SECURITY INCIDENT KOORDINASI PENGELOLAAN INCIDENT
IGN Mantra, Email: mantra@acad-‐csirt.or.id,
URL: acad-‐csirt.or.id
Security Incident
#ACAD-‐CSIRT
Security Incident
Pendekatan : Segala kejadian riil
atau yang merugikan kepada sistem keamanan komputer dan
jaringan komputer di sebuah insLtusi.
Pelanggaran terhadap kebijakan keamanan insLtusi
(Security Policy).
#ACAD-‐CSIRT
Pendekatan Og Security Incident
IsLlah “Insiden” sangat relaLf pengerLannya, seLap organisasi menterjemahkan insiden tergantung dari kebutuhannya.
AkLfitas Insiden Keamanan Komputer merupakan sebuah akLfitas yang potensial mengancam sistem keamanan komputer.
Insiden dapat mengalami kesuksesan (sistem jebol) atau bisa juga gagal (Ldak terjadi apa-‐apa).
Insiden bisa terjadi karena kecurigaan atau memang riil terjadi.
Insiden dapat berupa pelanggaran aturan keamanan baik tersirat maupun tersurat
#ACAD-‐CSIRT
Contoh : Kategori Incident
Pelanggaran secara implisit dan eksplisit kepada kebijakan keamanan di perusahaan.
Upaya untuk masuk ke dalam sistem secara Ldak sah.
Percobaan mengambil resource.
Menggunakan dokumen elektronik (confidenLal) tanpa ijin.
Melakukan modifikasi tanpa sepengetahuan pemilik, mengubah instruksi dan sebagainya.
#ACAD-‐CSIRT
Contoh : Klasifikasi Informasi & Security Incident
TOP SECRET
SECRET
CONFIDENTIAL
RESTRICTED
TIDAK TERKLASIFIKASI
#ACAD-‐CSIRT
Kategori Incident
Low Level Incident
Medium Level
Incident
High Level Incident
#ACAD-‐CSIRT
Low Level Incident
Hanya berdampak sedikit kerusakan pada asset TI insLtusi, Lm incident dapat menyelesaikan/menangani problem incident tersebut dalam waktu 1x24 jam,
IdenLfikasi seperL : kehilangan atau lupa password personal, ditemukan adanya sharing account organisasi, ditemukannya aksi scanning di network logs dan gagal, ditemukan virus dan worm di network.
#ACAD-‐CSIRT
Medium Level Incident
Dapat dikatakan incident yang ditangani lebih serius dari low level incident dan penanganan incident seperL dapat diselesaikan dalam waktu 1x24 jam.
IdenLfikasi seperL :
• pelanggaran akses ke fasilitas komputer/data center, • pemecatan karyawan secara Ldak hormat, penyimpanan dan penggunaan data tanpa ijin, • perusakan property dan perusakan ke fasilitas komputer/data center paling sedikit mencapai 1 Miliar Rp.,
• pencurian data dan fasilitas komputer mencapai 1 Miliar Rp., • perusakan data karena virus dan worm intensitasnya cukup besar, • pelanggaran akses ke physical security baik pagar, bangunan dan data center.
#ACAD-‐CSIRT
High Level Incident
Dapat dikatakan incident yang terjadi sangat serius untuk disikapi oleh Lm incident karena sudah berdampak luas kepada insLtusi, Lm incident harus merespon secara cepat untuk menutup segala kemungkinan yang terjadi baik yang disebabkan oleh alam maupun oleh manusia. Penanganan incident ini harus kurang dari 1x24 jam dari mulai terjadi incident dan diketahui oleh Lm,
Iden_ikasi seperL :
• Serangan secara massive baik DoS maupun DDoS, • komputer yang dirusak/mengalami kerusakan dan teridenLfikasi oleh Lm incident, • komputer bervirus/worm dengan intensitas penyebaran yang meluas (contoh stuxnet, trojan, backdoor), • Mengubah sistem hardware, firmware, konfigurasi so`ware tanpa ijin admin, perusakan property melebihi 1 Miliar Rp.,
• Personal/hacker yang mencuri asset/data melebihi 1 Miliar Rp., pelanggaran hukum karena akses dan penyimpanan hal-‐hal yang dilarang seperL judi online, pornografi, terorisme dll.
#ACAD-‐CSIRT
Bagaimana mengidenLfikasi Incident ?
Alarm security berbunyi memberikan noLfikasi bahwa di peralatan intruder detecLon system ada indikasi menembus sistem security, sehingga Lm akan fokus dimana alarm tersebut berbunyi.
Ditemukan adanya tersangka yang berada di dalam network.
Tidak adanya perhitungan log (accounLng logs) di dalam monitoring selama sekian menit atau adanya gap logs sehingga selama sekian menit Ldak termonitor di monitoring center.
Terlihat di Lm monitor network, percobaan melakukan access control berkali-‐kali dan Ldak berhasil, terlihat trafik Ldak semesLnya keluar dari network yang dijaga (DMZ) baik internal maupun eksternal, percobaan untuk write system files, melakukan modifikasi dan mendelete file2 data.
Menggunakan pola yang Ldak biasanya, seperL melakukan compile program kepada account user yang bukan para programmer di dalam insLtusi tersebut.
#ACAD-‐CSIRT
InformaLon Security Life Cycle
DetecLon
Incident Response
Countermeasure
INCIDENT RESPONSE TEAM
CERT Logo
Forum Incident Response Team
274 team @ 59 negara
AP-‐CERT, Asia Pasific
TOTAL 30 MEMBER 22 Full Member
8 General Member
#ACAD-‐CSIRT
Nasional CERT
IDCERT ID-‐SIRTI ACAD-‐CSIRT
ID GOV-‐CERT ID MIL-‐CERT SECTOR CERT
Anggota CERT
TERBESAR 30.000 staf @CNCERT
TERKECIL 2-5 staf @CERT negara2
CERT Members
#ACAD-‐CSIRT
Koordinasi Incident di Academic CSIRT
Laporan Incident dari
Internal
Laporan Incident dari
External
Koordinasi Kolaborasi
#ACAD-‐CSIRT
Koordinasi dibawah ACAD-‐CSIRT
Tim Incident Response Kampus
Tim Incident Response ACAD-‐CSIRT
Koordinasi ke CSIRT Nasional • IDSIRTII, IDCERT, GOVCERT, TNI
APCERT
FIRST
Tugas CSIRT
#ACAD-‐CSIRT
Pembangunan dan Pengembangan CSIRT
Stage 1 EducaLng the organizaLon
Stage 2 Planning effort
Stage 3 IniLal
implementaLon
Stage 4 OperaLonal
phase
Stage 5 Peer
collaboraLon
#ACAD-‐CSIRT
Struktur SDM dan Koordinasi
Operasional Management
Middle Management
Top Management Ketua/Wakil
Dep.1
Ops.11 Ops.12
Dep.2
Ops.21 Ops.22
#ACAD-‐CSIRT
Koordinasi membutuhkan Masyarakat dan Negara
CSIRT
Masyarakat dan Negara
#ACAD-‐CSIRT
CSIRT Body
CSIRT
Sector CSIRT
Nasional
CSIRT Team
CSIRT InsLtusi
Kementerian
CSIRT Team
Organisasi Induk
#ACAD-‐CSIRT
Struktur CSIRT
Team CSIRT Sector
CSIRT Nasional
IDSIRTII
Telekomunikasi
Telkom-‐CSIRT
Indosat-‐CSIRT
Akademik ACAD-‐CSIRT
#ACAD-‐CSIRT
Infrastruktur CSIRT
Console
Sensor
Analizer
Server
Storage
#ACAD-‐CSIRT
Tugas ACAD-‐CSIRT
PREVENTIF DETEKSI
RESPON RISET DAN PENGEMBANGAN
#ACAD-‐CSIRT
Kesimpulan : CSIRT dan Koordinasi
CSIRT adalah lembaga keamanan nirlaba untuk tanggap darurat mengatasi insiden keamanan.
CSIRT diperlukan karena hukum.
CSIRT dibentuk oleh negara, industri atau pendidikan.
CSIRT memiliki kebijakan keamanan, mendeteksi, penanganan insiden dan kolaborasi.
CSIRT memiliki sumber pendanaan yg jelas dan terencana.
TERIMA KASIH
Contact :
Informa:ons : info@acad-‐csirt.or.id
Incident Response : incident@acad-‐csirt.or.id
URL : hEp://www.acad-‐csirt.or.id