SECURITY  INCIDENT    KOORDINASI  PENGELOLAAN  INCIDENT  

IGN  Mantra,    Email:  mantra@acad-­‐csirt.or.id,    

URL:  acad-­‐csirt.or.id  

Security  Incident  

#ACAD-­‐CSIRT  

Security  Incident  

Pendekatan  :  Segala  kejadian  riil  

atau  yang  merugikan  kepada  sistem  keamanan  komputer  dan  

jaringan  komputer  di  sebuah  insLtusi.  

Pelanggaran  terhadap  kebijakan  keamanan  insLtusi        

(Security  Policy).    

#ACAD-­‐CSIRT  

Pendekatan  Og  Security  Incident  

IsLlah  “Insiden”  sangat  relaLf  pengerLannya,  seLap  organisasi  menterjemahkan  insiden  tergantung  dari  kebutuhannya.  

AkLfitas  Insiden  Keamanan  Komputer  merupakan  sebuah  akLfitas  yang  potensial  mengancam  sistem  keamanan  komputer.  

Insiden  dapat  mengalami  kesuksesan  (sistem  jebol)  atau  bisa  juga  gagal  (Ldak  terjadi  apa-­‐apa).  

Insiden  bisa  terjadi  karena  kecurigaan  atau  memang  riil  terjadi.  

Insiden  dapat  berupa  pelanggaran  aturan  keamanan  baik  tersirat  maupun  tersurat  

#ACAD-­‐CSIRT  

Contoh  :  Kategori  Incident  

Pelanggaran  secara  implisit  dan  eksplisit  kepada  kebijakan  keamanan  di  perusahaan.  

Upaya  untuk  masuk  ke  dalam  sistem  secara  Ldak  sah.  

Percobaan  mengambil  resource.  

Menggunakan  dokumen  elektronik  (confidenLal)  tanpa  ijin.  

Melakukan  modifikasi  tanpa  sepengetahuan  pemilik,  mengubah  instruksi  dan  sebagainya.  

#ACAD-­‐CSIRT  

Contoh  :    Klasifikasi  Informasi  &  Security  Incident  

TOP  SECRET  

SECRET  

CONFIDENTIAL  

RESTRICTED  

TIDAK  TERKLASIFIKASI  

#ACAD-­‐CSIRT  

Kategori  Incident  

Low  Level  Incident  

Medium  Level  

Incident  

High  Level  Incident  

#ACAD-­‐CSIRT  

Low  Level  Incident  

Hanya  berdampak  sedikit  kerusakan  pada  asset  TI  insLtusi,  Lm  incident  dapat  menyelesaikan/menangani  problem  incident  tersebut  dalam  waktu  1x24  jam,    

IdenLfikasi  seperL  :  kehilangan  atau  lupa  password  personal,  ditemukan  adanya  sharing  account  organisasi,  ditemukannya  aksi  scanning  di  network  logs  dan  gagal,  ditemukan  virus  dan  worm  di  network.  

#ACAD-­‐CSIRT  

Medium  Level  Incident    

Dapat  dikatakan  incident  yang  ditangani  lebih  serius  dari  low  level  incident  dan  penanganan  incident  seperL  dapat  diselesaikan  dalam  waktu  1x24  jam.    

IdenLfikasi  seperL  :    

• pelanggaran  akses  ke  fasilitas  komputer/data  center,    • pemecatan  karyawan  secara  Ldak  hormat,  penyimpanan  dan  penggunaan  data  tanpa  ijin,    • perusakan  property  dan  perusakan  ke  fasilitas  komputer/data  center  paling  sedikit  mencapai  1  Miliar  Rp.,    

• pencurian  data  dan  fasilitas  komputer  mencapai  1  Miliar  Rp.,    • perusakan  data  karena  virus  dan  worm  intensitasnya  cukup  besar,    • pelanggaran  akses  ke  physical  security  baik  pagar,  bangunan  dan  data  center.  

#ACAD-­‐CSIRT  

High  Level  Incident    

Dapat  dikatakan  incident  yang  terjadi  sangat  serius  untuk  disikapi  oleh  Lm  incident  karena  sudah  berdampak  luas  kepada  insLtusi,  Lm  incident  harus  merespon  secara  cepat  untuk  menutup  segala  kemungkinan  yang  terjadi  baik  yang  disebabkan  oleh  alam  maupun  oleh  manusia.  Penanganan  incident  ini  harus  kurang  dari  1x24  jam  dari  mulai  terjadi  incident  dan  diketahui  oleh  Lm,      

Iden_ikasi  seperL  :    

• Serangan  secara  massive  baik  DoS  maupun  DDoS,    • komputer  yang  dirusak/mengalami  kerusakan  dan  teridenLfikasi  oleh  Lm  incident,    • komputer  bervirus/worm  dengan  intensitas  penyebaran  yang  meluas  (contoh  stuxnet,  trojan,  backdoor),    • Mengubah  sistem  hardware,  firmware,  konfigurasi  so`ware  tanpa  ijin  admin,  perusakan  property  melebihi  1  Miliar  Rp.,    

• Personal/hacker  yang  mencuri  asset/data  melebihi  1  Miliar  Rp.,  pelanggaran  hukum  karena  akses  dan  penyimpanan  hal-­‐hal  yang  dilarang  seperL  judi  online,  pornografi,  terorisme  dll.  

#ACAD-­‐CSIRT  

Bagaimana  mengidenLfikasi  Incident  ?  

Alarm  security  berbunyi  memberikan  noLfikasi  bahwa  di  peralatan  intruder  detecLon  system  ada  indikasi  menembus  sistem  security,  sehingga  Lm  akan  fokus  dimana  alarm  tersebut  berbunyi.  

Ditemukan  adanya  tersangka  yang  berada  di  dalam  network.  

Tidak  adanya  perhitungan  log  (accounLng  logs)  di  dalam  monitoring  selama  sekian  menit  atau  adanya  gap  logs  sehingga  selama  sekian  menit  Ldak  termonitor  di  monitoring  center.  

Terlihat  di  Lm  monitor  network,  percobaan  melakukan  access  control  berkali-­‐kali  dan  Ldak  berhasil,  terlihat  trafik  Ldak  semesLnya  keluar  dari  network  yang  dijaga  (DMZ)  baik  internal  maupun  eksternal,  percobaan  untuk  write  system  files,  melakukan  modifikasi  dan  mendelete  file2  data.  

Menggunakan  pola  yang  Ldak  biasanya,  seperL  melakukan  compile  program  kepada  account  user  yang  bukan  para  programmer  di  dalam  insLtusi  tersebut.  

#ACAD-­‐CSIRT  

InformaLon  Security  Life  Cycle    

DetecLon  

Incident  Response  

Countermeasure  

INCIDENT  RESPONSE  TEAM  

CERT  Logo  

Forum  Incident  Response  Team  

274 team @ 59 negara

AP-­‐CERT,  Asia  Pasific  

TOTAL 30 MEMBER 22 Full Member

8 General Member

#ACAD-­‐CSIRT  

Nasional  CERT  

IDCERT   ID-­‐SIRTI   ACAD-­‐CSIRT  

ID  GOV-­‐CERT   ID  MIL-­‐CERT   SECTOR  CERT  

Anggota  CERT  

TERBESAR 30.000 staf @CNCERT

TERKECIL 2-5 staf @CERT negara2

CERT  Members  

#ACAD-­‐CSIRT  

Koordinasi  Incident  di  Academic  CSIRT    

Laporan  Incident  dari  

Internal  

Laporan  Incident  dari  

External  

Koordinasi  Kolaborasi  

#ACAD-­‐CSIRT  

Koordinasi  dibawah  ACAD-­‐CSIRT  

Tim  Incident  Response  Kampus  

Tim  Incident  Response  ACAD-­‐CSIRT  

Koordinasi  ke  CSIRT  Nasional  • IDSIRTII,  IDCERT,  GOVCERT,  TNI  

APCERT  

FIRST  

Tugas  CSIRT  

#ACAD-­‐CSIRT  

Pembangunan  dan  Pengembangan  CSIRT  

Stage  1  EducaLng  the  organizaLon  

Stage  2      Planning  effort  

Stage  3                IniLal  

implementaLon  

Stage  4  OperaLonal  

phase  

Stage  5                    Peer  

collaboraLon  

#ACAD-­‐CSIRT  

Struktur  SDM  dan  Koordinasi  

Operasional  Management  

Middle  Management  

Top  Management   Ketua/Wakil  

Dep.1  

Ops.11   Ops.12  

Dep.2  

Ops.21   Ops.22  

#ACAD-­‐CSIRT  

Koordinasi  membutuhkan  Masyarakat  dan  Negara  

CSIRT  

Masyarakat  dan  Negara  

#ACAD-­‐CSIRT  

CSIRT  Body  

CSIRT  

Sector  CSIRT  

Nasional  

CSIRT  Team  

CSIRT  InsLtusi  

Kementerian  

CSIRT  Team  

Organisasi  Induk  

#ACAD-­‐CSIRT  

Struktur  CSIRT  

Team  CSIRT  Sector  

CSIRT  Nasional  

IDSIRTII  

Telekomunikasi  

Telkom-­‐CSIRT  

Indosat-­‐CSIRT  

Akademik   ACAD-­‐CSIRT  

#ACAD-­‐CSIRT  

Infrastruktur  CSIRT  

Console  

Sensor  

Analizer  

Server  

Storage  

#ACAD-­‐CSIRT  

Tugas  ACAD-­‐CSIRT  

PREVENTIF   DETEKSI  

RESPON   RISET  DAN  PENGEMBANGAN  

#ACAD-­‐CSIRT  

Kesimpulan  :  CSIRT  dan  Koordinasi  

CSIRT  adalah  lembaga  keamanan  nirlaba  untuk  tanggap  darurat  mengatasi  insiden  keamanan.  

CSIRT  diperlukan  karena  hukum.    

CSIRT  dibentuk  oleh  negara,  industri  atau  pendidikan.  

CSIRT  memiliki  kebijakan  keamanan,  mendeteksi,  penanganan  insiden  dan  kolaborasi.  

CSIRT  memiliki  sumber  pendanaan  yg  jelas  dan  terencana.  

TERIMA  KASIH  

Contact  :  

Informa:ons  :  info@acad-­‐csirt.or.id  

Incident  Response  :  incident@acad-­‐csirt.or.id  

URL  :  hEp://www.acad-­‐csirt.or.id