Dokumen tersebut memberikan informasi mengenai koordinasi pengelolaan insiden keamanan komputer. Beberapa poin penting yang diangkat antara lain pendekatan terhadap insiden keamanan, kategorisasi insiden berdasarkan tingkat kerugian, dan bagaimana mengidentifikasi terjadinya insiden keamanan.
3. #ACAD-‐CSIRT
Security
Incident
Pendekatan
:
Segala
kejadian
riil
atau
yang
merugikan
kepada
sistem
keamanan
komputer
dan
jaringan
komputer
di
sebuah
insLtusi.
Pelanggaran
terhadap
kebijakan
keamanan
insLtusi
(Security
Policy).
4. #ACAD-‐CSIRT
Pendekatan
Og
Security
Incident
IsLlah
“Insiden”
sangat
relaLf
pengerLannya,
seLap
organisasi
menterjemahkan
insiden
tergantung
dari
kebutuhannya.
AkLfitas
Insiden
Keamanan
Komputer
merupakan
sebuah
akLfitas
yang
potensial
mengancam
sistem
keamanan
komputer.
Insiden
dapat
mengalami
kesuksesan
(sistem
jebol)
atau
bisa
juga
gagal
(Ldak
terjadi
apa-‐apa).
Insiden
bisa
terjadi
karena
kecurigaan
atau
memang
riil
terjadi.
Insiden
dapat
berupa
pelanggaran
aturan
keamanan
baik
tersirat
maupun
tersurat
5. #ACAD-‐CSIRT
Contoh
:
Kategori
Incident
Pelanggaran
secara
implisit
dan
eksplisit
kepada
kebijakan
keamanan
di
perusahaan.
Upaya
untuk
masuk
ke
dalam
sistem
secara
Ldak
sah.
Percobaan
mengambil
resource.
Menggunakan
dokumen
elektronik
(confidenLal)
tanpa
ijin.
Melakukan
modifikasi
tanpa
sepengetahuan
pemilik,
mengubah
instruksi
dan
sebagainya.
6. #ACAD-‐CSIRT
Contoh
:
Klasifikasi
Informasi
&
Security
Incident
TOP
SECRET
SECRET
CONFIDENTIAL
RESTRICTED
TIDAK
TERKLASIFIKASI
8. #ACAD-‐CSIRT
Low
Level
Incident
Hanya
berdampak
sedikit
kerusakan
pada
asset
TI
insLtusi,
Lm
incident
dapat
menyelesaikan/
menangani
problem
incident
tersebut
dalam
waktu
1x24
jam,
IdenLfikasi
seperL
:
kehilangan
atau
lupa
password
personal,
ditemukan
adanya
sharing
account
organisasi,
ditemukannya
aksi
scanning
di
network
logs
dan
gagal,
ditemukan
virus
dan
worm
di
network.
9. #ACAD-‐CSIRT
Medium
Level
Incident
Dapat
dikatakan
incident
yang
ditangani
lebih
serius
dari
low
level
incident
dan
penanganan
incident
seperL
dapat
diselesaikan
dalam
waktu
1x24
jam.
IdenLfikasi
seperL
:
• pelanggaran
akses
ke
fasilitas
komputer/data
center,
• pemecatan
karyawan
secara
Ldak
hormat,
penyimpanan
dan
penggunaan
data
tanpa
ijin,
• perusakan
property
dan
perusakan
ke
fasilitas
komputer/data
center
paling
sedikit
mencapai
1
Miliar
Rp.,
• pencurian
data
dan
fasilitas
komputer
mencapai
1
Miliar
Rp.,
• perusakan
data
karena
virus
dan
worm
intensitasnya
cukup
besar,
• pelanggaran
akses
ke
physical
security
baik
pagar,
bangunan
dan
data
center.
10. #ACAD-‐CSIRT
High
Level
Incident
Dapat
dikatakan
incident
yang
terjadi
sangat
serius
untuk
disikapi
oleh
Lm
incident
karena
sudah
berdampak
luas
kepada
insLtusi,
Lm
incident
harus
merespon
secara
cepat
untuk
menutup
segala
kemungkinan
yang
terjadi
baik
yang
disebabkan
oleh
alam
maupun
oleh
manusia.
Penanganan
incident
ini
harus
kurang
dari
1x24
jam
dari
mulai
terjadi
incident
dan
diketahui
oleh
Lm,
Iden_ikasi
seperL
:
• Serangan
secara
massive
baik
DoS
maupun
DDoS,
• komputer
yang
dirusak/mengalami
kerusakan
dan
teridenLfikasi
oleh
Lm
incident,
• komputer
bervirus/worm
dengan
intensitas
penyebaran
yang
meluas
(contoh
stuxnet,
trojan,
backdoor),
• Mengubah
sistem
hardware,
firmware,
konfigurasi
so`ware
tanpa
ijin
admin,
perusakan
property
melebihi
1
Miliar
Rp.,
• Personal/hacker
yang
mencuri
asset/data
melebihi
1
Miliar
Rp.,
pelanggaran
hukum
karena
akses
dan
penyimpanan
hal-‐hal
yang
dilarang
seperL
judi
online,
pornografi,
terorisme
dll.
11. #ACAD-‐CSIRT
Bagaimana
mengidenLfikasi
Incident
?
Alarm
security
berbunyi
memberikan
noLfikasi
bahwa
di
peralatan
intruder
detecLon
system
ada
indikasi
menembus
sistem
security,
sehingga
Lm
akan
fokus
dimana
alarm
tersebut
berbunyi.
Ditemukan
adanya
tersangka
yang
berada
di
dalam
network.
Tidak
adanya
perhitungan
log
(accounLng
logs)
di
dalam
monitoring
selama
sekian
menit
atau
adanya
gap
logs
sehingga
selama
sekian
menit
Ldak
termonitor
di
monitoring
center.
Terlihat
di
Lm
monitor
network,
percobaan
melakukan
access
control
berkali-‐kali
dan
Ldak
berhasil,
terlihat
trafik
Ldak
semesLnya
keluar
dari
network
yang
dijaga
(DMZ)
baik
internal
maupun
eksternal,
percobaan
untuk
write
system
files,
melakukan
modifikasi
dan
mendelete
file2
data.
Menggunakan
pola
yang
Ldak
biasanya,
seperL
melakukan
compile
program
kepada
account
user
yang
bukan
para
programmer
di
dalam
insLtusi
tersebut.
20. #ACAD-‐CSIRT
Koordinasi
Incident
di
Academic
CSIRT
Laporan
Incident
dari
Internal
Laporan
Incident
dari
External
Koordinasi
Kolaborasi
21. #ACAD-‐CSIRT
Koordinasi
dibawah
ACAD-‐CSIRT
Tim
Incident
Response
Kampus
Tim
Incident
Response
ACAD-‐CSIRT
Koordinasi
ke
CSIRT
Nasional
• IDSIRTII,
IDCERT,
GOVCERT,
TNI
APCERT
FIRST
30. #ACAD-‐CSIRT
Kesimpulan
:
CSIRT
dan
Koordinasi
CSIRT
adalah
lembaga
keamanan
nirlaba
untuk
tanggap
darurat
mengatasi
insiden
keamanan.
CSIRT
diperlukan
karena
hukum.
CSIRT
dibentuk
oleh
negara,
industri
atau
pendidikan.
CSIRT
memiliki
kebijakan
keamanan,
mendeteksi,
penanganan
insiden
dan
kolaborasi.
CSIRT
memiliki
sumber
pendanaan
yg
jelas
dan
terencana.