Prosedur Operasional Standar
V. Hasil Penilaian Risiko
Pihak ketiga (vendor, eks-karyawan) ‐ Unauthorized sistem access ‐ Sistem Bugs
‐ Penanaman script pada sistem
V. Hasil Penilaian Risiko
Dari hasil identifikasi didapat beberapa kerentanan, sebagai berikut :
Kerentanan Sumber Ancaman Aksi Ancaman Belum adanya aturan
pelarangan instalasi soft-ware yang tidak berhu-bungan dengan kegiatan operasional.
Virus disisipi pada
software ‐ Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati.
‐ Merusak data-data perusahaan. Belum adanya aturan
mengenai pertukaran data antar jaringan maupun re-movable media
Umumnya sumber
penyebaran virus terdapat pada removable media (flashdisk, external hardisk)
‐ Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati.
‐ Merusak data-data perusahaan.
Human error Karyawan yang ceroboh ‐ Terjadinya penguba-han data Perusahaan ‐ Terjadinya perubahan
parameter pada sistem ‐ Data menjadi tidak
valid Sistem ID Karyawan yang
telah berhenti belum dihapus dari sistem
Unauthorized user oleh
karyawan yang berhenti ‐ Menyusup kedalam sistem secara ilegal ‐ Mengakses data milik
perusahaan Penggunaan account root
oleh vendor pada saat fase development
Unauthorized user oleh
vendor ‐ Menyusup kedalam sistem secara ilegal ‐ Mengakses data milik
perusahaan
Untuk kontrol yang ada pada saat sebelum mitigasi risiko adalah sebagai berikut : Kontrol untuk Pencegahan Insiden
Tahap Kontrol
Pencegahan ‐ Dilakukan update antivirus minimal 3 kali sehari ‐ Dilakukan vulnerability assessment terhadap
semua sistem yang dimiliki secara periodik
‐ Konfigurasi pada jaringan dengan memfilter trafik yang masuk
‐ Dilakukan monitoring selama 24 jam, 7 hari seminggu terhadap ancaman yang terjadi pada sistem
Kontrol untuk Penanganan Insiden Secara Umum
Tahap Kontrol
Deteksi dan analisa ‐ Mengetahui insiden telah terjadi
‐ Menganalisa sesuatu yang akan datang berdasar-kan indikasi yang ada
‐ Melakukan pengkajian
‐ Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada.
Kontrol untuk Penanganan Insiden Denial of Service
Tahap Kontrol
Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang di-tunjuk dan juga kepada organisasi yang diluar. Membendung,
Pengha-pusan, dan Pemulihan ‐ Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. ‐ Mengidentifikasi dan mengurangi semua
kerenta-nan yang digunakan.
‐ Mengkonfirmasi sistem yang terkena dapat ber-fungsi secara normal.
‐ Apabila diperlukan, jalankan monitoring tamba-han untuk melihat kemungkinan terjadinya aktiti-tas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden ‐ Membuat laporan lanjutan
Kontrol untuk Penanganan Unauthorized access
Tahap Kontrol
Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang di-tunjuk dan juga kepada organisasi yang diluar.
Membendung,
Pengha-pusan, dan Pemulihan ‐ Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. ‐ Mengkonfirmasi penahanan kejadian
‐ Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi)
‐ Melaksanakan tindakan penahanan tambahan jika perlu
‐ Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi.
‐ Menkonfirmasikan bahwa sistem yang terkena te-lah berfungsi normal
‐ Apabila diperlukan, jalankan monitoring tamba-han untuk melihat kemungkinan terjadinya aktiti-tas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden ‐ Membuat laporan lanjutan
Kemungkinan terjadinya insiden dapat dikategorikan menjadi 3 tingkat, sebagai berikut :
Kategori Kemungkinan Kejadian
Indikator
Tinggi Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, hal ini terjadi karena pengendalian untuk mencegah kerentanan yang dilakukan tidak efektif atau masih kurang.
Sedang Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan masih bisa melakukan kontrol yang mungkin da-pat menghambat keberhasilan dari kerentanan. Rendah Sumber ancaman mempunyai motivasi rendah,
kontrol digunakan dapat mencegah atau secara signifikan mengurangi suatu kerentanan yang akan terjadi.
Dampak dari ancaman bila berhasil mengeksploitasi kerentanan yang ada dapat dikategorikan menjadi 3 tingkat, sebagai berikut :
Tingkat Dampak
Indikator
Tinggi • Insiden melibatkan manajemen tingkat atas PT. XYZ, seperti Kepala Grup/Kepala Divisi
• Pengguna yang terkena gangguan ≥ satu divisi • Insiden menyebabkan pemberitaan di media massa • Aplikasi atau sistem tidak dapat digunakan selama lebih
dari 24 jam
• Merupakan aplikasi yang berhubungan dengan revenue generator
Sedang • Insiden menyebabkan informasi atau data yang mendu-kung kegiatan operasional tidak tersedia
• Pengguna yang terkena gangguan 1 departemen (15-20 orang)
• Potensi dan mungkin menjadi sorotan publik
• Aplikasi atau sistem tidak dapat digunakan selama 5 – 8 jam
• Mempengaruhi kegiatan operasional dan berkaitan dengan servis/layanan
Rendah • Insiden menyebabkan ketidaknyamanan, gangguan, atau kerusakan yang tidak disengaja oleh pengguna atau tingkat administrator dan berdampak minor pada sistem • Pengguna yang terkena gangguan ≤ 5 orang
• Aplikasi atau sistem tidak dapat digunakan selama 30 menit – 1 jam
• Mempengaruhi kegiatan supporting operasional
Tingkat risiko dapat dibagi menjadi 3 tingkat, sebagai berikut : Tingkat
Risiko
Deskripsi Tindakan yang diperlukan Tinggi ‐ Penyerang telah berhasil
mengeksploitasi kerentanan keamanan jaringan.
‐ Memungkinkan penyerang untuk mendapatkan akses remote ke jaringan atau sistem.
‐ Risiko harus mendapat perla-kuan berupa perbaikan dan tin-dakan korektif terhadap kontrol sesegera mungkin.
‐ Sistem yang ada mungkin dapat beroperasi, namun tindakan korektif sangat krusial dibutuhkan.
Tingkat
Risiko
Deskripsi Tindakan yang diperlukan
‐ Memungkinkan penyerang dapat memperoleh akses administratif untuk sistem tersebut.
Sedang ‐ Penyerang meluncurkan serangan baik secara manual atau menggunakan alat otomatis, tetapi serangan itu tidak berhasil.
‐ Serangan dilakukan dengan menggunakan program atau teknik eksploitasi terhadap aplikasi rentan atau jasa di jaringan.
‐ Risiko harus mendapat perla-kuan untuk perbaikan, mence-gah, dan menguranginya.
‐ Dapat diberikan tambahan kon-trol yang sesuai dalam jangka waktu yang wajar.
Rendah ‐ Tidak ada ancaman tunggal
dengan kerahasiaan, integritas dan ketersediaan
aset informasi.
‐ Risiko dapat diterima
‐ Untuk kedepannya akan dilaku-kan eskalasi lebih lanjut terhadap kontrol.
Ancaman yang berhasil diidentifikasi sebelumnya memiliki tingkat kategori sebagai berikut :
Ancaman Tingkat
Risi-ko
Keterangan
Denial of Service High Menghabiskan resources sistem target sehingga layanan terganggu secara massal dan berdampak luas. Medium Menghabiskan resources sehingga
membuat layanan terganggu selama beberapa saat
Scanning Medium Konsumsi bandwidth jaringan, dapat mengetahui kerentanan yang dimiliki suatu sistem dan mengeksploitasinya. Unauthorized sistem
access High Penyerang mendapat akses ke aplikasi secara keseluruhan atau ke database yang utama.
Medium Penyerang mendapat akses ke aplikasi tertentu yang tidak memiliki dampak signifikan
Ancaman Tingkat
Risi-ko
Keterangan
Worm/virus High Menyebabkan performa keseluruhan jaringan lambat, pertukaran informasi
terganggu.
Medium Konsumsi bandwidth jaringan dan menghabiskan resource sistem Sistem Bugs High Major bugs, bisa menimbulkan
ancaman lain pada sistem dan
berdampak besar (seperti unauthorized access atau perubahaan data)
Medium Mengakibatkan sistem aplikasi mengganggu kegiatan operasional namun berdampak kecil.
Low Minor bugs tidak menimbulkan dampak
Penanaman script pada
sistem yang disengaja High Dapat mengakibatkan pencurian dan pengubahan data Email spam Low Diblokir oleh anti-spam, difilter di
firewall.
Beberapa hal yang direkomendasikan adalah :
‐ Memblokir suspicious file yang berasal dari attachment pada email ‐ Mengubah password secara periodik untuk semua perangkat ‐ Mengadakan security awareness
‐ Meningkatkan penggunaan SIEM (Security Incident Event Monitoring) ‐ Mengurangi sharing file terutama untuk perangkat yang menggunakan
Windows
‐ Manajemen patch VI. Kesimpulan
Dari hasil penilaian risikodapat disimpulkan terdapat beberapa ancaman dan kerentanan yang dimiliki oleh Divisi IT Security. Untuk mengatasi hal tersebut, sudah terdapat terdapat beberapa kontrol. Namun dengan penambahan kontrol lainnya diharapkan dapat meningkatkan keamanan informasi terutama pada Divisi IT Security.
xxvii
LAMPIRAN 9
IT Helpdesk Incident Management Policy & Procedure
xxviii
LAMPIRAN 10
Lampiran 10Insiden 2010 – Februari 2012
Nama Insiden Total
HTTP_Auth_TooLong 3 10.6.254.12-ISATOIMPROD1 1 10.6.254.11 Service is Down 1 CS02JKT-KPI-B05 to CP2-ETH5 (Trouble) 1 Smurf_Attack 23 Ping_sweep 391
Conficker Virus 10
TCP Connection Flood (TCP_Connections_Rate_Flood) 2
Conficker Virus 485
Traffic Spike 2
Worm Virut-Virux 247
Ping Flood (Ping_Flood) 13
Smurf_Attack 4 TCP Connection Flood (TCP_Connections_Rate_Flood) 2 P2P_Activity 1 ET SCAN Potential SSH Scan 4 Nmap_OS_Fingerprint 1
WEB-PHP Setup.php access 8
HTTP_GET_DotDot_Data 1
Hacking Attemp 5
UDP_Network_Scan 1
WEB-MISC backup access 9
ICMP Source Quench 8
RAR_Invalid_Magic_Bytes 2 FTP_Auth_Failed 2
WEB-CGI calendar access 4
HTTP_IE_URI_Arg_Injection 1 SQL probe response overflow attempt 1 WEB-MISC Quicktime User-Agent buffer overflow attempt 1 ET WEB_CLIENT Possible HTTP 404 XSS Attempt (External Source) 3 ET WEB_SERVER PHP Attack Tool Morfeus F Scanner 1 ET POLICY Inbound Frequent Emails - Possible Spambot In 3 WEBROOT DIRECTORY TRAVERSAL 11
Nama Insiden Total
WEB-PHP Setup.php access 2
ET SCAN Multiple FTP Administrator Login Attempts from Single Source -
Possible Brute Force Attempt 2
ICMP PING NMAP 3
ET POLICY FTP Login Attempt (non-anonymous) 8 SQL probe response overflow attempt 1 ET SCAN Sipvicious Svmap or Svlearnfp Scan Detected 2 ET P2P Edonkey Server List 1 ET POLICY Suspicious inbound to mySQL port 3306 5 TCP_Port_Scan 2 ET SCAN Potential VNC Scan 5900-5920 1 SNMP_Crack 1
WEB-MISC /etc/passwd 1
WEB-MISC cat%20 access 1
CSS_String_Heap_Corruption 7
ICMP superscan echo 1
Trace_Route_UDP 1
TFTP Get 1
DOS ath 1
ET SCAN w3af User Agent [ Ticket # ISAT-20101107-01X] 1 ET POLICY Possible Spambot Host DNS MX Query High Count 2 ET POLICY Possible Trojan File Download - Rar Requested 1 WEB-IIS view source via translate header 1 Email_Name_Overflow 1 Email_Encap_Relay 1 ET WEB_CLIENT Possible HTTP 404 XSS Attempt 1 ET WEB_SERVER Possible SQL Injection Attempt SELECT FROM 1 ET WEB_SERVER MYSQL Benchmark Command in URI to Consume Server
Resources 1 ET MALWARE Hex Encoded IP HTTP Request - Likely Malware 1 Email_Encap_Relay 2 Email_Name_Overflow 2 ET SCAN Cisco Torch SNMP Scan 1 ET SCAN LibSSH Based Frequent SSH Connections Likely BruteForce Attack! 1 FTP_User_Root 2 ET POLICY FTP Login Attempt (non-anonymous) 2 FTP_Auth_Failed 2 SQL probe response overflow attempt 1 ICMP PING Microsoft Windows 1
Nama Insiden Total
Scanning Activity 4
WEB_SERVER PHP tags in HTTP POST 2 ET SCAN Havij SQL Injection Tool User-Agent Inbound 2 ET WEB_SPECIFIC_APPS phpMyAdmin Remote Code Execution Proof of
Concept (p=) 1
Acunetix Scanning Activity 1
Nikto Scanning Activity 1
Havij SQL Injection 2
ET SCAN ZmEu Scanner User-Agent Inbound 4 SCAN Tomcat Web Application Manager scanning 1 Acunetix Scanning Activity 1
SSH Brute Force Attack 1
Scanning Activity 2
w3af Scanning Activity 1
GPL SCAN superscan echo 1
ET WEB_SERVER Muieblackcat scanner 1
Havij SQL Injection Tool 1
GPL SCAN superscan echo 3
FTP Brute-Force 1
Grand Total 1348
Rata-rata jumlah insiden : 51 insiden/bulan Insiden Maret – May 2012
Nama Insiden Total Worm Virut-Virux 31
Ping_sweep 10 Conficker Virus 55
Ping Flood (Ping_Flood) 9
Smurf_Attack 4 Suspicious SSH Login Failure 1
Scanning Activity 1 ET SCAN ZmEu Scanner User-Agent
Inbound 1 backdoor shell 1
Nessus Scanning Activity 1 HTTP ATTACK (HTTP OPTIONS) 1
Grand Total 115
xxix