CISA | BADAN KEAMANAN SIBER DAN KEAMANAN INFRASTRUKTUR

CISA
PELAJARAN 8: IKHTISAR PENANGANAN INSIDEN
DAN PERBURUAN ANCAMAN

Steve Mancini
Manajemen Kerentanan 1
November 2022
Ikhtisar
• Tujuan:
• Tujuan presentasi adalah memperkenalkan kepada peserta tentang topik Penanganan
Insiden (IR) dan Perburuan Ancaman (TH)

• Hal-hal Penting Yang Harus Diingat:

• Pada bagian akhir dari modul ini, para peserta akan lebih paham:
• Definisi Penanganan Insiden
• Kasus penggunaan tentang cara menerapkan teknik IR
• Definisi Perburuan Ancaman
• Misi cabang TH di CISA
• Cara CISA menerapkan TH agar mitra lebih terinformasi tentang aktivitas ancaman

Steve Mancini
Manajemen Kerentanan
November 2022
Penanganan Insiden
Pengertian:

 National Institute of Standards and Technology (NIST) menjabarkan penanganan insiden sebagai
upaya memitigasi pelanggaran kebijakan keamanan dan praktik yang direkomendasikan.
Mengapa ada Penanganan Insiden:
 Jika terjadi, pelanggaran harus segera ditangani untuk:
• Meminimalkan Data yang Hilang
• Menyelamatkan Bukti / Mengidentifikasi Taktik, Teknik, dan Prosedur (TTP) Pelaku
• Memastikan Metode Penanganan Dilakukan dengan Tepat agar Situasi Segera Pulih Kembali
• Mematuhi Amanat Hukum atau Pemerintah

https://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
Manajemen Kerentanan 3
November 2022
Penanganan Insiden
Kapan IR Harus Diterapkan:
• IR diterapkan untuk menangani insiden keamanan komputer
• Ada perbedaan antara peristiwa dan insiden
• Peristiwa – Adalah "segala kejadian yang terlihat pada sistem atau
jaringan"
• Insiden – Menurut NIST, "Insiden keamanan komputer adalah
pelanggaran atau ancaman akan terjadinya pelanggaran terhadap
kebijakan keamanan komputer, kebijakan penggunaan yang diterima,
atau praktik keamanan standar"
• Maka, peristiwa berbeda dengan insiden, tetapi apakah keduanya
membutuhkan penanganan?

https://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
4
4/11/23
January 27, 2023
Penanganan Insiden
Contoh Insiden Dapat Meliputi:
• Serangan Penolakan Layanan secara Terdistribusi (DDoS) pada server web
suatu organisasi
• Serangan ransomware
• Pengguna dikelabui agar membuka lampiran berbahaya / mengklik tautan
berbahaya melalui serangkaian penipuan bertarget (phishing) atau umum
• Penyerang berhasil mengambil data sensitif organisasi dan mengancam akan
mengeposnya di Internet
• Malware yang berjalan di komputer milik organisasi – sumber infeksinya
mungkin dapat diketahui / tidak diketahui
• Dsb.

https://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
5
4/11/23
January 27, 2023
Penanganan Insiden
Contoh Linimasa terjadinya 'insiden':
1. Pengguna melaporkan panggilan telepon aneh yang mengaku sebagai departemen bantuan IT
2. Beberapa pengguna menerima surel yang aneh, mungkin mereka melaporkannya dan mungkin
tidak
3. Lalu lintas data keluar di luar jam sibuk mulai meningkat tajam
4. Setidaknya ada satu pengguna yang melaporkan komputernya lambat, beberapa fail tidak
dapat diakses

Pemikiran:
Kapan hal ini meningkat statusnya menjadi insiden?
Apakah ini insiden yang ditargetkan atau peristiwa acak?
Apakah personel memahami tindakan yang harus diambil sesuai tugasnya?
• Kapan harus dilaporkan? Kepada siapa? Apakah ada kebijakan organisasi tentang hal itu?
Apakah organisasi Anda memiliki kemampuan forensik untuk menganalisis komputer?
https://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
6
4/11/23
January 27, 2023
Pedoman Penanganan Insiden
Apakah organisasi Anda memiliki pedoman Penanganan Insiden?
• Tujuan rencana IR adalah menyediakan "serangkaian petunjuk untuk membantu staf IT
mendeteksi, menangani, dan memulihkan situasi dari insiden keamanan jaringan"

Menurut CISA:

Pedoman Penanganan Insiden diterapkan pada insiden yang melibatkan aktivitas siber yang telah
dinyatakan berbahaya dan insiden besar yang telah dinyatakan berbahaya atau belum
dikesampingkan secara wajar. Beberapa contohnya meliputi insiden pergerakan menyebar,
mengakses kredensial, mengeksfiltrasi data; perusakan jaringan yang melibatkan lebih dari satu
pengguna atau sistem; atau akun administrator yang disusupi. Pedoman ini meliputi daftar periksa
penanganan insiden dan persiapan penanganan insiden, keduanya dapat diadaptasi untuk digunakan
organisasi di luar pemerintah federal
https://www.cisa.gov/cyber-incident-response
https://www.cisco.com/c/en/us/products/security/incident-response-plan.htmlH
ttps://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
7
4/11/23
January 27, 2023
Pedoman Penanganan Kerentanan
Apakah organisasi Anda memiliki pedoman Penanganan Kerentanan?

Menurut CISA:

Pedoman Penanganan Kerentanan berlaku untuk kerentanan apa pun yang terlihat digunakan oleh
pelaku untuk mendapatkan akses tidak sah (yaitu, kerentanan yang terlihat dieksploitasi) ke sumber
daya komputasi. Pedoman ini didasarkan pada Arahan Operasional Pengikat CISA 22-01 dengan
menstandardisasi proses tingkat tinggi yang harus diikuti oleh lembaga ketika menangani kerentanan
yang menimbulkan risiko besar di seluruh pemerintah federal. Pedoman ini mencakup daftar periksa
yang mudah diadaptasi oleh organisasi nonfederal untuk melacak aktivitas penanganan kerentanan
terkait dalam empat fase hingga selesai

https://www.cisa.gov/cyber-incident-response
https://www.cisco.com/c/en/us/products/security/incident-response-plan.htmlH
ttps://csrc.nist.gov/glossary/term/incident_response

Steve Mancini
8
4/11/23
January 27, 2023
Pedoman Penanganan Kerentanan

https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf

Steve Mancini
9
4/11/23
January 27, 2023
Misi dan Visi Perburuan Ancaman (TH) CISA
Misi
CISA terdepan dalam operasi siber defensif:
• Menemukan adanya ancaman siber yang canggih;
• Memanfaatkan informasi inteligen dan kerentanan dari berbagai sumber untuk
melacak dan memahami pelaku; dan
• Mengoordinasikan upaya penanganan di tingkat pusat bersama berbagai
departemen dan badan pemerintah federal, SLTT, Perusahaan Swasta,
akademisi, dan organisasi internasional.

Tujuan Utama
• Memanfaatkan wawasan unik yang berasal dari inteligen untuk menyusun dan
melaksanakan rencana yang memanfaatkan proses dan prosedur formal yang
dirancang untuk melawan potensi ancaman terhadap bangsa kita.

Steve Mancini
10
4/11/23
January 27, 2023
Peran dan Tanggung Jawab TH
Cabang Deskripsi​
Ancaman​ Menambah tingkat kesulitan bagi pelaku dengan memberikan informasi
ancaman yang dapat dideteksi, dicegah, dan diprediksi kepada pelindung

Perburuan​ Mencari aktivitas pelaku dalam data jaringan pemangku kepentingan menurut
ancaman yang diprioritaskan. Melakukan perburuan jarak jauh dan
penanganan insiden menurut informasi insiden dan ancaman.

Koordinasi Menegakkan fokus misi melalui pengoperasian tim yang berfokus pada pelaku,
Pertahanan Siber​ koordinasi penanganan insiden, manajemen peristiwa, dan menghadirkan
kemampuan yang dibutuhkan untuk melaksanakan misi​

Operasi Bisnis Menyediakan dukungan bisnis yang efektif dan efisien.​Termasuk

perumusan/pelaksanaan anggaran, pengadaan, manajemen proyek,
manajemen pengetahuan, logistik, sumber daya manusia, pembelian mikro,
dan pelatihan.

Steve Mancini
11
4/11/23
January 27, 2023
 Ancaman
Identifikasi, Lacak, Meniru Pelaku
 Analisis Pelaku – Melacak pelaku dan memberikan konteks teknis dan operasional untuk analisis
penyelidikan yang berfokus pada Teknik dan Prosedur Taktik (TTP)
 Integrasi Analisis – Mengoptimalkan aktivitas analisis Ancaman dan mengintegrasikannya ke dalam
Operasi Perburuan Ancaman & CISA, serta komunitas yang lebih luas​
 Indikator dan Tren – Memungkinkan pemangku kepentingan untuk mendeteksi aktivitas jahat secepat dan
seefektif mungkin melalui indikator yang diperkaya dan analisis tren
 Analisis Media dan Kode – Menentukan kemampuan, asal-usul, dan pemulihan alat yang digunakan dalam
serangan untuk menambah pengetahuan kita tentang "cara"
 Target dan Strategi Pelaku – Menganalisis dunia maya sasaran untuk memprediksi tindakan pelaku dalam
mendukung upaya perencanaan taktis hingga operasional dan meningkatkan strategi dan prioritas
pertahanan

Steve Mancini
4/11/23
January 27, 2023
Perburuan
Deteksi, Cari, dan Tangani Aktivitas Siber yang Berbahaya 
 Forensik Hos – Menyediakan bantuan teknis untuk melakukan analisis media dan analisis hos dalam
skala besar
 Forensik Jaringan – Menyediakan bantuan teknis untuk melakukan analisis atas analisis jaringan dan
penyebaran sensor​
 Forensik Cloud – Menyediakan bantuan teknis untuk melakukan analisis pada lingkungan cloud
 Forensik Sistem Kontrol Industri – Menyediakan keahlian teknis untuk analisis sistem Teknologi
Operasional
 Pengejaran Pelaku – Menyediakan bantuan teknis untuk memburu aktivitas pelaku pada Jaringan
Cabang Eksekutif Federal melalui sensor data NCPS. 
 Integrasi Perburuan – Mengawasi dan mengelola alokasi sumber daya dan pelaporan.

Steve Mancini
Manajemen Kerentanan
November 2022
Koordinasi Pertahanan Siber
Mendukung, Mengoordinasi, dan Memastikan Pelaksanaan semua Fungsi dan Hasil Perburuan Ancaman

 Manajemen Insiden – Melakukan triase dan mengelola insiden selama siklus penanganan insiden
 Koordinasi Misi – Koordinator Misi berfokus pada bidang aktivitas tertentu dan mengoordinasikan aktivitas
perburuan ancaman yang sesuai. Juga melibatkan Koordinator Masalah yang menangani urusan khusus
 Sistem Kontrol Industri – Keahlian penanganan insiden sistem kontrol industri dan aktivitas penelitian
 Pemberitahuan Entitas Sasaran – Mengoordinasikan pemberitahuan entitas berdasarkan berbagai sumber
untuk menyertakan pihak ketiga
 Penatagunaan Kemampuan – Mengelola peralatan perburuan dan mengoordinasikan persyaratan
kemampuan teknis masa depan

Steve Mancini
4/11/23
January 27, 2023
Operasi Bisnis
Mengelola Dukungan Misi Penting dan Persyaratan Administrasi 
 Akuisisi dan Pengadaan Anggaran – Mendukung proses anggaran, perencanaan anggaran, analisis,
akuisisi, dan pelaksanaan kontrak.
 Optimalisasi dan Tata Kelola Kinerja - menstandardisasi semua aspek operasi dengan mengidentifikasi
kesenjangan sumber daya, perencanaan kebijakan, manajemen proses, manajemen pengetahuan,
standardisasi, dan pengawasan pengumpulan metrik.
 Administrasi dan Logistik – Memberikan dukungan, logistik, dan layanan administrasi kepada tenaga kerja
Pemburu Ancaman melalui sumber daya manusia, operasi tenaga kerja, pelatihan, penjadwalan acara,
manajemen armada, kelangsungan operasi, dan privasi.

Steve Mancini
4/11/23
January 27, 2023
Pencarian Tanpa Henti
• Penyerang terus-menerus berupaya meretas sistem, sebagaimana diulas dalam situs web CISA:
Kuncinya adalah terus-menerus mencari serangan yang lolos dari sistem keamanan dan
menyergap upaya penyusupan yang sedang berlangsung, bukan setelah penyerang
mencapai sasarannya dan mengakibatkan kerusakan parah pada organisasi. Perburuan
ancaman menggunakan perilaku pelaku yang diketahui untuk memeriksa jaringan dan titik
akhir secara proaktif guna mengidentifikasi pelanggaran data baru.

• Agar efektif, kenali sistem Anda, yang artinya memahami:

• Lalu lintas normal
• Perangkat lunak/perangkat keras yang disetujui – inventaris aset akurat
• Diagram jaringan yang akurat dan terkini
• Yang harus dilakukan dan waktunya
• Dsb.

• Tanpa hal-hal mendasar ini, akan sangat sulit mengidentifikasi dengan efektif perilaku/aktivitas
menyimpang
https://niccs.cisa.gov/education-training/catalog/sans-institute/advanced-incident-response-threat-hunting-and-digital

Steve Mancini
4/11/23
January 27, 2023
 Steve Mancini
Manajemen Kerentanan 17
November 2022