seminar ubidar palembang 20 june 2014

CSIRT  :  Apa  dan  Peranannya  di  Nasional  

Disampaikan  oleh  :    IGN  MANTRA  –  Chairman  

Peneli:  Cyber    War,  Cyber  Crime  dan  Cyber  Security      Indonesia  Academic  CSIRT  

 Seminar  Indonesia  Honeynet  –  Ditkaminfo  

UBIDAR  –  20  Juni  2014  

BACKGROUND  

Internet  Live  Sta:s:c  

Internet  User  2014  (Juni)  vs  1993  

1993  14jt  

2005  1.0M  

2014  2.9M  

Internet  User  :  by  Country  

Internet  User  :  Leader  Board  

Indonesia  (13)  42,3  jt  

Brazil  (5)  107,9  jt  

Japan  (4)  109,3  jt  

India  (3)  243,2  jt  

USA  (2)  279,8  jt  

CHINA(1)  641,6  jt  

Pertumbuhan  User  Internet  Indonesia  

42,258,824    

SECURITY  INCIDENTS  

 Highlights  from  the  2014  Internet  Security  Threat  Report  Key  Findings  

•  91%  increase  in  targeted  aMacks  campaigns  in  2013  •  62%  increase  in  the  number  of  breaches  in  2013    •  Over  552M  idenSSes  were  exposed  via  breaches  in  2013  

•  23  zero-­‐day  vulnerabiliSes  discovered  •  38%  of  mobile  users  have  experienced  mobile  cybercrime  in  past  12  months  

•  Spam  volume  dropped  to  66%  of  all  email  traffic  •  1  in  392  emails  contain  a  phishing  aMacks  •  Web-­‐based  aMacks  are  up  23%  •  1  in  8  legiSmate  websites  have  a  cri:cal  vulnerability  

 Highlights  from  the  2014  Internet  Security  Threat  Report  Key  Findings  

91%  increase  in  targeted  aMacks  campaigns  in  2013  

62%  increase  in  the  number  of  breaches  in  

2013    

Over  552M  idenSSes  were  exposed  via  breaches  in  2013  

Defini:on  

•  Cyber  A`acks:  computer-­‐to-­‐computer  a`ack  that  undermines  the  confiden:ality,  integrity,  or  availability  of  a  computer  or  informa:on  resident  on  it.  

Lessons  From  Past  Cyber  A`acks  

Cyber  a`acks  accompany  physical  

a`acks  

Cyber  a`acks  are  increasing  in  volume,  sophis:ca:on,  and  

coordina:on  

Cyber  a`acks  are  a`racted  to  high-­‐value  targets  

Physical  Conflicts  and  Cyber  A`acks  

•  The  Pakistan/India  Conflict  •  The  Israel/Pales:nian  Conflict  •  The  Former  Republic  of  Yugoslavia  

(FRY)/NATO  Conflict  in  Kosovo  •  The  U.S.  –  China  Surveillance  Plane  

Incident  •  The  Indonesia  –  Myanmar  cyber  

a`acks.    •  The  Indonesia  –  Bangladesh  cyber  

a`acks.  •  The  Indonesia  –  Malaysia  cyber  

a`acks.  

Poten:al  Cyber  A`acks  

•  Unauthorized  Intrusions  •  Defacements  •  Domain  Name  Server  

A`acks  •  Distributed  Denial  of  

Service  A`acks  •  Computer  Worms  •  Rou:ng  Opera:ons  •  Cri:cal  Infrastructures  •  Compound  A`acks  

Compound  A`acks  •  Employ  some  or  all  of  

aforemen:oned  cyber  a`acks  

•  Possibly  combined  with  conven:onal  (physical)  terror  a`ack  

•  Consequences  include  devasta:ng  disrup:on  in  communica:on  and  commerce  

Cri:cal  Infrastructures  

•  Cri:cal  infrastructures  include  gas,  power,  water,  banking  and  finance,  transporta:on,  communica:ons  

•  All  dependent  to  some  degree  on  informa:on  systems  

•  Insider  threat  -­‐  specialized  skills  

17  

High

Low 1980 1985 1990 2000 2014

password guessing

password cracking

exploiting known vulnerabilities

disabling audits back doors

hijacking sessions

sniffers

packet spoofing

GUI automated probes/scans

denial of service

www attacks

Tools

Attackers

Intruder Knowledge

Attack Sophistication

“stealth” / advanced scanning techniques

burglaries

network mgmt. diagnostics

distributed attack tools

binary encryption

Source: CERT/CC

Attack sophistication vs Intruder Technical Knowledge

Increasing  A`ack  Sophis:ca:on  

2005 1985 1995

18  

Levels  of  “Force”  

Source:  “Handbook  of  Informa:on  Security”  ar:cle  on    Ac:ve  Response,  by  David  Di`rich  and  Kenneth  E.  Himma,  forthcoming,  John  Wiley  &  Sons  

APA  DAN  PERAN  CSIRT  DI  NASIONAL  

INCIDENT  RESPONSE  TEAM  

Alasan  Pendirian  CSIRT  

Infrastruktur  keamanan  yang  terbaikpun  :dak  dapat  menjamin  serangan  akan  terjadi.  

Bila  insiden  terjadi,  maka  ins:tusi  bergerak  cepat  untuk  merespon  secara  efek:f  dengan  memimalisasi  kerusakan  dan  mengurangi  biaya  recovery.  

Untuk  melindungi  kejadian-­‐kejadian  yang  :dak  diinginkan  di  masa  depan  dengan  mengatur  strategi  keamanan,  berbagi  informasi  untuk  update  pengetahuan  dan  berkolaborasi  dengan  CSIRT  yang  lain.  

Fokus  kepada  pencegahan  kerentanan  keamanan,  melakukan  mi:gasi  dan  memas:kan  pemenuhan/pencapaian  regulasi  dan  kebijakan  keamanan  ins:tusi.  

Alasan  Nyata  Dibutuhkan  karena  hukum,  regulasi,  kebijakan,  standar,  audit,  kerjasama/perjanjian  internasional.  

Pemenuhan  bisnis,  permintaan  pasar/pengguna,  best  prac:ce  dan  keuntungan  kompe::f.  

Pada  saat  terjadi  insiden  dan  insiden  akan  mengganggu  ins:tusi.  

Sebagai  Ti:k  kontak  yang  bertanggungjawab  bila  ada  insiden  untuk  segera  bergerak  dan  berkoordinasi  dengan  pihak-­‐pihak  terkait.  

Kelompok  ahli  yang  memberikan  rekomendasi  dan  membahas  masalah  keamanan  yang  terkini.    

Mengapa  butuh  CSIRT?  Saat  insiden  cyber  terjadi  dan  menyebar,  maka  perlu  :ndakan  segera  seper:  :

   •  Secara  Efek:f  mendeteksi  dan  me-­‐iden:fiaksi  segala  macam  ak:vitas.    •  Melakukan  mi:gasi  dan  merespons  secara  strategis.  •  Membangun  saluran  komunikasi  yang  dapat  dipercaya.  •  Memberikan  peringatan  dini  kepada  masyarakat  dan  kons:tuen  tentang  

dampak  yang  akan  dan  sudah  terjadi.  •  Memberitahu  pihak  lain  tentang  masalah-­‐masalah  yang  potensial  di  

komunitas  keamanan  dan  internet.  •  Berkoordinasi  dalam  meresponse  masalah.  •  Berbagi  data  dan  informasi  tentang  segala  ak:vitas  dan  melakukan  

korespondensi  untuk  response  segala  solusi  kepada  kons:tuen.  •  Melacak  dan  memonitor  informasi  untuk  menentukan  tren  dan  strategi  

jangka  panjang.    

Lingkup  pekerjaan  CSIRT  

Menyediakan  satu  ::k  untuk  kontak  insiden.  

Melakukan  iden:fikasi,  analisis,  dampak  dari  ancaman/insiden.  

Peneli:an,  mi:gasi,  rencana  strategi  dan  pela:han.  

Berbagi  pengalaman,  informasi  dan  belajar/mengajar.  

Kesadaran,  membangun  kapasitas,  jejaring.  

Merespon,  mengontrol  kerusakan,  recovery,  meminimalisir  resiko  dan  manajemen  resiko,  pencegahan  dan  pertahanan.  

Macam-­‐macam  CSIRT  

Internal  CSIRT:  menyediakan  layanan  penanganan  insident  kepada  organisasi  induk.  CSIRT  semacam  ini  seper:  Bank,  Perusahaan  Manufaktur,  Universitas  dll.    

NaSonal  CSIRT:  menyediakan  layanan  penanganan  insiden  kepada  negara.  Sebagai  contoh  adalah  Japan  CERT  Coordina:on  Center  (JPCERT/CC)  .  

CoordinaSon  Centers  :  melakukan  koordinasi  penanganan  insiden  lintas  sektor.  CSIRT.  Sebagai  contoh  adalah  United  States  Computer  Emergency  Readiness  Team  (US-­‐CERT).  

Analysis  Centers  fokus  kepadan  sintesa  data  dari  berbagai  macam  sumber  untuk  menentukan  tren  dan  pola-­‐pola  ak:vitas  insiden.    Contoh  :  (SANS  GIAC).  

Vendor  Teams  menangani  laporan  tentang  kerentanan  di  dalam  produk  somware  dan  hardware.    Mereka  bekerja  di  dalam  organisasi  untuk  menentukan  produk-­‐produk  mereka  rentan    atau  :dak  dan  mengembangkan  strategi  mi:gasi.  Vendor  team  juga  sebagai  internal  CSIRT  untuk  organisasi  tersebut.    

Incident  Response  Providers  menawarkan  layanan  penanganan  insiden  dengan  bentuk  bisnis  kepada  organisasi  yang  memerlukannya.  

CSIRT  Jabatan  dan  Pekerjaan  Ketua  /  Wakil  Ketua  

Manager  atau  Pimpinan  Tim    

Assistan  Manager,  Supervisor  atau  Pimpinan  Grup  

Hotline,  Helpdesk  dan  Staf  

Incident  handler    

Vulnerability  handler    

Ar:fact  analysis  staf    

Plaoorm  specialist  

Trainer    

Technology  watch    

Network  atau  System  Administrator  

Programmer    

Staf  Legal/Hukum  

Macam-­‐macam  Organisasi  CSIRT  •  FIRST  –  Forum  of  Incident  Response  and  Security  

–  Teams  (Global/Interna:onal  Ini:a:ves)  

•  APCERT  –  Asia  Pacific  Computer  Emergency  Response  Team  –  Response  Team  (Regional  Asia  Pacific)  

•  OIC-­‐CERT  –  Organiza:on  of  Islamic  Conference  –  Computer  Emergency  Response  Team  

•  TF-­‐CSIRT  –  Collabora:on  of  Computer  Security  –  Incident  Response  Team  in  Europe  

•  ENISA  -­‐  European  Network  and  Informa:on  –  Security  Agency  (Regional  Europe  Union)  

•  ANSAC  -­‐  ASEAN  Network  Security  Ac:on  Council  

FIRST  

APCERT  

OIC-­‐CERT  

TF-­‐CSIRT  

ENISA  

ANSAC  

Forum  of  Incident  Response  and  Security  

Asia  Pacific  CERT  

 ENISA  -­‐  European  Network  and  Information

EUROPEAN  CSIRT  

TF-­‐CSIRT  –  Collabora:on  of  Computer  Security    

Fungsi-­‐fungsi  CSIRT  DEFENSE  –  melindungi  infrastruktur  kri:s  MONITORING  –  menganalisis  anomaly  dengan  berbagai  pola  

terdefinisi  dan  pola  tak  terdefinisi.  (disebut  sebagai  vulnerability  database).  

INTERCEPTING  –  mengumpulkan  kontek  spesifik  atau  disebut  targeted  content.  

SURVEILLANCE  –mengama:  dan  menganalisis  ak:vitas  yang  dicurigai  dan  informasi  yang  berubah  dalam  sistem.  

MITIGATING  –  mengendalikan  kerusakan  dan  menjaga  ketersediaan  serta  kemampuan  layanan  tersebut.  

REMEDIATION  –  membuat  solusi  untuk  mencegah  kegiatan  yang  berulang-­‐ulang  dan  mempengaruhi  sistem.    

OFFENSIVE  –  pencegahan/perlawanan  dengan  menyerang  balik  seper:  Cyber  Army  dan  kemampuan  untuk  menembus  sistem  keamanan.  

DEFENCE  

MONITORING  

INTERCEPTING  

SURVEILLANCE  

MITIGATING  

REMEDIATION  

OFFENSIVE  

Kemampuan  CSIRT  •  PROTECT  –  melakukan  risk  assessment,  

proteksi  malware,  pela:han  dan  kesadaran,  operasi  dan  dukungan,  management  kerentanan  dan  jaminan  keamanan.  

•  DETECT  –  pengawasan  jaringan,  pengukuran  dan  analisis  keterhubungan  dan  situasinya,  pengawasan  lingkungan.  

•  RESPONSE  –  pelaporan  insiden,  analysis,  response,  mi:gasi  dan  remediasi.  

•  SUSTAIN  –  berkolaborasi  dengan  MOU,  kontrak  pihak  ke:ga  (vendor,  provider),  management  (program,  personnel,  standar  keamanan).  

PROTECT  

DETECT  

RESPONSE  

SUSTAIN  

Penanganan  Insiden  

PREPARE Awareness, SOP, Compliance etc.

   PROTECT Hardening, Change Management etc. RESPONSE Mitigation, Remediation

         DETECT Monitoring, Incident Reporting

TRIAGE

Classification, Priority etc.

Sumber  Pendanaan  

Biasanya  pendanaan  dari  organisasi  induk.  

Proyek  sponsor  oleh  para  partner.  

Iuran  keanggotaan  dan  charge  perlayanan.  

Pendanaan  dari  Pemerintah  (full  

atau  project  base).  

Menyediakan  jasa  keamanan  profesional.  

CERT  Logo  

Forum  Incident  Response  Team  

304 TEAM 66 NEGARA

AP-­‐CERT,  Asia  Pasific  

TOTAL 25 TEAM MEMBER

Nasional  CERT  

IDCERT   ID-­‐SIRTI   ACAD-­‐CSIRT  

ID  GOV-­‐CERT   ID  MIL-­‐CERT   SECTOR  CERT  

Anggota  CSIRT  

TERBESAR 30.000 staf @CNCERT

TERKECIL 2-5 staf @CERT/CSIRT

CSIRT  Members  

Koordinasi  Incident  di  CSIRT    

Laporan  Incident  dari  

Internal  

Laporan  Incident  dari  

External  

Koordinasi  Kolaborasi  

Koordinasi  dibawah  Local  CSIRT  

Incident  (Vic:ms)  

Tim  Incident  Response  Local-­‐CSIRT  

Koordinasi  ke  CSIRT  Nasional  •  IDSIRTII,  IDCERT,  GOVCERT,  TNI,  ACAD-­‐CSIRT  

APCERT  

FIRST  

Tugas  CSIRT  

Pembangunan  dan  Pengembangan  CSIRT  

Stage  1  Educa:ng  the  organiza:on  

Stage  2      Planning  effort  

Stage  3                Ini:al  

implementa:on  

Stage  4  Opera:onal  

phase  

Stage  5                    Peer  

collabora:on  

Struktur  SDM  dan  Koordinasi  

Operasional  Management  

Middle  Management  

Top  Management   Ketua/Wakil  

Dep.1  

Ops.11   Ops.12  

Dep.2  

Ops.21   Ops.22  

Koordinasi  membutuhkan  Masyarakat  dan  Negara  

CSIRT  

Masyarakat  dan  Negara  

CSIRT  Body  CSIRT  Sector  

CSIRT  Nasional  

CSIRT  Team  

CSIRT  Ins:tusi  

Kementerian  

CSIRT  Team  

Organisasi  Induk  

Struktur  CSIRT  

Team  CSIRT  Sector  

CSIRT  Nasional  

IDSIRTII  

Telekomunikasi  

Telkom-­‐CSIRT  

Indosat-­‐CSIRT  

Akademik   ACAD-­‐CSIRT  

Infrastruktur  CSIRT  

Console  

Sensor  

Analizer  

Server  

Storage  

Tugas  CSIRT  

PREVENTIF   DETEKSI  

RESPON   RISET  DAN  PENGEMBANGAN  

Kesimpulan  :  CSIRT  dan  Koordinasi  

CSIRT  adalah  lembaga  keamanan  nirlaba  untuk  tanggap  darurat  mengatasi  insiden  keamanan.  

CSIRT  diperlukan  karena  hukum.    

CSIRT  dibentuk  oleh  negara,  industri  atau  pendidikan.  

CSIRT  memiliki  kebijakan  keamanan,  mendeteksi,  penanganan  insiden  dan  kolaborasi.  

CSIRT  memiliki  sumber  pendanaan  yg  jelas  dan  terencana.  

Contact  :  InformaSons  :  info@acad-­‐csirt.or.id  

Incident  Response  :  insiden@acad-­‐csirt.or.id  URL  :  hMp://www.acad-­‐csirt.or.id