Incident Respon -> proses yang dirancang untuk menanggapi suatu insiden keamanan

dalam suatu organisasi

Breach
Hilang kontrol terhadap aset, bocor informasi, orang yang tidak punya otoritas tp
bisa akses

Event
Kejadian yang busa diamati di jaringan atau sistem, karena termonitor secara umum.
Pelakunya disebut threat actor. jenisnya macam2.

Exploit
Serangan, segala cara yang dilakukan untuk mendapatkan akses.
- penyalahgunaan kerentanan atau celah utk mendapatkan akses tidak sah

Incident
Aktivitas yang menyebabkan resiko
- kebakaran
- konsleting
- penyerangan sistem

Intrusion
Terjadinya akses yang tidak sah terhadap aset/sistem

Threat
Kondisi suatu Aktivitas yang punya efek negatif terhadap sistem

Vulnerability
Celah keamanan yang ada di sistem

Zero day
- Vulnerability yang belum banyak yang tahu/sulit dideteksi
- Co/ penyerang menemukan celah pada suatu sistem basis data perusahaan. Dia
melakukan akses ke data tersebut. Pengembang sistem tersebut belum mengetahui celah
tsb, perusahaan tidak memiliki pembaruan/tindakan pencegahan untuk melindungi
serangan.
- sistem belum bisa mendeteksi
- mitigasinya pun susah

Incident response --->

Mengembalikan sistem kembali normal

Tujuan dari incident response

- kejadian buruk (insiden) dapat mempengaruhi misi/tujuan bisnis
- melindungi kehidupan, kesehatan dan keselamatan. Keputusan apapun, selalu pilih
keselamatan.
- Persiapan memerlukan kebijakan
- setiap organisasi harus punya rencana dalam menangani insiden
- dapat mengurangi dampak dari insiden
- merupakan bagian dari disiplin terbesar BCM

Komponen dari Incident response plan:

Preparation
- membuat policy, prosedur
- mengidentifikasi sistem
- melatih staf
- menentukan role - tanggung jawabnya
- merencanakan koordinasi antar stakeholder
Detection&analisis
- melakukan monitoring utk mendeteksi, dari karyawan
- analisis insiden menggunakan data, sistem inteligen ancaman (insiden valid atau
tidak)
- menyimpulkan dampak
- membuat pemeringkatan insiden utk segera direspon
- membuat dokumentasi insiden

Containment, Eradication, Recovery

containment :
- mengumpulkan bukti, memilih strategi, melakukan isolasi utk mengurangi dampak
eradication :
- melakukan identifikasi - mitigasi semua celah yang telah diserang
- jika ada virus, dihapus, mengecek apa terinfeksi
- menghilangkan penyebab insiden sampai bersih
recovery :
- backup recovery
- uji coba
- modifikasi improvemen security
- hingga sistem kembali berjalan

Post incident action

- mengidentifikasi bukti yang mungkin perlu dipertahankan
- belajar dari dokumentasi dari insiden tsb
- sebagai input dari preparation berikutnya

Tim yang menanggapi insiden

CIRT
CSIRT
Tanggung jawab :
. Menentukan lingkup atau banyaknya kerusakan yang disebabkan insiden
. Menentukan apakah ada informasi rahasia yang dicompromised selama insiden
. Menerapkan prosedur pemulihan untuk memulihkan keamanan
. Mengawasi pelaksanaan langkah2 yang diperlukan untuk meningkatkan keamanan dan
mencegah hal tersebut terulang

insiden response -> bisa melibatkan banyak unit

member team:
- manajemen senior
- network administrator
- pihak lain yang berkaitan
-----------------------------------------------------------------------------

Business Continuity - memastikan proses tetap berjalan dalam organisasi selama ada
insiden
- ada unit kritikal/yang paling penting, yang harus tetap berjalan walaupun ada
insiden

Komponen dari rencana business continuity:

- menentukan anggota team
- ceklis dan prosedur
- bagaimana dan kapan menerapkan rencana
- sistem notifikasi

-------------------------------------------------

Disaster Recovery Concepts - bagaimana data segera direstore setelah ada disaster
komponen disaster recovery plan:
- rencana yang harus ada
- rencana spesifik tiap unit
- teknisi -> implementasi dan memperbaiki/backup data penting