Cyber Security Incident Response

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Cyber Security Incident ResponseBudi Rahardjo

Indonesia Computer Emergency Response Team2021

2021 Budi Rahardjo - cyber security incident response 1


VLSI/Security/Social Media/IoT/AI/Big Data

• Lecturer at ITB• Manage .ID domain 1997-

2005• Founder & chairman of

ID-CERT• Serial technopreneur

22021 Budi Rahardjo - cyber security incident response


https://www.bleepingcomputer.com/news/security/business-technology-giant-konica-minolta-hit-by-new-ransomware/



https://www.itnews.com.au/news/critical-f5-big-ip-vulnerability-made-public-550101


INDONESIA COMPUTER EMERGENCY RESPONSE TEAM2021 Budi Rahardjo - cyber security incident response 5


Tokopedia

• Started with 9 millions data• Then 91 millions data






Ransomware

https://www.kaspersky.com/resource-center/threats/ransomware-threats-an-in-depth-guide2021 Budi Rahardjo - cyber security incident response 10


Distributed Denial of Service Attack (DDos)



Mengapa Perlu CSIRT

• Jika insiden jarang terjadi maka penanganan dapat dilakukan secara ad hoc, yaitu ketika terjadi saja. Dadakan saja• Insiden siber (cybersecurity incidents) terjadi setiap hari dan

dalam skala yang sangat besar• Makin meningkatnya ketergantungan kita kepada pemanfaat

teknologi informasi, akan semakin banyak masalah• GO-JEK, Tokopedia, eGovernment, Pemilu, ...

• Dibutuhkan CSIRT (Cyber Security Incident Response Team) yang dapat menangani insiden secara teroganisir




Incident Response

• Incident response team is a requirement in critical information infrastructure• Infrastruktur Kritis merupakan aset, sistem, maupun jaringan,

berbentuk fisik maupun virtual yang sangat vital, yang jika terjadi gangguan berpotensi mengancam keamanan, kestabilan perekonomian nasional, keselamatan dan kesehatan masyarakat atau gabungan diantaranya



Indonesian National Critical Information Infrastructure

1. Sektor Penegakan Hukum2. Sektor Energi dan Sumber Daya Mineral (termasuk listrik)3. Sektor Transportasi4. Sektor Keuangan dan Perbankan5. Sektor Kesehatan6. Sektor Teknologi Informasi dan Komunikasi7. Sektor Pertanian8. Sektor Pertahanan dan Industri Strategis9. Sektor Layanan Darurat10. Sektor Sumber Daya Air



Incidents

• Insiden merupakan bagian dari kehidupan sehari-hari• Accidents vs. intentional• Sering waktunya kurang pas

(misal: admin sedang liburan, deadline)• Contoh

• Wabah virus, malware, ransomware• Spam mail, mailbomb• Unathorized access, previlage attack, rootkit, intrusion• DoS attack• Data interception



Definitions

• David Theunissen, “Corporate Incident Handling Guidelines”:

Incidents is “the act of violating or threatening to violate an explicit or implied security policy”

• Kevin Mandia & Chris Prosise, “Incident Response”:

“Incidents are events that interrupt normal operating procedureand precipitate some level of crisis”



Tujuan Penanganan Insiden

• Memastikan bahwa insiden terjadi atau tidak terjadi• Melakukan pengumpulan informasi yang akurat• Melakukan pengambilan dan penanganan bukti-bukti (menjaga

chain of custody)• Menjaga agar kegiatan berada dalam kerangka hukum (misalnya

masalah privacy, legal action)• Meminimalkan gangguan terhadap operasi bisnis dan jaringan• Membuat laporan yang akurat berserta rekomendasinya• Melakukan koordinasi dengan regulator dan publik terkait

dengan insiden



Metodology

NIST SP 800-61 Computer Security Incident Handling Guide



Masalah

• Kurang tersedianya tools, teknologi, sumber daya• Harus dikelola secara bersama (sharing resources)• Kurangnya sumber daya manusia (SDM) yang menguasai

penanganan insiden• Capacity & capability• Harus sering berlatih (cyberdrill)• Kurangnya koordinasi (bertukar point of contact)



Penutup

• Insiden siber telah menjadi bagian dari kehidupan kita. Mereka akan terjadi. Tinggal kapan terjadinya, berapa besar kerusakannya, dan seberapa baik kita meresponnya• Kemampuan untuk menangani insiden harus dilatih terus

menerus


Cyber Security Incident Response

Documents