PENTINGNYA MEMILIKI
CSIRT INTERNAL
Apakah insiden itu?
•
Dalam konteks Keamanan Informasi
•
adalah kejadian yang mengganggu beropersinya system IT
seperti infeksi virus, ilegal akses, kebocoran informasi, serangan
DDOS.
Catatan: Sistem elektronik lumpuh bisa disebabkan bank hal seperti
kerusakan perangkat keras, bug pada perangkat lunak, kekurangan
memori, kesalahan konfigurasi, kesalahan operational dan insiden.
Kenyataannya
…
•
Banyak orang beranggapan, jika dilakukan penerapan
“Sistem Manajemen Keamanan Informasi (ISO 27001)”
seharusnya mampu “mencegah semua insiden”
•
Namun, faktanya ada…
•
Kesalahan manusia (contoh : lupa instal patches)
•
Serangan malware pada kerentanan yang belum diketahui
•
Keterbatasan kemampuan dan jumlah SDM pendukung
•
Insiden di Indonesia
•
Pada tahun 2014, terjadi 3288 insiden pada domain “go.id”
Apakah CSIRT?
•
CSIRT adalah Computer Security Incident
Response Team
•
CSIRT bertanggungjawab terhadap insiden
respon
•
Insiden respon adalah proses penanganan insiden
keamanan informasi.
•
Tujuan utama insiden respon adalah
•
menghentikan meluasnya dampak insiden.
•
mengembalikan sistem yang terpengaruh insiden agar dapat
beroperasi normal kembali
Apa yang dilakukan CSIRT?
•
Menyediakan layanan bagi user internal (konstituen).
•
Menyediakan layanan pelaporan satu pintu
•
Menyediakan dukungan teknis untuk merespon insiden
•
Memberikan informasi bagi pengambil keputusan untuk merespon
insiden
•
Mengkoordinasikan antar divisi yang berkaitan jika insiden terjadi
dibeberapa tempat.
•
Memberikan awareness terhadap Keamanan Informasi.
•
Menyedikan layanan bagi orang diluar organisasi
•
Bekerja sebagai kontak poin
Mengapa butuh CSIRT?
•
Tindakan berbahaya dapat terjadi dimana saja
• Awalnya, sebagian besar penyerang termotivasi oleh alasan teknis, tetapi saat
ini , sebagian besar dari mereka termotivasi oleh uang dan / atau niat politik .
Ini berarti bahwa penyerang tidak pernah menghentikan kegiatan mereka dan
teknik hacking mereka semakin hari semakin canggih.
•
Pemerintah memiliki data penting yang menarik
penyerang.
•
Misalnya, informasi pribadi masyarakat, data pengadaan pemerintah,
pengumuman pemerintah
Dengan CSIRT, organisasi mampu merespon insiden dg cepat, efisien
dan efektif. Insiden respond yang cepat mampu meminimalisir
Tujuan CSIRT
Merespon insiden yang terjadi pada organisasi secara internal
Internal
CSIRT
Insiden
Konstituen
(Definisikan siapa yang akan di support
oleh CSIRT)
A
pa bedanya CSIRT dengan Divisi IT?
•
Menjadi pusat analisa dan pelaporan insiden
•
Berperan sebagai koordinator penanganan insiden
untuk internal organisasi.
•
Berkolaborasi dengan organisasi eksternal seperti
tim keamanan dan lembaga penegak hukum
• Menjaga sistem up to date dan
menginstal patch
• Ketika insiden terjadi ,
menemukan cara untuk
mengurangi dampak insiden
CSIRT
Security team in
IT department
Monitoring jaringan
dan sistem
…. lanjutan
•
Tim Keamanan Informasi pada Divisi IT
•
Fungsi utama nya menjaga agar sistem IT berjalan normal
•
Tim ini tidak bisa menangani insiden pada sistem diluar kendali mereka (seperti
system yang dikelola oleh user langsung atau organisers di luar.
•
CSIRT
•
Fungsi Utama CSIRT adalah merespon insiden.
•
Menyediakan layanan konsolidasi penanganan insiden
•
CSIRT works as a coordinator or responds incidents across an organization
•
Internal staff (= constituency) regards CSIRT as a single window for reporting and
responding incidents
•
External organizations regard it as a single point of contact (SPOC) for exchanging
incident information
CSIRT is the best practice to realize „consolidated and
organizational incident response‟
Keuntungan memiliki CSIRT
Menyatukan manajeman informasi insiden
Higher management Higher management
Internal CSIRT
Keuntungan memiliki CSIRT
Satu pintu untuk layanan organisasi diluar
E
xte
rn
a
l
E
xte
rn
a
l
E
xte
rn
a
l
E
xte
rn
a
l
E
xte
rn
a
l
E
xte
rn
a
l
Higher management Higher management
CSIRT in
overseas
Internal CSIRT
ID-SIRTII/CC
GovCSIRT
CSIRTs in
Indonesia
Jenis Layanan CSIRT
•
Layanan Reaktif
•
Layanan ini dipicu oleh kejadian atau permintaan dari konstituen seperti laporan server
yang kena hack, terjangkit malware, atau ada deteksi pada IDS dan sistem log.
•
Layanan Reaktif adalah layanan utama dari CSIRT.
•
Layanan Proaktif
•
Layanan ini memberikan bantuan dan informasi yang membantu mempersiapkan,
melindungi, dan mengamankan sistem konstituen dalam mengantisipasi serangan,
masalah, atau peristiwa. Kinerja layanan ini akan langsung mengurangi jumlah insiden
di masa depan.
•
Security quality management services
•
These services augment existing and well-established services that are independent of
incident handling and traditionally performed by other areas of an organization such as
the IT, audit, or training departments. If the CSIRT performs or assists with these services,
the CSIRT‟s point of view and expertise can provide insight to help improve the overall
security of the organization and identify risks, threats, and system weaknesses. These
services are generally proactive but contribute indirectly to reducing the number of
incidents
Tahapan Pengembangan CSIRT
Stage 1 Stage 2 Stage 3 Stage 4
CSIRT
organization
structure
Example of
activities
Required staff
• Establish a contact point • Assign a contact • Establish a
for the inquiries from person in each technical team as a inside & outside division. part of local CSIRT organizations
• Record and monitor • Compile the • Compile more • Monitor the
incident handing status basic incident precise and wider traffic of (e.g. OTRS) statistic report coverage statistic network
• Define the report line for for presenting report • Detect APT the incidents according to higher managers • Support users to • Set honey their severity. and related respond the pot
• Report the incidents organization incidents such as according to the defined • Support users to phising,
report line. use appropriate defacement, SQL
• Grasp the technical anti-virus injection etc. problems of its IT software and • Conduct
infrastructure in terms of security patches. penetration test security • Hold an incident and support users
• Organize general drill locally. to fix the security awareness raising hole
seminars • Join the nation
• Keep logs of IT systems level incident drill.
2-3 people as the CSIRT core Stage 1 + 1-2 person/ Stage 2 + 5-6 technical Same as stage 3 member. division staff