STANDARD OPERATING PROCEDURE Incident Handling Database
Indonesia Government Computer Security Incident Response Team (Gov-CSIRT)
Direktorat Keamanan Informasi Direktorat Jendral Aplikasi Informatika
DAFTAR ISI TUJUAN .................................................................................................................................... 3 RUANG LINGKUP ................................................................................................................... 3 PROSEDUR PENANGANAN ........................................................................................................... 3 1. Tahap Persiapan (Preparation) ........................................................................................................ 4 2. Tahap Identifikasi ......................................................................................................................... 11 3. Containment .................................................................................................................................. 14 4. Pemberantasan .............................................................................................................................. 16 5. Pemulihan ..................................................................................................................................... 17 6. Tahap Tindak Lanjut ..................................................................................................................... 19
LAMPIRAN A - Informatif ..................................................................................................... 21 LAMPIRAN B – Diagram Alir................................................................................................ 26 LAMPIRAN C - Formulir ....................................................................................................... 32 LAMPIRAN D – Formulir Setiap Tahap................................................................................. 36
Direktorat Keamanan Informasi, Halaman 2/40
TUJUAN Panduan ini dimaksudkan untuk membantu organisasi memahami tentang penanganan suatu insiden yang terjadi pada data-data yang dimiliki oleh organisasi. Penanganan insiden yang terjadi pada data-data organisasi, akan sangat bermanfaat untuk mengurangi resiko yang diakibatkannya. Resiko yang terjadi pada bocornya data-data penting/rahasia yang dimiliki oleh organisasi bisa jadi akan sangat membahayakan kelangsungan hidup organisasi tersebut, terutama apabila data tersebut jatuh kepada organisasi pesaingnya.
RUANG LINGKUP Prosedur ini menetapkan suatu proses untuk penanganan insiden keamanan data/database di mana kerahasiaan, integritas atau ketersediaan telah atau mungkin dilanggar. Insiden pada keamanan data mungkin bisa disebabkan karena beberapa hal seperti, pencurian data, pembobolan data, dan pembuangan limbah dari data rahasia. Semua pelanggaran itu harus ditangani, dinilai, diselidiki dan dilaporkan sesuai dengan standar prosedur yang ada.
PROSEDUR PENANGANAN Penanganan suatu insiden ditujukan utuk mencapai hal-hal sebagai berikut, a. Mengumpulkan informasi sebanyak mungkin tentang sifat insiden; b. Menghalangi atau mencegah eskalasi kerusakan yang disebabkan oleh insiden tersebut, jika mungkin; c. Memperbaiki kerusakan yang disebabkan oleh insiden tersebut; d. Mengumpulkan bukti insiden itu, yang sesuai; e. Memulihkan layanan sesegera mungkin; f. Mengambil langkah-langkah proaktif untuk mengurangi insiden masa depan Supaya tujuan diatas dapat terlaksana dengan baik, maka perlu ditentukan tahaptahap untuk melakukan penganan terhadap insiden yang terjadi. Tahap-tahap tersebut dapat digambarkan sebagai berikut,
Direktorat Keamanan Informasi, Halaman 3/40
Gambar 1. Tahap-tahap penanganan insiden
1. Tahap Persiapan (Preparation) Ini adalah tahap persiapan dimana kebijakan, prosedur, teknologi, dan suber daya manusia harus disiapkan secara matang, dimana akan digunakan pada proses pencegahan dan penanganan terhadap insiden yang terjadi pada keamanan data/database. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi penanganan insiden yang terjadi pada data. Langkah-langkah yang harus diambil pada tahap ini adalah; Penyiapan Personil (orang) Meskipun memiliki kendali proses dan teknis yang kuat, keamanan dapat dikompromikan dengan memanfaatkan personil dan membuat mereka melakukan tindakan yang sebaliknya tidak diizinkan. Tim penanganan insiden yang terampil dan adanya matrik eskalasi merupakan komponen kunci dari startegi penanganan yang efektif. Sebuah tim penanganan insiden yang baik adalah sumber daya sangat berharga ketika dibutuhkan untuk menangani situasi yang mungkin timbul karena adanya gangguan pada database. Sebagaimana personil adalah sumber daya organisasi utama yang akhirnya bisa dirugikan oleh gangguan yang terjadi pada database organisasi, kesadaran akan keamanan merupakan salah satu dari isu-isu yang perlu terus menerus dipantau dan ditingkatkan untuk perlindungan yang tepat dari berbagai serangan. 1. Kesadaran Keamanan : Kesadaran keamanan dapat dianggap sebagai yang paling penting dari semua langkah-langkah persiapan, yang dapat membantu dalam mengidentifikasi dan mencegah sebagian besar masalah yang akan timbul. Hal ini mendidik pengguna tentang cara melindungi informasi, apa yang harus dilakukan dan Direktorat Keamanan Informasi, Halaman 4/40
apa yang tidak harus dilakukan, siapa yang harus dihubungi pada keadaan darurat dan bagaimana cara menganalisis jika mendapatkan kesulitan 2. Matrik ekskalasi penanganan insiden Setiap organisasi harus memiliki matrik eskalasi penanganan insiden yang secara jelas mendefinisikan siapa yang harus dihubungi dalam kasus insiden. Hal ini juga menunjukkan tingkat eskalasi untuk keterlibatan lebih jauh sesuai dengan kompleksitas atau dampak dari insiden. 3. Tim Terampil Penangan Insiden Sebuah tim penanganan insiden yang berpengetahuan dan terampil dapat mengurangi sebagian besar dampak terhadap bisnis. Tim penanganan insiden harus dimiliki pemahaman yang sangat baik dan tingkat keterampilan dalam berbagai teknologi yang digunakan oleh perusahaan. Karena banyak perusahaan memiliki kantor-kantor cabang yang berlokasi di wilayah geografis yang berbeda, tim komando pusat dan tim lokal/regional yang sesuai sangat direkomendasikan untuk dibentuk. Tim Perintah Pusat Tentu saja, harus memandu tim lokal dalam menangani insiden . Penyiapan dokumen-dokumen yang dibutuhkan, yaitu Dokumen Kebijakan dan Prosedur Suatu dokumen kebijakan biasanya menguraikan persyaratan tertentu atau aturan yang harus dipenuhi. Suatu dokumen prosedur adalah dokumen yang memandu pengguna secara teknis dalam proses (langkah demi langkah) tentang cara untuk mencapai persyaratan yang telah ditetapkan dan diuraikan dalam dokumen kebijakan. Beberapa kebijakan, yang sering digunakan untuk membantu dalam mencegah masuknya malware dan menghentikan penyebaran itu adalah, a.
Kebijakan Keamanan : Sebuah kebijakan keamanan adalah dokumen tingkat tinggi dari top manajemen
yang
menunjukkan
pendekatan
organisasi
terhadap
keamanan informasi. Menurut standar ISO 27001 Keamanan Informasi, dokumen harus memberikan arahan dan dukungan dari manajemen untuk keamanan informasi sesuai dengan kebutuhan bisnis, hukum, dan peraturan yang relevan. b.
Kebijakan penggunaan Antivirus:
Direktorat Keamanan Informasi, Halaman 5/40
Beberapa program jahat (virus) ada yang memiliki kemampuan untuk merusak data-data yang terdapat pada sistem komputer. Kebijakan Antivirus adalah kebijakan yang mendefinisikan apa yang harus dan tidak boleh dilakukan dari para pengguna mengenai perangkat lunak antivirus yang mereka gunakan, termasuk bagaimana cara mengelolah perangkat lunak antivirus. Suatu prosedur manual harus mengikuti kebijakan ini, yang bisa membimbing pengguna tentang cara memeriksa versi dan definisi virus baru, dan bagaimana untuk menjaga perangkat lunak agar selalu harus diperbaharui (update). Hal ini juga harus memandu pengguna tentang cara untuk mengidentifikasi apakah antivirus tersebut bekerja benar atau tidak. c.
Kebijakan penggunaan yang diperbolehkan (acceptable use) Kebijakan ini berisi tentang sesuatu yang diperbolehkan atau tidak diperbolehkan, termasuk pemanfaatan semua sumber daya organisasi. Hal ini akan membantu pencegahan terhadap bocor dan rusaknya datadata rahasia yang dimiliki oleh organisasi, karena para anggota organisasi akan peduli terhadap tindakannya yang mungkin secara sengaja maupun tidak menimbulkan resiko bagi sumber daya organisasi.
d.
Kebijakan penggunaan Internet Sebuah Kebijakan Penggunaan Internet adalah sebuah kebijakan yang mendefinisikan bagaimana pengguna diarahkan dalam menggunakan akses internet yang disediakan oleh organisasi. Hal ini juga harus menentukan tindakan disiplin apa yang akan dikenakan apabila terjadi pelanggaran. Hal ini membantu mencegah pengguna dari browsing situs yang tidak sah dan men-download perangkat lunak dari internet, yang bisa menjadikan pintu masuk bagi program jahat yang bisa merusak data-data penting dari perusahaan/organisasi.
e.
Kebijakan penggunaan Email Kebijakan penggunaan email harus menentukan bagaimana email perusahaan digunakan secara aman. Hal ini harus mencegah pengguna dari menggunakan email perusahaan untuk penggunaan pribadi, termasuk penerbitan dan pendaftaran pada kelompok dan forum di internet. Hal ini akan mengurangi jumlah spam yang diterima oleh mail Direktorat Keamanan Informasi, Halaman 6/40
server organisasi dan juga membantu mengurangi probabilitas pengguna menerima konten berbahaya melalui email mereka. f.
Kebijakan penggunaan laptop Kebijakan laptop harus menentukan bagaimana pengguna diarahkan untuk mengetahui tindakan apa saja yang bisa dan boleh dilakukan oleh pengguna dalam menggunakan laptopnya. Hal ini juga harus menetapkan langkah apa yang perlu diambil pengguna untuk memastikan keamanan, tidak hanya keamanan fisik dari laptop itu sendiri, tetapi juga dari informasi yang terkandung didalamnya.
g.
Kebijakan melakukan Backup Kebijakan melakukan backup harus mendefinisikan apa, kapan, dan bagaimana informasi harus dibackup. Hal ini harus mendefinisikan secara jelas mengenai jenis informasi dan kapan waktu proses backup harus dilakukan, dan bagaimana cara untuk melakukannya. Backup yang baik kadang-kadang bisa menjadi satu-satunya cara untuk pulih dari hilangnya data-data yang terdapat pada sistem komputer.
h.
Kebijakan pelaporan dan mekanisme pelacakan insiden Keberhasilan di balik rencana penanganan insiden adalah memiliki mekanisme pelaporan dan pelacakan yang mudah digunakan dan efektif. Pengguna umumnya mengharapkan mekanisme pelaporan yang dapat dengan mudah dipahami dan menangkap insiden dengan informasi sesedikit mungkin. Pengguna juga harus bisa memberikan tingkat prioritas formal yang dapat divalidasi dan diubah, jika diperlukan oleh helpdesk atau tim keamanan pusat. Nama, nomor telepon dan alamat email untuk menghubungi dalam kasus terjadinya suatu aktivitas berbahaya yang dicurigai harus diberikan melalui semua media komunikasi seperti situs intranet perusahaan, buletin dan catatan kecil di sekitar workstation pengguna.
i.
Prosedur dan formulir penanganan insiden Organisasi harus memiliki rencana dan prosedur penanganan insiden yang tepat dan bisa dilakukan di tempat organisasi berada. Organisasi harus menyediakan form yang dapat digunakan untuk mencatat dan
Direktorat Keamanan Informasi, Halaman 7/40
merekam semua kejadian secara rinci, selama penanganan insiden pada semua tahapan. j.
Dokumen tentang audit Catatan dari audit secara berkala pada sistem informasi akan membantu dalam mengungkap setiap aktivitas berbahaya yang ada. Catatan ini dapat mengungkap kegiatan yang dilakukan pengguna pada sistem yang mungkin tidak disadari. Tim audit biasanya terdiri dari personil terlatih yang tahu apa yang harus dicari.
k.
Dokumen profil perangkat lunak pada proses bisnis Disarankan untuk memiliki profil dari semua perangkat lunak dan proses-proses yang harus berjalan pada sistem berdasarkan proyek atau departemen. Hal ini dapat membantu dalam identifikasi secara cepat dari keberadaan perangkat lunak atau proses yang tidak diketahui yang mungkin terinfeksi dari malware .
l.
Dokumen pengetahuan Sebuah dokumentasi rinci dari pengetahuan dasar yang baik dan mudah mendapatkannya, dapat menghemat banyak waktu ketika insiden terjadi. Ketika sebuah Insiden terjadi, semua dokumentasi mengenai penanganan kejadian harus ditambahkan ke dokumen basis pengetahuan. Jadi jika insiden yang sama terjadi lagi, proses penanganannya akan menjadi lebih cepat karena sudah ada catatan cara penanggulangannya. Hal ini akan menghemat banyak waktu yang akan dikonsumsi dalam analisis ulang insiden tersebut. Sebuah template Root Cause Analysis yang dapat menangkap sebagian besar rincian Insiden harus disiapkan dan digunakan.
Penyiapan Teknologi yang akan dipakai Pada insiden ini teknologi yang dipakai hampir sama dengan teknologi yang digunakan untuk menangani insiden malware. Gangguan pada data yang terdapat pada sistem komputer bisa jadi disebabkan oleh adanya malware yang menyerang pada suatu sistem komputer. Malware bisa menjadi salah satu perantara bagi penyerang untuk merusak atau mencuri data pada sistem komputer target. Berbagai infrastruktur teknis & perangkat lunak yang dapat mencegah malware termasuk Antivirus Scanner Online, URL dan email filter, Virus Submissions Direktorat Keamanan Informasi, Halaman 8/40
URL , Mesin Uji (mesin Nyata dan mesin virtual), Utilitas dari sistem operasi dan peralatan Reverse Engineering, harus disiapkan guna penanganan insiden pada data. a.
Filter URL dan email : Hampir semua organisasi saat ini terhubung ke Internet untuk berbagai tujuan termasuk email. Koneksi ke internet dan email adalah jalan yang paling umum bagi malware untuk memasuki jaringan intranet perusahaan. Entri tersebut harus ditolak pada perimeter jaringan, sehingga setiap lalu lintas berbahaya dapat dihentikan sebelum mereka memasuki jaringan (LAN) perusahaan. Filter URL dapat membantu dalam mencegah pengguna dari men-download file dari internet yang mungkin berisi program tersembunyi yang berbahaya. Penyaringan terhadap email juga harus dilakukan untuk menyaring setiap email yang rentan membawa lampiran berbahaya. Terdapat berbagai alat gratis dan komersial untuk penyaringan URL. Squid adalah salah satu yang populer dan stabil, merupakan perangkat lunak open source pada web proxy yang mendukung penyaringan URL. SquidGuard adalah tool dapat digunakan untuk menyederhanakan tugas penyaringan URL. Tools ini adalah plug-in untuk squid yang merupakan kombinasi dari filter, redirector, dan akses kontrol, yang dapat digunakan untuk membuat aturan akses berdasarkan pada waktu, kelompok pengguna, dan URL. Berbagai blacklist juga dapat digunakan untuk melakukan penyaringan URL .
b. Penenonaktifkan perangkat removable Sebagian besar pembuat malware saat ini telah mengembangkan teknik untuk menyalin virus ke perangkat removable dan mereka jalankan segera setelah alat terkoneksi ke sistem. Disarankan untuk menonaktifkan semua perangkat removable, jika tidak diperlukan. Hal ini dapat dilakukan dengan melepas kabel koneksi pada motherboard, menonaktifkan port onboard, (USB, Bluetooth, IR) di BIOS dan juga pada tingkat OS dengan memanfaatkan GPO (Group Policy Objects) pada windows dan pembatasan akses dalam Linux (seperti semua perangkat juga file). Kadang-kadang menonaktifkan USB port pada tingkat BIOS mungkin tidak tepat, jika sistem menggunakan USB keyboard dan mouse. Masalah ini dapat diatasi dengan menggunakan pembatasan tingkat OS, terdapat beberapa produk yang diciptakan untuk Direktorat Keamanan Informasi, Halaman 9/40
tujuan ini (seperti Pointsec, Safend, Safeboot), yang memiliki efisiensi dan fitur yang jauh lebih baik daripada metode dengan memblokir seperti yang dibahas atas. c. Hash sistem file : Langkah penting lainnya dalam tahap persiapan adalah koleksi hash untuk file-file yang penting, terutama file sistem. Biasanya, jika mesin berperilaku tidak normal atau dicurigai terinfeksi dengan malware, file yang dimodifikasi dapat dideteksi dengan membandingkan hash sistem file dengan hash yang asli. file-file juga dapat diperiksa untuk setiap infeksi malware dengan menggunakan layanan online scan antivirus yang telah dikenal atau dapat pula menyampaiakn laporan kepada Vendor antivirus untuk dilakukan analisis. d. Intrusion Detection System Salah satu cara mudah untuk memeriksa setiap perubahan pada file sistem adalah dengan menggunakan Intrusion Detection System (IDS) berbasis host. IDS ini awalnya menghitung nilai hash dari semua file sistem dan menyimpannya di database. Hash dari file tersebut berubah setiap kali sistem melakukan modifikasi pada file. Dengan cara ini setiap perubahan tidak sah dapat diidentifikasi. IDS juga memeriksa setiap proses tersembunyi, mengurai log untuk setiap aktivitas yang mencurigakan. Ada banyak perangkat lunak IDS baik yang free maupun komersial. Perangkat lunak open source seperti Samhain, OSSEC dan Osiris adalah beberapa IDs berbasis Host. e. Antivirus Organisasi harus memiliki perangkat lunak antivirus yang tersedia dilingkungannnya, terutama untuk semua sistem yang memiliki koneksi internet atau Perangkat removable (USB , DVDRW drive dll ) yang aktif. Dalam hal ini dianjurkan untuk menggunakan model client-server yang jauh lebih mudah dalam hal pengelolahan. Status kerja dari antivirus pada client, instalasi pada client secara remote, dan pemindaian jarak jauh pada sistem adalah beberapa keuntungan pada model menggunakan solusi berbasis server.
Direktorat Keamanan Informasi, Halaman 10/40
f. Virus Removal Tools: Komponen lain yang harus disediakan dalam penanganan insiden malware adalah tool dari berbagai vendor antivirus untuk menghapus malware. Tool penghapus virus bisa lebih efektif, efisien, dan mudah untuk bekerja daripada mesin antivirus. Namun, tool tersebut terbatas hanya bekerja sebagian besar satu keluarga malware. McAfee Stringer adalah alat removal untuk suatu kelompok malware. g. Utilitas Sistem Operasi: Ketika wabah virus terjadi, program utilitas dapat digunakan dalam sistem operasi yang lumpuh. Dalam situasi seperti itu, sumber non-terinfeksi bisa sangat membantu. Operasi asli utilitas bersama dengan utilitas pihak ketiga dapat disalin pada media yang hanya memiliki fungsi baca seperti CDROM atau DVD - ROM, sehingga tidak terinfeksi ketika dijalankan. Untuk Microsoft Windows, SysInternals host adalah utilitas yang berdaya kuat dan sederhana. Utilitas ini dapat diunduh bebas biaya dan ditambahkan ke "Utilitas Toolkit". Utilitas ini dapat digunakan untuk mengumpulkan sampel untuk analisis malware atau untuk mengidentifikasi, menampung, dan memberantas malware.
2. Tahap Identifikasi Tahap ini adalah tahap di mana penelusuran terhadap insiden yang terjadi pada data/database organisasi mulai diidentifikasi. Penyebab terjadinya insiden harus dilakukan pada tahap ini. Penyebab adanya gangguan dari database bisa berasal dari dalam sistem komputer maupun dari manusia sebagai pengguna sistem komputer. Dari dalam sistem komputer yang digunakan, penyebabnya bisa berasal dari a.
Malware yang menyerang sistem komputer Malware yang menyerang pada sistem dan jaringan komputer bisa menyebabkan juga terjadinya gangguan pada server database. Gangguan yang ditimbulkan bisa berupa terganggunya akses terhadap layanan data dan bahkan bisa merusak data-data pada komputer maupun server data base. Halhal berikut bisa menjadi ciri-ciri terjadinya gangguan akses terhadap database yang disebabkan oleh malware Direktorat Keamanan Informasi, Halaman 11/40
1. Antivirus tidak berfungsi seperti yang diharapkan 2. Kegagalan membuka utilitas sistem pada sisi client 3. Lambatnya Respon CPU 4. Sistem / Aplikasi crash : b. Gangguan sistem jaringan komputer Salah satu faktor penting dari keamanan database adalah ketersediaan dari database itu sendiri. Saat ini, hampir semua database ditempatkan pada mesin khusus yang berupa server database. Untuk mengakses data-data dalam database, bisa dilakukan dengan menggunakan model client server. Pada model client server, peranan dari jaringan komputer sangatlah penting. Gangguan keamanan pada jaringan komputer bisa mengakibatkan gangguan pada layanan database. Pengamatan pertama yang bisa dilihat pada gangguan adalah lamanya waktu yang dibutuhkan untuk mengakses server database, bahkan koneksi terhadap database bisa terputus. Gangguan lain pada sistem jaringan adalah terdapatnya proses pemindaian dan capture data-pada yang keluar masuk pada server database. Proses ini bisa terdeteksi dengan menggunakan tool IDS berbasis host pada server, maupun IDS berbasis jaringan. Identifikasi bisa dilakukan dengan melakukan pemeriksaan pada log dari IDS tersebut. Disamping memasang IDS, tool lainnya yang bisa digunakan adalah snort, tcpdump, ettercap. c. Kerentanan aplikasi database yang digunakan Konfigurasi dan manajemen patch adalah pendekatan prinsip untuk memperbaiki kelemahan dari sistem basis data. Fitur-fitur default dari aplikasi pembangun database harus diubah. Identifikasi dapat dilakukan dengan melihat patch yang pernah dilakukan dan memeriksa fitur-fitur default dari sistem aplikasi database. d. Kerentanan kode/program Kerentanan kode-kode(program) yang digunakan untuk mengakses database, dapat dimanfaatkan oleh penyerang untuk menembus sistem keamanan dari database. Kode-kode itu meliputi kode-kode sql maupun kode-kode yang digunakan untuk membangun aplikasi dari sistem database. Pemeriksaan terhadap kode-kode itu bisa dilakukan untuk mengidentifikasi dari adanya
Direktorat Keamanan Informasi, Halaman 12/40
gangguan keamanan pada database. Contoh dari serangan pada rentannya kode-kode adalah sql injection, buffer overflow, cross site scripting. e.
Kelalaian pengguna database Apabila tidak ditemukannya adanya tanda-tanda bahwa penyebabnya berasal pada sistem komputer, maka identifikasi harus diarahkan kepada para pengguna sistem komputer. Beberapa perilaku dari pengguna komputer yang bisa membahayakan keamanan data, 1. Penggunaan password yang sembarangan Kerahasiaan
password
yang
tidak
terjaga
dengan
baik,
bisa
mengakibatkan password jatuh ke pihak yang tidak diinginkan. Akibatnya adalah pihak-pihak yang tidak memiliki akses ke dalam database dapat mengakses database tersebut. Dengan demikian maka pihak tersebut akan dengan mudah menguasai database. 2. Lupa melakukan log off dari sistem komputer Kealpaan dalam melakukan log off pada sistem komputer dapat dimanfaatkan oleh pihak lain untuk mengambil dan bahkan menghapus data-data penting yang terdapat pada sistem komputer. Identifikasi dari kasus ini bisa berupa ditolaknya akses ke dalam databse (record telah diubah atau dihapus), padahal tidak ditemukannya gejala malware, gangguan pada sistem jaringan komputer, dan kerentanan kodekode sql dan program aplikasi database yang digunakan. Sedangkan pada kasus tercurinya database, identifikasi sulit dilakukan, karena dampak dari pencurian database tidak bisa dirasakan secara langsung. Pemilik data baru menyadari bahwa data-data telah tercuri apabila pihak pencuri telah melakukan ekspose terhadap data-data yang telah dicuri tersebut. Pada tahap identifikasi ini, disamping melakukan identifikasi untuk mengetahui penyebab terganggunya sistem database, juga dilakukan identifikasi terhadap penting atau tidaknya data/informasi yang telah mengalami gangguan. Hal itu dilakukan untuk melihat dampak yang diakibatkan oleh terganggunya data/informasi yang memiliki tingkat kerahasiaan tinggi.
Direktorat Keamanan Informasi, Halaman 13/40
3. Containment Pada tahap ini akan dilakukan pencegahan lebih lanjut terhadap kerusakan atau kebocoran lebih lanjut dari data-data penting/rahasia dari organisasi. Apabila gangguan pada database disebabkan oleh adanya malware, maka dilakukan proses containment seperti pada prosedur penanganan insiden malware. Apabila gangguan pada database disebabkan oleh adanya gangguan pada sistem jaringan, maka dilakukan proses containment seperti pada prosedur penagnanan insiden jaringan. Memblokir password yang digunakan untuk mengakses database Apabila penyebabnya berasal dari keteledoran dari para pengguna sistem komputer, terutama penggunaan password yang sembarangan, maka semua password-password tersebut harus diganti. Administrator sistem komputer harus memblokir semua password, dan memberikan password baru kepada para pengguna sistem. Melihat insiden yang pernah ada (Basis Pengetahuan) Langkah selanjutnya setelah mengidentifikasi gejala dasar malware adalah menelusuri dokumen untuk mencari pengetahuan yang berisi insiden yang pernah terjadi di masa lalu. Jika insiden tersebut merupakan pengulangan, maka prosedur yang diikuti sebelumnya harus dieksekusi dan dianalisis secara mendalam dari setiap langkah untuk mengidentifikasi penyebab terulangnya kejadian dan memastikan apakah Langkah-langkah tersebut cukup atau tidak. Jika belum, maka diperlukan perbaikan secara utuh pada prosedur. Melakukan backup semua data pada database Sebelum memasuki fase pemberantasan, semua data yang terdapat pada database yang ada diambil sebagai backup dan harus terus diisolasi dari backup lain yang mungkin telah terganggu keamanannya. Hal ini dilakukan untuk mengembalikan data yang hilang, setelah selesainya analisis. Memeriksa konfigurasi dan patch dari aplikasi database Konfigurasi default dari aplikasi database harus diubah, konfigurasi default merupakan salah satu kelemahan dari suatu aplikasi yang dapat dimanfaatkan untuk menyerang dan mengganggu fungsi normal dari suatu aplikasi. Memeriksa konfigurasi dan patch dari sistem operasi database server
Direktorat Keamanan Informasi, Halaman 14/40
Kerentanan yang terdapat pada sistem operasi yang digunakan pada database server juga bisa digunakan oleh penyerang untuk mengganggu layanan data pada database server. Kerentanan itu harus diperiksa untuk memastikan keamanan dari sistem operasi yang digunakan. Memeriksa kode-kode program yang digunakan pada database Kode-kode program yang digunakan untuk mengakses dan memanipulasi datadata pada suatu data base harus memenuhi standar keamanan tertentu. Tidak amannya penggunaan kode-kode ini bisa dimanfaatkan oleh penyusup untuk masuk ke dalam database. Apabila seorang penyusup berhasil masuk ke dalam database dan mendapatkan hak akses penuh, maka penyusup dapat mencuri dan bahkan menghapus data-data penting dalam database. Melakukan investigasi terhadap personil Investigasi terhadap personil dilakukan untuk mengetahui seberapa besar tingkat keamanan terhadap hak akses ke dalam database yang dimiliki oleh para personil/karyawan. Bagaimana para karyawan dalam mengelolah kunci dan password yang telah dimilikinya harus mendapatkan perhatian. Penyusup ke dalam sistem database bisa memanfaatkan celah keamanan dari kerentanan pengelolahan hak akses para pengguna yang sah. Keteledoran dalam menyimpan password dapat menyebabkan password jatuh ke pihak-pihak yang tidak bertanggung jawab. Memeriksa penyandian yang digunakan pada data Supaya data-data yang tersimpan pada database memiliki keamanan yang relatif tinggi, maka data-data tersebut harus disandikan (enkripsi). Data-data yang telah terenkripsi akan sulit diketahui arti sebenarnya dari data tersebut. Proses penyandian data dapat dilakukan pada data yang sedang dikirimkan pada jaringan, maupun data penting (memiliki tingkat kerahasiaan tinggi) yang tersimpan pada database. Memeriksa integritas database Memeriksa integritas data ditujukan untuk melihat tingkat keparahan dari kerusakan data yang diakibatkan oleh adanya gangguan pada sistem database. Informasi yang di simpan dalam basis data bisa berupa apa saja yang membuat ke akuratan informasi dalam basis data itu perlu dipertanyakan. Untuk itulah integritas data dibutuhkan untuk menjaga keakuratan dan kebenaran data. Direktorat Keamanan Informasi, Halaman 15/40
Integritas data merupakan sebuah batasan atau syarat yang di peruntukan dalam basis data yang berfungsi dalam pembatasan data yang dapat simpan dalam basis data itu sendiri. Batasan itu menjaga kerusakan terhadap database dengan memastikan bahwa perubahan tidak menyebabkan inkosistesi dari data. Integritas di sini mengacu pada konsistesi, akurasi dan keakuratan data yang disimpan dalam database.
4. Pemberantasan Tahap ini merupakan tahapan untuk melakukan pemberantasan terhadap penyebab dari terjadinya insiden pada data/database. Pemberantasan yang dilakukan harus berdasarkan sumber dari serangan, yaitu Serangan malware, apabila terganggunya keamanan database disebabkan oleh malware, maka dilakukan prosedur pemberantasan malware (terdapat pada penanganan insiden malware) Serangan
pada
network,
apabila
terganggunya
keamanan
database
disebabkan oleh adanya serangan pada jaringan, maka dilakukan prosedur pemberantasan gangguan pada jaringan (terdapat pada penanganan insiden jaringan). Memperbaharui kerentanan dari sistem operasi dari server database Memperbaharui kerentanan pada kode-kode pemrograman Apabila ditemukan adanya kerentanan pada kode-kode pemrograman yang digunakan untuk mengakses database, maka segera perbaharui kode-kode program tersebut sesuai dengan standar keamanan yang telah ditetapkan oleh vendor/pembuat bahasa pemrograman. Contoh halaman web yang bisa digunakan
sebagai
panduan
untuk
membuat
kode/program
dengan
menggunakan php https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet http://www.php.net/manual/en/security.php Memperbaharui konfigurasi dari aplikasi dengan mengubah semua konfigurasi default sesuai dengan yang disyaratkan oleh vendor pembuat suatu aplikasi. Dibawah ini adalah halaman web yang berisi tentang konfigurasi yang aman dari aplikasi database http://www.symantec.com/connect/articles/securing-mysql-step-step Direktorat Keamanan Informasi, Halaman 16/40
https://www.owasp.org/index.php/OWASP_Backend_Security_Proje ct_MySQL_Hardening http://dev.mysql.com/doc/refman/5.0/en/security.html Memperbaharui metode akses Apabila terdapat kerentanan terhadap metode akses terhadap suatu sistem atau database, maka segera perbaharui kerentanan tersebut. Tindakan ini bisa sampai perubahan pada personil yang memiliki hak akses terhadap suatu sistem. Memperbaharui metode pengiriman data Data-data yang dikirimkan melewati media pada jaringan harus memiliki tingkat keamanan yang tinggi. Data-data yang disalurkan pada media harus disandikan agar tidak mudah dibaca oleh pihak-pihak yang melakukan pengintaian dan capture pada lalu lintas jaringan komputer. Hal ini terutama untuk data-data yang disalurkan dengan menggunakan media udara (wireless).
5. Pemulihan Pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal seperti semula. Pada insiden keamanan data/database, pemulihan dilakukan terhadap penyebab terjadinya kebocoran/kerusakan data/database. Langkahlangkah yang dilakukan adalah sebagai berikut a. Apabila serangan berasal dari sistem jaringan, konfirmasikan bahwa serangan pada jaringan telah selesai dan layanan database bisa dilakukan kembali. Untuk melihat pulihnya jaringan bisa dilakukan dengan memanfaatkan perintah pada command prompt seperti ping,
tracert,
pathping. b. Apabila serangan berasal dari adanya malware, maka konfirmasikan juga bahwa malware telah dibersihkan, dan client dapat mengakses database pada server secara aman. c. Validasi sistem Sistem yang telah pulih, harus divalidasi terhadap kesalahan atau kekurangan konfigurasi apapun. Jika ada kekurangan pada perangkat lunak atau data yang ditemukan, maka akan ditambahkan. Melakukan Direktorat Keamanan Informasi, Halaman 17/40
patching dan mengubah konfigurasi pada sistem database, apabila konfigurasi pada sistem database telah menjadi penyebab terjadinya insiden pada database, harus dilakukan. Sebuah tanda tangan dari pengguna
dan
pemilik
sistem
seharusnya
diminta
untuk
mengkonfirmasikan pemulihan lengkap dan normal dari sistem . d. Pemulihan Operasi Setelah validasi sistem pulih selesai, pemilik sistem memutuskan kapan untuk menempatkan sistem kembali online. Rekomendasi mengenai keamanan sistem dapat diberikan kepada pemilik sistem. Pemilik harus mengakui rekomendasi ini melalui memo yang telah ditandatangani. Rekomendasi berisi tentang penguatan pertahanan terhadap sistem dari database, misalnya mengharuskan dilakukannya enkripsi pada penyaluran data melalui jaringan, data-data penting yang tersimpan juga harus dienkripsi, dan bisa juga rekomendasi untuk mengganti kunci-kunci enkripsi yang ada e. Pemulihan Database Apabila telah terjadi kerusakan pada database, maka database yang telah terganggu (rusak atau hilang) harus dipulihkan kembali dengan cara melakukan restore dari backup yang telah dilakukan. f. Pemulihan terhadap metode akses Pemulihan terhadap metode akses dilakukan dengan mengganti passwordpassword yang telah diblokir. Password-password baru tersebut harus diubah oleh para penggunanya dengan mengikuti mekanisme yang telah diberikan oleh administrator. Konfirmasi pengubahan password harus dilakukan oleh para pengguna. g. Pemantauan Sistem Akhirnya aktifitas penting pada tahap pemulihan adalah melakukan pemantauan secara cermat agar sistem database tidak terganggu kembali. Pemantauan ini dilakukan untuk melihat adanya 1. Infeksi dan penyebaran malware 2. Aktifitas gangguan pada jaringan (DOS, DDOS) 3. Aktifitas pemindaian dan capture pada lalu lintas jaringan 4. Aktifitas pada server database (memantau log) Direktorat Keamanan Informasi, Halaman 18/40
6. Tahap Tindak Lanjut Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk dimasa mendatang. Fase ini dapat memberikan masukan kepada tahap persiapan untuk meningkatkan pertahanan. Tahap dimana semua tahap sebelumnya telah dilalui, tujuan dari tahap ini adalah untuk, a. Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan insiden yang telah dilakukan. mendokumentasikan dampak dan biaya dari terjadinya insiden serangan pada sistem database. b. Pembelajaran, adalah langkah yang sangat penting yang sering diabaikan. Pelajaran harus dapat dipetik dari kegiatan sesegera mungkin setelah penanganan insiden usai. Semua keputusan dan langkah-langkah yang diambil sepanjang siklus penanganan insiden harus ditinjau. Semua prosedur harus ditinjau untuk melihat di mana perbaikan dapat dilakukan. Salah satu hal penting yang harus dilakukan setelah berhasil menangani sebuah insiden adalah memperbarui pengetahuan. Catatan tentang penambahan pengetahuan ini harus ditambahkan pada dokuman laporan dan direview oleh semua pihak yang telah berperan dalam penanganan insiden. Hal ini akan membantu dalam penanganan insiden serupa di masa depan dengan mudah, efisien, dan cepat c. Peningkatan kepedulian terhadap keamanan jaringan, dengan melakukan review setelah setiap kejadian, akan memungkinkan bagi organisasi untuk melakukan perbaikan terus-menerus dan berpotensi pada pengurangan yang signifikan akibat dampak insiden. d. Peningkatan pertahanan Setelah penanganan selesai, Root Cause Analysis digunakan untuk menguatkan berbagai kontrol keamanan yang terdapat dalam perusahaan. Tim teknis dapat dibuat peduli dan menyadari terjadinya gejala serangan pada sistem database yang sama, tim penanganan insiden dapat diberikan insiden serupa untuk melatih diri dan manajemen dapat memperkenalkan kontrol keamanan yang baru untuk mengurangi risiko di masa depan.
Direktorat Keamanan Informasi, Halaman 19/40
e. Memperbaharui segala standar dan prosedur Semua jalan masuknya penyusup ke dalam sistem database yang diidentifikasi harus tepat diblokir untuk mencegah serangan masuk ke dalam jaringan data dimasa depan. Hal ini dapat dilakukan dengan menambahkan aturan baru di perimeter dan perangkat penyaringan lainnya
(seperti
filter
URL,
filter
email,
IDS).
Memungkinan
pembaharuan pada dokumen-dokumen berikut: Standard Operating Procedures Prosedur Operasi Darurat Disaster Recovery plan (DRP)
Direktorat Keamanan Informasi, Halaman 20/40
LAMPIRAN A - Informatif KEAMANAN SISTEM DATABASE Keamanan database adalah suatu cara untuk melindungi database dari ancaman, baik dalam bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi atau kejadian baik secara sengaja maupun tidak yang bersifat merugikan dan mempengaruhi sistem, dan memiliki konsekuensi terhadap perusahaan/organisasi yang memiliki sistem database. Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi juga meliputi bagian lain dari sistem database, yang tentunya dapat mempengaruhi database tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak, orang dan data. Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator database. Seorang administratorlah yang memegang peranan penting pada suatu sistem database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang cukup agar dapat mengatur suatu sistem database. Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh pengguna yang tidak berhak. Sistem keamanan database adalah sistem, proses, dan prosedur yang melindungi database dari aktivitas yang sengaja maupun tidak disengaja. Sistem yang aman memastikan kerahasian data yang terdapat didalamnya. Beberapa aspek keamanan yaitu : Mambatasi akses ke data dan layanan Melakukan autentifikasi pada user Memonitor aktivitas-aktivitas yang mencurigakan Keamanan database dapat dikelompokan sebagai berikut : Pencurian dan penipuan. Pencurian dan penipuan database tidak hanya mempengaruhi lingkungan database tetapi juga seluruh perusahaan/organisasi. Keadaan ini dilakukan oleh orang, dimana seseorang ingin melakukan pencurian data atau manipulasi data, seperti saldo rekening, transaksi, transfer dan lain-lain. Untuk itu fokus harus dilakukan pada kekuatan sistem agar menghindari akses oleh orang yang tidak memiliki kewenangan. Hilangnya kerahasiaan dan privasi
Direktorat Keamanan Informasi, Halaman 21/40
Suatu data dapat memiliki nilai kerahasiaan, karena data tersebut merupakan sumber daya yang strategis pada perusahaan, maka pada kasus ini data tersebut harus diamankan dengan memberikan hak akses pada orang tertentu saja. Hilangnya integritas Integritas ini berkaitan dengan akurasi dan kebenaran data dalam database, seperti data
korup.
Hal
ini
akan
secara
serius
mempengaruhi
proses
bisnis
perusahaan/organisasi. Hilangnya ketersediaan Hilangnya ketersediaan berarti data, sistem, keduanya tidak dapat diakses, layanan mati, yang tentunya secara serius sangat mempengaruhi perusahaan/organisasi. Saat ini banyak perusahaan yang membutuhkan kemampuan sistem yang aktif 7 x 24 , 7 hari 1 minggu. Berdasarkan pengelompokan tersebut, tentunya banyak aspek yang harus kita perhatikan demi terciptanya keamanan database. Bisa saja seseorang mencuri komputer kita yang berisi data penting, mungkin juga karyawan yang diberi hak untuk mengakses data melakukan kejahatan dengan menjual informasi tersebut pada pihak lain demi kepentingan pribadi. Halhal tersebut memang termasuk kendala keamanan database yang harus mendapat perhatian, tetapi seorang administrator tidak dapat mengawasi kelemahan tersebut. Seorang administrator hanya fokus pada sistem database itu sendiri, dan hal inilah yang seharusnya menjadi perhatian juga dalam organisasi. Tentunya
perkembangan
teknologi
mengharuskan
suatu
perusahaan
untuk
mengimplementasikan sistem database yang bukan hanya aman tetapi juga mudah diakses dan handal, menyala 7x24 jam, 7 hari 1 minggu tanpa off. Penyebaran informasi secara global sangat menguntungkan semua pihak. Dengan adanya internet, komunikasi antar cabang, perusahaan, konsumen dan sebagainya semakin mudah. Pemberian informasi mengenai perusahaan kepada masyarakat melalui internet merupakan salah satu strategi komunikasi, marketing, public relation perusahaan tersebut, adanya transaksi on line yang meningkatkan gaya hidup masyarakat dan lain-lain. Semua itu tidak terlepas dari suatu perkembangan sistem database dan tentunya membuat keamanan menjadi rentan. Sangatlah mudah dalam suatu lingkungan database diciptakan suasana yang menakutkan, tanpa kepastian dan keraguan. Sebagai seorang administrator sangat perlu memperhatikan kondisi tersebut. Tentukan resiko yang sebenarnya dan selidiki apa yang dapat dilakukan Direktorat Keamanan Informasi, Halaman 22/40
terhadap kondisi itu. Sebenarnya kebanyakan database terkonfigurasi dalam keadaan yang mudah ditembus, akan tetapi hal ini bukan berarti database tidak dapat dibuat aman sebagaimana mestinya. Secara garis besar keamanan database dikategorikan sbb: Keamanan Server Perlindungan Server adalah suatu proses pembatasan akses yang sebenarnya pada database dalam server itu sendiri. Server sebagai tempat database harus benar-benar dijamin keamanannya. Trusted Ip Access Setiap server harus dapat mengkonfigurasikan alamat ip yang diperbolehkan mengakses dirinya. Sistem harus tidak mengijinkan semua orang untuk dapat mengakses server, sebagaimana tidak mengijinkan seseorang memasuki rumah tanpa ijin. Jika server melayani suatu web server maka hanya alamat web server itu saja yang dapat mengakses server database tersebut. Jika server database melayani jaringan internal maka hanya alamat jaringanlah yang boleh menghubungi server. Sangat dianjurkan untuk tidak menggabungkan server web dengan server database informasi internal perusahaan, ini adalah suatu cara yang buruk untuk seorang admin. Trusted Ip Acces merupakan server database terbatas yang hanya akan memberi respon pada alamat ip yang dikenali saja. Koneksi Database Saat ini semakin banyaknya aplikasi dinamis menjadi sangat menggoda untuk melakukan akses yang cepat bahkan update yang langsung tanpa authentifikasi. Jika ingin mengijinkan pemakai dapat mengubah database melalui web page, pastikan untuk memvalidasi semua masukan untuk memastikan bahwa inputan benar, terjamin dan aman. Sebagai contoh, pastikan untuk menghilangkan semua code SQL agar tidak dapat dimasukan oleh user. Jika seorang admin membutuhkan koneksi ODBC, pastikan koneksi yang digunakan unik. Kontrol Akses Tabel Kontrol akses tabel ini adalah salah satu bentuk keamanan database yang sering diabaikan, karena cukup sulit penerapannya. Penggunaan control akses table yang benar membutuhkan kolaborasi antara sistem administrator dengan pengembang database. Hal inilah yang sulit dilakukan. Pemberian ijin user untuk mengakses informasi dapat membuat informasi terbuka kepada publik. Direktorat Keamanan Informasi, Halaman 23/40
Pelanggaran keamanan mungkin terjadi karena seorang hacker yang mampu melewati langkah-langkah keamanan yang telah dibentuk. Ini mungkin juga dikenal sebagai suatu pelanggaran keamanan. Keamanan pelanggaran bisa terjadi bukan hanya karena hacker, tetapi juga karena kecerobohan. Ada undang-undang tentang pelanggaran keamanan yang menyatakan bahwa seseorang harus diberitahu ketika informasi vitalnya telah diganggu. Ada banyak cara yang berbeda tentang bagaimana menangani pelanggaran keamanan ketika keamanan database telah dilanggar. Database (dan khususnya SQL) telah lama menjadi bagian Integral dari sistem dalam menjalankan bisnis, baik dalam bentuk awalnya, yaitu file database biasa maupun dalam bentuk sekarang ini,yaitu database yang berorientasi pada tingkat lanjut. Kebutuhan atas penyimpanan dan pengaksesan informasi secara cepat menjadi hal-hal yang mendesak bagi tiap bisnis atau aplikasi, begitu pula web. Aplikasi-aplikasi web sekarang ini berpasangan dengan database. Database dipakai untuk beragam kegunaan mulai dari menyimpan nama-nama user dan password-pasword untuk akses resmi, sampai untuk menyimpan alamat-alamat email user, dan informasi kartu kredit untuk mempermudah pengiriman produk dan pembayarannya. Oleh karena itu, pemahaman menyeluruh mengenai keamanan web harus mencakup juga lapisan databasenya dan terpenting memahami juga bagaimana penyusup berusaha memasuki aplikasi untuk memperoleh akses ke bagian-bagian datanya. Keamanan database merupakan satu dari sekian banyak metodologi yang sering diabaikan dan tidak dikembangkan untuk melengkapi dan memperketat kebijaksanaan atas keamanan database, beberapa cara dibawah ini berguna untuk pencegahan dalam tiap kelemahan. 1. Selalu mengupdate patch Baik untuk Microsoft maupun oracle, patch-patch dan beberapa perbaikan baru biasanya diedarkan secara regular. Memastikan untuk nengunduh dan menginstalnya segera setelah patch-patch itu tersedia. Selalu menguji patch terlebih dahulu pada system mirror atau pada sistem yang tak menghasilkan produksi, tidak pada sistem yang sebenarnya, 2. Menerapkan aturan-aturan firewall yang ketat Memastikan memeriksa konfigurasi firewall dari waktu ke waktu dan selalu memblock port-port akses database seperti TCP dan UDP 1434 (MS SQL) dan TCP 1521-1520 (Oracle). 3. Sanitasi/Penyaringan Input Direktorat Keamanan Informasi, Halaman 24/40
Penyaringan harus dilakukan pada yang di terima dari user, data–data yang diterima harus diperiksa tipenya (integer, string, dan seterusnya) dan harus memotong karakter-karakter yang tidak diinginkan, misalnya meta karakter. 4. Membuang Stored Procedure Stored Procedure adalah sebuah prosedur yang disimpan dalam suatu tabel database. Memastikan telah membuang semua stored procedure (termasuk extended stored procedure) dari keseluruhan database, termasuk master. Script-script yang kelihatannya tidak berbahaya ini bisa memberi bantuan dalam menumbangkan bahkan database yang paling aman sekalipun. 5. Enkripsi Session Jika server database terpisah dari Web server, memastikan untuk mengenkripsi session dengan beberapa cara, misalnya menggunakan IPSec built-in Pada Windows. 6. Sedikit Hak-hak khusus Memastikan untuk menerapkan sesedikit mungkin hak-hak akses untuk mengakses file-file database.
Direktorat Keamanan Informasi, Halaman 25/40
LAMPIRAN B – Diagram Alir MULAI
Menyiapkan personil dan tempat
DAFTAR anggota dan ketua tim
Menentukan tata cara berkomunikasi
Dokumen-dokumen yang dibutuhkan
Menyiapkan dokumen
Menyiapkan tool
SELESAI LANGKAH-LANGKAH PADA TAHAP PERSIAPAN
Direktorat Keamanan Informasi, Halaman 26/40
MULAI
Mengidentifikasi adanya malware
Mengidentifikasi adanya serangan pada jaringan
Mengidentifikasi kelemahan aplikasi database
Menidentifikasi kelemahan sistem operasi server database
Mengidentifikasi kelemahan kode-kode/ program
Mengidentifikasi kelalaian pengguna
SELESAI
LANGKAH-LANGKAH PADA TAHAP IDENTIFIKASI
Direktorat Keamanan Informasi, Halaman 27/40
MULAI
Memblokir password menuju database
Melakukan backup data pada database
Memeriksa konfigurasi aplikasi database
Memeriksa konfigurasi sistem opersai server database
Memeriksa kode-kode pembangun aplikasi database
Melakukan investigasi pada pengguna
Memeriksa penyandian data
Memeriksa integritas data
Dokumen pengetahuan
Menelusuri insiden yang pernah terjadi
SELESAI LANGKAH-LANGKAH PADA TAHAP CONTAINMENT
Direktorat Keamanan Informasi, Halaman 28/40
MULAI
Memperbaiki kelemahan sistem operasi server database
Memperbaiki kerentanan kode/program pembangun database
Memperbaiki konfigurasi aplikasi database
Memperbaiki metode akses
Memperbaiki metode pengiriman data
SELESAI
LANGKAH-LANGKAH PADA TAHAP ERADICATION
Direktorat Keamanan Informasi, Halaman 29/40
MULAI
Validasi sistem
Pemulihan database
Pemulihan operasi
Pemulihan akses
Pemantauan sistem
SELESAI
LANGKAH-LANGKAH PADA TAHAP RECOVERY
Direktorat Keamanan Informasi, Halaman 30/40
MULAI
Membuat Dokumentasi laporan kegiatan
Laporan Kegiatan
Melakukan review terhadap langkah-langkah yang telah dilakukan
Pembuatan basis pengetahuan baru - jenis gangguan pada data dan database - penyebab gangguan - penanganan pada gangguan
Dokumen pengetahuan baru
Melatih tim yang lain
Meningkatkan pertahanan - aturan akses pada database server - sistem otentikasi dan otorisasi - sistem penyandian
SELESAI
LANGKAH-LANGKAH PADA TAHAP TINDAK LANJUT
Direktorat Keamanan Informasi, Halaman 31/40
LAMPIRAN C - Formulir
Formulir laporan penanganan insiden 1. Informasi Pembuat Laporan Nama Lengkap Jabatan pada tim Internal/External Nama Institusi (external) Nomor Telepon tempat kerja Nomor HP Alamat E-mail Nomor Fax Informasi tambahan
2. Jenis insiden : Database Nomor insiden : …………………………………..
Dampak dari Malware Dampak dari gangguan pada jaringan Tercurinya password Kelemahan kode sql
Kelemahan kode program aplikasi Kerentanan server database Kelemahan enkripsi Lainnya ..............…………………………
Deskripsi singkat dari insiden:
Direktorat Keamanan Informasi, Halaman 32/40
3. Cakupan dari insiden (pilih salah satu) Kritis (misal, berpengaruh pada sumber daya informasi yang membahayakan keamanan umum secara luas di luar institusi/lembaga) Besar (misal, berpengaruh pada seluruh database pada sistem bisnis utama dari institusi/lembaga) Sedang (misal, hanya berpengaruh pada database milik bagian/departemen tertentu dari institusii/lembaga) Kecil (misal, hanya berpengaruh pada data komputer atau akun pengguna pada institusi/lembaga) Perkiraan jumlah sistem yang terkena dampak: Perkiraan jumlah pengguna yang terkena dampak: Pihak ketiga yang terkena dampak (partner): Informasi tambahan dari cakupan insiden:
4. Dampak dari insiden
Berhenti/hilangnya layanan Berhenti/hilangnya produktifitas Hilangnya reputasi Berkurang/hilangnya pendapatan
Pengungkapan tidak sah dari data/informasi Pengubahan tidak sah dari data/informasi Lainnya, ………………………………………………………….
Informasi lain dari dampak insiden
5. Sensitivitas dari data yang terkena insiden
Data/info rahasia/sensitiv Data/info Non-sensitive Data/info yang disediakan untuk publik Data/info keuangan
Informasi Identitas Pribadi Personil Data/info tentang HAKI/copyrighted Data/info tentang critical infrastructure/key resources Lainnya, ………………………………………………………..
Data dienkripsi ? Ya ____ tidak ____ Besarnya data/informasi yang terkena insiden: (ukuran file, jumlah record) Informasi tambahan: Direktorat Keamanan Informasi, Halaman 33/40
6. Sistem yang terkena insiden Sumber serangan (alamat IP, port): Tujuan serangan (alamat IP, port): Alamat IP dari sistem: Nama Domain dari sistem: Fungsi dari sistem: (database server, application server) Sistem Operasi dari sistem server database: ( version, service pack, configuration ) Level Patching dari sistem server database: ( latest patches loaded, hotfixes ) Perangkat lunak security pada server database: (anti-virus, anti-spyware, firewall, versions, date of latest definitions) Lokasi fisik dari sistem: (propinsi, kota, gedung,ruang,meja/rak/lemari) Informasi tambahan dari sistem:
7. Pengguna yang terkena dampak Nama dan pekerjaan pengguna: Level hak akses dari pengguna: ( regular user, domain administrator, root) Informasi tambahan pengguna:
Direktorat Keamanan Informasi, Halaman 34/40
8. Timeline dari insiden Tanggal dan waktu kejadian pertama kali terdeteksi, ditemukan, atau diberitahu tentang insiden itu:
Tanggal dan waktu saat kejadian yang sebenarnya terjadi: (perkiraan, jika tanggal dan waktu yang tepat tidak diketahui): Tanggal dan waktu ketika insiden itu ditangani atau ketika semua sistem/fungsi telah dipulihkan (menggunakan tanggal dan waktu terakhir): Tenggang waktu antara penemuan dan kejadian : Tenggang waktu antara penemuan dan pemulihan : Keterangan tambahan:
9. Pemulihan dari insiden Tindakan yang dilakukan untuk mengidentifikasi sumber daya yang terkena dampak: Tindakan yang dilakukan untuk memulihkan insiden: Rencana tindakan untuk mencegah berulangnya insiden: Informasi tambahan pemulihan insiden:
Direktorat Keamanan Informasi, Halaman 35/40
LAMPIRAN D – Formulir Setiap Tahap
Form untuk tahap Persiapan Hari/tanggal: Waktu: Nama anggota tim pengisi form: Tanda tangan:
Persiapan Nama anggota tim
Ketua : ....................................... Anggota : 1. ................................... 2. ................................... 3. ...................................
Metode komunikasi
Handphone Email Tlp. kantor
Dokumen yang dibutuhkan
1. 2. 3. 4.
......................................... ......................................... ......................................... .........................................
Tool/alat yang digunakan
1. 2. 3. 4.
......................................... ......................................... ......................................... .........................................
Direktorat Keamanan Informasi, Halaman 36/40
Form untuk tahap Identifikasi Hari/tanggal: Waktu: Nama anggota tim pengisi form: Tanda tangan:
Penjelasan secara singkat tentang insiden database yang terjadi (adanya data yang rusak/rusak)
Penjelasan secara singkat dampak dari insiden database (seberapa penting data yang rusak/hilang)
Berapa banyak sistem informasi/layanan yang terdapat pada sistem yang terpengaruh oleh insiden database
Penjelasan singkat mengenai dugaan awal penyebab dari gangguan pada database Penjelasan secara singkat kapan dan darimana insiden database pertama kali diketahui
Direktorat Keamanan Informasi, Halaman 37/40
Form untuk tahap Containment Hari/tanggal: Waktu: Nama anggota tim pengisi form: Tanda tangan:
penghentian akses kepada sistem, layanan, dan data Penjelasan tentang akses, sistem, dan layanan yang telah dinonaktifkan karena adanya insiden pada keamanan database
Pencatatan password-password milik siapa saja yang telah diblokir untuk akses ke dalam database Pencatatan waktu saat semua akses, sistem, dan layanan dinonaktifkan
Informasi Sistem Back up Apakah back up sistem berhasil dilakukan?
Ya Tidak, jika tidak, apakah penyebabnya ?
Nama personil yang melakukan back up Waktu proses back up dimulai Waktu prosees back up selesai Apakah media back up dilindungi dan disegel?
Ya tidak, Jika tidak, apakah penyebabnya ?
Direktorat Keamanan Informasi, Halaman 38/40
Form untuk tahap Eradication Hari/tanggal: waktu: Nama anggota tim pengisi form: Tanda tangan:
Nama Sistem
Nama semua personil yang melakukan proses forensik terhadap sistem yang mengalami insiden Apakah kerentanan yang menyebabkan insiden keamanan dapat teridentifikasi?
Ya Tidak, jika ya, deskripsikan secara detail
Jelaskan prosedur validasi yang digunakan untuk memastikan bahwa kerentanan telah dikurangi penyebab gangguan telah dihilangkan
Direktorat Keamanan Informasi, Halaman 39/40
Form untuk tahap Follow Up Hari/tanggal: waktu: Nama personil pengisi form: Tanda tangan:
Jelaskan secara singkat tentang insiden keamanan yang terjadi dan tindakan apa yang telah diambil Berapa banyak waktu yang dihabiskan untuk menangani insiden tersebut ? Adakah biaya ( langsung dan tidak langsung ) dari insiden itu ? Apa nama organisasi/institusi yang telah mambantu dan dapat melakukannya dengan baik dalam menangani dan mengelolah insiden tersebut ? Kesulitan apa yang dihadapi dalam menangani dan mengelolah insiden tersebut ? Apakah ada persiapan yang memadai dalam nenangani kejadian tersebut ? Apakah deteksi insiden terjadi segera ? Jika tidak, mengapa ? Alat tambahan apa yang bisa digunakan untuk membantu dalam merespon dan mengelolah insiden keamanan ? Apakah komunikasi antara anggota tim cukup memadai ? Jika tidak, apa yang bisa diperbaiki ? Apakah komunikasi dengan organisasiorganisasi luar yang telah membantu cukup memadai ? Jika tidak, apa yang bisa diperbaiki ? Apakah prosedur perbaikan telah memadai untuk mencegah terjadinya insiden yang sama pada masa depan ?
Direktorat Keamanan Informasi, Halaman 40/40