DIREKTORAT KEAMANAN INFORMASI PENANGANAN INSIDEN KEAMANAN INFORMASI BATAM, 12-13 September 2013
SECURITY INCIDENT HANDLING PENANGANAN INSIDEN KEAMANAN INFORMASI Creating and Managing CSIRT
IGN Mantra, Email:
[email protected], URL: acad-csirt.or.id
INSIDEN KEAMANAN INFORMASI
Security Incident
Security Incident Pendekatan : Segala kejadian riil atau yang merugikan kepada sistem keamanan komputer dan jaringan komputer di sebuah institusi.
#GOV-CSIRT
Pelanggaran terhadap kebijakan keamanan institusi (Security Policy).
Pendekatan ttg Security Incident Istilah “Insiden” sangat relatif pengertiannya, setiap organisasi menterjemahkan insiden tergantung dari kebutuhannya. Aktifitas Insiden Keamanan Komputer merupakan sebuah aktifitas yang potensial mengancam sistem keamanan komputer. Insiden dapat mengalami kesuksesan (sistem jebol) atau bisa juga gagal (tidak terjadi apa-apa).
Insiden bisa terjadi karena kecurigaan atau memang riil terjadi. Insiden dapat berupa pelanggaran aturan keamanan baik tersirat maupun tersurat
#GOV-CSIRT
Contoh : Kategori Incident Pelanggaran secara implisit dan eksplisit kepada kebijakan keamanan di perusahaan. Upaya untuk masuk ke dalam sistem secara tidak sah. Percobaan mengambil resource. Menggunakan dokumen elektronik (confidential) tanpa ijin. Melakukan modifikasi tanpa sepengetahuan pemilik, mengubah instruksi dan sebagainya.
#GOV-CSIRT
Contoh : Klasifikasi Informasi & Security Incident TOP SECRET SECRET CONFIDENTIAL RESTRICTED TIDAK TERKLASIFIKASI
#GOV-CSIRT
Kategori Incident
Low Level Incident
#GOV-CSIRT
Medium Level Incident
High Level Incident
Low Level Incident Hanya berdampak sedikit kerusakan pada asset TI institusi, tim incident dapat menyelesaikan/menangani problem incident tersebut dalam waktu 1x24 jam, Identifikasi seperti : kehilangan atau lupa password personal, ditemukan adanya sharing account organisasi, ditemukannya aksi scanning di network logs dan gagal, ditemukan virus dan worm di network.
#GOV-CSIRT
Medium Level Incident Dapat dikatakan incident yang ditangani lebih serius dari low level incident dan penanganan incident seperti dapat diselesaikan dalam waktu 1x24 jam. Identifikasi seperti : • pelanggaran akses ke fasilitas komputer/data center, • pemecatan karyawan secara tidak hormat, penyimpanan dan penggunaan data tanpa ijin, • perusakan property dan perusakan ke fasilitas komputer/data center paling sedikit mencapai 1 Miliar Rp., • pencurian data dan fasilitas komputer mencapai 1 Miliar Rp., • perusakan data karena virus dan worm intensitasnya cukup besar, • pelanggaran akses ke physical security baik pagar, bangunan dan data center.
#GOV-CSIRT
High Level Incident Dapat dikatakan incident yang terjadi sangat serius untuk disikapi oleh tim incident karena sudah berdampak luas kepada institusi, tim incident harus merespon secara cepat untuk menutup segala kemungkinan yang terjadi baik yang disebabkan oleh alam maupun oleh manusia. Penanganan incident ini harus kurang dari 1x24 jam dari mulai terjadi incident dan diketahui oleh tim,
Identfikasi seperti :
• Serangan secara massive baik DoS maupun DDoS, • komputer yang dirusak/mengalami kerusakan dan teridentifikasi oleh tim incident, • komputer bervirus/worm dengan intensitas penyebaran yang meluas (contoh stuxnet, trojan, backdoor), • Mengubah sistem hardware, firmware, konfigurasi software tanpa ijin admin, perusakan property melebihi 1 Miliar Rp., • Personal/hacker yang mencuri asset/data melebihi 1 Miliar Rp., pelanggaran hukum karena akses dan penyimpanan hal-hal yang dilarang seperti judi online, pornografi, terorisme dll.
#GOV-CSIRT
Bagaimana mengidentifikasi Incident ? Alarm security berbunyi memberikan notifikasi bahwa di peralatan intruder detection system ada indikasi menembus sistem security, sehingga tim akan fokus dimana alarm tersebut berbunyi.
Ditemukan adanya tersangka yang berada di dalam network.
Tidak adanya perhitungan log (accounting logs) di dalam monitoring selama sekian menit atau adanya gap logs sehingga selama sekian menit tidak termonitor di monitoring center. Terlihat di tim monitor network, percobaan melakukan access control berkali-kali dan tidak berhasil, terlihat trafik tidak semestinya keluar dari network yang dijaga (DMZ) baik internal maupun eksternal, percobaan untuk write system files, melakukan modifikasi dan mendelete file2 data. Menggunakan pola yang tidak biasanya, seperti melakukan compile program kepada account user yang bukan para programmer di dalam institusi tersebut.
#GOV-CSIRT
Information Security Life Cycle Detection Incident Response Countermeasure #GOV-CSIRT
INCIDENT RESPONSE TEAM
Alasan Pendirian CERT/CSIRT Infrastruktur keamanan yang terbaikpun tidak dapat menjamin serangan akan terjadi.
Bila insiden terjadi, maka institusi bergerak cepat untuk merespon secara efektif dengan memimalisasi kerusakan dan mengurangi biaya recovery. Untuk melindungi kejadian-kejadian yang tidak diinginkan di masa depan dengan mengatur strategi keamanan, berbagi informasi untuk update pengetahuan dan berkolaborasi dengan CSIRT yang lain. Fokus kepada pencegahan kerentanan keamanan, melakukan mitigasi dan memastikan pemenuhan/pencapaian regulasi dan kebijakan keamanan institusi.
#GOV-CSIRT
Alasan Nyata Dibutuhkan karena hukum, regulasi, kebijakan, standar, audit, kerjasama/perjanjian internasional.
Pemenuhan bisnis, permintaan pasar/pengguna, best practice dan keuntungan kompetitif. Pada saat terjadi insiden dan insiden akan mengganggu institusi. Sebagai Titik kontak yang bertanggungjawab bila ada insiden untuk segera bergerak dan berkoordinasi dengan pihak-pihak terkati. Kelompok ahli yang memberikan rekomendasi dan membahas masalah keamanan yang terkini.
#GOV-CSIRT
Mengapa butuh CSIRT? Saat insiden cyber terjadi dan menyebar, maka perlu tindakan segera seperti : • • • • • • • •
Secara Efektif mendeteksi dan me-identifiaksi segalam macam aktivitas. Melakukan mitigasi dan merespons secara strategis. Membangun saluran komunikasi yang dapat dipercaya. Memberikan peringatan dini kepada masyarakat dan konstituen tentang dampak yang akan dan sudah terjadi. Memberitahu pihak lain tentang masalah-masalah yang potensial di komunitas keamanan dan internet. Berkoordinasi dalam meresponse masalah. Berbagi data dan informasi tentang segala aktivitas dan melakukan korespondensi untuk response segala solusi kepada konstituen. Melacak dan memonitor informasi untuk menentukan tren dan strategi jangka panjang.
#GOV-CSIRT
Lingkup pekerjaan CSIRT Menyediakan satu titik untuk kontak insiden. Melakukan identifikasi, analisis, dampak dari ancaman/insiden. Penelitian, mitigasi, rencana strategi dan pelatihan. Berbagi pengalaman, informasi dan belajar/mengajar.
Kesadaran, membangun kapasitas, jejaring. Merespon, mengontrol kerusakan, recovery, meminimalisir resiko dan manajemen resiko, pencegahan dan pertahanan.
#GOV-CSIRT
Macam-macam CSIRT Internal CSIRT: menyediakan layanan penanganan insident kepada organisasi induk. CSIRT semacam ini seperti Bank, Perusahaan Manufaktur, Universitas dll.
National CSIRT: menyediakan layanan penanganan insiden kepada negara. Sebagai contoh adalah Japan CERT Coordination Center (JPCERT/CC) .
Coordination Centers : melakukan koordinasi penanganan insiden lintas sektor. CSIRT. Sebagai contoh adalah United States Computer Emergency Readiness Team (US-CERT).
Analysis Centers fokus kepadan sintesa data dari berbagai macam sumber untuk menentukan tren dan pola-pola aktivitas insiden. Contoh : (SANS GIAC). Vendor Teams menangani laporan tentang kerentanan di dalam produk software dan hardware. Mereka bekerja di dalam organisasi untuk menentukan produk-produk mereka rentan atau tidak dan mengembangkan strategi mitigasi. Vendor team juga sebagai internal CSIRT untuk organisasi tersebut. Incident Response Providers menawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yang memerlukannya.
#GOV-CSIRT
CSIRT Jabatan dan Pekerjaan Ketua / Wakil Ketua Manager atau Pimpinan Tim Assistan Manager, Supervisor atau Pimpinan Grup
Hotline, Helpdesk dan Staf Incident handler Vulnerability handler Artifact analysis staf Platform specialist Trainer Technology watch Network atau System Administrator Programmer Staf Legal/Hukum
#GOV-CSIRT
Macam-macam Organisasi CSIRT • FIRST – Forum of Incident Response and Security FIRST APCERT
–
Teams (Global/International
Initiatives)
• APCERT – Asia Pacific Computer Emergency Response Team – Response Team (Regional Asia Pacific)
OIC-CERT
• OIC-CERT – Organization of Islamic Conference – Computer Emergency Response Team
TF-CSIRT
• TF-CSIRT – Collaboration of Computer Security – Incident Response Team in Europe
ENISA
• ENISA - European Network and Information –
ANSAC
#GOV-CSIRT
Security Agency (Regional
Europe Union)
• ANSAC - ASEAN Network Security Action Council
Forum of Incident Response and Security
Asia Pacific CERT
TF-CSIRT – Collaboration of Computer Security
Fungsi-fungsi CSIRT DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
#GOV-CSIRT
DEFENSE – melindungi infrastruktur kritis MONITORING – menganalisis anomaly dengan berbagai pola terdefinisi dan pola tak terdefinisi. (disebut sebagai vulnerability database). INTERCEPTING – mengumpulkan kontek spesifik atau disebut targeted content. SURVEILLANCE –mengamati dan menganalisis aktivitas yang dicurigai dan informasi yang berubah dalam sistem. MITIGATING – mengendalikan kerusakan dan menjaga ketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatan yang berulang-ulang dan mempengaruhi sistem. OFFENSIVE – pencegahan/perlawanan dengan menyerang balik seperti Cyber Army dan kemampuan untuk menembus sistem keamanan.
Kemampuan CSIRT • PROTECT – melakukan risk assessment, proteksi malware, pelatihan dan kesadaran, PROTECT operasi dan dukungan, management kerentanan dan jaminan keamanan. • DETECT – pengawasan jaringan, pengukuran dan analisis keterhubungan DETECT dan situasinya, pengawasan lingkungan. • RESPONSE – pelaporan insiden, analysis, response, mitigasi dan remediasi. RESPONSE • SUSTAIN – berkolaborasi dengan MOU, kontrak pihak ketiga (vendor, provider), management (program, personnel, standar SUSTAIN keamanan).
#GOV-CSIRT
Penanganan Insiden PREPARE Awareness, SOP, Compliance etc.
PROTECT Hardening, Change Management etc.
RESPONSE Mitigation, Remediation
#GOV-CSIRT
DETECT Monitoring, Incident Reporting
TRIAGE Classification, Priority etc.
Sumber Pendanaan
Biasanya pendanaan dari organisasi induk.
Proyek sponsor oleh para partner.
Pendanaan dari Pemerintah (full atau project base).
#GOV-CSIRT
Iuran keanggotaan dan charge perlayanan.
Menyediakan jasa keamanan profesional.
CERT Logo
Forum Incident Response Team
274 team @ 59 negara
AP-CERT, Asia Pasific
TOTAL 30 MEMBER 22 Full Member 8 General Member
Nasional CERT
IDCERT
ID-SIRTI
ACAD-CSIRT
ID GOV-CERT
ID MIL-CERT
SECTOR CERT
#GOV-CSIRT
Anggota CERT
TERBESAR 30.000 staf @CNCERT
TERKECIL 2-5 staf @CERT negara2
CERT Members
Koordinasi Incident di GOV-CSIRT Laporan Incident dari Internal
Koordinasi Kolaborasi Laporan Incident dari External
#GOV-CSIRT
Koordinasi dibawah GOV-CSIRT Tim Incident Response Kampus Tim Incident Response GOV-CSIRT Koordinasi ke CSIRT Nasional • IDSIRTII, IDCERT, GOVCERT, TNI, ACAD-CSIRT
APCERT
FIRST
#GOV-CSIRT
Tugas CSIRT
Pembangunan dan Pengembangan CSIRT
Stage 1 Educating the organization
Stage 2 Planning effort
#GOV-CSIRT
Stage 3 Initial implementation
Stage 4 Operational phase
Stage 5 Peer collaboration
Struktur SDM dan Koordinasi
Top Management
Ketua/Wakil
Middle Management Operasional Management
#GOV-CSIRT
Dep.1
Ops.11
Dep.2
Ops.12
Ops.21
Ops.22
Koordinasi membutuhkan Masyarakat dan Negara CSIRT
Masyarakat dan Negara #GOV-CSIRT
CSIRT Body CSIRT Sector
#GOV-CSIRT
CSIRT Nasional
Struktur CSIRT CSIRT Nasional
CSIRT Sector
Team Telkom-CSIRT
Telekomunikasi Indosat-CSIRT
IDSIRTII Akademik
#GOV-CSIRT
ACAD-CSIRT
Infrastruktur CSIRT Console
Sensor Analizer Server Storage #GOV-CSIRT
Tugas GOV-CSIRT
#GOV-CSIRT
PREVENTIF
DETEKSI
RESPON
RISET DAN PENGEMBANGAN
Kesimpulan : CSIRT dan Koordinasi CSIRT adalah lembaga keamanan nirlaba untuk tanggap darurat mengatasi insiden keamanan. CSIRT diperlukan karena hukum. CSIRT dibentuk oleh negara, industri atau pendidikan. CSIRT memiliki kebijakan keamanan, mendeteksi, penanganan insiden dan kolaborasi. CSIRT memiliki sumber pendanaan yg jelas dan terencana.
#GOV-CSIRT
Contact : Informations :
[email protected] Incident Response :
[email protected] URL : http://govcsirt.kominfo.go.id/
TERIMA KASIH