PENTINGNYA MEMILIKI CSIRT INTERNAL Direktorat Keamanan Informasi
Apakah insiden itu? •
Dalam konteks Keamanan Informasi • adalah kejadian yang mengganggu beropersinya system IT
seperti infeksi virus, ilegal akses, kebocoran informasi, serangan DDOS.
Catatan: Sistem elektronik lumpuh bisa disebabkan bank hal seperti kerusakan perangkat keras, bug pada perangkat lunak, kekurangan memori, kesalahan konfigurasi, kesalahan operational dan insiden.
Kenyataannya… •
Banyak orang beranggapan, jika dilakukan penerapan “Sistem Manajemen Keamanan Informasi (ISO 27001)” seharusnya mampu “mencegah semua insiden”
•
Namun, faktanya ada… • Kesalahan manusia (contoh : lupa instal patches) • Serangan malware pada kerentanan yang belum diketahui • Keterbatasan kemampuan dan jumlah SDM pendukung
• Insiden di Indonesia • Pada tahun 2014, terjadi 3288 insiden pada domain “go.id” Tidak ada metode pengaman informasi yang mampu mencegah insiden
Apakah CSIRT? • CSIRT adalah Computer Security Incident
Response Team • CSIRT bertanggungjawab terhadap insiden
respon • Insiden respon adalah proses penanganan insiden
keamanan informasi. • Tujuan utama insiden respon adalah • menghentikan meluasnya dampak insiden. • mengembalikan sistem yang terpengaruh insiden agar dapat
beroperasi normal kembali
Apa yang dilakukan CSIRT? •
Menyediakan layanan bagi user internal (konstituen). • Menyediakan layanan pelaporan satu pintu • Menyediakan dukungan teknis untuk merespon insiden • Memberikan informasi bagi pengambil keputusan untuk merespon
insiden • Mengkoordinasikan antar divisi yang berkaitan jika insiden terjadi dibeberapa tempat. • Memberikan awareness terhadap Keamanan Informasi.
• Menyedikan layanan bagi orang diluar organisasi • Bekerja sebagai kontak poin • Mengumpulkan / berbagi informasi teknis terkait insiden
Mengapa butuh CSIRT? • Tindakan berbahaya dapat terjadi dimana saja • Awalnya, sebagian besar penyerang termotivasi oleh alasan teknis, tetapi saat ini , sebagian besar dari mereka termotivasi oleh uang dan / atau niat politik . Ini berarti bahwa penyerang tidak pernah menghentikan kegiatan mereka dan teknik hacking mereka semakin hari semakin canggih.
• Pemerintah memiliki data penting yang menarik
penyerang. • Misalnya, informasi pribadi masyarakat, data pengadaan pemerintah,
pengumuman pemerintah
Dengan CSIRT, organisasi mampu merespon insiden dg cepat, efisien dan efektif. Insiden respond yang cepat mampu meminimalisir kerusakan dan menekan biaya memperbaiki sistem IT.
Tujuan CSIRT Merespon insiden yang terjadi pada organisasi secara internal Internal CSIRT
Insiden
Konstituen (Definisikan siapa yang akan di support oleh CSIRT)
Apa saja layanan yang perlu disediakan CSIRT?
Apa bedanya CSIRT dengan Divisi IT? • • •
Menjadi pusat analisa dan pelaporan insiden Berperan sebagai koordinator penanganan insiden untuk internal organisasi. Berkolaborasi dengan organisasi eksternal seperti tim keamanan dan lembaga penegak hukum
CSIRT
• •
Menjaga sistem up to date dan menginstal patch Ketika insiden terjadi , menemukan cara untuk mengurangi dampak insiden
Security team in IT department
Monitoring jaringan dan sistem
…. lanjutan • Tim Keamanan Informasi pada Divisi IT • Fungsi utama nya menjaga agar sistem IT berjalan normal • Tim ini tidak bisa menangani insiden pada sistem diluar kendali mereka (seperti system yang dikelola oleh user langsung atau organisers di luar. • CSIRT • Fungsi Utama CSIRT adalah merespon insiden. • Menyediakan layanan konsolidasi penanganan insiden • CSIRT works as a coordinator or responds incidents across an organization • Internal staff (= constituency) regards CSIRT as a single window for reporting and
responding incidents • External organizations regard it as a single point of contact (SPOC) for exchanging incident information
CSIRT is the best practice to realize „consolidated and organizational incident response‟
Keuntungan memiliki CSIRT
Menyatukan manajeman informasi insiden Higher management
Higher management
Internal CSIRT
Quick report, Quick decision
Keuntungan memiliki CSIRT
Satu pintu untuk layanan organisasi diluar External
External
Higher management
Higher management
Internal CSIRT
CSIRT in overseas
ID-SIRTII/CC
External External
External
GovCSIRT
CSIRTs in Indonesia
External
Reliable and consistent information exchange
Jenis Layanan CSIRT • Layanan Reaktif • Layanan ini dipicu oleh kejadian atau permintaan dari konstituen seperti laporan server yang kena hack, terjangkit malware, atau ada deteksi pada IDS dan sistem log. • Layanan Reaktif adalah layanan utama dari CSIRT. • Layanan Proaktif • Layanan ini memberikan bantuan dan informasi yang membantu mempersiapkan, melindungi, dan mengamankan sistem konstituen dalam mengantisipasi serangan, masalah, atau peristiwa. Kinerja layanan ini akan langsung mengurangi jumlah insiden di masa depan. • Security quality management services • These services augment existing and well-established services that are independent of incident handling and traditionally performed by other areas of an organization such as the IT, audit, or training departments. If the CSIRT performs or assists with these services, the CSIRT‟s point of view and expertise can provide insight to help improve the overall security of the organization and identify risks, threats, and system weaknesses. These services are generally proactive but contribute indirectly to reducing the number of incidents
Tahapan Pengembangan CSIRT Stage 1
Stage 2
CSIRT organization structure
•
Establish a contact point for the inquiries from inside & outside organizations
•
Assign a contact • person in each division.
Establish a technical team as a part of local CSIRT
Example of activities
•
Record and monitor incident handing status (e.g. OTRS) Define the report line for the incidents according to their severity. Report the incidents according to the defined report line. Grasp the technical problems of its IT infrastructure in terms of security Organize general awareness raising seminars Keep logs of IT systems
•
• Compile the basic incident statistic report for presenting higher managers • and related organization Support users to use appropriate anti-virus • software and security patches. Hold an incident drill locally.
Compile more precise and wider coverage statistic report Support users to respond the incidents such as phising, defacement, SQL injection etc. Conduct penetration test and support users to fix the security hole Join the nation level incident drill.
•
•
•
•
•
Required staff
2-3 people as the CSIRT core member.
•
•
Stage 3
•
Stage 1 + 1-2 person/ division
Stage 2 + 5-6 technical staff
Stage 4
•
• •
Monitor the traffic of network Detect APT Set honey pot
Same as stage 3
Your service list
CSIRT core services Reactive service
Proactive service
Security Quality Management Services
• •
• • •
• •
•
•
Alerts and Warnings Incident Handling ✓ Incident analysis ✓ Incident response on site ✓ Incident response support ✓ Incident response coordination Vulnerability Handling ✓ Vulnerability analysis ✓ Vulnerability response ✓ Vulnerability response coordination Artifact Handling ✓ Artifact analysis ✓ Artifact response ✓ Artifact response coordination
•
• • •
Announcements Technology Watch Security Audits or Assessments Configuration and Maintenance of Security Tools, Applications, and Infrastructures Development of Security Tools Intrusion Detection Services Security-Related Information Dissemination
• • • •
Risk Analysis Business Continuity and Disaster Recovery Planning Security Consulting Awareness Building Education/Training Product Evaluation or Certification
From ‘A step-by-step approach on how to setup a CSIRT’, enisa, 2006
Langkah langkah pelayanan yang baik •
Tanpa hubungan yang baik dengan konstituen, maka tidak dapat memberikan layanan CSIRT yang baik juga.
•
Ada 3 langkah untuk melakukan pelayanan yang baik.
Langkah langkah pelayanan CSIRT yang baik 1.
Menerima laporan kejadian dari pengguna (konstituen) Secara real time
2.
Bekerja sama dengan organisasi-organisasi keamanan informasi eksternal • CSIRT internal harus memahami peran organisasi keamanan
informasi eksternal dan membangun hubungan baik dengan mereka (IDSIRTII, Gov-CSIRT, ACAD CSIRT, dll)
3. Mengamankan saluran komunikasi untuk saling
bertukar informasi tentang insiden keamanan informasi (PKI, PGP, dll)
