Modul E Topik 11 - Respon Dan Penanganan Insiden Keamanan Informasi

thematic Academy
Cyber Security Analyst

Modul E Topik 11 : Respon dan Penanganan Insiden
Keamanan Informasi
Sutrisno Arono, S.KOM

Danar Panjalu, ECIH
Profil Pengajar
Latarbelakang Pendidikan Pengajar
● Bachelor, Majoring in Computer Science
● Certified Incident Handling Engineer, Certification Number : 14241-161-762-1656, 2021
● CNSS Certified Network Security Specialist, Certification Number: 18729246, 2020
Photo Pengajar ● CCNA Cybersecurity Certificate Operations, 2019
Riwayat Pekerjaan
● Xynexis Cyber Security Analyst
Contact Pengajar
Email : sutrisnoaryono@gmail.com
DTS 2021
Profil Pengajar
Latarbelakang Pendidikan Pengajar
● Bachelor, Majoring in Computer Science
● EC-Council Certified Incident Handler v2, 2019
Riwayat Pekerjaan
Photo Pengajar ● Cyber Security Services Section Head
● Cyber Security Practicioner, 5 Years
Contact Pengajar
Email : danarcoburn@gmail.com
DTS 2021
Course Definition
Unit Kompetensi “Melakukan penanganan Insiden Gangguan Keamanan Informasi ” dengan fokus Elemen Kompetensi “Mengawasi atau
mengelola tindakan pengamanan atau perbaikan ketika suatu insiden keamanan atau kerentanan/kelemahan telah terjadi/ditemukan”
DTS 2021 #Jadijagoandigital

Learning Objective
In this course you will:

A. Memahami fundamental cyber security
B. Memahami definisi Respon dan Penanganan Insiden
C. Memahami alur Respon dan Penanganan Insiden
D. Memahami Respon dan Penanganan Insiden Berdasarkan Kategori Insiden

Definisi Insiden Keamanan Informasi
Respon dan penanganan insiden adalah pendekatan terorganisir untuk menangani dan mengelola akibat dari pelanggaran atau serangan
keamanan (juga dikenal sebagai insiden). Tujuannya adalah untuk menangagi situasi dengan cara membatasi kerusakan dan mengurangi
wakt serta biaya pemuihan. Rencana respon dan penanganan insiden mencakup kebijakan yang mendefinisikan, dalam istilah tertentu, apa
yang merupakan insiden dan menyeriakan proses demi langkah yang harus diikuti ketika insiden terjadi.
Serangan = Motif + Metode + Kerentanan

CIA Triad
CIA Triad adalah suatu model yang dirancang dengan tujuan memandu kebijakan terkait keamanan informasi pada suatu organisasi. Unsur-
unsur CIA triad terdiri dari 3 aspek yaitu Confidentiality, Integrity dan Availability. Tiga komponen tersebut merupakan komponen terpenting
yang harus dijaga dalam Cyber Security, agar suatu sistem keamanan dianggap komprehensif dan lengkap, sistem tersebut harus secara
memadai menangani seluruh Triad CIA.
Apabila salah satu atau lebih unsur-unsur tersebut terganggu atau rusak dapat mengakibatkan terjadinya insiden keamanan informasi.

CIA Triad
Confidentiality : Kerahasiaan informasi.
Serangkaian langkah-langkah yang perlu dilakukan untuk menjaga tereksposnya informasi sensitif dari jangkauan orang-orang yang tidak
berwenang. Sederhananya confidentiality merupakan upaya untuk menjaga privasi.
Ada banyak tindakan pencegahan yang dilakukan organisasi untuk menjaga confidentiality (kerahasaiaan). Kata sandi, daftar protokol akses
dan prosedur otentikasi menggunakan perangkat lunak untuk akses ke sumber daya.

CIA Triad
Integrity : Konsistensi, akurasi dan kepercayaan terhadap data.
Menjaga konsistensi, akurasi dan kepercayaan terhadap data. Langkah-langkah yang perlu dilakukan untuk memastikan bahwa data tidak
bisa diubah oleh orang yang tidak berwenang serta tidak ada perubahan data saat transit.
Langkah-langkah tersebut termasuk izin dalam mengakses file dan batasan kontrol bagi akses pengguna. Kontrol ini bisa dipakai untuk
mencegah perubahan yang keliru atau penghapusan tidak disengaja dari pengguna resmi yang bisa juga menjadi masalah

CIA Triad
Availability : Ketersediaan layanan.
Menjaga ketersediaan layanan supaya bisa diakses dengan baik. Pengukuran aspek availability dapat dinilai dari layanan yang bisa selalu
diakses dan tidak terkendala. Beberapa ancaman mendasar yang mengakibat terganggunya aspek ini namun bukan termasuk kejadian
keamanan informasi yaitu terjadinya downtime pada perangkat lunak atau kegagalan perangkat keras.
Salah satu metode serangan keamanan informasi yang dapat mengakibatkan rusaknya ketersediaan serangan yaitu denial of service (DOS),
metode serangan dengan cara aktor membanjiri secara terus menerus dengan permintaan yang dapat mengakibatkan beban pada server
sehingga pengguna sulit atau tidak bisa mengakses aplikasi.
Ketersediaan dan responsif suatu aplikasi merupakan prioritas utama pada banyak bisnis. Gangguan ketersediaan layanan pada aplikasi
walau sebentar dapat mengakibatkan kerugian. Untuk menjaga ketersediaan layanan harus memiliki persyaratan tinggi terhadap
redundansi, perangkat keamanan informasi, pemantauan layanan oleh tim ahli.

Defense in Depth

Defense in Depth
Sebuah strategi keamanan yang terdiri dari berbagai lapisan untuk melindungi sebuah sistem infomasi. Defense in Depth (DiD) dapat
diibaratkan pertahanan benteng yang berlapis. Defense in Depth (DiD) menerapkan pertahanan kompleks yang membuat penyerang
mendapatkan kesulitan untuk melakukan penetrasi ke dalam sistem dan meraih tujuan mereka.
Contoh Metode Pendekatan dari Defense in Depth

• Kebijakan, Prosedur, dan Awareness :
ini merupakan level awal pertahanan yang wajib setiap organisasi desain dan implementasikan. Penerapan kebijakan
keamanan untuk menghindari penyalahgunaan dari sumber daya yang ada dan membatasi operasi penggunaan sumberdaya
yang ada.
Contoh : Kebijakan password, kebijakan akses internet, ISO/IEC270001,HIPAA dan lain sebagainya
• Fisikal
Penerapan keamanan aset organisasi dari berbagai ancaman fisik
Contoh : Access Control, kunci ruangan, Power Supply, Sistem Alarm, dan lain lain

Defense in Depth
• Perimeter
Mencakup desain dan implementasi di level perimeter
Contoh : Perimeter di server, DNS, Firewall, dan lain lain.
• Jaringan Internal
Desain dan implementasi penerapan keamanan di jaringan internal
Contoh : Firewall, Router, Switch, dan lain lain.
• Host
Implementasi keamanan di sisi individual host
Contoh : Antivirus, patch dan lain sebagainya.
• Aplikasi
Implementasi keamanan di sisi aplikasi
Contoh : Manajemen password, konfigurasi aplikasi dan lain lain
• Data
Implementasi keamanan data dalam bentuk data rest atau data transit
Contoh : Enkripsi, hashing, permission, DLP dan lain lain

Incident Response & Handling
Tujuan dari pengelolaan dan pelaksanaan Incident Response & Handling adalah untuk dapat meminimalkan dampak dari gangguan
keamanan informasi terhadap operasional dan bisnis, serta memastikan terjaganya aspek kerahasiaan (Confidential), Keutuhan (Integrity),
Ketersediaan (Availability).

Security Incident Life Cycle

Security Incident Life Cycle
Rencana
Sikluk penanganan insiden dimulai dengan fase rencana. Organisasi bersiap untuk mempertahankan infrastruktur dan data TI dengan
menilai postur keamanan informasi. Hal ini melibatkan pemahaman ancaman apa yang mungkin dihadapi dan pemahaman sejauh mana
negara ini rentan terhadap ancaman tersebut.
Peredaman
Setelah merencanakan taktik dan strategi pertahanannya dan menerapkan komponen yang sesuai dari arsitektur keamanannya, organisasi
tersebut akan meredam serangan.
Deteksi
Organisasi tidak bisa menahan semua upaya peyusupan, membutuhkan proses untuk medeteksi kompromi. Visibilitas ke dalam keadaan
lingkungan di semua tingkat infrastruktur TI (jaringan, aplikasi, data dll).
Respon
Setelah penyusupan terdeteksi, organisasi memobilisasi penanganan insiden untuk menanggapi intrusi. Proses ini biasanya melibatkan
pemahaman ruang lingkup insiden, berisi situasi, menghilangkan kehadiran penyerang dan memulihkan dari insiden tersebut.

Proses Respon dan Penanganan Insiden Keamanan Informasi
Operational State Tujuan: Menyiapkan Team / menetapkan prosedur
/ petunjuk / element yang dibutuhkan untuk
Persiapan penanganan insiden. Menyiapkan “war room”
Operational State Tujuan: Menentukan jika ada insiden. Memeriksa

Identifikasi kejadian dan konteks untuk konfirmasi
Menyatakan Insiden Tujuan: Menghentikan masalah ke arah yang lebih parah.

Containment Menyusun aksi jangka pendek dan jangka panjang untuk
mengisolasi insiden.
Mulai membersihkan
Tujuan: Menghilangkan artifak penyerang di Eradication

dalam sistem
Pembersihan selesai
Tujuan: Mengembalikan sistem terdampak ke Recovery
keadaan aman dan melakukan pemantauan
pada sistem sampai keadaan stabil.
Melanjutkan operasional
Pembelajaran
Tujuan: Dokumentasikan seluruh investigasi, point
pembelajaran dan peningkatan tata kelola, kebijakan, SOP,
tindakan dan pengendalian dalam organisasi
Persiapan

Persiapan
Melakukan persiapan untuk respon dan penanganan insiden, membuat dokumentasi, membangun tools, dan lain sebagainya. Kunci utama
pada tahapan ini yaitu :
• Penyusunan kebijakan
• Rencana / Strategi Respon
• Komunikasi
• Dokumentasi (Daftar Periksa, Form respon insiden)
• Menyiapkan Team
• Menyiapkan Tools

Persiapan – Penyusunan Kebijakan
• Pernyataan komitmen organisasi

• Maksud dan tujuan dari kebijakan
• Lingkup kebijakan (untuk siapa dan apa yang berlaku serta dalam keadaan apa)
• Definisi dari insiden keamanan informasi atau Computer Security Incident
• Struktur organisasi; peran dan tanggung jawab, tingkat wewenang
• Nilai prioritas atau severity dari insiden
• Pengukuran peforma
• Pelaporan dan form kontak

ISO 19011:2011 ISO 19011:2011

Guidelines for auditing management system Guidelines for auditing management system
Pre Incident Post Incident

ISO/IEC/ 27001 ISO/IEC/ 27001
Information Security Management Cyber Security Information Security Management
Incident
Audit Investigation Mitigation
Public
Security Awareness
Audit Digital
Forensic Recovery
Forensic
Readiness
Monitoring
Management
Audit
Security Operation Center
ISO/IEC 27039 Updated
Cyber Law
Intrusion Detection & Prevention System System
Cyber Security
ISO/IEC 27032 : Guideline for Cyber Security
Contoh dan Referensi Kebijakan Respon dan Penanganan Insiden
Berikut merupakan referensi dan contoh kebijakan respon penanganan insiden RFC 2350: Gov-CSIRT Indonesia

Contoh dan Referensi Kebijakan Respon dan Penanganan Insiden(2)

Contoh dan Referensi Kebijakan Respon dan Penanganan Insiden(3)

Contoh penilaian dan prioritas insiden
Berikut merupakan contoh penilaian dan prioritas insiden
Rekomendasi Tingkat Prioritas
Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Kategori Deskripsi
Menengah
Tinggi Menengah - Tinggi Moderate Rendah
- Rendah
Kategori ini digunakan selama pengujian
Latihan/Pengujian Pertahanan aktifitas yang disetujui/tidak disetujui dari
P-2 P-3 P-3 P-4 P-4
Jaringan pertahanan atau respons jaringan internal /
eksternal
Dalam kategori ini, seorang individu

memperoleh akses logis atau fisik tingkat
Akses / Intrusi tidak sah yang berhasil
pengguna tanpa izin ke jaringan P-1 P-1 P-2 P-2 P-3
: level pengguna
perusahaan, sistem, aplikasi, data atau
sumber daya lainnya.
Kategori ini menunjukan upaya penyerang

yang tidak sah dalam mengakses jaringan
Mencoba akses / intrusi tidak sah perusahaan, sistem, aplikasi, data, atau P-1 P-1 P-4 P-4 P-5
sumber daya lainnya, meskipun tidak
berhasil

Contoh penilaian dan prioritas insiden (2)

Kategori Deskripsi
Menengah
- Rendah
Serangan yang berhasil menghentikan
atau merusak fungsi normal jaringan,
Denial of Service P-1 P-1 P-2 P-3 P-4
sistem atau aplikasi dengan menghabiskan
sumber daya.
Berhasil mentransfer informasi sensitive

yang tidak sah dari jaringan organisasi. Ini
Data Compromise P-1 P-1 P-2 P-3 P-4
bisa melalui malware, karyawan, pencurian
sebenarnya.
Penginstalan perangkat lunak berbahaya

Malicious Code (Trojan, Virus, Worm) P-1 P-1 P-2 P-3 P-3
yang berhasil


Kategori Deskripsi
Menengah
- Rendah
Phising adalah tindakan mencoba
memperoleh informasi seperti nama
pengguna, kata sandi, dan detail kartu
kredit (dan terkadang, secara tidak
langsung, uang) dengan menyamar
sebagai entitas yang dapat dipercaya
Phishing/Spoof Attacks dalam komunikasi elektronik. P-1 P-2 P-2 P-3 P-4
Serangan spoofing adalah situasi di mana

satu orang atau program berhasil
menyamar sebagai orang lain dengan
memalsukan data dan dengan demikian
memperoleh keuntungan yang tidak sah
Rougue AP adalah access point yang telah

diinstal pada jaringan suatu organisasi
yang aman tanpa otorisasi eksplisit dari
Rogue AP (Wired/Wireless) P-1 P-2 P-2 P-3 P-4
administrator jaringan, atau telah dibuat
untuk memungkinkan melakukan serangan
DTS 2021 man-in-the-middle
#Jadijagoandigital

Kategori Deskripsi
Menengah
- Rendah
Upaya login yang gagal oleh sistem yang

Kegagalan logon yang berebihan P-2 P-2 P-3 P-4 P-5
sah atau oleh serangan; brute force
Pelanggaran kebijakan TI terhadap

Penggunaan yang tidak tepat
kebijakan penggunaan komputasi yang P-2 P-3 P-3 P-3 P-4
(pelanggaran kebijakan)
dapat diterima
Kategori ini mencakup aktifitas apapun

yang berupaya mengakses atau
mengidentifikasi komputer perusahaan,
Pemindaian dan pengintaian port, terbuka, protocol, layanan atau P-2 P-2 P-3 P-3 P-4
kombinasi apapun untuk dieksploitasi
nanti. Aktifitas ini tidak secara langsung
menghasilkan kompromi


Kategori Deskripsi
Menengah
- Rendah
Perangkat apa pun yang dikonfigurasi
Sistem atau perangkat salah
tidak benar dan memerlukan perbaikan P-6 P-6 P-6 P-6 P-6
dikonfigurasi
oleh tim lain.
Permintaan untuk mengkonfigurasi ulang

kebijakan dan atau aturan keamanan
Permintaan penyetalan untuk mengurangi kesalahan positif atau P-6 P-6 P-6 P-6 P-6
menyesuaikan konten tersebut agar sesuai
dengan tujuan
Lainnya

Persiapan - Kerangka Peran Dalam Tim Respon dan Penanganan Insiden
Tim respon dan penanganan insiden harus setidaknya dibagi menjadi dua
Management Team
Memberikan perintah, memimpin dan memberi keputusan
Tim Pelaksana
Tim yang menjalankan rencana, proses, prosedur respon dan penanganan insiden

Persiapan – Menyiapkan Tim
-Management Team-
Management Team
• Terdiri dari senior manager. Sering kali melibatkan C-Level Management (seperti CIO) dan eksekutif lainnya
• Anggotanya tidak spesifik hanya ke IT, setidaknya harus ada representatif sebagai perwakilan dari masing-masing segment bisnis.
• Mendefinisikan dan mengesahkan tanggung jawab tim respon dan penanganan insiden.
• Membuat keputusan manajemen terkait dengan upaya respons dan biasanya hanya terlibat langsung dalam upaya dengan tingkat
keparahan tinggi
• Menangani permintaan dan pengesahan, seperti expenditure dari respon dan penanganan insiden.
• Memastikan sumber daya yang tempat dialokasikan untuk tim respon dan penanganan insiden.
• Menyetujui rencana komunikasi terutama dengan pelanggan, manajemen bisnis, penegak hukum.
• Secara berkala melakukan peninjauan terhadap rencana respon dan penanganan insiden.
• Memegang tanggung jawab lain yang berkaitan dengan respon dan penanganan insiden serta kebijakan terkait.

-Tim Pelaksana-
Tim Pelaksana
• Mengembangkan dan memimpin pelaksanaan rencana respon dan penanganan insiden.
• Melakukan respon dan penanganan insiden di tempat kejadian apabila dibutuhkan.
• Menyusun laporan pasca insiden keamanan informasi.
• Menyediakan pelatihan, pengetahuan dan secara berkala testing rencana respon dan penanganan informasi.
• Membangan hubungan dan prosedur intra departemen sesuai kebutuhan.
• Mengidentifikasi kesenjangan rencana respon dan penanganan insiden; dan kebutuhan pelatihan.
• Memperbaharui dokumentasi, termasuk spesifik prosedur respon dan penanganan insiden.
• Merekomendasikan standar kebijakan.
• Melakukan sesi lessons learned tiap upaya respon dan penanganan insiden.
• Secara berkala melapor ke Management Team.

-Customer Care-
Hal yang terpenting yang harus dilakukan oleh customer care adalah untuk selalu paham dan mengetahui insiden yang tengah terjadi serta
perkembangan kasusnya karena mereka akan menjadi garda depan untuk menjawab pertanyaan-pertanyaan dari pelanggan. Customer Care
bertanggung jawab untuk:
• Menyusun dan mengembangkan draft untuk menjawab terlepon, frequenly asked question (FAQ), dll.
• Mencatat volume panggilan dan pertanyaan atas kekhawatiran yang disampaikan oleh pelanggan.

-Human Relation-
Insiden keamanan informasi dapat juga mempengaruhi karyawan internal, untuk itu organisasi perlu menunjukan perwakilan karyawan yang
bertugas :
• Mengembangkan komunikasi internal untuk memberitahu seluruh karyawan atau mantan karyawan mengenai insiden.
• Mengatur rapat internal atau siaran web untuk karyawan untuk mengumpulkan informasi dari karyawan terkait insiden.

-Incident Lead / Manager-
Memimpin dalam penanganan insiden dan bertugas untuk

• Menentukan kapan incident response team akan diaktifkan secara penuh untuk menangani suatu insiden.
• Mengelola dan mengkoordinasikan aksi tanggap keseluruhan di perushaan.
• Bertindak sebagai perantara antara eksekutif lead dan anggota tim lain untuk melaporkan kemajuan serta permasalahan yang terjadi.
• Bertindak sebagai mitra penghubung eksternal.
• Memastikan dokumentasi yang tepat mengenai aksi cepat tanggap baik dalam hal proses maupun prosedur.

-Legal-
Terdiri dari pakar hukum, privasi dan kepatuhan internal yang dapat membantu tim untuk meminimalisir resiko. Tim legal bertugas untuk :
• Menentukan strategi dan cara memberitahu individu yang terpengaruh, media, penegak hukum, lembga pemerintah dan pihak ketiga
lainnya.
• Membangun hubungan dengan hukum eksternal yang diperlukan.
• Memeriksa semua dokumen atau materi tertulis yang terkait dengan insiden.

-Information Technology-
Tim IT dan tim keamanan IT akan memimpin dalam menghentikan kebocoran data, selain itu juga bertugas untuk :
• Mengidentifikasi resiko keamanan yang harus dimasukan ke dalam rencana aksi cepat tanggap terhadap insiden.
• Melatih personil dalam melakukan aksi tanggp insiden, termasuk mengamankan tempat dan mesin-mesin atau peralatan yang terinfeksi
secara offline dan menyimpan bukti-buktinya.

-Public Relation-
Jika insiden perlu dilaporkan ke media atau harus dipublikasikan dengan tujuan memberitahu individu yang terkena dampak, perwakilan PR
bertugas untuk :
• Mengidentifikasi dan menyusun notifikasi atau pemberitahuan terbaik, serta menyusun strategi manajemen krisis sebelum insiden terjadi.
• Melacak dan menganalisis liputan media dengan cepat untuk setiap pemberitaan negatif selama insiden terjadi.
• Membuat materi publikasi untuk konsumen/pelanggan mengenai insiden yang terjadi (melalui website, media statement, media sosial
dan lain lain)

Identifikasi
Pada tahap ini anda melakukan penilaian kejadian, apakah insiden sedang terjadi. Berdasarkan pengamatan peristiwa, indicator, anda
mencari penyimpangan dari operasi normal. Anda mencari tindakan jahat, anomaly atau percobaan serangan. Pada tahap ini anda melakukan
indentifikasi menggunakan alerts dan log dari router, firewall, IDS, SIEM, Anti Virus, sistem operasi, jaringan dan lain lain.

Identifikasi
-Daftar periksa untuk identifikasi-
• Dimana insiden terjadi ?

• Siapa yang melaporkan atau menemukan insiden ?
• Bagaimana insiden diketahui?
• Identifikasi penilaian dampak dan resiko?
• Apakah sumber dapat diketahui? Jika iya dimana, kapan, dan apa

Tanggap Insiden - Containment
Tahap ini selalu diikuti setelah terkonfirmasi telah terjadinya suatu insiden keamanan informasi.
Tujuannya adalah untuk menghentikan potensi hilangnya data konfidensial, mencegah perusakan lebih lanjut ke sistem dan/atau informasi
yang terkompromi, melindungi komputer dan informasi lain dalam jaringan organisasi dan internet. Mencari pemilik asset supaya perangkat
terdampak dapat dilakukan containment, eradication dan recovery.

-Daftar periksa untuk containment-
Containment jangka pendek

Apakah masalah bisa diisolasi?
Jika bisa, lanjutkan ke isolasi sistem terdampak.
Jika tidak, komunikasikan dan koordinasi bersama pemilik sistem untuk memutuskan tindakan yang perlu
dilakukan untuk melakukan containment
Apakah semua sistem terdampak terisolasi dari sistem tidak terdampak?
Sistem backup
Memiliki salinan kebutuhan forensik dari sistem terdampak untuk analisa lebih lanjut
Memiliki dokumentasi dari awal terjadinya insiden
Salinan kebutuhan forensik harus disimpan ditempat aman dan terjamin untuk menghindari kerusakan

Containment jangka panjang

Jika sistem dapat dimatikan maka lanjutkan ke tahap eradication
Jika sistem harus tetap dalam production maka lanjutkan Containment jangka panjang dengan cara menghilangkah malware
dan artifak lainnya dari sistem terdampak; lakukan hardening pada sistem terdampak.
Lakukan reimage pada sistem terdampak.

Membuat rekomendasi apakah sistem/situs yang terkena dampak harus tetap beroperasi, dihapus dari jaringan atau dimatikan sepenuhnya.
• Resiko apa yang terjadi apabila operasional tetap dilanjutkan ?

• Konsultasi dengan pemilik sistem jika diperlukan
Kumpulkan bukti digital (digital evidence) dengan data sistem saat ini dan salin untuk kebutuhan forensik

Tanggap Insiden - Eradication
Eradication (pemberantasan) dilakukan setelah tahap containment dari suatu insiden keamanan informasi. Langkah-langkah yang diambil
disini bervariasi tergantung dari tipe insiden keamanan informasi. Tujuannya adalah untuk menyimpan bukti apabila belum dilakukan. Anda
perlu melakukan analisa tambahan sesuai kebutuhan untuk menyempurnakan investigasi. Anda perlu melakukan mitigasi attack vector yang
serupa supaya insiden keamanan informasi tidak terulang (Contoh, lakukan patch kerentanan pada sistem yang terindikasi kompromi).

Tanggap Insiden - Eradication
-Daftar periksa untuk Eradication-
Jika memungkinkan, dapatkah sistem dicitrakan ulang dan kemudian dikeraskan dengan tambalan dan/atau tindakan pencegahan lain untuk
mencegah atau mengurangi resiko serangan?
Jika tidak, jelaskan kenapa?
Apakah semua backdoor/malware/Trojan atau artifak lainnya yang ditinggalkan sudah oleh penyerang sudah dihilangkan dan apakah sistem
terdampak sudah dilakukan hardening untuk mencegah insiden serupa di kemudian waktu?
Jika tidak, Jelaskan kenapa?

Tanggap Insiden - Recovery
Pada tahap recovery penanganan insiden, anda melakukan pemulihan dengan tujuan service sistem terdampak dapat kembali berjalan
normal dan melakukan verifikasi operasi yang dilakukan serta kualitas layanan/sistem.
Sambungkan kembali sistem ke jaringan, pulihkan dari backups jika diperlukan dan melaporkan tindakan untuk memerintahkan tim
pengambil keputusan.

Tanggap Insiden - Recovery
-Daftar periksa untuk Recovery-
Apakah sistem terdampak sudah dilakukan patch dan hardened terhadap serangan yang baru ini terjadi, serta kemungkinan serangan
terbaru yang akan datang?
Kapan waktu yang memungkinkan untuk dilakukan pemulihan terhadap sistem terdampak kembali ke production?
Tools apa yang akan digunakan untuk melakukan test, pemantauan dan verifikasi apabila sistem yang dikembalikan ke production tidak
terkompromi oleh metode yang sama dengan insiden yang sebelumnya terjadi ?
Berapa lama kamu akan merencanakan pemantauan terhadap sistem yang dipulihkan dan apa yang akan kamu cari ?
Apakah ada tolak ukur yang dapat digunakan sebagai baseline untuk membandingkan hasil pemantauan sistem yang dipulihkan dengan
baseline ?

Lesson Learnt
Lesson Learnt atau pembelajaran. Pada tahap ini anda dapat mereflesikan dan mendokumentasikan apa yang terjadi. Dimana anda dapat
mempelajari apa yang gagal dan apa yang berhasil. Disinilah anda mengidentifikasi peningkatan untuk proses dan prosedur penanganan
insiden anda. Disitulah anda menulis laporan akhir anda.

Lesson Learnt
-Daftar periksa untuk lesson learnt-
Lesson Learn
Apakah semua dokumentasi penting sudah tercatat?
Jika sudah, lakukan pengelolaan laporan insiden keamanan informasi kemudian jadwalkan koordinasi untuk
pembahasan hasil laporan.
Jika belum, segera lakukan dokumentasi sebelum ada hal yang terlewat karena lupa tercatat.
Diasumsikan laporan IRH sudah selesai, apakah dapat setiap proses dapat menjawab (Who?What?Where?Why?and How?)
Apakah meeting dengan agenda lesson learned insiden bisa dijadwalkan 2 minggu setelah kejadian ditangani?
Jika tidak, mohon jelaskan dan kapan waktu yang memungkinkan untuk diadakan?
Lesson Learned Meeting
Peninjauan proses respon dan penanganan insiden bersama tim penanganan insiden terhadap insiden yang
baru saja terjadi.
Apakah meeting menbahas mengenai kesalahan atau area dimana penanganan insiden dapat dikerjakan
dengan lebih baik?
Jika tidak ada pembahasan tersebut, jelaskan kenapa

Kategori Respon dan Penanganan Insiden
• Respon dan penanganan insiden Malware

• Respon dan penanganan insiden Network Security
• Respon dan penanganan insiden Insider Threat
• Respon dan penanganan insiden Email Security
• Respon dan penanganan insiden Web Application Security

Respon dan Penanganan Insiden Malware
Malware merupakan suatu definisi yang diberikan untuk setiap program atau file atau kode yang dapat membahayakan suatu sistem.
Malware berusaha menyerang, merusak atau menontaktifkan komputer, sistem computer, jaringan, perangkat seluler, sering kali dengan
mengambil sebagian kendali perangkat. Malware saat ini kebanyakan bukan bertujuan untuk merukan, namun lebih ke arah pencurian data
sensitif. Adapun malware yang menyebabkan kerusakan dan kehilangan data biasanya berupa ransomware, yang mengancam user yang
menjadi korban untuk membayar sejumlah tebusan jika tidak ingin datanya hilang.
Pada bagian respon dan penanganan insiden malware akan menjelaskan mengenai prosedur penanganan insiden malware mulai dari
identifikasi, containment, eradication, recovery.

-Identifikasi (1)-
Proses-proses yang dilakukan dalam tahap identifikasi adalah sebagai berikut :

a) Memeriksa apakah antivirus berfungsi normal atau tidak. Hal ini karena ada malware yang dapat menghancurkan instalasi antivirus
dengan merusak executable file, mengubah kunci registri atau merusak file definisi, maupun menonaktifkan update dari signature suatu
file.
b) Memeriksa file yang tidak dikenal pada root atau system directory.
c) Memeriksa file dengan ekstensi ganda. Sangat disarankan untuk menonaktifkan opsi fitur ‘sembunyikan ekstensi’ pada file eksplorer
untuk mengetahui ekstensi yang sebenarnya dari suatu file
d) Memeriksa proses dan service yang tidak dikenal dalam sistem menggunakan task manager
e) Memeriksa utilitas sistem, misalnya task manager atau sysinternals process explorer. Terdapat malware yang menonaktifkan utilitas ini
sehingga tidak dapat dijalankan.
f) Memeriksa penggunaan memory CPU menggunakan task manager
g) Memeriksa anomaly pada registry key
h) Memeriksa anomaly pada traffic jaringan. Malware modern saat ini kebanyakan memiliki fitur “command and control” dimana biasanya
setiap malware yang sudah menginfeksi suatu sistem, akan mengirimkan sinyal kepada induk malware melalui akti command and control
tersebut.

-Identifikasi (2)-
Proses-proses yang dilakukan dalam tahap identifikasi adalah sebagai berikut :

i) Identifikasi anomaly proses dan service yang dibuat pada task scheduler.
j) Identifikasi user account pada sistem. Beberapa malware mempunyai kemampuan user account baru pada sistem operasi yang terinfeksi.
k) Identifikasi entry log pada sistem operasi menggunakan event viewer
l) Identifikasi proses yang mencurigakan menggunakan sysinternal tools. Sysinternal tools merupakan salah satu kumpulan tools utilitas
milik Microsoft yang bertujuan untuk mengidentifikasi sistem lebih mendetail. Beberapa aplikasi sysinternal tools yang sering digunakan
untuk melakukan identifika dan analisa malware adalah proses explorer, autoruns, process monitoring.

-Containment-
Tahap containment bertujuan untuk mencegah penyebaran malware. Prosedur yang dilakukan pada tahap containment malware adalah
sebagai berikut :
a) Meminta izin kepada pemilik sistem untuk memutus sistem yang terinfeksi malware dari jaringan
b) Isolasi sistem yang terinfeksi malware. Hal ini dapat dilakukan dengan cara mencabut kabel LAN atau memindahkan sistem tersebut ke
VLAN khusus.
c) Memutuskan hubungan dari jaringan yang mungkin akan dibutuhkan dalam melakukan analisa selanjutnya.
d) Mengubah konfigurasi routing table dan firewall untuk memisahkan sistem yang terinfeksi malware dengan sistem lainnya.
e) Melakukan backup pada data sistem yang terinfeksi malware
f) Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran malware. Jika terdapat kemiripan, maka sistem tersebut juga
harus dilakukan proses containment.

-Eradication (1)-
Tahap eradication merupakan tahapan dimana beberapa teknik yang berbeda-beda digunakan untuk melakukan analisa terhadap malware
dan menghapus malware dari sistem yang telah terinfeksi. Setelah file yang terinfeksi diidentifikasi, gejala malware dicatat dan executable
malware diidentifikasi dan dianalisis, kemudian semua file executable malware dan artefak yang ditinggalkan oleh penyerang dihapus, serta
menutup port yang terindikasi sebagai lubang masuknya malware.
Proses-Proses yang dilakukan dalam tahap eradication adalah sebagai berikut:
a) Menghentikan proses yang terindikasi sebagai proses yang malicious, dengan cara sebagai berikut :
• Tidak melakukan kill/end process terhadap malicious process tersebut. Hal ini dikarenakan malware akan melakukan autostart process
ketika prosesnya terhenti.
• Lakukan suspend terhadap proses tersebu dan file DLL yang dipanggil oleh proses tersebut.
• Dalam kondisi suspend, kemu satu persat lakuka kill proce dari kumpulan malicious process tersebut dimulai dari child process ke parent
process.
• Jika malicious process masih melakukan autos atau mengganti namanya dengan proses baru, maka perlu didokumentasikan lebih lanjut
dan simpan malicious program tersebut ke media untuk proses analisa yang lebih mendetail
b) Menghapus autostart process yang mencurigakan dari hasil analisa autostart.
c) Jika proses tersebut kembal, jalankan process monitor untuk mengidentifikasi apakah ada lokasi l dimana malware tersebut bersembunyi

-Eradication (2)-
Proses-Proses yang dilakukan dalam tahap eradication adalah sebagai berikut:

d) Lakukan proses sebelumnya berulang hingga dapat dipastikan semua malicious program telah dihapus dan processnya sudah di kill
process
e) Setelah program malware dihapus dan malicious process di kill process, lakukan full scanning terhadap sistem menggunakan signature
antivirus yang sudah diperbaharui.
f) Jika proses scanning antivirus tidak dapat dilakukan karena telah diblokir oleh malware, maka lakukan proses sebagai berikut :
• Booting sistem melalui live usb rescue disk, misalnya hiren boot CD, FalconFour’s Ultimate Boot CD, Kaspersky Rescue Disk, dll
• Live USB tersebut dapat berupa sistem operasi linux ataupun miniXP yang berisi beberapa tools, driver tools, backup dan recover data
tools, antivirus dan anti-malware tools, rootkit detection tools, network tools, recover/repair broken partitions tools, dll. Lakukan proses
mounting sistem operasi yang terinfeksi ke dalam live usb yang sedang berjalan
• Lakukan proses scanning antivirus dan antimalware pada live USB yang sedang berjalan
g. Jika terdapat user-user yang dibuat oleh malware, maka hapus user-user yang tidak dikenali tersebut untuk menghindari masuknya
kembali malware melalui user yang tidak dikenal tersebut.

-Recovery-
Pada tahap recovery merupakan tahap untuk memulihkan data sistem yang terinfeksi malware serta mengembalikan seluruh sistem berkerja
normal seperti semula. Langkah yang dilakukan untuk pemulihan sistem diantaranya :
a) Validasi sistem untuk memastikan sudah tidak ada aplikasi atau file yang rusak atau terinfeksi malware. Serta kesalahan atau kekurangan
konfiguasi sistem untuk kemudian disesuaikan kembali
b) Melakukan aktifitas pemantauan untuk memastikan apakah malware masih ada atau kembali lagi setelah proses eradication dengan
melakukan hal-hal berikut :
• Memantau proses dan servis yang berjalan menggunakan process monitor dan process explorer.
• Memantau aktifitas traffic jaringan menggunakan wireshark atau tcpdump untuk memantau apakah ada request outgoing atau malware
yang memiliki kemampuan command and control biasanya melakukan kontak dengan induknya.
c) Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting hilang, menyebabkan kegagalan booting pada sistem
operasi), maka sistem dibangun ulang dari file backup terakhir sistem yang dimiliki.
d) Melakukan patching sistem
e) Melakukan hardening terhadap sistem
f) Menambahkan signature dari malware ke sistem monitoring atau database antivirus.

-Pembelajaran-
Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk masa mendatang. Prosedur yang dapat
dilakukan adalah sebagai berikut :
a) Membuat dokumentasi dan laporan terkait penanganan insiden malware, yang berisi langkah-langkah dan hasil yang telah didapatkan.
b) Memberikan analisa dan penjelasan apa yang harus dilakukan, sehingga meminimalisir insiden serupa tidak terulang kembali.
c) Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses hokum kedepannya.
d) Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat diberikan diantaranya :
• Penambahan pengetahuan tentang penanganan insiden malware, misalnya melalui pelatihan
• Memperbaharui anti malware dengan signature file yang baru, dengan harapan dapat berhasil dalam mendeteksi dan menghapus
malware.
e) Mendokumentasikan terkait jalan masuk malware, perilaku, dampak kerusakan, dll yang terkait malware kedalam database malware.
f) Menyempurnakan langkah-langkah respon atau prosedur penanganan insiden malware yang ada.

Respon dan Penanganan Insiden Network Security
Insiden network security yaitu insiden yang berdampak pada jaringan organisasi seperti bottleneck network dan sulitnya membuka suatu
aplikasi. Metode serangan yang sering menyebabkan insiden network security yaitu DoS dan DDoS. Penyerang berusaha mengirimkan trafik
data atau permintaan kepada target dengan jumlah yang besar yang bertujuan untuk membebani sistem/kapasitas dari suatu server atau
perangkat.

-Identifikasi-
Langkah-langkah yang dapat diambil pada tahap identifikasi antara lain :

a) Mengetahui perilaku “normal” dari lalu lintas jaringan, penggunaan CPU, penggunaan memori dari host, sehingga alat monitoring
jaringan akan memberikan informasi berupa peringatan terhadap pertubahan abnormal. Beberapa indikasi bahwa telah terjadi serangan
DDoS diantaranya :
• Melambatnya lalu lintas jaringan
• Melambatnya proses pada computer / host
• Penggunaan ruang disk yang bertambah
• Layanan tidak dapat diakses atau sistem crash
• Waktu login yang lama bahkan ditolak
• Log Penuh
• Anomali pada fungsi port
b) Mengidentifikasi komponen infrastruktur yang terkena dampak
c) Berkoordinasi dengan pihak terkait untuk mengetahui apakah jaringan organisasi merupakan target utama atau korban dari imbas
(misalnya imbas dari serangan terhadap penyedia layanan internet atau penyedia hosting).

-Identifikasi-
Langkah-langkah yang dapat diambil pada tahap identifikasi antara lain :

d) Memeriksa lalu lintas jaringan, seperti source ip address, destination port, URLs, protocol, TCP Sync, UDP, ICMP, dan traffic netflow
misalnya menggunakan tcp dump, wireshark, snort dan membandingkannya dengan lalu lintas jaringan “normal”. Dengan memeriksa
lalu lintas jaringan, anda juga dapat mengetahui sumber dan jenis serangan.
e) Menganalisa file log yang tersedia (file log server, router, firewall, aplikasi dan infrastruktur lainnya yang terkena dampak) untuk
mengetahui jenis serangan, sumber serangan, apa yang menjadi sasaran dan bagaimana masuknya serangan.
f) Menentukan dampak dari tingkat keparahan yang terjadi, yaitu seberapa besar sistem dan layanan mengalami gangguan, serta
memungkinkan motif yang dilakukan penyerang.

-Containment-
Tahap containment bertujuan untuk meminimalisir efek/dampak serangan pada sistem yang ditargetkan dan mencegah kerusakan lebih
lanjut. Langkah-langkah yang dapat diambil pada tahap containment antara lain :
a) Jika sumber bottleneck berada pada fitur tertentu dari suatu aplikasi (dalam artian suatu aplikasi sedang menjadi target), maka perlu
mempertimbangkan untuk menonaktifkan sementara aplikasi tersebut.
b) Jika bottleneck berada di ISP, maka perlu berkoordinasi dengan pihak ISP untuk meminta filtering.
c) Merelokasikan target ke alamat ip lain jika suatu host tertentu sedang menjadi target ( sebagai solusi sementara ).
d) Jika memungkinkan, memblokir lalu lintas yang terhubung dengan jaringan (router, firewall, load balancer, dll)
e) Mengontrol lalu lintas data dengan menghentikan koneksi atau proses yang tidak diinginkan pada server/router.
f) Melakukan filter sesuai karateristik serangan, misalnya memblokir packet echo ICMP.
g) Menerapkan rate limiting untuk protocol tertentu, mengijinkan dan membatasi jumlah paket per detik untuk protocol tertentu dalam
mengakses suatu host.

-Eradication-
Eradication pada penanganan serangan DDoS yaitu mengambil tindakan untuk menghentikan kondisi tersebut. Tindakan ini sebagaian besar
melibatkan peran ISP. Prosedur untuk melakukan proses ini dapat dilakukan dengan cara menghubungi penyedia layanan internet (ISP)
untuk meminta bantuan terkait :
• Pemblokiran jaringan (source ip address)
• Pemfilteran (membatasi jumlah lalu lintas)
• Traffic-scrubbing/sinkhole/clean-pipe
• Blackhole routing

-Recovery-
Pada tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal seperti semula. Memahami
karakteristik serangan diperlukan untuk pemulihan yang cepat dan tepat. Prosedur yang dapat dilakukan pada tahap pemulihan diantaranya
sebagai berikut :
a) Memastikan bahwa serangan DDoS pada jaringan telah selesai dan layanan bisa dilakukan kembali.
b) Memastikan bahwa jaringan telah kembali ke kinerja semula.
c) Memastikan bahwa layanan yang terkena dampak dapat dijangkau lagi / beroperasi kembali.
d) Memastikan bahwa infrastruktur telah kembali ke kinerja semula (tidak ada kerusakan).
e) Memulai layanan, aplikasi dan modul yang ditangguhkan.
f) Mengembalikan ke jaringan asli dan mengalihkan kembali lalu lintas ke jaringan asli.

-Pembelajaran-
Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dacatat sebagai referensi untuk di masa mendatang. Tujuan dari tahap
ini adalah untuk :
a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan serangan DDoS.
b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi.
Prosedur yang dapat dilakukan adalah sebagai berikut :

a) Membuat dokumentasi dan laporan terkait penanganan serangan DDoS, yang berisi langkah-langkah dan hasil yang telah didapatkan
pada penanganan serangan DDoS. Mendokumentasikan dampak dan biaya dari terjadinya serangan tersebut.
b) Evaluasi efektifitas respon.
c) Menyempurnakan langkah-langkah respon, prosedur penanganan serangan yang diambil selama insiden
d) Mencatat tools apa saja yang digunakan dalam penanganan
e) Mendokumentasikan bukti-bukti yang ditemukan, hal ini terkait dengan proses hukum kedepannya.
f) Memberikan analisa dan penjelasan apa yang harus dilakukan sehingga serangan serupa tidak teruang kembali.
g) Membuat evaluasi dan rekomendasi.

Respon dan Penanganan Insiden Email Security
Insiden Email Security biasanya diakibatkan oleh metode phising. Penyerang akan mengirimkan email ke suatu organisasi dengan berpura-
pura sebagai orang yang memiliki jabatan di organisasi tersebut atau juga mengirimkan email perubahan password yang merupakan phising.
Serangan lainnya yang dapat mengakibatkan insiden email security yaitu penyerang mengirimkan banyak email dengan size yang besar
bertujuan untuk membanjiri sistem dan menyebabkan gagal operasi.

-Identifikasi-
Tujuan dari proses identifikasi adalah untuk mendeteksi adanya insiden serangan phising, menentukan ruang lingkup, dan melibatkan pihak-
pihak yang tepat dalam menangani serangan phising. Tahap identifikasi penanganan serangan phising adalah sebagai berikut :
a) Memantau email, social media, web forms dan sebagainya pada organisasi untuk mencari informasi phising.
b) Memeriksa URL phising dan hyperlink yang mencurigakan menggunakan www.virustotal.com, www.urlvoid.com, serta
www.phistank.com;
c) Melibatkan pihak yang tepat terkait serangan phising. Agar bisa segera dilakukan takedown terhadap web phising. Seperti perusahaan
hosting penyedia domain, penyedia jasa email, Nasional CERT
d) Mengumpulkan bukti-bukti terkait adanya serangan phising. Contohnya screenshot halaman web terdampak.

-Containment-
Setelah dipastikan bahwa memang benar telah terjadi serangan phising, maka lakukan proses mitigasi serangan, agar tidak terjadi kerusakan
lebih dalam. Prosedur yang dilakukan pada tahap ini adalah :
a) Menyebarkan URL phising dan konten dari email phising pada pihak spam-reporting website, misalnya www.phistank.com
b) Menginformasikan serangan phising kepada pengguna, agar pengguna mengetahui dan tidak terkena dampak dari serangan tersebut.
c) Memeriksa source code dari website phising, jika menggunakan gambar dari website yang anda miliki, anda dapat mengganti gambar
dengan tampilan “phising website”

-Eradication-
Proses ini bertujuan untuk mengambil tindakan dalam menghentikan serangan phising. Prosedur untuk melakukan proses ini dapat
dilakukan dengan cara berikut :
a) Jika halaman phising di hosting di situs web yang telah disusupi, maka hubungi pemilik dari website tersebut, agar halaman phising
dihapus dan dilakukan update security.
b) Untuk percepatan penanganan, hubungi perusahaan hosting dengan mengirim email berisikan informasi phising, serta lakukan kontak
telepon perusahaan hosting yang tersedia.
c) Menghubungi perusahaan hosting untuk melakukan takedown / penutupan alamat website palsu
d) Jika takedown terlalu lama, maka hubungi nasional CERT untuk mengontak CERT local yang berada di negara tersebut untuk membantu
proses takedown.

-Recovery-
Tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem berkerja normal seperti semula. Langkah-langkah
yang dapat dilakukan adalah sebagai berikut :
a) Memastikan bahwa halaman website penipuan sudah tidak dapat diakses.
b) Tetap memantau URL palsu, untuk memastikan URL palsu tersebut tidak dapat diakses.
c) Memantau traffic email gateway.
d) Memastikan kembali tidak ada user yang meng-klik link pada email phising.

-Pembelajaran-
Tahap pembelajaran dimana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk dimasa mendatang. Tujuan dari
tahap ini adalah untuk :
a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan phising
b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi
Langkah-langkah yang dapat dilakukan adalah sebagai berikut :

a) Menyempurnakan langkah-langkah respon, prosedur penanganan serangan yang diambil selama insiden agar kedepannya dapat
menangani insiden secara lebih cepat dan efisien
b) Memperbaharui daftar kontak yang dimiliki, disertai cataran cara paling efektif untuk menghubungi setiap pihak yang terlibat.
c) Berkolaborasi dengan tim hukum jika diperlukan tindakan hukum
d) Membuat dokumentasi dan laporan terkait penanganan serangan phising
e) Membuat evaluasi dan rekomendasi

Respon dan Penanganan Insiden Web Application Security
Insiden Web Application biasanya berupa web defacement, SQL injection, cross scripting dan lainnya yang berusaha merusak aplikasi
tersebut.

-Identifikasi-
Umumnya root-cause dari masalah insiden Web Application antara lain

• Kerentanan pada web application tersebut.
• Kerentanan pada komponen 3rd party yang digunakan oleh pengembang aplikasi (Plugin, AddOn, Module, etc)
• Sistem operasi yang belum patch secara up to date
• Kerentanan pada service sistem operasi (Kerentanan web server, Kerentanan server database, dan lain sebagainya.
Pelaporan awal serangan pada web application :

• Pemantauan halaman web. Konten halaman web telah diubah. Konten baru sangat rahasia(sebuah “iframe” injeksi misalnya) atau jelas
(“diretas oleh XXX Crew”)
• Pemberitahuan oleh pengguna. Dari pengguna aplikasi mereka akan melaporkan apabila ada masalah pada aplikasi.
• Pengecekan keamanan menggunakan tools seperti google safebrowsing

-Identification(2)-
Pada tahap ini dilakukan proses identifikasi untuk memastikan telah terjadi serangan web application dan medeteksi sumbernya. Langkah-
langkah yang dapat diambil pada tahap identifikasi antara lain :
1. Lakukan pemeriksaan pada terminal terkait history command :

• #history
2. Periksa semua logs
• OS Log (/var/log/messages; /var/log/dmesg)
• Authentication log (/var/log/auth.log; /var/log/lastlog; /var/log/btmp; last-f /var/log/wtmp or last –f /var/log/utmp; /var/log/secure;)
• Web Access Log (/var/log/apache2/access.log; /var/log/apache2/error.log)
3. Periksa koneksi jaringan :
• Netstat Command : netstat-plant
4. Periksa Process List :
• PS command : ps-aux
5. Periksa Open Files :
• Lsof command : lsof-p (pid); lsof-I (cari port listen yang tidak biasa)
6. Periksa akun pengguna terdaftar untuk pengguna yang mencurigakan :
• Look at /etc/passwd : cat /etc/passwd
7. Periksa Scheduller Task
• Crontab File : cat /etc/crontab; ls /etc/cron.*; ls /var/at/jobs

-Containment-
a) Backup semua data yang tersimpan pada web server untuk kebutuhan forensic dan pengumpulan bukti. Langkah ini juga membantu
apabila ingin dilakukan pemulihan file yang hilang.
b) Periksa peta arsitektur jaringan organisasi anda. Pastikan penyerang terdeteksi di lokasi yang tepat.
• Periksa pada web server sistem apa yang sedang berjalan
• Periksa services yang berjalan ada mesin tersebut
• Periksa koneksi pada sistem lainnya, yang kemungkinan kompromi
c) Jika sumber dari serangan merupakan sistem yang berada di jaringan lain, putuskan koneksi secara fisik jika memungkinkan dan lakukan
investigasi

-Containment-
Mencari bukti untuk setiap aktifitas yang dilakukan oleh penyerang
a) Temukan bagaimana caranya penyerang dapat masuk ke sistem dan lakukan perbaiki
• Komponen web yang rentan memperbolehkan untuk akses mengubah(write access): perbaiki kerentanan
• Open Public Folder : Perbaiki bug
• Kelemahan pada SQL yang memungkinkan memperbolehkan injection : perbaiki code nya
• Komponen mashup : potong umpan mashup
• Administratif perubahan melalui akses fisik. Ubah hak akses
b) Jika diperlukan (issue kompleks dan web server yang sangat penting), deploy web server sementara, kondisi update to date dengan
aplikasi.

-Containment-
Langkah-langkah teknis untuk fase containment insiden web application security :

a) Pindahkan / ubah halaman teretas / ubah halaman defaced menjadi “temporary unavailable page” (ubah A Record / CNAME pada
konfigurasi DNS)
b) Alihkan website teretas ke halaman sementara / server lain
c) Putuskan koneksi Web App teretas dari jaringan

-Eradication-
Mengambil tindakan untuk menghapu ancaman dan menghindari ancaman web application kedepannya
• Hapus semua konten yang diubah dan ganti dengan konten yang sah
• Perbaiki semua temuan kerentanan
• Pulihkan konten dari backup sebelumnya. Pastikan konten ini sudah tidak terdapat kerentanan(jika kerentanan berasal dari web app)

-Eradication-
Langkah-langkah teknis fase eradication insiden web application security :
a) Hilangkan halaman teretas dan ubah halaman normal

b) Temukan dan hapus backdoor
c) Temukan process mencurigakan dan hilangkan backdoor / rootkit sistem operasi
• Chkrootkit : http://www.chkrootkit.org/
• Rkhunter : http://rkhunter.sourceforge.net/
• Linux malware detect : https://github.com/rfxn/linux-malware-detect
• Maldet : https://github.com/dkhuuthe/MalDet
• ClamAV : https://www.clamav.net/
• MalScan : https://github.com/mtingers/malscan
• NeoPi : https://github.com/Neohapsis/NeoPI

-Eradication-
Mencari php backdoor / web shell / backdoor secara manual
• grep -Rn “shell_exec *(” /var/www

• grep -Rn “base64_decode *(” /var/www
• grep -Rn “phpinfo *(” /var/www
• grep -Rn “system *(” /var/www
• grep -Rn “php_uname *(” /var/www
• grep -Rn “chmod *(” /var/www
• grep -Rn “fopen *(” /var/www
• grep -Rn “fclose *(” /var/www
• grep -Rn “readfile *(” /var/www
• grep -Rn “edoced_46esab *(” /var/www
• grep -Rn “eval *(” /var/www
• grep -Rn “passthru *(” /var/www

-Eradication-
Tools yang bisa digunakan untuk membantu memeriksa PHP backdoor / web shell / backdoor shell :
• http://www.shelldetector.com/
• http://www.whitefirdesign.com/tools/basic-backdoor-scriptfinder.html
• http://resources.infosecinstitute.com/web-shell-detection/
• http://25yearsofprogramming.com/blog/2010/20100315.htm
• http://resources.infosecinstitute.com/checking-out-backdoorshells/
• https://bechtsoudis.com/hacking/detect-protect-from-phpbackdoor-shells/

-Recovery-
Pulihkan sistem kembali ke normal operasional:
• Ubah semua user password, jika web server menyediakan user-authentication, dan anda memiliki bukti / alasan untuk menyatakan kata
sandi mungkin telah disusupi. Ini bias membutuhkan komunikasi pengguna yang luas.
• Jika server cadangan telah digunakan, pulihkan komponen utama web server sebagai nominal.
Langkah-langkah aktifitas teknis fase recovery insiden web application security

1. Restore dari backup files
2. Pastikan backup tidak terdapat backdoor
3. Remediasi kerentanan yang ada pada backup terakhir

-Pembelajaran-
Dokumentasi detil insiden, diskusi pembelajaran, tingkatkan rencana dan pertahanan
Komunisasi
• Jika insiden web application terlihat pengguna, rencanakan penjelasan secara public.
Laporan
• Laporan krisis harus dituliskan dan dibuat untuk semua pihak yang terlibat
Hal berikut perlu dideskripsikan

• Deteksi awal
• Action dan Timeline
• Apa yang berjalan benar
• Apa yang berjalan salah
• Biaya insiden

Respon dan Penanganan Insiden Insider Threat
-Penjelasan Insider Threat-
Insider Threats adalah terminology yang digunakan untuk menunjukan adanya potensi ancaman terhadap keamanan atau data sebuah
sistem yang berasal dari aktifitas orang dalam. Secara sederhana yang dimaksud dengan insider adalah individu yang memiliki otorisasi untuk
melakukan akses terhadap sistem yang berjalan dalam organisasi. Sementara threat adalah apapun yang berpotensi menjadi gangguan
serius, kerusakan, kehilangan pada asset yang dikelola perusahaan/institusi. Dalam hal ini individu yang dimaksud mengarah pada karyawan
atau mantan karyawan atau pihak ketiga (kontraktor atau pengembangan sistemnya). Secara umum resiko yang dapat ditimbulkan dari
insider threat adalah pencurian terhadap data sensitive, penyalahgunaan hak akses, dan aktifitas penipuan yang akan berdampak pada
reputasi dan brand image dari organisasi tersebut. Berdasarkan referensi dari Haystax terdapat 3 jenis data yang sering menjadi target dari
pelaku insider threat yaitu data customer, data finansial, data yang dilindungi atau memuat hak intelektual.

-Penjelasan Insider Threat (2)-
Secara umum terdapat tiga kategori insider threat :

• Pertama adalah ancaman yang sifatnya accidental (tidak sengaja) atau disebut juga sebagai negligent insider, yaitu seseorang yang secara
tidak sengaja atau tidak sadar membocorkan data karena buruknya security awareness yang bersangkutan, misalnya korban phising,
melakukan delete file penting serta human error yang sifatnya tidak sengaja (accidental).
• Kedua adalah kelompok yang dikenal sebagai malicious insider yaitu orang yang berbahaya karena ada niat jahat dari orang dalam
tersebut sehingga beberapa hal dapat dilakukan oleh yang bersangkutan. Hal yang sering dilakukan oleh malicious insider yaitu menyalin
data atau dokumen internal kepada pihak luar. Hal ini dapat dilakukan dengan mudah melalui forwarding email penting ke email pribadi
atau email lainnya di luar email resmi perusahaan, melakukan penyalinan data atau dokumen penting kepada situs eksternal ataupun
perangkat yang tidak memiliki otorisasi, memberikan hak akses kepada pihak lain untuk kolaborasi dokumen perusahaan.
• Ketiga adalah compromise account (resident insider), yaitu seseorang yang tidak sadar kalua dirinya atau akunnya telah dimanfaatkan
oleh pihak tertentu yang berniat jahat terhadap perusahaan tersebut.
Threat insider sering kali terjadi dilakukan oleh

• Pihak ketiga yang berkerja di organisasi namun memiliki niat jahat.
• Karyawan yang dipecat secara tidak hormat namun masih memiliki akses dan pengetahuan mengenai sistem organisasi.
• Karyawan yang masih bekerja namun memiliki dendam terhadap organisasi.

-Identifikasi-
Indikator dari Insider Threat sebagian besar merupakan tingkah laku tidak biasa dari pengguna. Penggunaan NDR (Network Detection dan
Response) dengan teknologi artificial intelligence untuk mendeteksi anomaly di dalam jaringan, UEBA, dan tools honeypot merupakan
kritikal untuk mendeteksi tipe serangan ini. Perubahan pada pola penggunaan jaringan dapat menjadi indicator Insider Threat.
Seperti yang dijelaskan sebelumnya pada bagian malicious insider, aktifitas yang umumnya dilakukan oleh Insider Threat yaitu yaitu menyalin
data atau dokumen internal kepada pihak luar. Pengiriman informasi ini biasanya dalam jumlah yang besar lewat email atau upload, pola ini
bisa menjadi indicator untuk mendeteksi Insider Threat.

-Containment-
Untuk setiap jenis serangan containment merupakan tahap yang sangat diperlukan bagi respon dan penanganan insiden. Sangat penting
untuk membatasi sumber yang dimaksud untuk mencegah tindakan aktor jahat baik secara leteral maupun outbound. Containment akan
meminimalisir kerusakan.
Setelah melakukan identifikasi dan berhasil menemukan malicious insider, semua akses istimewa dan kredensial aktor ini harus diblokir,
termasuk akun email dan domain serta kartu akses fisik.

-Eradication & Pembelajaran-
Untuk melakukan eradication terhadap insiden Insider Threat perlu dilakukan diskusi bersama dengan beberapa pihak untuk membahas
mengenai proses yang berjalan pada organisasi, proses tersebut melibatkan departemen dan karyawan. Perilaku abnormal oleh Insider Threat
harus didefinisikan bersama dan kemudian dibuat kebijakan serta kontrol keamanan pada organisasi.
Peninjauan terhadap kebijakan dan control keamanan harus dilakukan secara rutin.

Pengenalan Digital Forensic
Prinsip digital forensic
Digital forensic akan dilakukan sesuai dengan pedoman Association of Chief Police (ACPO) dan juga keempat prinsipnya
Prinsip 1. Data yang disimpan dalam komputer atau media penyimpanan tidak boleh berubah atau diubah, karena data tersebut nantinya
dapat diajukan ke pengadilan.
Prinsip 2. Seseorang harus cukup kompeten dalam menangani data asli yang disimpan di computer atau media penyimpanan jika itu
diperlukan. Orang tersebut juga harus dapat memberikan bukti yang menjelaskan relevansi dan arah tindakannya.
Prinsip 3. Jelas audit atau dokumentasi lain dari semua proses yang diterapkan pada bukti elektronik berbasis komputer harus dibuat dan
dipelihara. Pihak ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang sama.
Prinsip 4. Seseorang yang bertanggungjawab atas investigasi harus memiliki tanggung jawab keseluruha untuk mempertanggung jawabkan
hukum dan prinsip ACPO telah dipatuhi.

-Langkah Digital Forensic-
ISO 27037 : Petunjuk untuk identifikasi, Collection, Acquisition & Preservation bukti digital
Electronic Expert
Crime Scene Examination Analysis
Evidence Testimony
Identification, Acquistion & Investigasi Bukti Digital Pengadilan

collection & Preservation Data
Acquisition
Key Component Chain of Custody

-Dokumen dan Informasi Elektronik
Barang Bukti dan alat Bukti
Electronic Information & Transaction Act : UU No. 11 Year 2008

Revision of Electronic Information & Transaction Act : UU No19 Year 2016
Pasal 1 Angka 1 :
Informasi elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta,
rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda,
angka, kode akses, symbol atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya
Pasal 1 Angka 4 :
Dokumen elektronik adalah setiap informasi elektronik yang dibuat, diteruskan, dikirimkan, diterima atau disimpan dalam bentuk analog,
digital, elektromagnetik, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem
elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, kode
akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya.

-Bukti dan Ahli yang Sah-
Pasal 5
(1) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah.
(2) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya sebagaimana dimaksud pada ayat(1) merupakan perluasan
dari alat bukti yang sah sesuai dengan hukum acara yang berlaku di Indonesia
Pasal 6
… Informasi elektronik dan/atau dokumen elektronik dianggap sah sepanjang informasi yang tercantum di dalamnya dapat diakses,
ditampilkan, dijamin keutuhannya dan dapat dipertanggung jawabkan sehingga menerangkan suatu keadaan
Penjelasan Pasal 43 Ayat (5) Huruf h

Yang dimaksud dengan “ahli” adalah seseorang yang memiliki keahlian khusus di bidang teknologi infomasi yang dapat
dipertanggungjawabkan secara akademis maupun praktis mengenai pengetahuannya tersebut

-Nilai Kuat Barang Bukti Pengadilan-
Alat
Ahli
Bukti
Informasi Dokumen Akademisi Praktisi

Elektronik Elektronik
Dapat dipertanggung
Dianggap Sah : jawabkan
1. Dapat diakses
2. Dapat Ditampilkan
3. Dapat dijamin keutuhannya
4. Dapat dipertanggung jawabkan

Tools / Lab Online
Pada modul teor Incident Response membutuhkan OS windows 10 untuk menjawab halaman quiz/games

Summary
Di modul ini anda akan mempelajari mengenai fundamental cyber security, alur respon dan penanganan insiden, penanganan insiden dari
berbagai macam kategori serta pengenalan digital forensic.

Quiz / Games
1 Evidence Gathering atau collect informasi biasanya dilakukan di sistem operasi, pada windows umumnya mengambil dan mengecek log pada event
viewer dan local policy.
Lakukan Collect dan kemudian capture Informasi Local Security Policy dari OS Windows 10
• Account Policy
• Local Policy
2 Gambarkan dan jelaskan alur penanganan insiden serangan web defacement. Mulai dari persiapan, identifikasi, containment, eradication, recovery,
lesson learn. Sebutkan pihak-pihak yang terlibat untuk koordinasi penanganan insiden web defacement.

#Jadijagoandigital
Terima Kasih

Modul E Topik 11 - Respon Dan Penanganan Insiden Keamanan Informasi

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Modul E Topik 11 - Respon Dan Penanganan Insiden Keamanan Informasi

Diunggah oleh

Hak Cipta:

Format Tersedia

thematic Academy

Cyber Security Analyst

Sutrisno Arono, S.KOM

DTS 2021 #Jadijagoandigital

In this course you will:

DTS 2021 #Jadijagoandigital

Serangan = Motif + Metode + Kerentanan

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

Confidentiality : Kerahasiaan informasi.

DTS 2021 #Jadijagoandigital

Integrity : Konsistensi, akurasi dan kepercayaan terhadap data.

DTS 2021 #Jadijagoandigital

Availability : Ketersediaan layanan.

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

Contoh Metode Pendekatan dari Defense in Depth

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

Operational State Tujuan: Menentukan jika ada insiden. Memeriksa

Menyatakan Insiden Tujuan: Menghentikan masalah ke arah yang lebih parah.

Tujuan: Menghilangkan artifak penyerang di Eradication

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

• Pernyataan komitmen organisasi

DTS 2021 #Jadijagoandigital

ISO 19011:2011 ISO 19011:2011

Pre Incident Post Incident

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

DTS 2021 #Jadijagoandigital

Berikut merupakan contoh penilaian dan prioritas insiden

Rekomendasi Tingkat Prioritas

Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Dalam kategori ini, seorang individu

Kategori ini menunjukan upaya penyerang

DTS 2021 #Jadijagoandigital

Berikut merupakan contoh penilaian dan prioritas insiden

Rekomendasi Tingkat Prioritas

Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Berhasil mentransfer informasi sensitive

Penginstalan perangkat lunak berbahaya

DTS 2021 #Jadijagoandigital

Berikut merupakan contoh penilaian dan prioritas insiden

Rekomendasi Tingkat Prioritas

Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Serangan spoofing adalah situasi di mana

Rougue AP adalah access point yang telah

Berikut merupakan contoh penilaian dan prioritas insiden

Rekomendasi Tingkat Prioritas

Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Upaya login yang gagal oleh sistem yang

Pelanggaran kebijakan TI terhadap

Kategori ini mencakup aktifitas apapun

DTS 2021 #Jadijagoandigital

Berikut merupakan contoh penilaian dan prioritas insiden

Rekomendasi Tingkat Prioritas

Kritikal – Tersebar luas Menengah terbatas Minor - Terlokalisir

Permintaan untuk mengkonfigurasi ulang