“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER Disampaikan oleh : IGN MANTRA – Chairman Peneliti Cyber War, Cyber Crime dan Cyber Security Indonesia Academic CSIRT Seminar Cyber Defence UPN Veteran-Jakarta, 09 Desember 2016
58
Embed
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
#1Serangan dan penipuan diSocialNetwork• Penipuan identitas diFacebook.com,• Saling menghujat ditwitter.com,• Situs palsu disocialmedia,sehingga semakin sulitmembedakan mediaasli dan palsu,
• Penggiringan opini dan politik disosmed (pra PEMILU2014,2016Pilkada)
• Saat ini para hackermenggunakan “IntelligentInformationGathering”atau “BusinessIntelligentSoftware”untuk mencariinformasi secara detaildalam melakukan aksi targetedattacks.
• Hackerdapat menginstall spywaredan dengan mudahmengawasi/mensniff targetnya tanpa diketahui.
• Mobilespywaredapat mencari lokasi si korban denganmenghubungkannya ke GPS.
• Salah satujudul buku/ebook populer:”Hacking theAndroid”dan ”Penetration Android Devices”.
TrendCyberAttacksdiGlobal#3
#3NextGenerationHacking• Kegiatan hackingsaat ini melanda semua kategori perusahaan dan bisnis,segala aspek dicoba oleh para hackeruntuk menyusup ke dalam databaseperusahaan,
• Parahackersmemiliki pengetahuan dan skillyangberbeda-beda,memilikipengetahuan lebih tinggi dan sudah cukup memiliki jamterbang.
• Parahackermuda ini memanfaatkan “intelligentInformationGathering”seperti google (google hackingcommand),yahoodan bing.com,
• mengirim malwareke “targetedattack”,“Trojanhorse”atau RemoteAdminToolsdimana para hackersdapat mengendalikan secara jarak jauh.
• Yangperlu diperhatikan adalah file-fileyangsering dishare seperti *.com,*.exe,*.vbs,*.bat,dan saat ini adalah *.doc(documents),*.xls (exceldoc),*.pdf juga disusupi malwareuntuk dijadikan Trojanhorse,backdoorsdansegala macam penyakit computer.
TrendCyberAttacksdiGlobal#4
#4Ancaman dari dalam organisasi dan Kejahatanteroganisir• 60%ancaman cybersecurityberasal dari dalam internalorganisasiatau kejahatan yangsudah teroganisir.
• Penyebab ancaman dari dalam organisasi adalah mantankaryawan yangtelah dipecat,sakit hati,Contoh :EdwardSnowden.
• Kejahatan teroganisir juga sudah melanda beberapa Negaraseperti China,Brasil,Eropa Timur,mereka berkelompok untukmenyerang perusahaan start-upyangkaya.
#5Insfrastruktur dan Outsourcingyangtidak aman• Infrastruktur (InfrastructureasaService-IaaS),• Aplikasi (SoftwareasaService-SaaS),platform(PlatformasaService-PaaS),
• Orang(EngineerasaService-EaaS)dan• Security(SecurityasaService-SeaS),yang• Saat ini sangat populardengan CloudComputingServices.• PerusahaanITstart-upharus memilih dengan baik dan amanpihak ketiga karena sebagai supportingoperasionalperusahaan karena tidak mudah dan murah untukmengoperasikan sendiri.
Infrastruktur keamanan yangterbaikpun tidak dapat menjamin serangan akanterjadi.
Bila insiden terjadi,maka institusi bergerak cepat untuk merespon secara efektifdengan memimalisasi kerusakan dan mengurangi biaya recovery.
Untuk melindungi kejadian-kejadian yangtidak diinginkan di masa depan denganmengatur strategi keamanan,berbagi informasi untuk updatepengetahuan danberkolaborasi dengan CSIRTyanglain.
Fokus kepada pencegahan kerentanan keamanan,melakukan mitigasi danmemastikan pemenuhan/pencapaian regulasi dan kebijakan keamanan institusi.
AlasanNyataDibutuhkan karena hukum,regulasi,kebijakan,standar,audit,kerjasama/perjanjian internasional.
Pada saat terjadi insiden dan insiden akan mengganggu institusi.
Sebagai Titik kontak yangbertanggungjawab bila ada insiden untuksegera bergerak dan berkoordinasi dengan pihak-pihak terkait.
Kelompok ahli yangmemberikan rekomendasi dan membahasmasalah keamanan yangterkini.
Mengapa butuh CSIRT?Saat insiden cyberterjadi dan menyebar,maka perlu tindakan segera seperti :
• Secara Efektif mendeteksi dan me-identifiaksi segala macam aktivitas.• Melakukan mitigasi dan merespons secara strategis.• Membangun saluran komunikasi yangdapat dipercaya.• Memberikan peringatan dini kepada masyarakat dan konstituen tentang
dampak yangakan dan sudah terjadi.• Memberitahu pihak laintentang masalah-masalah yangpotensial di
komunitas keamanan dan internet.• Berkoordinasi dalam meresponse masalah.• Berbagi datadan informasi tentang segala aktivitas dan melakukan
korespondensi untuk responsesegala solusi kepada konstituen.• Melacak dan memonitor informasi untuk menentukan tren dan strategi
jangka panjang.
LingkuppekerjaanCSIRT
Menyediakan satu titik untuk kontak insiden.
Melakukan identifikasi,analisis,dampak dari ancaman/insiden.
Penelitian,mitigasi,rencana strategi dan pelatihan.
Berbagi pengalaman,informasi dan belajar/mengajar.
Kesadaran,membangun kapasitas,jejaring.
Merespon,mengontrol kerusakan,recovery,meminimalisir resiko dan manajemen resiko,pencegahan dan pertahanan.
Macam-macamCSIRT
InternalCSIRT:menyediakan layanan penanganan insident kepada organisasi induk.CSIRTsemacam ini seperti Bank,PerusahaanManufaktur,Universitas dll.
NationalCSIRT:menyediakan layanan penanganan insiden kepada negara.Sebagai contoh adalah JapanCERTCoordinationCenter(JPCERT/CC).
CoordinationCenters :melakukan koordinasi penanganan insiden lintas sektor.CSIRT.Sebagai contoh adalah UnitedStatesComputerEmergencyReadinessTeam(US-CERT).
AnalysisCenters fokus kepadan sintesa datadari berbagai macam sumber untuk menentukan tren dan pola-pola aktivitas insiden.Contoh :(SANSGIAC).
VendorTeamsmenangani laporan tentang kerentanan di dalam produk softwaredan hardware.Mereka bekerja di dalamorganisasi untuk menentukan produk-produk mereka rentan atau tidak dan mengembangkan strategi mitigasi.Vendorteamjugasebagai internalCSIRTuntuk organisasi tersebut.
IncidentResponseProvidersmenawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yangmemerlukannya.
CSIRTJabatandanPekerjaanKetua /Wakil Ketua
Manageratau Pimpinan Tim
Assistan Manager,Supervisoratau Pimpinan Grup
Hotline,Helpdeskdan Staf
Incidenthandler
Vulnerabilityhandler
Artifactanalysisstaf
Platformspecialist
Trainer
Technologywatch
Networkatau SystemAdministrator
Programmer
Staf Legal/Hukum
Macam-macamOrganisasiCSIRT• FIRST – Forum of Incident Response and Security
– Teams (Global/International Initiatives)
• APCERT – Asia Pacific Computer EmergencyResponseTeam– Response Team (Regional Asia Pacific)
• OIC-CERT – Organization of Islamic Conference– Computer Emergency Response Team
• TF-CSIRT – Collaboration of Computer Security– Incident Response Team in Europe
• ENISA - European Network and Information– Security Agency (Regional Europe Union)
• ANSAC - ASEAN Network Security Action Council
FIRST
APCERT
OIC-CERT
TF-CSIRT
ENISA
ANSAC
Forum of Incident Response and Security
Asia Pacific CERT
EUROPEANCSIRT
TF-CSIRT – Collaboration of Computer Security
Fungsi-fungsiCSIRTDEFENSE – melindungi infrastruktur kritisMONITORING – menganalisis anomaly dengan berbagai pola
terdefinisi dan pola tak terdefinisi. (disebut sebagaivulnerability database).
INTERCEPTING – mengumpulkan kontek spesifik atau disebuttargeted content.
SURVEILLANCE –mengamati dan menganalisis aktivitas yangdicurigai dan informasi yangberubah dalam sistem.
MITIGATING – mengendalikan kerusakan dan menjagaketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatanyangberulang-ulang dan mempengaruhi sistem.
OFFENSIVE – pencegahan/perlawanan dengan menyerang balikseperti CyberArmydan kemampuan untuk menembussistem keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
KemampuanCSIRT• PROTECT – melakukan risk assessment,
proteksi malware, pelatihan dan kesadaran,operasi dan dukungan,managementkerentanan dan jaminan keamanan.
• DETECT – pengawasan jaringan,pengukuran dan analisis keterhubungandan situasinya,pengawasan lingkungan.
• RESPONSE – pelaporan insiden, analysis,response, mitigasi dan remediasi.
• SUSTAIN – berkolaborasi dengan MOU,kontrak pihak ketiga (vendor, provider),management(program, personnel, standarkeamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
PenangananInsidenPREPARE
Awareness, SOP,Compliance etc.
PROTECTHardening, ChangeManagement etc.
RESPONSEMitigation,
Remediation
DETECTMonitoring, Incident
Reporting
TRIAGEClassification,
Priority etc.
SumberPendanaan
Biasanyapendanaan dariorganisasi induk.
Proyek sponsoroleh para partner.
Iuran keanggotaandan chargeperlayanan.
Pendanaan dariPemerintah (full
atau projectbase).
Menyediakan jasakeamananprofesional.
CERTLogo
ForumIncidentResponseTeam
304 TEAM66 NEGARA
AP-CERT,AsiaPasific
TOTAL 25 TEAM MEMBER
Nasional CERT
IDCERT ID-SIRTI ACAD-CSIRT
IDGOV-CERT IDMIL-CERT SECTORCERT
Anggota CSIRT
TERBESAR30.000 staf@CNCERT
TERKECIL2-5 staf@CERT/CSIRT
CSIRTMembers
Koordinasi IncidentdiCSIRT
LaporanIncidentdari
Internal
LaporanIncidentdari
External
KoordinasiKolaborasi
Koordinasi dibawah LocalCSIRT
Incident(Victims)
TimIncidentResponseLocal-CSIRT
Koordinasi ke CSIRTNasional• IDSIRTII,IDCERT,GOVCERT,TNI,ACAD-CSIRT
APCERT
FIRST
Tugas CSIRT
Pembangunandan PengembanganCSIRT
Stage1Educatingtheorganization
Stage2Planningeffort
Stage3Initial
implementation
Stage4Operational
phase
Stage5Peer
collaboration
Struktur SDMdan Koordinasi
OperasionalManagement
MiddleManagement
TopManagement Ketua/Wakil
Dep.1
Ops.11 Ops.12
Dep.2
Ops.21 Ops.22
Koordinasi membutuhkan Masyarakatdan Negara
CSIRT
Masyarakatdan Negara
CSIRTBody
CSIRTSector
CSIRTNasional
Struktur CSIRT
TeamCSIRTSector
CSIRTNasional
IDSIRTII
Telekomunikasi
Telkom-CSIRT
Indosat-CSIRT
Akademik ACAD-CSIRT
Infrastruktur CSIRT
Console
Sensor
Analizer
Server
Storage
Tugas CSIRT
PREVENTIF DETEKSI
RESPON RISETDANPENGEMBANGAN
CyberDefence International
Kesimpulan :CSIRTdan Manfaat Batalyon CyberRI
CSIRTadalah lembaga keamanan nirlaba untuktanggap darurat mengatasi insiden keamanan.
CSIRTdiperlukan karena hukum.
CSIRTdibentuk oleh negara,industri ataupendidikan.
CSIRTmemiliki kebijakan keamanan,mendeteksi,penanganan insiden dan kolaborasi.