasi atau file yang rusak atau terinfeksi malware. Serta kesalahan atau kekurangan
konfiguasi sistem untuk kemudian disesuaikan kembali
b) Melakukan aktifitas pemantauan untuk memastikan apakah malware masih ada atau kembali lagi setelah proses eradication dengan
melakukan hal-hal berikut :
• Memantau proses dan servis yang berjalan menggunakan process monitor dan process explorer.
• Memantau aktifitas traffic jaringan menggunakan wireshark atau tcpdump untuk memantau apakah ada request outgoing atau malware
yang memiliki kemampuan command and control biasanya melakukan kontak dengan induknya.
c) Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting hilang, menyebabkan kegagalan booting pada sistem
operasi), maka sistem dibangun ulang dari file backup terakhir sistem yang dimiliki.
d) Melakukan patching sistem
e) Melakukan hardening terhadap sistem
f) Menambahkan signature dari malware ke sistem monitoring atau database antivirus.
Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk masa mendatang. Prosedur yang dapat
dilakukan adalah sebagai berikut :
a) Membuat dokumentasi dan laporan terkait penanganan insiden malware, yang berisi langkah-langkah dan hasil yang telah didapatkan.
b) Memberikan analisa dan penjelasan apa yang harus dilakukan, sehingga meminimalisir insiden serupa tidak terulang kembali.
c) Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses hokum kedepannya.
d) Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat diberikan diantaranya :
• Penambahan pengetahuan tentang penanganan insiden malware, misalnya melalui pelatihan
• Memperbaharui anti malware dengan signature file yang baru, dengan harapan dapat berhasil dalam mendeteksi dan menghapus
malware.
e) Mendokumentasikan terkait jalan masuk malware, perilaku, dampak kerusakan, dll yang terkait malware kedalam database malware.
f) Menyempurnakan langkah-langkah respon atau prosedur penanganan insiden malware yang ada.
Insiden network security yaitu insiden yang berdampak pada jaringan organisasi seperti bottleneck network dan sulitnya membuka suatu
aplikasi. Metode serangan yang sering menyebabkan insiden network security yaitu DoS dan DDoS. Penyerang berusaha mengirimkan trafik
data atau permintaan kepada target dengan jumlah yang besar yang bertujuan untuk membebani sistem/kapasitas dari suatu server atau
perangkat.
Tahap containment bertujuan untuk meminimalisir efek/dampak serangan pada sistem yang ditargetkan dan mencegah kerusakan lebih
lanjut. Langkah-langkah yang dapat diambil pada tahap containment antara lain :
a) Jika sumber bottleneck berada pada fitur tertentu dari suatu aplikasi (dalam artian suatu aplikasi sedang menjadi target), maka perlu
mempertimbangkan untuk menonaktifkan sementara aplikasi tersebut.
b) Jika bottleneck berada di ISP, maka perlu berkoordinasi dengan pihak ISP untuk meminta filtering.
c) Merelokasikan target ke alamat ip lain jika suatu host tertentu sedang menjadi target ( sebagai solusi sementara ).
d) Jika memungkinkan, memblokir lalu lintas yang terhubung dengan jaringan (router, firewall, load balancer, dll)
e) Mengontrol lalu lintas data dengan menghentikan koneksi atau proses yang tidak diinginkan pada server/router.
f) Melakukan filter sesuai karateristik serangan, misalnya memblokir packet echo ICMP.
g) Menerapkan rate limiting untuk protocol tertentu, mengijinkan dan membatasi jumlah paket per detik untuk protocol tertentu dalam
mengakses suatu host.
Eradication pada penanganan serangan DDoS yaitu mengambil tindakan untuk menghentikan kondisi tersebut. Tindakan ini sebagaian besar
melibatkan peran ISP. Prosedur untuk melakukan proses ini dapat dilakukan dengan cara menghubungi penyedia layanan internet (ISP)
untuk meminta bantuan terkait :
• Pemblokiran jaringan (source ip address)
• Pemfilteran (membatasi jumlah lalu lintas)
• Traffic-scrubbing/sinkhole/clean-pipe
• Blackhole routing
Pada tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal seperti semula. Memahami
karakteristik serangan diperlukan untuk pemulihan yang cepat dan tepat. Prosedur yang dapat dilakukan pada tahap pemulihan diantaranya
sebagai berikut :
a) Memastikan bahwa serangan DDoS pada jaringan telah selesai dan layanan bisa dilakukan kembali.
b) Memastikan bahwa jaringan telah kembali ke kinerja semula.
c) Memastikan bahwa layanan yang terkena dampak dapat dijangkau lagi / beroperasi kembali.
d) Memastikan bahwa infrastruktur telah kembali ke kinerja semula (tidak ada kerusakan).
e) Memulai layanan, aplikasi dan modul yang ditangguhkan.
f) Mengembalikan ke jaringan asli dan mengalihkan kembali lalu lintas ke jaringan asli.
Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dacatat sebagai referensi untuk di masa mendatang. Tujuan dari tahap
ini adalah untuk :
a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan serangan DDoS.
b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi.
Insiden Email Security biasanya diakibatkan oleh metode phising. Penyerang akan mengirimkan email ke suatu organisasi dengan berpura-
pura sebagai orang yang memiliki jabatan di organisasi tersebut atau juga mengirimkan email perubahan password yang merupakan phising.
Serangan lainnya yang dapat mengakibatkan insiden email security yaitu penyerang mengirimkan banyak email dengan size yang besar
bertujuan untuk membanjiri sistem dan menyebabkan gagal operasi.
Tujuan dari proses identifikasi adalah untuk mendeteksi adanya insiden serangan phising, menentukan ruang lingkup, dan melibatkan pihak-
pihak yang tepat dalam menangani serangan phising. Tahap identifikasi penanganan serangan phising adalah sebagai berikut :
a) Memantau email, social media, web forms dan sebagainya pada organisasi untuk mencari informasi phising.
b) Memeriksa URL phising dan hyperlink yang mencurigakan menggunakan www.virustotal.com, www.urlvoid.com, serta
www.phistank.com;
c) Melibatkan pihak yang tepat terkait serangan phising. Agar bisa segera dilakukan takedown terhadap web phising. Seperti perusahaan
hosting penyedia domain, penyedia jasa email, Nasional CERT
d) Mengumpulkan bukti-bukti terkait adanya serangan phising. Contohnya screenshot halaman web terdampak.
Setelah dipastikan bahwa memang benar telah terjadi serangan phising, maka lakukan proses mitigasi serangan, agar tidak terjadi kerusakan
lebih dalam. Prosedur yang dilakukan pada tahap ini adalah :
a) Menyebarkan URL phising dan konten dari email phising pada pihak spam-reporting website, misalnya www.phistank.com
b) Menginformasikan serangan phising kepada pengguna, agar pengguna mengetahui dan tidak terkena dampak dari serangan tersebut.
c) Memeriksa source code dari website phising, jika menggunakan gambar dari website yang anda miliki, anda dapat mengganti gambar
dengan tampilan “phising website”
Proses ini bertujuan untuk mengambil tindakan dalam menghentikan serangan phising. Prosedur untuk melakukan proses ini dapat
dilakukan dengan cara berikut :
a) Jika halaman phising di hosting di situs web yang telah disusupi, maka hubungi pemilik dari website tersebut, agar halaman phising
dihapus dan dilakukan update security.
b) Untuk percepatan penanganan, hubungi perusahaan hosting dengan mengirim email berisikan informasi phising, serta lakukan kontak
telepon perusahaan hosting yang tersedia.
c) Menghubungi perusahaan hosting untuk melakukan takedown / penutupan alamat website palsu
d) Jika takedown terlalu lama, maka hubungi nasional CERT untuk mengontak CERT local yang berada di negara tersebut untuk membantu
proses takedown.
Tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem berkerja normal seperti semula. Langkah-langkah
yang dapat dilakukan adalah sebagai berikut :
a) Memastikan bahwa halaman website penipuan sudah tidak dapat diakses.
b) Tetap memantau URL palsu, untuk memastikan URL palsu tersebut tidak dapat diakses.
c) Memantau traffic email gateway.
d) Memastikan kembali tidak ada user yang meng-klik link pada email phising.
Tahap pembelajaran dimana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk dimasa mendatang. Tujuan dari
tahap ini adalah untuk :
a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan phising
b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi
Insiden Web Application biasanya berupa web defacement, SQL injection, cross scripting dan lainnya yang berusaha merusak aplikasi
tersebut.
Pada tahap ini dilakukan proses identifikasi untuk memastikan telah terjadi serangan web application dan medeteksi sumbernya. Langkah-
langkah yang dapat diambil pada tahap identifikasi antara lain :
a) Backup semua data yang tersimpan pada web server untuk kebutuhan forensic dan pengumpulan bukti. Langkah ini juga membantu
apabila ingin dilakukan pemulihan file yang hilang.
b) Periksa peta arsitektur jaringan organisasi anda. Pastikan penyerang terdeteksi di lokasi yang tepat.
• Periksa pada web server sistem apa yang sedang berjalan
• Periksa services yang berjalan ada mesin tersebut
• Periksa koneksi pada sistem lainnya, yang kemungkinan kompromi
c) Jika sumber dari serangan merupakan sistem yang berada di jaringan lain, putuskan koneksi secara fisik jika memungkinkan dan lakukan
investigasi
a) Temukan bagaimana caranya penyerang dapat masuk ke sistem dan lakukan perbaiki
• Komponen web yang rentan memperbolehkan untuk akses mengubah(write access): perbaiki kerentanan
• Open Public Folder : Perbaiki bug
• Kelemahan pada SQL yang memungkinkan memperbolehkan injection : perbaiki code nya
• Komponen mashup : potong umpan mashup
• Administratif perubahan melalui akses fisik. Ubah hak akses
b) Jika diperlukan (issue kompleks dan web server yang sangat penting), deploy web server sementara, kondisi update to date dengan
aplikasi.
Mengambil tindakan untuk menghapu ancaman dan menghindari ancaman web application kedepannya
• Hapus semua konten yang diubah dan ganti dengan konten yang sah
• Perbaiki semua temuan kerentanan
• Pulihkan konten dari backup sebelumnya. Pastikan konten ini sudah tidak terdapat kerentanan(jika kerentanan berasal dari web app)
Tools yang bisa digunakan untuk membantu memeriksa PHP backdoor / web shell / backdoor shell :
• http://www.shelldetector.com/
• http://www.whitefirdesign.com/tools/basic-backdoor-scriptfinder.html
• http://resources.infosecinstitute.com/web-shell-detection/
• http://25yearsofprogramming.com/blog/2010/20100315.htm
• http://resources.infosecinstitute.com/checking-out-backdoorshells/
• https://bechtsoudis.com/hacking/detect-protect-from-phpbackdoor-shells/
• Ubah semua user password, jika web server menyediakan user-authentication, dan anda memiliki bukti / alasan untuk menyatakan kata
sandi mungkin telah disusupi. Ini bias membutuhkan komunikasi pengguna yang luas.
• Jika server cadangan telah digunakan, pulihkan komponen utama web server sebagai nominal.
Komunisasi
• Jika insiden web application terlihat pengguna, rencanakan penjelasan secara public.
Laporan
• Laporan krisis harus dituliskan dan dibuat untuk semua pihak yang terlibat
Insider Threats adalah terminology yang digunakan untuk menunjukan adanya potensi ancaman terhadap keamanan atau data sebuah
sistem yang berasal dari aktifitas orang dalam. Secara sederhana yang dimaksud dengan insider adalah individu yang memiliki otorisasi untuk
melakukan akses terhadap sistem yang berjalan dalam organisasi. Sementara threat adalah apapun yang berpotensi menjadi gangguan
serius, kerusakan, kehilangan pada asset yang dikelola perusahaan/institusi. Dalam hal ini individu yang dimaksud mengarah pada karyawan
atau mantan karyawan atau pihak ketiga (kontraktor atau pengembangan sistemnya). Secara umum resiko yang dapat ditimbulkan dari
insider threat adalah pencurian terhadap data sensitive, penyalahgunaan hak akses, dan aktifitas penipuan yang akan berdampak pada
reputasi dan brand image dari organisasi tersebut. Berdasarkan referensi dari Haystax terdapat 3 jenis data yang sering menjadi target dari
pelaku insider threat yaitu data customer, data finansial, data yang dilindungi atau memuat hak intelektual.
Indikator dari Insider Threat sebagian besar merupakan tingkah laku tidak biasa dari pengguna. Penggunaan NDR (Network Detection dan
Response) dengan teknologi artificial intelligence untuk mendeteksi anomaly di dalam jaringan, UEBA, dan tools honeypot merupakan
kritikal untuk mendeteksi tipe serangan ini. Perubahan pada pola penggunaan jaringan dapat menjadi indicator Insider Threat.
Seperti yang dijelaskan sebelumnya pada bagian malicious insider, aktifitas yang umumnya dilakukan oleh Insider Threat yaitu yaitu menyalin
data atau dokumen internal kepada pihak luar. Pengiriman informasi ini biasanya dalam jumlah yang besar lewat email atau upload, pola ini
bisa menjadi indicator untuk mendeteksi Insider Threat.
Untuk setiap jenis serangan containment merupakan tahap yang sangat diperlukan bagi respon dan penanganan insiden. Sangat penting
untuk membatasi sumber yang dimaksud untuk mencegah tindakan aktor jahat baik secara leteral maupun outbound. Containment akan
meminimalisir kerusakan.
Setelah melakukan identifikasi dan berhasil menemukan malicious insider, semua akses istimewa dan kredensial aktor ini harus diblokir,
termasuk akun email dan domain serta kartu akses fisik.
Untuk melakukan eradication terhadap insiden Insider Threat perlu dilakukan diskusi bersama dengan beberapa pihak untuk membahas
mengenai proses yang berjalan pada organisasi, proses tersebut melibatkan departemen dan karyawan. Perilaku abnormal oleh Insider Threat
harus didefinisikan bersama dan kemudian dibuat kebijakan serta kontrol keamanan pada organisasi.
Peninjauan terhadap kebijakan dan control keamanan harus dilakukan secara rutin.
Digital forensic akan dilakukan sesuai dengan pedoman Association of Chief Police (ACPO) dan juga keempat prinsipnya
Prinsip 1. Data yang disimpan dalam komputer atau media penyimpanan tidak boleh berubah atau diubah, karena data tersebut nantinya
dapat diajukan ke pengadilan.
Prinsip 2. Seseorang harus cukup kompeten dalam menangani data asli yang disimpan di computer atau media penyimpanan jika itu
diperlukan. Orang tersebut juga harus dapat memberikan bukti yang menjelaskan relevansi dan arah tindakannya.
Prinsip 3. Jelas audit atau dokumentasi lain dari semua proses yang diterapkan pada bukti elektronik berbasis komputer harus dibuat dan
dipelihara. Pihak ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang sama.
Prinsip 4. Seseorang yang bertanggungjawab atas investigasi harus memiliki tanggung jawab keseluruha untuk mempertanggung jawabkan
hukum dan prinsip ACPO telah dipatuhi.
Electronic Expert
Crime Scene Examination Analysis
Evidence Testimony
Pasal 1 Angka 1 :
Informasi elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta,
rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda,
angka, kode akses, symbol atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya
Pasal 1 Angka 4 :
Dokumen elektronik adalah setiap informasi elektronik yang dibuat, diteruskan, dikirimkan, diterima atau disimpan dalam bentuk analog,
digital, elektromagnetik, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem
elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, kode
akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya.
Pasal 5
(1) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah.
(2) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya sebagaimana dimaksud pada ayat(1) merupakan perluasan
dari alat bukti yang sah sesuai dengan hukum acara yang berlaku di Indonesia
Pasal 6
… Informasi elektronik dan/atau dokumen elektronik dianggap sah sepanjang informasi yang tercantum di dalamnya dapat diakses,
ditampilkan, dijamin keutuhannya dan dapat dipertanggung jawabkan sehingga menerangkan suatu keadaan
Alat
Ahli
Bukti
Dapat dipertanggung
Dianggap Sah : jawabkan
1. Dapat diakses
2. Dapat Ditampilkan
3. Dapat dijamin keutuhannya
4. Dapat dipertanggung jawabkan
Pada modul teor Incident Response membutuhkan OS windows 10 untuk menjawab halaman quiz/games
Di modul ini anda akan mempelajari mengenai fundamental cyber security, alur respon dan penanganan insiden, penanganan insiden dari
berbagai macam kategori serta pengenalan digital forensic.
2 Gambarkan dan jelaskan alur penanganan insiden serangan web defacement. Mulai dari persiapan, identifikasi, containment, eradication, recovery,
lesson learn. Sebutkan pihak-pihak yang terlibat untuk koordinasi penanganan insiden web defacement.