Modul Pelatihan E - Topik 11 Respon dan Penanganan Insiden rT Le ed eed] (Cyber Security Analyst untuk Sektor Publik) Mitra Pelatihan Lat i [ol Taa) IGNIME Beech ens eee eeteton eyKATA PENGANTAR Era Digitalisasi pada Industri 4.0 di Indonesia saat ini dihadapkan pada tantangan hadimnya permintaan dan penawaran talenta digital dalam mendukung perkembangan ekosistem industri teknologi. Tantangan tersebut perlu dihadapi salah satunya melalui kegiatan inovasi dan inisiasi dari berbagai pihak dalam memajukan talenta digital Indonesia, baik dari pemerintah maupun mitra kerja pemerintah yang dapat menyiapkan angkatan kerja muda sebagai talenta digital Indonesia. Kementerian Komunikasi dan Informatika melalui Badan Penelitian dan Pengembangan Sumber Daya Manusia sejak tahun 2018-2019, telah menginisiasi Program Digital Talent Scholarship yang telah berhasil dianugerahkan kepada 26.000 penerima pelatihan di bidang, teknologi informasi dan komunikasi. Program Digital Talent Scholarship ini ditujukan untuk memberikan pelatinan dan sertifikasi tema-tema bidang teknologi informasi dan komunikasi, diharapkan menjadi bagian untuk memenuhi permintaan dan penawaran talenta digital Indonesia. Tahun ini, Program Digital Talent Scholarship menargetkan pelatihan peningkatan kompetensi bagi 60.000 peserta yang bertujuan untuk meningkatkan keterampilan dan daya saing ‘SDM bidang teknologi informasi dan komunikasi sebagai bagian dari program pembangunan prioritas nasional. Program pelatinan DTS 2021 ditujukan untuk meningkatkan keterampilan, keahlian angkatan kerja muda Indonesia, masyarakat umum dan aparatur sipil negara di bidang teknologi informasi dan komunikasi sehingga dapat meningkatkan produktivitas dan daya saing bangsa di era industri 4.0. Program DTS 2021 secara garis besar dibagi menjadi Tujuh akademi, yaitu: Fresh Graduate ‘Academy (FGA), Program pelatihan berbasis kompetensi bersama GlobalTech yang ditujukan kepada peserta pelatihan bagi lulusan Si bidang TIK dan MIPA, dan terbuka bagi penyandang disabilitas; Vocational School Graduate Academy (VSGA), Program pelatihan berbasis kompetensi nasional yang ditujukan kepada peserta pelatihan bagi lulusan SMK dan Pendidikan Vokasi bidang TI, Telekomunikasi, Desain, dan Multimedia; Coding Teacher Academy (CTA), Program pelatihan merupakan program pelatinan pengembangan sumberdaya manusia yang ditujukan kepada peserta pelatihan bagi Guru setingkat SMA/SMK/MA/SMP/SD di bidang pemrograman. Online ‘Academy (OA), Program pelatihan OA merupakan program pelatihan Online di bidang Teknologi Informasi yang ditujukan kepada peserta pelatihan bagi Masyarakat umum, ASN, mahasiswa, dan pelaku industri; Thematic Academy (TA), Program pelatihan TA merupakan program pelatihan multisektor bagi pengembangan sumberdaya manusia yang ditujukan kepada peserta pelatihan dari jenjang dan multidisiplin yang berbeda; Regional Development Academy (RDA), Program pelatihan RDA merupakan program pelatinan pengembangan sumberdaya manusia yang ditujukan untuk meningkatkan kompetensi ASN di Kawasan Prioritas Pariwisata dan 122 Kabupaten Prioritas Pembangunan. Digital Entrepreneurship Academy (DEA), Program pelatihan DEA merupakan program pelatihan pengembangan sumberdaya manusia yang ditujukan kepada talenta digital di bidang Usaha Mikro, Kecil, dan Menengah (UMKM). ‘Selamat mengikuti Pelatihan Digital Talent Scholarship, mari persiapkan diri kita menjadi talenta digital indonesia, Jakarta, 24 Februari 2021 Kepala Badan Penelitian dan Pengembangan Sumber Daya Manusia Kementerian Komunikasi dan Informatika Republik Indonesia Dr. Hary Budiarto, MKomPendahuluan Unit kompetensi ini berhubungan dengan menerapkan respon dan penanganan insiden keamanan informasi A. Tujuan Umum Mengawasi atau mengelola tindakan pengamanan atau perbaikan ketika suatu insiden keamanan atau kerentanan/kelemahan telah terjadi/ditemukan B. Tujuan Khusus ‘Adapun tujuan mempelajari unit kompetensi melalui buku respon dan penanganan insiden adalah memahami proses respon dan penanganan insiden (persiapan, identifikasi, containment, eradication, recovery, lesson learn) dari berbagai metode serangan siber. atar belakang Respon dan penanganan insiden adalah pendekatan terorganisir untuk menangani dan mengelola akibat dari pelanggaran atau serangan keamanan (juga dikenal sebagai insiden). Tujuannya adalah untuk menangagi situasi dengan cara yang membatasi kerusakan dan mengurangi waktu dan biaya pemuihan. Rencana respon dan penanganan insiden mencakup kebijakan yang mendefinisikan, dalam istilah tertentu, apa yang merupakan insiden dan ‘menyeriakan proses demi langkah yang harus dilkuti ketika insiden terjadi. Deskripsi Pelatihan Materi ini berisi penjelasan mengenai proses respon dan penanganan insiden keamanan informasi ‘Tujuan Pembelajaran A. Tujuan Umum Mengawasi atau mengelola tindakan pengamanan atau perbaikan ketika suatu insiden keamanan atau kerentanan/kelemahan telah terjadi/ditemukan B. Tujuan Khusus Adapun tujuan mempelajari unit kompetensi melalui buku respon dan penanganan insiden adalah memahami proses respon dan penanganan insiden (persiapan, identifikasi, containment, eradication, recovery, lesson learn) dari berbagai metode serangan siber. Kompetensi Dasar Memahami alur respon dan penanganan insiden indikator Hasil Belajar Peserta mampu melakukan penanganan insiden gangguan keamanan informasiINFORMASI PELATIHAN Akademi Thematic Academy Mitra Pelatihan PT Xynexis International ‘Tema Pelatihan Cyber Security Analyst Sertifikasi Xynexis dan Kominfo Persyaratan Sarana Peserta/spesifikasi device Komputer dengan akses internet Tools/media ajar yang akan digunakan Aplikasi yang akan di gunakan selama pelatihan | Web Browser ‘Tim Penyusun © Danar Panjalu INFORMASI PEMBELAJARAN Unit Kompetensi Materi Kegiatan Durasi Rasio Sumber pembelajaran | pembelajaran | Pelatihan | Praktek: Teori | pembelajaran J.62090.040 | Mengelola Insiden Reading, 14)P 6:8 SKKNI Keamanan | presentasi, demo, 55/2015 Informasi Keamanan tugas TTE "ama Informasi Materi Pokok Melakukan penanganan Insiden Gangguan Keamanan Informasi Sub Materi Pokok 1, Melakukan troubleshooting 2. Memperbaiki kerentanan sistemMATERI PELATIHAN Pengetahuan yang diperlukan dalam melakukan penanganan Insiden Gangguan Keamanan Informasi 1. Pengenalan Cyber Security dan Incident Response 1.1. Definisi Insiden Keamanan Informasi Respon dan penanganan insiden adalah pendekatan terorganisir untuk menangani dan mengelola akibat dari pelanggaran atau scrangan keamanan (juga dikenal sebagai insiden). Tujuannya adalah untuk menangagi situasi dengan cara yang membatasi kerusakan dan mengurangi waktu dan biaya pemuihan, Rencana respon dan penanganan insiden mencakup kebijakan yang mendefinisikan, dalam istilah tertentu, apa yang merupakan insiden dan menyeriakan proses demi langkah yang harus diikuti ketika insiden terjadi, Serangan = Motif + Metode + Kerentanan NIST SP 800-61rev2 Incident Response + Anevent is any observable occurrence in a system or network. Bvents include a user connecting to a file share, a server receiving a request for a web page, a user sending email, and a firewall blocking a connection attempt. * Adverse events are events with a negative consequence, such as system crashes, packet floods, unauthorized use of system privileges, unauthorized access to sensitive data, ete. * computer security incident is a violation or imminent threat of violation! of computer security policies, acceptable use policies, or standard security practices. 1.2. CLA Triad CIA Triad adalah suatu model yang dirancang dengan tujuan memandu kebijakan terkait keamanan informasi pada suatu organisasi. Unsur-unsur CIA triad terdiri dari 3 aspek yaitu Confidentiality, Integrity dan Availability. Tiga komponen tersebut merupakan komponen terpenting yang harus dijaga dalam Cyber Security, agar suatu sistem keamanan dianggap komprehensif dan lengkap, sistem tersebut harus secara memadai menangani seluruh Triad CIA, Apabila salah satu atau lebih unsur-unsur tersebut terganggu atau rusak dapat mengakibatkan terjadinya insiden keamanan informasi. Unsur-unsur tersebut adalah sebagai berikut + Confidentiality : Kerabasiann informa Serangkalan fangkah-langkah. yang’ perl dilakukan untuk menjaga terekeposnya, informasi sensitif dan janglauan orang-orang yang tila Berwenang. Sederhananya confidentiality merupakan upaya untuk menjaga Ada banyak tindakan pencegahan yang dilakukan organisasi untuk menjaga Confidentiality (kerahasalaar). Kata sand, daftar protokol akses dan prosedur otentikasi menggunaken perangkat lunak untulc akses ke sumber daya, + Integrity : Konsistensi, alurasi dan kepercayaan terhadap data. Menjaza konsistens, akarasi dan kepercayaan terhedap data, Langkah langkah yang perlu dilakuican untuk memastikan bahwa data tidak bisa diubah oleh orang yang tidak berwenang serta tidak ada perubahan data saat transitLangkah-langkah tersebut termasuk izin dalam mengakses file dan batasan kontrol bagi akses pengguna. Kontrol ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari pengguna resmi yang bisa juga menjadi masalah. + Availability : Ketersediaan layanan. Menjaga ketersediaan layanan supaya bisa diakses dengan baik. Pengukuran aspele availability dapat dinilai dari layanan yang bisa selalu diakses dan tidak terkendala. Beberapa ancaman mendasar yang mengakibat terganggunya aspek ini namun bukan termasuk kejadian keamanan informasi yaitu terjadinya downtime pada perangkat lunak atau kegagalan perangkat keras. Salah satu metode serangan keamanan informasi yang dapat mengakibatkan rusaknya ketersediaan serangan yaitu denial of service (DOS), metode serangan dengan cara aktor membanjiri secara terus menerus dengan permintaan yang dapat mengakibatkan beban pada server sehingga pengguna sulit atau tidak bisa mengakses aplikasi. Ketersediaan dan responsif suatu aplikasi merupakan prioritas utama pada banyak bisnis. Gangguan ketersediaan layanan pada aplikasi walau sebentar dapat mengakibatkan kerugian. Untuk menjaga ketersediaan layanan harus memiliki persyaratan tinggi terhadap redundansi, perangkat keamanan informasi, pemantauan layanan oleh tim ahli. 1.3. Defense in Depth Sebuah strategi keamanan yang terdiri dari berbagai lapisan untuk melindungi sebuah sistem infomasi. Defense in Depth (DiD) dapat diibaratkan pertahanan benteng yang berlapis, Defense in Depth (DiD) menerapkan_ pertahanan kompleks yang membuat penyerang mendapatkan kesulitan untuk melakukan, penetrasi ke dalam sistem dan meraih tujuan mereka, ‘Gambar 1 Model Defense in Depth + Kebijakan, Prosedur, dan Aware ini merupakan level awal pertahanan yang wajib setiap organisasi desain dan implementasikan. Penerapan kebijakan keamanan untuk —_menghindari penyalahgunaan dari sumber daya yang ada dan membatasi operasi penggunaan sumberdaya yang ada. Contoh Kebijakan password, kebijakan akses internet, IS0/IBC270001, HIPAA dan lain sebagainya, © Fisikal : Penerapan keamanan aset organisasi dari berbagai ancaman fisik.Contoh : Access Control, kunci ruangan, Power Supply, Sistem Alarm, dan lain lain, + Perimeter Mencakup desain dan implementasi di level perimeter Contoh —_: Perimeter di server, DNS, Firewall, dan lain lain. + Jaringan Internal Desain dan implementasi penerapan keamanan di jaringan internal Conteh, Firewall, Router, Switch, dan lain lain, + Host Implementasi keamanan di sisi individual host Contoh Antivirus, patch dan lain sebagainya, + Aplikasi Implementasi keamanan di sisi aplikasi Contoh —_: Manajemen password, konfigurasi aplikasi dan lain lain + Data Implementasi keamanan data dalam bentuk data rest atau data transit Contoh —_: Enkripsi, hashing, permission, DLP dan lain lain 1.4. Security Incident Life Cycle ‘Tujuan dari pengelolaan dan pelaksanaan Incident Response & Handling adalah untuk dapat meminimalkan dampak dari gangguan keamanan informasi terhadap operasional dan bisnis, serta memastikan terjaganya aspek kerahasiaan (Confidential), Keutuhan (Integrity), Ketersediaan (Availability). Secunty ITand Project Security Managers Teams eos Filter Assess ord Pasar cpr a Event Analysts Escalate analyze Incldent Hondlers Incident Analysts Incident Response Center Gambar 2 Security Incident Life Cycle Rencana Sikluk penanganan insiden dimulai dengan fase rencana. Organisasi bersiap untuk mempertahankan infrastruktur dan data TI dengan menilai postur keamanan informasi. Hal ini melibatkan pemahaman ancaman apa yang mungkin dihadapi dan pemahaman sejauh mana negara ini rentan terhadap ancaman tersebut. PeredamanSetelah merencanakan taktik dan strategi pertahanannya dan menerapkan komponen yang sesuai dari arsitektur keamanannya, organisasi tersebut akan meredam serangan, Deteksi Organisasi tidak bisa menahan semua upaya peyusupan, membutuhkan proses untuk medeteksi kompromi, Visibilitas ke dalam keadaan lingkungan di semua tingkat infrastruktur TI (jaringan, aplikasi, data dll) Respon Setelah penyusupan terdeteksi, organisasi memobilisasi penanganan insiden untuk menanggapi intrusi. Proses ini biasanya melibatkan pemahaman ruang lingkup insiden, berisi situasi, menghilangkan kehadiran penyerang dan memulihkan dari insiden tersebut. 2. Proses Respon dan Penanganan Insiden Keamanan Informasi cpwrstona sume | Tun: enon Team nara ear eur ester yng Shaan Ua sengurn Yow ea a er Tos ereualia caren eri adr din eres orn “ya gear aR rg BR Mana eo pote ie a a ee a Gambar 3 Tahapan Respon dan Penanganan Insiden Keamanan Informasi 2.1, Persiapan Melakukan persiapan untuk respon dan penanganan insiden, membuat dokumentasi, membangun tools, dan lain sebagainya. Kunci utama pada tahapan ini yaitu : + Penyusunan kebijakan + Rencana / Strategi Respon + Komunikasi + Dokumentasi (Daftar Periksa, Form respon insiden) + Menyiapkan Team + Menyiapkan Tools 2.1.1, Penyusunan Kebijakan"BONE 202: nnn per acety Gambar 4 Management on Cyber Security Handling Pada gambar 4 menjelaskan mengenai Management on Cyber Security Handling yang bisa dijadikan referensi untuk penyusunan kebijakan respon dan penanganan insiden sebagai bagian dari tahap persiapan. ISO 19011 : 2011. Guidelines for auditing management system. 1S0/IEC/27001. Information Security Management. ISO 19011 : 2011. Guidelines for auditing management system. ISO/IEC.27001. Information Security Management ISO/IEC 27039. Intrusion Detection & Prevention System 1SO/EIC 27032 : Guideline for Cyber Security Gambar 5 RFC 2350: Gov-CSIRT Indonesia (1)Cae ae ae a eee oe Gov-CSIRT Indonesia(2) Gov-CSIRT Indonesia(3) Gambar 5, Gambar 6 dan Gambar 7 merupakan referensi yang bisa digunakan ‘untuk menyusun kebijakan respon dan penanganan insiden. ‘Tabel 1 Matriks Penilaian Resiko dan Dampak Kejadian Keamanan Informasi ‘Rekomendasi Tingkat Prioritas Kritikal- | Menengah ‘Tersebar lua | terbatas | Minor - Terlokalisir Kategori! Deskripst Menengah Menengah Tinggi | MOREPERM | moderate | Menengah | RendanLatihan /Pengujian Perlahanan Jaringan Kategori ini digunakan —selama pengujian alcifitas yang disetujui/tidak disetujui dari pertahanan atau respons jaringan internal / cksternal Pa Akses / Intrusi tidak gah yang. erhasil : level pengguna Dalam ategori ini, seorang individu memperoieh akses logis atau fis tingkat — pengguna tanpa izin ke jaringan perusahaan, sistem, aplikasi, data ata sumber daya lainnya Mencoba akses / intrusi tidak sah Kategori ini ‘menunjukan upaya penyerang yang tidale sah, ‘dalam mengakses jaringan perusahaan, "sistem, aplikasi, data, atau sumber daya lainnya, meskipun tidak berhasil Pa Denial of Service Serangan yang bberhasil menghentkan atau merasake—fungst normal jaringan, sistem atau’ aplikast dengan menghabiskan sumber daya Pal Pal P2 Ps Pea Data Compromise Berhasil mentransfer informasi sensitive yang tidak sah dari Jaringan organisasi Ini bisa melalui malware, karyawan, pencurian sebenamya. Pal Pel P2 Ps Ps Malicious Code (Trojan, Virus, Worm) Penginstalan perangkat— fanale berbahaya yang berhasil p2 PsPhishing/Spoof Attacks Phising ada Jah tindakan mencoba memperoleh informasi sepert nama pengguna, kata sandi, dan detail kartu redit (dan terkadang, secara tidak Jangsung, wang) dengan meny: ‘sebagai entitas yang. dapat dipereaya dalam kommun niki ‘lektronil Serangan adalah situa spoofing si di ‘mana satu orang atau program be menyamar erhasil sebagai orang lain dengan memalsukan dan dengan des ‘memperoieh, keuntungan tidak sah data snikian yang Pa p2 Ps Pa Rogue ap (Wired/ Wireless) Rougue AP access point telah diinstal Jaringan adalah yang pada suatu, organisasi yang aman cksplisit administrator dari Jaringan, atau telah ibuat ‘untule ‘memungkinkan melakuken serangan ‘man-in-the-middle 2 P2 Ps Pa Kegagalan logon yang berebihan Upaya _togin gagal ole yang sistem yang sah atau oleh serangan; brute 1c force p2 Pa Ps Pa Penggunaan yang tidak tepat (pelanggaran Kebijakan) Pelanggaran kkebijaican TI te ebjjakan penggunaan komputasi dapat diterima shadap yangPemindaian dan pengintaian Kategori ini mencalcup alcifitas apapun yang berupaya mengakses atau mengidentifikast komputer perusahaan, port, terbuka, protocol, layanan ‘atau. Hombinasi apapua, untule diekeploitasi anti, Aktifitas int ‘tidak secara langsung ‘menghasilkan ompromi p2 Pa Ps Ps Pa Sistem atau perangkat salah dikonfigurasi Perangkat apa pun yang dikonfigurasi tidak benar dan memerlukan P6 6 P6 6 P6 perbaikan oleh tim lain, Permintaan, Keamanan untuk. penyetalan ‘mengurangi Permintaan untuk ‘mengkonfigurasi ulang Kebjjakan dan po | P65 26 26 P6 kesalahan—_positit atau menyesuaikan ikonten tersebut agar sesuai dengan tujuan 2.1.2. Menyiapkan Tim Respon dan Penanganan Insiden Tim respon dan penanganan insiden harus sctidaknya dibagi menjadi dua Management Team Memberikan perintah, memimpin dan memberi keputusan + Terdiri dari senior manager. Sering kali melibatkan C-Level Management (seperti CIO) dan eksekutif lainnya + Anggota tidak spesifik hanya ke IT, setidaknya harus ada representatif sebagai perwakilan dari masing-masing segment bisnis. + Mendefinisikan dan mengesahkan tanggung jawab tim respon dan penanganan insiden. + Membuat keputusan manajemen terkait dengan upaya respons dan biasanya hanya terlibat langsung dalam upaya dengan tingkat keparahan tinggi + Menangani permintaan dan pengesahan, seperti expenditure dari respon dan penanganan insiden, + Memastikan sumber daya yang tempat dialokasikan untuk tim respon dan penanganan insiden.+ Menyetujui rencana komunikasi terutama dengan pelanggan, manajemen bisnis, penegak hukum. + Secara berkala melakukan peninjauan terhadap rencana respon dan penanganan insiden. + Memegang tanggung jawab lain yang berkaitan dengan respon dan penanganan insiden serta kebijakan terkait. ‘Tim Pelaksana ‘Tim yang menjalankan rencana, proses, prosedur respon dan penanganan insiden + Mengembangkan dan memimpin pelaksanaan rencana respon dan penanganan. insiden. + Melakukan respon dan penanganan insiden di tempat kejadian apabila dibutuhkan, + Menyusun laporan pasca insiden keamanan informasi. + Menyediakan pelatihan, pengetahuan dan secara berkala testing rencana respon dan penanganan informasi. + Membangan hubungan dan prosedur intra departemen sesuai kebutuhan. + Mengidentifikasi kesenjangan rencana respon dan penanganan insiden; dan kebutuhan pelatihan, + Memperbaharui dokumentasi, termasuk spesifik prosedur respon dan penanganan insiden, + Merekomendasikan standar kebijakan. + Melakukan sesi lessons learned tiap upaya respon dan penanganan insiden. + Secara berkala melapor ke Management Team. 2.1.2.1. Customer Care Hal yang terpenting yang harus dilakukan oleh customer care adalah untuk selaha paham dan mengetahui insiden yang tengah terjadi serta perkembangan kasusnya Karena mereka akan menjadi garda depan untuk menjawab pertanyaan-pertanyaan dari pelanggan. Customer Care bertanggung jawab untuk: + Menyusun dan mengembangkan draft untuk menjawab terlepon, frequenly asked question (FAQ), dll. + Mencatat volume panggilan dan pertanyaan atas kekhawatiran yang disampaikan oleh pelanggan. 2.1.2.2. Executive Leader Executive leader sebagai pembuat keputusan utama harus memiliki kepemimpinan dalam memberi dukungan dan sumber daya yang dibutuhkan dalam mengembangkan perencanaan, dan penanganan insiden. Executive Leader bertugas untuk + Memastikan keputusan yang dibuat olch tim dapat disctujui oleh manajemen eksekutif. + Memiliki jalur komunikasi yang baik dengan dewan direksi dan pemangku kepentingan lainnya, 2.1.2.3. Human Relation Insiden keamanan informasi dapat juga mempengaruhi karyawan internal, untuk itu organisasi perlu menunjukan perwakilan karyawan yang bertugas + Mengembangkan komunikasi internal untuk memberitahu seluruh karyawan atau mantan karyawan mengenai insiden. + Mengatur rapat internal atau siaran web untuk karyawan untuk mengumpulkan informasi dari karyawan terkait insiden.2.1.2.4, Incident Lead Memimpin dalam penanganan insiden dan bertugas untuk + Menentukan kapan incident response team akan diaktifkan secara penuh untuk menangani suatu insiden, + Mengelola dan mengkoordinasikan aksi tanggap keseluruban di perushaan, + Bertindak sebagai perantara antara eksekutif lead dan anggota tim lain untuk melaporkan kemajuan serta permasalahan yang terjadi, + Bertindak sebagai mitra penghubung eksternal. + Memastikan dokumentasi yang tepat mengenai aksi cepat tanggap baik dalam hal proses maupun prosedur. 2.1.2.5. Legal ‘Terdiri dari pakar hukum, privasi dan kepatuhan internal yang dapat membantu tim untuk meminimalisir resiko. Tim legal bertugas untuk + Menentukan strategi dan cara memberitahu individu yang terpengaruh, media, penegak hukum, lembga pemerintah dan pihak ketiga lainnya, + Membangun hubungan dengan hukum eksternal yang diperlukan. + Memeriksa semua dokumen atau materi tertulis yang terkait dengan insiden, 2.1.2.6. Information Technology ‘Tim IT dan tim keamanan IT akan memimpin dalam menghentikan kebocoran data, selain itu juga bertugas untuk + Mengidentifikasi resiko keamanan yang harus dimasukan ke dalam rencana aksi cepat tanggap terhadap insiden. + Melatih personil dalam melakukan aksi tanggp insiden, termasuk mengamankan tempat dan mesin-mesin atau peralatan yang terinfeksi secara offline dan menyimpan bukti-buktinya, 2.1.2.7. Public Relation Jika insiden perlu dilaporkan ke media atau harus dipublikasikan dengan tujuan memberitahu individu yang terkena dampak, perwakilan PR bertugas untuk : + Mengidentifikasi dan menyusun notifikasi atau pemberitahuan terbaik, serta menyusun strategi manajemen krisis sebelum insiden terjadi, + Melacak dan menganalisis liputan media dengan cepat untuk setiap pemberitaan negatif selama insiden terjadi + Membuat materi publikasi untuk konsumen/pelanggan mengenai insiden yang terjadi (melalui website, media statement, media sosial dan lain lain) 2.2, — Identifikasi Pada tahap ini anda melakukan penilaian kejadian, apakah insiden sedang terjadi, Berdasarkan pengamatan peristiwa, indicator, anda mencari penyimpangan dari operasi normal. Anda mencari tindakan jahat, anomaly atau percobaan serangan. Pada tahap ini anda melakukan indeniifikasi menggunakan alerts dan log dari router, firewall, IDS, SIEM, Anti Virus, sistem operasi, jaringan dan lain lain, Daftar periksa untuk identifikasi + Dimana insiden terjadi ? Siapa yang melaporkan atau menemukan insiden ? Bagaimana insiden diketahui? Identifikasi penilaian dampak dan resiko? Apakah sumber dapat diketahui? Jika iya dimana, kapan, dan apa2.3. Containment Tahap ini selalu diikuti setelah terkonfirmasi telah terjadinya suatu insiden keamanan informasi, ‘Tujuannya adalah untuk menghentikan potensi hilangnya data konfidensial, mencegah perusakan lebih lanjut ke sistem dan/atau informasi yang terkompromi, melindungi komputer dan informasi lain dalam jaringan organisasi dan internet. ‘Mencari pemilik asset supaya perangkat terdampak dapat dilakukan containment, eradication dan recovery. Daftar periksa untuk containment + Containment jangka pendek © Apakah masalah bisa diisolasi? + Jika bisa, lanjutkan ke isolasi sistem terdampak. * Jika tidak, komunikasikan dan koordinasi bersama pemilik sistem untuk memutuskan tindakan yang perlu dilakukan untuk melakukan containment Apakah semua sistem terdampak terisolasi dari sistem tidak terdampak? = Sistem Backup © Memiliki salinan kebutuhan forensik dari sistem terdampak untuk analisa lebih lanjut Memiliki dokumentasi dari awal terjadinya insiden Salinan kebutuhan forensik harus disimpan ditempat aman dan terjamin untuk menghindari kerusakan + Containment jangka panjang © Jika sistem dapat dimatikan maka lanjutkan ke tahap eradication © Jika sistem harus tetap dalam production maka lanjutkan Containment jangka panjang dengan cara menghilangkah malware dan artifak lainnya dari sistem terdampak; lakukan hardening pada sistem terdampak, + Lakukan reimage pada sistem terdampak * Membuat rekomendasi apakah sistem/situs yang terkena dampak harus tetap beroperasi, dihapus dari jaringan atau dimatikan sepenuhnya. © Resiko apa yang terjadi apabila operasional tetap dilanjutkan ? © Konsultasi dengan pemilik sistem jika diperlukan + Kumpulkan bukti digital (digital evidence) dengan data sistem saat ini dan salin untuk kebutuhan forensic 2.4, Eradication Eradication (pemberantasan) dilakukan setelah tahap containment dari suatu insiden keamanan informasi. Langkah-langkah yang diambil disini bervariasi tergantung dari tipe insiden keamanan informasi. Tujuannya adalah untuk menyimpan bukti apabila belum dilakukan, Anda perlu melakukan analisa tambahan sesuai kebutuhan untuk menyempurnakan investigasi. Anda perlu melakukan mitigasi attack vector yang serupa supaya insiden keamanan informasi tidak terulang (Contoh, lakukan patch kerentanan pada sistem yang terindikasi kompromi). Daftar periksa untuk eradication + Jika memungkinkan, dapatkah sistem dicitrakan ulang dan kemudian dikeraskan dengan tambalan dan/atau tindakan pencegahan lain untuk mencegah atau mengurangi resiko serangan? © Jika tidak, jelaskan kenapa? * Apakah semua backdoor/malware/Trojan atau artifak lainnya yang ditinggalkan sudah oleh penyerang sudah dihilangkan dan apakah sistem terdampak sudah dilakukan hardening untuk mencegah insiden serupa di kemudian waktu? © Jika tidak, Jelaskan kenapa?2.5. Recovery Pada tahap recovery penanganan insiden, anda melakukan pemulihan dengan tujuan service sistem terdampak dapat kembali berjalan normal dan melakukan verifikasi operasi yang dilakuukan serta kualitas layanan/sistem, Sambungkan Kembali sistem ke jaringan, pulihkan dari backups jika diperlukan dan melaporkan tindakan untuk memerintahkan tim pengambil keputusan Daftar periksa untuk recovery * Apakah sistem terdampak sudah dilakukan patch dan hardened terhadap serangan yang baru ini terjadi, serta kemungkinan serangan terbaru yang akan datang? * Kapan waktu yang memungkinkan untuk dilakukan pemulihan terhadap sistem terdampak kembali ke production? * Tools apa yang akan digunakan untuk melakukan test, pemantauan dan verifikasi apabila sistem yang dikembalikan ke production tidak terkompromi oleh metode yang sama dengan insiden yang sebelumnya terjadi ? * Berapa lama kamu akan merencanakan pemantauan terhadap sistem yang dipulihkan dan apa yang akan kamu cari ? * Apakah ada tolak ukur yang dapat digunakan sebagai baseline untuk membandingkan hasil pemantauan sistem yang dipulihkan dengan baseline ? 2.6. Lesson Learn Lesson Learn atau pembelajaran. Pada tahap ini anda dapat mereflesikan dan mendokumentasikan apa yang terjadi. Dimana anda dapat mempelajari apa yang gagal dan apa yang berhasil. Disinilah anda mengidentifikasi peningkatan untuk proses dan prosedur penanganan insiden anda. Disitulah anda menulis Iaporan akhir anda. Daftar periksa untuk lesson learn + Apakah semua dokumentasi penting sudah tercatat? © Jika sudah, lakukan pengelolaan laporan insiden keamanan informasi kemudian jadwalkan koordinasi untuk pembahasan hasil laporan. Jika belum, segera lakukan dokumentasi sebelum ada hal yang terlewat karena lupa tercatat. + Diasumsikan laporan IRH sudah selesai, apakah dapat setiap proses dapat menjawab (Who?What?Where?Why?and How?) + Apakah meeting dengan agenda lesson learned insiden bisa dijadwalkan 2 minggu setelah kejadian ditangani? © Jika tidak, mohon jelaskan dan kapan waktu yang memungkinkan untuk diadakan? + Lesson Learned Meeting © Peninjauan proses respon dan penanganan insiden bersama tim penanganan insiden terhadap insiden yang baru saja terjadi. © Apakah meeting menbahas mengenai kesalahan atau area dimana penanganan insiden dapat dikerjakan dengan lebih baik? + Jika tidak ada pembahasan tersebut, jelaskan kenapa3. Proses Respon dan Penanganan Insiden Keamanan Informasi 3.1, Respon dan Penanganan Insiden Malware Malware merupakan suatu definisi yang diberikan untuk setiap program atau file atau kode yang dapat membahayakan suatu sistem. Malware berusaha menyerang, merusak atau menontaktifkan komputer, sistem computer, jaringan, perangkat seluler, sering kali dengan mengambil sebagian kendali perangkat. Malware saat in’ kebanyakan bukan bertujuan untuk merukan, namun lebih ke arah pencurian data sensitif, Adapun malware yang menyebabkan kerusakan dan kebilangan data biasanya berupa ransomware, yang mengancam user yang menjadi korban untuk membayar sejumlah tebusan jika tidak ingin datanya hilang, Pada bagian respon dan penanganan insiden malware akan menjelaskan mengenai prosedur penanganan insiden malware mulai dari identifikasi, containment, eradication, recovery. 3.1.1, Identifikasi Proses-proses yang dilakukan dalam tahap identifikasi adalah sebagai berikut : a) Memeriksa apakah antivirus berfungsi normal atau tidak. Hal ini karena ada malware yang dapat menghancurkan instalasi antivirus dengan merusak executable file, mengubah kunci registri atau merusak file definisi, maupun menonaktifkan update dari signature suatu file. b) Memeriksa file yang tidak dikenal pada root atau system directory. c) Memeriksa file dengan ekstensi ganda, Sangat disarankan untuk menonaktifkan opsi fitur ‘sembunyikan ekstensi’ pada file eksplorer untuk mengetahui ckstensi yang scbenarnya dari suatu file d) Memeriksa proses dan service yang tidak dikenal dalam sistem menggunakan task manager ) Memeriksa utilitas sistem, misalnya task manager atau sysinternals process explorer. Terdapat malware yang menonaktifkan utilitas ini schingga tidak dapat dijalankan, Memeriksa penggunaan memory CPU menggunakan task manager Memeriksa anomaly pada registry key }) Memeriksa anomaly pada traffic jaringan. Malware modern saat ini kebanyakan memiliki fitur “command and contro!” dimana biasanya setiap malware yang sudah menginfeksi suatu sistem, akan mengirimkan sinyal kepada induk malware melalui akti command and control tersebut. i) Identifikasi anomaly proses dan service yang dibuat pada task scheduler. j) Identifikasi user account pada sistem. Beberapa malware mempunyai kemampuan user account baru pada sistem operasi yang terinfeksi k) Identifikasi entry log pada sistem operasi menggunakan event viewer ) Identifikasi proses yang mencurigakan menggunakan sysinternal tools. Sysinternal tools merupakan salah satu kumpulan tools utilitas milik Microsoft yang bertujuan untuk mengidentifikasi sistem lebih mendetail. Beberapa aplikasi sysinternal tools yang scring digunakan untuk melakukan identifika dan analisa malware adalah proses explorer, autoruns, process monitoring. ras 3.1.2, Containment Tahap containment bertujuan untuk mencegah penyebaran malware. Prosedur yang dilakukan pada tahap containment malware adalah sebagai berikut a) Meminta izin kepada pemilik sistem untuk memutus sistem yang terinfeksi malware dari jaringan b) _Isolasi sistem yang terinfeksi malware. Hal ini dapat dilakukan dengan cara mencabut kabel LAN atau memindahkan sistem tersebut ke VLAN khusus.) Memutuskan hubungan dari jaringan yang mungkin akan dibutuhkan dalam melakukan analisa selanjutnya. d) Mengubah konfigurasi routing table dan firewall untuk memisahkan sistem yang terinfeksi malware dengan sistem lainnya, ¢) Melakukan backup pada data sistem yang terinfeksi malware f) Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran. malware. Jika terdapat kemiripan, maka sistem tersebut juga harus dilakukan. proses containment. 3.1.3, Eradication ‘Tahap eradication merupakan tahapan dimana beberapa teknik yang berbeda-beda digunakan untuk melakukan analisa tethadap malware dan menghapus malware dari sistem yang telah terinfeksi. Setelah file yang terinfeksi diidentifikasi, gejala malware dicatat dan executable malware diidentifikasi dan dianalisis, kemudian semua file executable malware dan artefak yang ditinggalkan oleh’ penyerang dihapus, serta menutup port yang terindikasi sebagai lubang masuknya malware, Proses-Proses yang dilakukan dalam tahap eradication adalah sebagai berikut a) Menghentikan proses yang terindikasi sebagai proses yang malicious, dengan cara sebagai berikut * Tidak melakukan_kill/end process terhadap malicious process tersebut. Hal ini dikarenakan malware akan melakukan autostart process ketika prosesnya terhentt. + Lakukan suspend terhadap proses tersebu dan file DLL yang dipanggil oleh proses tersebut. + Dalam kondisi suspend, kemu satu persat lakuka kill proce dari kumpulan malicious process tersebut dimulai dari child process ke parent process. ‘* Jika malicious process masih melakukan autos atau mengganti namanya dengan proses baru, maka perlu didokumentasikan lebih lanjut dan simpan inalicious program tersebut ke media untuk proses analisa yang lebih mendetail b) Menghapus autostart process yang mencurigakan dari hasil analisa autostart. ¢) Jika proses tersebut kembal, jalankan process monitor untuk mengidentifikasi apakah ada lokasi | dimana malware tersebut bersermbunyi d) Lakukan proses sebelumnya berulang hingga dapat dipastikan semua malicious program telah dihapus dan processnya sudah di kill process ¢) Setelah program malware dihapus dan malicious process di kill process, Jakukan full scanning terhadap sistem menggunakan signature antivirus yang sudah diperbaharui, 4) Jika proses scanning antivirus tidak dapat dilakukan karena telah diblokir oleh malware, maka lakukan proses sebagai berikut © Booting sistem melalui live usb rescue disk, misalnya hiren boot CD, FalconFour's Ultimate Boot CD, Kaspersky Rescue Disk, dll «Live USB tersebut dapat berupa sistem operasi linux ataupun miniXP yang, berisi beberapa tools, driver tools, backup dan recover data tools, antivirus dan anti-malware "tools, rootkit detection tools, network tools, recover/repair broken partitions tools, dil. Lakukan proses mounting sistem operasi yang terinfeksi ke dalam live usb yang sedang berjalan + Lakukan proses scanning antivirus dan antimalware pada live USB yang sedang berjalan 2) Jika terdapat user-user yang dibuat oleh malware, maka hapus user-user yang tidak dikenali tersebut untuk menghindari masuknya kembali malware melalui user yang tidak dikenal tersebut.3.1.4. Containment Pada tahap recovery merupakan tahap untuk memulihkan data sistem yang terinfeksi malware serta mengembalikan seluruh sistem berkerja normal seperti semula. Langkah yang dilakukan untuk pemulihan sistem diantaranya : a) Validasi sistem untuk memastikan sudah tidak ada aplikasi atau file yang rusak atau terinfeksi malware. Serta kesalahan atau kekurangan konfiguasi sistem untuk kemudian disesuaikan kembali b) Melakukan aktifitas pemantauan untuk memastikan apakah malware masih ada atau kembali lagi setelah proses eradication dengan melakukan hal-hal berikut : ‘= Memantau proses dan servis yang berjalan menggunakan process monitor dan process explorer. © Memantau aktifitas traffic jaringan menggunakan wireshark atau tcpdump untuk memantau apakah ada request outgoing atau malware yang memiliki kemampuan command and control biasanya melakukan kontak dengan induknya. ¢) Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting hilang, menyebabkan Kegagalan booting pada sistem operasi), maka sistem dibangun ulang dari file backup terakhir sistem yang dimiliki. d) Mclakukan patching sistem e) Melakukan hardening terhadap sistem 4) Menambahkan signature dari malware ke sistem monitoring atau database antivirus. 3.1.5. Pembelajaran Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk masa mendatang, Prosedur yang dapat dilakukan adalah sebagai berikut a) Membuat dokumentasi dan laporan terkait penanganan insiden malware, yang berisi langkah-langkah dan hasil yang telah didapatkan. b) Membcrikan analisa dan penjciasan apa yang harus dilakukan, schingga meminimalisir insiden serupa tidak terulang kembali, ©) Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses hokum kedepannya. d) Membuat evaluasi dan rekomendasi, Rekomendasi yang dapat diberikan diantaranya : + Penambahan pengetahuan tentang penanganan insiden malware, misalnya melalui pelatihan + Memperbaharui anti malware dengan signature file yang baru, dengan harapan dapat berhasil dalam mendeteksi dan menghapus malware. ¢) Mendokumentasikan terkait jalan masuk malware, perilaku, dampak kerusakan, dil yang terkait malware kedalam database malware. 1) Menyempurnakan langkah-langkah respon atau prosedur penanganan insiden malware yang ada. 3.2. Respon dan Penanganan Insiden Network Security Insiden network security yaitu insiden yang berdampak pada jaringan organisasi seperti bottleneck network dan sulitnya membuka suatu aplikasi. Metode serangan yang sering menyebabkan insiden network security yaitu DoS dan DDoS. Pe: berusaha mengirimkan trafik data atau_permintaan kepada target dengan jumlah yang besar yang bertujuan untuk membebani sistem/kapasitas dari suatu server ‘atau perangkat.3.2.1, Identifikasi Langkah-langkah yang dapat diambil pada tahap identifikasi antara lain a) Mengetahui perilaku “normal” dari lalu lintas jaringan, penggunaan CPU, penggunaan memori dari host, sehingga alat monitoring jaringan akan memberikan informasi berupa peringatan terhadap pertubahan abnormal. Beberapa indikasi bahwa telah terjadi serangan DDoS diantaranya ‘* Melambatnya lalu lintas jaringan Melambatnya proses pada computer / host Penggunaan ruang disk yang bertambah Layanan tidak dapat diakses atau sistem crash Waktu login yang lama bahkan ditolak Log Penuh = Anomali pada fungsi port b) Mengidentifikasi komponen infrastruktur yang terkena dampak ¢) Berkoordinasi dengan pihak terkait untuk mengetahui apakah jaringan organisasi merupakan target utama atau korban dari imbas (misalnya imbas dari serangan terhadap penyedia layanan internet atau penyedia hosting) d) Memeriksa lalu lintas jaringan, seperti source ip address, destination port, URLs, protocol, TCP Sync, UDP, ICMP, dan traffic ‘netflow misalnya menggunakan tcp dump, wireshark, snort dan membandingkannya dengan lalu lintas jaringan “normal”, Dengan memeriksa lalu lintas jaringan, anda juga dapat mengetahui sumber dan jenis serangan, e) Menganalisa file log yang tersedia (file log server, router, firewall, aplikasi dan infrastruktur lainnya yang terkena dampak) untuk mengetahui jenis serangan, sumber serangan, apa yang menjadi sasaran dan bagaimana masuknya serangan, f) Menentukan dampak dari tingkat keparahan yang terjadi, yaitu seberapa besar sistem dan layanan mengalami gangguan, serta memungkinkan motif yang dilakukan penyerang. 3.2.2. Containment ‘Tahap containment bertujuan untuk meminimalisir efek/dampak serangan pada sistem yang ditargetkan dan mencegah kerusakan lebih lanjut. Langkah-langkah yang dapat diambil pada tahap containment antara lain a) Jika sumber bottleneck berada pada fitur tertentu dari suatu aplikasi (dalam artian suatu aplikasi sedang menjadi target), maka perlu mempertimbangkan untuk menonaktifkan sementara aplikasi tersebut. b) Jika bottleneck berada di ISP, maka perlu berkoordinasi dengan pihak ISP untuk meminta filtering ¢) Merelokasikan target ke alamat ip lain jika suatu host tertentu sedang menjadi target ( sebagai solusi sementara ) d) Jika memungkinkan, memblokir lalu lintas yang terhubung dengan jaringan (router, firewall, load balancer, dil) ¢) Mengontrol lalu lintas data dengan menghentikan koneksi atau proses yang tidak diinginkan pada server/router. Melakukan filter sesuai Karateristik serangan, misalnya memblokir packet echo ICMP. 2) Menerapkan rate limiting untuk protocol tertentu, mengijinkan dan membatasi jumlah paket per detik untuk protocol tertentu dalam mengakses suatu host. 3.2.3, Eradication Eradication pada penanganan serangan DDoS yaitu mengambil tindakan untuk menghentikan kondisi tersebut. Tindakan ini sebagaian besar melibatkan peran ISP.Prosedur untuk melakukan proses ini dapat dilakukan dengan cara menghubungi penyedia layanan internet (ISP) untuk meminta bantuan terkait + Pemblokiran jaringan (source ip address) Pemfilteran (membatasi jumlah lalu lintas) + Traffic-scrubbing/sinkhole/clean-pipe * Blackhole routing 3.2.4. Recovery Pada tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal seperti semula, Memahami karakteristik serangan diperlukan untuk pemulihan yang cepat dan tepat. Prosedur yang dapat dilakukan pada tahap pemulihan diantaranya sebagai berikut a) Memastikan bahwa serangan DDoS pada jaringan telah selesai dan layanan bisa dilakukan kembali. b) Memastikan bahwa jaringan telah kembali ke kinerja semula, c) Memastikan bahwa layanan yang terkena dampak dapat dijangkau lagi / beroperasi kembali d) Memastikan bahwa infrastruktur telah kembali ke kinerja semula (tidak ada kerusakan). ) Memulai layanan, aplikasi dan modul yang ditangguhkan. 4) Mengembalikan ke jaringan asli dan mengelihkan kembali lalu lintas ke Jaringan asli 3.2.5. Pembelajaran Pada tahap ini dimana semua dokumentasi kegiatan yang dilakukan dacatat sebagai referensi untuk di masa mendatang. Tujuan dari tahap ini adalah untuk a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan serangan DDoS. b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi. Prosedur yang dapat dilakukan adalah sebagai berikut : a) Membuat dokumentasi dan laporan terkait penanganan serangan DDoS, yang berisi langkah-langkah dan hasil yang telah didapatkan pada penanganan serangan DDoS. Mendokumentasikan dampak dan biaya dari terjadinya serangan tersebut. b) Evaluasi efektifitas respon. c} Menyempurnakan langkah-langkah respon, prosedur penanganan serangan yang diambil selama insiden 4) Mencatat tools apa saja yang digunakan dalam penanganan e) Mendokumentasikan bukti-bukti yang ditemukan, hal ini terkait dengan proses hukum kedepannya. f) Memberikan analisa dan penjelasan apa yang harus dilakukan sehingga serangan serupa tidak teruang kembali. 2) Membuat evaluasi dan rekomendasi, 3.3, Respon dan Penanganan Insiden Insider Threat Insider Threats adalah terminology yang digunakan untuk menunjukan adanya potensi ancaman terhadap keamanan atau data sebuah sistem yang berasal dari aktifitas orang dalam. Secara sederhana yang dimaksud dengan insider adalah individu yang memiliki otorisasi untuk melakukan akses terhadap sistem yang berjalan dalam organisasi, Sementara threat adalah apapun yang berpotensi menjadi gangguan serius, kerusakan, kehilangan pada asset yang dikelola perusahaan/institusi. Dalam hal ini individu yang dimaksud mengarah pada karyawan atau mantan karyawan atau pihak ketiga (kontraktor atau pengembangansistemnya). Secara umum resiko yang dapat ditimbulkan dari insider threat adalah pencurian terhadap data sensitive, penyalahgunaan hak akses, dan aktifitas penipuan yang akan berdampak pada reputasi dan brand image dari organisasi tersebut. Berdasarkan referensi dari Haystax terdapat 3 jenis data yang sering menjadi target dari pelaku insider threat yaitu data customer, data finansial, data yang dilindungi atau memuat hak intelektual. Secara umum terdapat tiga kategori insider threat : + Pertama adalah ancaman yang sifatnya accidental (tidak sengaja) atau disebut juga sebagai negligent insider, yaitu seseorang yang secara tidak sengaja atau tidak sadar membocorkan data karena buruknya security awareness yang bersangkutan, misalnya korban phising, melakukan delete file penting serta human error yang sifatnya tidak sengaja (accidental) + Kedua adalah kelompok yang dikenal sebagai malicious insider yaitu orang yang berbahaya karena ada niat jahat dari orang dalam terscbut schingga bebcrapa hal dapat dilakukan oleh yang bersangkutan. Hal yang sering dilalcukan oleh malicious insider yaitu menyalin data atau dokumen internal kepada pihak luar. Hal ini dapat dilakukan dengan mudah melalui forwarding email penting ke email pribadi atau email lainnya di luar email resmi perusahaan, melakukan penyalinan data atau dokumen penting kepada situs eksternal ataupun perangkat yang tidak memiliki otorisasi, memberikan hak akses kepada pihak lain untuk kolaborasi dokumen perusahaan. + Ketiga adalah compromise account (resident insider), yaitu sescorang yang tidak sadar kalua dirinya atau akunnya telah dimanfaatkan oleh pihak tertentu yang berniat jahat terhadap perusahaan tersebut. ‘Threat insider sering kali terjadi dilakukan oleh + Pihak ketiga yang berkerja di organisasi namun memiliki niat jahat. + Karyawan yang dipecat secara tidak hormat namun masih memiliki akses dan pengetahuan mengenai sistem organisasi + Karyawan yang masih bekerja namun memiliki dendam terhadap organisasi 3.3.1, Identifikasi Indikator dari Insider Threat sebagian besar merupakan tingkah laku tidak biasa dari pengguna. Penggunaan NDR (Network Detection dan Response) dengan +teknologi artificial intelligence untuk mendeteksi anomaly di dalam jaringan, UEBA, dan tools honeypot merupakan kritikal untuk mendeteksi tipe serangan ini Perubahan pada pola penggunaan jaringan dapat menjadi indicator Insider Threat. Seperti yang dijelaskan sebelumnya pada bagian malicious insider, aktifitas yang umumnya dilakukan oleh Insider Threat yaitu yaitu menyalin data atau dokumen internal kepada pihak luar, Pengiriman informasi ini biasanya dalam jumlah yang besar lewat email atau upload, pola ini bisa menjadi indicator untuk mendeteksi Insider Threat, 3.3.2. Containment Untuk setiap jenis serangan containment merupakan tahap yang sangat diperlukan bagi respon dan penanganan insiden. Sangat penting untuk membatasi sumber yang dimaksud untuk mencegah tindakan aktor jahat baik secara leteral maupun outbound. Containment akan meminimalisir kerusakan. Setelah melakukan identifikasi dan berhasil menemukan malicious insider, semua akses istimewa dan kredensial aktor ini harus diblokir, termasuk akun email dan domain serta kartu akses fisik. 3.3.3. Eradication, Recovery dan Pembelajaran Untuk melakukan eradication terhadap insiden Insider Threat perlu dilakukan diskusi bersama dengan beberapa pihak untuk membahas mengenai proses yangberjalan pada organisasi, proses tersebut melibatkan departemen dan karyawan. Perilaku abnormal oleh Insider Threat harus didefinisikan bersama dan kemudian dibuat kebijakan serta kontrol keamanan pada organisasi, Peninjauan terhadap kebijakan dan control keamanan harus dilakukan secara rutin. 3. . _ Respon dan Penanganan Insiden Email Security Insiden Email Security biasanya diakibatkan oleh metode phising. Penyerang akan mengirimkan email ke suatu organisasi dengan berpura-pura sebagai orang yang memiliki jabatan di organisasi tersebut atau juga mengirimkan email perubahan password yang merupakan phising. Serangan lainnya yang dapat mengakibatkan insiden emiail security yaitu penyerang mengirimkan banyak email dengan size yang besar bertujuan untuk membangjiri sistem dan menyebabkan gagal operasi, 3.4.1, Identifikasi ‘Tujuan dari proses identifikasi adalah untuk mendeteksi adanya insiden serangan phising, menentukan ruang lingkup, dan melibatkan pihak-pihak yang tepat dalam menangani serangan phising. Tahap identifikasi penanganan serangan phising adalah sebagai berikut a) Memantau email, social media, web forms dan sebagainya pada organisasi untuk mencari informasi phising. b) Memeriksa URL phising dan hyperlink yang mencurigakan menggunakan www.virustotal.com, www.urlvoid.com, serta www.phistank.com; ¢) Melibatkan pihak yang tepat terkait serangan phising. Agar bisa segera dilakukan takedown terhadap web phising. Seperti perusahaan hosting penyedia domain, penyedia jasa email, Nasional CERT d) Mengumpulkan bukti-bukti terkait adanya serangan phising. Contohnya screenshot halaman web terdampak. 3.4.2. Containment Setelah dipastikan bahwa memang benar telah terjadi serangan phising, maka lakukan proses mitigasi serangan, agar tidak terjadi kerusakan lebih dalam. Prosedur yang dilakukan pada tahap ini adalah a) Menyebarkan URL phising dan konten dari email phising pada pihak spam- reporting website, misalnya www.phistank.com b) Menginformasikan serangan phising kepada pengguna, agar pengguna mengetahui dan tidak terkena dampak dari serangan tersebut. ¢) Memeriksa source code dari website phising, jika menggunakan gambar dari website yang anda miliki, anda dapat mengganti gambar dengan tampilan “phising website” 3.4.3. Eradication Proses ini bertujuan untuk mengambil tindakan dalam menghentikan serangan phising, Prosedur untuk melakukan proses ini dapat dilakukan dengan cara berikut 8) Jika halaman phising di hosting di situs web yang telah disusupi, maka hubungi pemilik dari website tersebut, agar halaman phising dihapus dan dilakukan update security. b) Untuk percepatan penanganan, hubungi perusahaan hosting dengan mengirim email berisikan informasi phising, serta lakukan kontak telepon perusahaan hosting yang tersedia. ) Menghubungi perusahaan hosting untuk melakukan takedown / penutupan alamat website palsu4d) Jika takedown terlalu lama, maka hubungi nasional CERT untuk mengontak CERT local yang berada di negara tersebut untuk membantu proses takedown, 3.4.4. Recovery Tahap recovery atau pemulihan merupakan tahap untuk mengembalikan seluruh sistem berkerja normal seperti semula. Langkah-langkah yang dapat dilakukan adalah sebagai berikut : a) Memastikan bahwa halaman website penipuan sudah tidak dapat diakses. b) Tetap memantau URL palsu, untuk memastikan URL palsu tersebut tidak dapat diakses. c) Memantau traffic email gateway. d) Memastikan kembali tidak ada user yang meng-klik link pada email phising. 3.4.5. Pembel: ‘Tahap pembelajaran dimana semua dokumentasi kegiatan yang dilakukan dicatat, sebagai referensi untuk dimasa mendatang. Tujuan dari tabap ini adalah untuk a) Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan phising b) Mengambil pelajaran dan membuat rekomendasi untuk mencegah terjadi lagi Langkah-langkah yang dapat dilakukan adalah sebagai berikut a) Menyempurnakan langkah-langkah respon, prosedur penanganan serangan yang diambil sclama insiden agar kedepannya dapat menangani insiden secara lebih cepat dan efisien b) Memperbaharui daftar kontak yang dimiliki, disertai cataran cara paling efektif ‘untuk menghubungi setiap pihak yang terlibat. ©) Berkolaborasi dengan tim hukum jika diperlukan tindakan hukum 4) Membuat dokumentasi dan laporan terkait penanganan serangan phising ©) Membuat evaluasi dan rekomendasi 3.5. Respon dan Penanganan Insiden Web Application Security Insiden Web Application biasanya berupa web defacement, SQL injection, cross scripting dan lainnya yang berusaha merusak aplikasi tersebut. 3.5.1. Identifikasi Umumnya root-cause dari masalah insiden Web Application antara lain + Kerentanan pada web application tersebut, + Kerentanan pada komponen 3* party yang digunakan oleh pengembang aplikasi (Plugin, AddOn, Module, ete) + Sistem operasi yang belum patch secara up to date + Kerentanan pada service sistem operasi (Kerentanan web server, Kerentanan server database, dan lain sebagainya Pelaporan awal serangan pada web application : + Pemantauan halaman web. Konten halaman web telah diubah. Konten baru sangat rahasia(sebuah “iframe” injeksi misalnya) atau jelas (‘diretas oleh XXX Crew") + Pemberitahuan oleh pengguna. Dari pengguna aplikasi mereka akan melaporkan apabila ada masalah pada aplikasi. + Pengecekan keamanan menggunakan tools seperti google safebrowsingPada tahap ini dilakukan proses identifikasi untuk memastikan telah terjadi serangan web application dan medeteksi sumbernya. Langkah-langkah yang dapat diambil pada tahap identifikasi antara lain 1, Lakukan pemeriksaan pada terminal terkait history command : history 2. Periksa semua logs + OS Log (/var/log/messages; /var/log/dmesg) + Authentication log (/var/log/auth.log; /var/log/lastlog; /var/log/btmp; last-f /var/log/wimp or last -f /var/log/utmp; /var/log/secure;) + Web Access Log. (/var/log/apache2/access.log; [var /log/apache2 /error. log) 3, Periksa koneksi jaringan : + Netstat Command : netstat-plant 4. Periksa Process List + PS command : ps-aux 5. Periksa Open Files ‘+ Lsof command : Isof-p (pid); Isof-I (cari port listen yang tidak biasa) 6. Periksa akun pengguna terdaftar Untuk pengguna yang mencurigakan + Look at /etc/ passwd : cat /etc/passwd 7. Periksa Scheduller Task + Crontab File : cat /etc/crontab; Is /etc/cron.*; Is /var/at/jobs 3.5.2. Containment a) Backup semua data yang tersimpan pada web server untuk kebutuhan forensic dan pengumpulan bukti. Langkah ini juga membantu apabila ingin dilakukan pemulihan file yang hilang, b) Periksa peta arsitektur jaringan organisasi anda. Pastikan penyerang terdeteksi di lokasi yang tepat. + Periksa pada web server sistem apa yang sedang berjalan «= Periksa services yang berjalan ada mesin tersebut + Periksa koneksi pada sistem lainnya, yang kemungkinan kompromi ©) Jika sumber dari serangan merupakan sistem yang berada di jaringan lain, putuskan koneksi secara fisik jika memungkinkan dan lakukan investigasi Mencari bukti untuk setiap aktifitas yang dilakukan oleh penyerang a) Temukan bagaimana caranya penyerang dapat masuk ke sistem dan lakukan perbaili * Komponen web yang rentan memperbolehkan untuk akses mengubah(write access): perbaiki kerentanan * Open Public Folder : Perbaiki bug + Kelemahan pada SQL yang memungkinkan memperbolehkan injection : perbaiki code nya + Komponen mashup : potong umpan mashup * Administratif perubahan melalui akses fisik. Ubah hak akses b) Jika diperlukan (issue kompleks dan web server yang sangat penting), deploy web server sementara, Kondisi update to date dengan aplikasi Langkah-langkah teknis untuk fase containment insiden web application security a) Pindahkan / ubah halaman teretas / ubah halaman defaced menjadi “temporary unavailable page” (ubah A Record / CNAME pada kenfigurasi DNS) b) Alibkan website teretas ke halaman sementara / server lain c) Putuskan koneksi Web App teretas dari jaringan3.5.3, Eradication Mengambil tindakan untuk menghapu ancaman dan menghindari ancaman web application kedepannya + Hapus semua konten yang diubah dan ganti dengan konten yang sah + Perbaiki semua temuan kerentanan + Pulihkan konten dari backup sebelumnya. Pastikan konten ini sudah tidak terdapat kerentanan (fika kerentanan berasal dari web app) Langkah-langkcah teknis fase eradication insiden web application security a) Hilangkan halaman teretas dan ubah halaman normal b) Temukan dan hapus backdoor ¢} Temukan process mencurigakan dan hilangkan backdoor / rootkit sistem operasi © Chkrootkit : http: //www.chkrootkit org Rkhunter : http://rkhunter.sourceforge.net/ Linux malware detect : https:/ /github.com /rfxn /linux-malware-detect faldet : https:/ /github.com/dlehuuthe/MalDet ClamAV : https:/ /www.clamav.net, ‘MalScan : https:/ /github.com/mtingers/malscan NeoPi : https: //github,com /Neohapsis /NeoPI Mencari php backdoor / web shell / backdoor secara manual grep -Rn “shell_exec *(" /var/www grep -Rn “base64_decode *(° /var/www grep -Rn “phpinfo *(" /var/www grep -Rn “system *(" /var/www grep -Rn “php_uname *(" /var/www grep -Rn “chmod *(" /var/www grep -Rn “fopen *(° /var/www grep -Rn “fclose *(" /var/www grep -Rn “readiile *(" /var/www grep -Rn “edoced_46esab *(° /var/www grep -Rn “eval *(° /var/www grep -Rn “passthru *(" /var/wowGambar 8 Eradication Web Application Security Tools yang bisa digunakan untuk membantu memeriksa PHP backdoor / web shell / backdoor shell + bitp:/ /www.shelldetector.com, + bttp:/ /www. whitefirdesign. com /tools/basic-backdoor-scriptfinder. html + http://resources. infosecinstitute.com /web-shell-detection + bttp://25yearsofprogramming.com/blog/2010/20100315,htm + http://resources.infosecinstitute.com /checking-out-backdoorshells, + hitps://bechtsoudis.com/hacking /detect-protect-from-phpbackdoor-shells, 5.4, Recovery Pulihkan sistem kembali ke normal operasional: + Ubah semua user password, jika web server menyediakan user-authentication, dan anda memiliki bukti / alasan untuk menyatakan kata sandi mungkin telah disusupi. Ini bias membutuhkan komunikasi pengguna yang luas. + Jika server cadangan telah digunakan, pulihkan kemponen utama web server sebagai nominal. Langkah-langkah aktifitas teknis fase recovery insiden web application security 1, Restore dari backup files 2. Pastikan backup tidak terdapat backdoor 3. Remediasi kerentanan yang ada pada backup terakhir 3.5.5. Pembelajaran Dokumentasi detil insiden, diskusi pembelajaran, tingkatkan rencana dan pertahanan Komunisasi + Jika insiden web application terlihat pengguna, rencanakan penjelasan secara public. Laporan+ Laporan krisis harus dituliskan dan dibuat untuk semua pihak yang terlibat, Hal berilcut perlu dideskripsikan + Deteksi awal Action dan Timeline ‘Apa yang berjalan benar ‘Apa yang berjalan salah Biaya insiden 4. Pengenalan Digital Forensic Digital Forensic adalah suatu ilmu pengetahuan dan keablian untuk mengidentifikasi, mengoleksi, menganalisa dan menguji bukti-bukti digital pada saat menangani sebuah kasus yang memerlukan penanganan dan identifikasi barang bukti digital 4.1, Prinsip Digital Forensic Digital forensic akan dilakukan sesuai dengan pedoman Association of Chief Police (ACPO) dan juga keempat prinsipnya Prinsip 1. Data yang disimpan dalam komputer atau media penyimpanan tidak boleh berubah atau diubah, karena data tersebut nantinya dapat diajulcan ke pengadilan Prinsip 2. Sescorang harus cukup kompeten dalam menangani data asli yang disimpan di computer atau media penyimpanan jika itu diperlukan. Orang tersebut juga harus dapat memberikan bukti yang menjelaskan relevansi dan arah tindakannya. Prinsip 3. Jelas audit atau dokumentasi lain dari semua proses yang diterapkan pada bul elekcronik berbasis komputer harus dibuat dan dipelihara. Pihalc ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang Prinsip 4. Seseorang yang bertanggungjawab atas investigasi harus memiliki tanggung jawab keseluruha untuk mempertanggung jawabkan hukum dan prinsip ACPO telah dipatuhi ‘dentfcaton, Acquiston & —nvestigasi-——Bukt Digtal colecton & Preservation ata ‘equiston Key Component Chain of Custody Gambar 9 Langkah Digital Forensic4.2, Dokumen dan Informasi Elektronik Barang Bukti dan alat Bukti Electronic Information & Transaction Act : UU No. 11 Year 2008 Revision of Electronic Information & Transaction Act : UU No19 Year 2016 Pasal 1 Angka 1: Informasi elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, kode akses, symbol atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya Pasal 1 Angka 4: Dokumen elektronik adalah setiap informasi elektronik yang dibuat, diteruskan, dikirimkan, diterima atau disimpan dalam bentuk analog, digital, elektromagnetil, optikal, atau sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem clektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, kode akses, simbol atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya, 4.3. Bukti dan Abli yang Sah Pasal 5 (1) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah. (2) Informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya sebagaimana dimaksud pada ayat(1) merupakan perluasan dari alat bukti yang sah sesuai dengan hukum acara yang berlaku di Indonesia Pasal 6 . Informasi clektronik dan/atau dokumen elektronik dianggap sah sepanjang informasi yang tercantum di dalamnya dapat diakses, ditampilkan, dijamin keutuhannya dan dapat dipertanggung jawabkan sehingga menerangkan suatu keadaan Penjelasan Pasal 43 Ayat (5) Huruf h Yang dimaksud dengan “abli” adalah seseorang yang memiliki keahlian khusus di bidang teknologi infomasi yang dapat dipertanggungjawabkan secara akademis, maupun praktis mengenai pengetahuannya tersebut, Alat Bukti Ani = os Informasi Dokumen Akademisi || Praktisi Elektronik Elektronik Dapat dipertanggung Dianggap Sah jawabkan 4. Dapat diakses 2. Dapat Ditampitkan 3. Dapat dijamin keutuhannya 4. Dapat dipertanggung jawabkan Gambar 10 Nilai Kuat Barang Bukti di Pengadilan Keterampilan yang diperlukan dalam melakukan penanganan Insiden Gangguan Keamanan Informasi1. Melakukan troubleshooting 2. Memperbaiki kerentanan sistem 3. Mengoperasikan perangkat keras dan piranti lunak berhubungan dengan keterampilan di atas sesuai dengan jenjang KKNI-nya. Sikap Kerja yang diperlukan dalam melakukan penanganan Insiden Gangguan Keamanan Informa: 1. Harus displin dalam melindung! informasi 2. Harus teliti dalam mengoperasikan perangkat keras dan piranti hunak 3. Harus tanggung jawab ketika berbuat kesalahan ‘Tugas Dan Proyek Pelatihan 1. Gambarkan dan jelaskan alur penanganan insiden serangan web defacement. Mulai dari persiapan, identifikasi, containment, eradication, recovery, lesson learn. Sebutkan pihak-pihak yang terlibat untuk koordinasi penanganan insiden web defacement. 2. Evidence Gathering atau collect informasi biasanya dilakukan di sistem operasi, pada windows umurmnya mengambil dan mengecek log pada event view Lakukan Collect dan kemudian capture Informasi Local Se © Account Policy * Local Policy Link Referensi Modul Pertama Ignite2learn.id Link Pertanyaan Modul Petama Ignite2learn.id Bahan Tayang Ignite2learnid Link room Pelatihan dan Jadwal live sesi bersama instruktur Ignite2learn.idPenilaian Ignite2learn.id Target Penyelesaian Modul Pertama Minggu pertamaKOMINFO Badan Penelitian dan Pengembangan SDM Kementerian Komunikasi dan Informatika