PENTINGNYA MEMILIKI

CSIRT INTERNAL

Apakah insiden itu?

•

_{Dalam konteks Keamanan Informasi}

•

_{adalah kejadian yang mengganggu beropersinya system IT}

seperti infeksi virus, ilegal akses, kebocoran informasi, serangan

DDOS.

Catatan: Sistem elektronik lumpuh bisa disebabkan bank hal seperti

kerusakan perangkat keras, bug pada perangkat lunak, kekurangan

memori, kesalahan konfigurasi, kesalahan operational dan insiden.

Kenyataannya

…

•

_{Banyak orang beranggapan, jika dilakukan penerapan}

“Sistem Manajemen Keamanan Informasi (ISO 27001)”

seharusnya mampu “mencegah semua insiden”

•

Namun, faktanya ada…

•

_{Kesalahan manusia (contoh : lupa instal patches)}

•

_{Serangan malware pada kerentanan yang belum diketahui}

•

_{Keterbatasan kemampuan dan jumlah SDM pendukung}

•

_{Insiden di Indonesia}

•

Pada tahun 2014, terjadi 3288 insiden pada domain “go.id”

Apakah CSIRT?

•

_{CSIRT adalah Computer Security Incident}

Response Team

•

_{CSIRT bertanggungjawab terhadap insiden}

respon

•

_{Insiden respon adalah proses penanganan insiden}

keamanan informasi.

•

_{Tujuan utama insiden respon adalah}

•

menghentikan meluasnya dampak insiden.

•

mengembalikan sistem yang terpengaruh insiden agar dapat

beroperasi normal kembali

Apa yang dilakukan CSIRT?

•

_{Menyediakan layanan bagi user internal (konstituen).}

•

_{Menyediakan layanan pelaporan satu pintu}

•

_{Menyediakan dukungan teknis untuk merespon insiden}

•

_{Memberikan informasi bagi pengambil keputusan untuk merespon}

insiden

•

_{Mengkoordinasikan antar divisi yang berkaitan jika insiden terjadi}

dibeberapa tempat.

•

_{Memberikan awareness terhadap Keamanan Informasi.}

•

_{Menyedikan layanan bagi orang diluar organisasi}

•

_{Bekerja sebagai kontak poin}

Mengapa butuh CSIRT?

•

_{Tindakan berbahaya dapat terjadi dimana saja}

• Awalnya, sebagian besar penyerang termotivasi oleh alasan teknis, tetapi saat

ini , sebagian besar dari mereka termotivasi oleh uang dan / atau niat politik .

Ini berarti bahwa penyerang tidak pernah menghentikan kegiatan mereka dan

teknik hacking mereka semakin hari semakin canggih.

•

_{Pemerintah memiliki data penting yang menarik}

penyerang.

•

_{Misalnya, informasi pribadi masyarakat, data pengadaan pemerintah,}

pengumuman pemerintah

Dengan CSIRT, organisasi mampu merespon insiden dg cepat, efisien

dan efektif. Insiden respond yang cepat mampu meminimalisir

Tujuan CSIRT

Merespon insiden yang terjadi pada organisasi secara internal

Internal

CSIRT

Insiden

Konstituen

(Definisikan siapa yang akan di support

oleh CSIRT)

A

pa bedanya CSIRT dengan Divisi IT?

•

Menjadi pusat analisa dan pelaporan insiden

•

Berperan sebagai koordinator penanganan insiden

untuk internal organisasi.

•

Berkolaborasi dengan organisasi eksternal seperti

tim keamanan dan lembaga penegak hukum

• Menjaga sistem up to date dan

menginstal patch

• Ketika insiden terjadi ,

menemukan cara untuk

mengurangi dampak insiden

CSIRT

Security team in

IT department

Monitoring jaringan

dan sistem

…. lanjutan

•

_{Tim Keamanan Informasi pada Divisi IT}

•

_{Fungsi utama nya menjaga agar sistem IT berjalan normal}

•

_{Tim ini tidak bisa menangani insiden pada sistem diluar kendali mereka (seperti}

system yang dikelola oleh user langsung atau organisers di luar.

•

_CSIRT

•

_{Fungsi Utama CSIRT adalah merespon insiden.}

•

_{Menyediakan layanan konsolidasi penanganan insiden}

•

CSIRT works as a coordinator or responds incidents across an organization

•

Internal staff (= constituency) regards CSIRT as a single window for reporting and

responding incidents

•

External organizations regard it as a single point of contact (SPOC) for exchanging

incident information

CSIRT is the best practice to realize „consolidated and

organizational incident response‟

Keuntungan memiliki CSIRT

Menyatukan manajeman informasi insiden

Higher management Higher management

Internal CSIRT

Keuntungan memiliki CSIRT

Satu pintu untuk layanan organisasi diluar

E

xte

rn

a

l

E

xte

rn

a

l

E

xte

rn

a

l

E

xte

rn

a

l

E

xte

rn

a

l

E

xte

rn

a

l

Higher management Higher management

CSIRT in

overseas

Internal CSIRT

ID-SIRTII/CC

GovCSIRT

CSIRTs in

Indonesia

Jenis Layanan CSIRT

•

Layanan Reaktif

•

Layanan ini dipicu oleh kejadian atau permintaan dari konstituen seperti laporan server

yang kena hack, terjangkit malware, atau ada deteksi pada IDS dan sistem log.

•

Layanan Reaktif adalah layanan utama dari CSIRT.

•

_{Layanan Proaktif}

•

Layanan ini memberikan bantuan dan informasi yang membantu mempersiapkan,

melindungi, dan mengamankan sistem konstituen dalam mengantisipasi serangan,

masalah, atau peristiwa. Kinerja layanan ini akan langsung mengurangi jumlah insiden

di masa depan.

•

Security quality management services

•

These services augment existing and well-established services that are independent of

incident handling and traditionally performed by other areas of an organization such as

the IT, audit, or training departments. If the CSIRT performs or assists with these services,

the CSIRT‟s point of view and expertise can provide insight to help improve the overall

security of the organization and identify risks, threats, and system weaknesses. These

services are generally proactive but contribute indirectly to reducing the number of

incidents

Tahapan Pengembangan CSIRT

Stage 1 Stage 2 Stage 3 Stage 4

CSIRT

organization

structure

Example of

activities

Required staff

• Establish a contact point • Assign a contact • Establish a

for the inquiries from person in each technical team as a inside & outside division. part of local CSIRT organizations

• Record and monitor • Compile the • Compile more • Monitor the

incident handing status basic incident precise and wider traffic of (e.g. OTRS) statistic report coverage statistic network

• Define the report line for for presenting report • Detect APT the incidents according to higher managers • Support users to • Set honey their severity. and related respond the pot

• Report the incidents organization incidents such as according to the defined • Support users to phising,

report line. use appropriate defacement, SQL

• Grasp the technical anti-virus injection etc. problems of its IT software and • Conduct

infrastructure in terms of security patches. penetration test security • Hold an incident and support users

• Organize general drill locally. to fix the security awareness raising hole

seminars • Join the nation

• Keep logs of IT systems level incident drill.

2-3 people as the CSIRT core Stage 1 + 1-2 person/ Stage 2 + 5-6 technical Same as stage 3 member. division staff

Your service list

CSIRT core services

Reactive service Proactive service Security Quality

Management

Services

• Alerts and Warnings

• Incident Handling

✓ Incident analysis

✓ Incident response on site

✓ Incident response support

✓ Incident response coordination

• Vulnerability Handling

✓ Vulnerability analysis

✓ Vulnerability response

✓ Vulnerability response

coordination

• Artifact Handling

✓ Artifact analysis

✓ Artifact response

✓ Artifact response coordination

• Announcements

• Technology Watch

• Security Audits or

Assessments

• Configuration and

Maintenance of

Security Tools,

Applications, and

Infrastructures

• Development of

Security Tools

• Intrusion Detection

Services

• Security-Related

Information

Dissemination

• Risk Analysis

• Business Continuity

and Disaster

• Recovery Planning

Security Consulting

• Awareness Building

• Education/Training

• Product Evaluation

or Certification

From ‘A step-by-step approach on how to setup a

CSIRT’, enisa, 2006

Langkah langkah pelayanan yang baik

•

_{Tanpa hubungan yang baik dengan konstituen, maka}

tidak dapat memberikan layanan CSIRT yang baik juga.

Langkah langkah pelayanan CSIRT yang baik

1.

Menerima laporan kejadian dari pengguna (konstituen)

Secara real time

2.

Bekerja sama dengan organisasi-organisasi

keamanan informasi eksternal

•

CSIRT internal harus memahami peran organisasi keamanan

informasi eksternal dan membangun hubungan baik dengan

mereka (IDSIRTII, Gov-CSIRT, ACAD CSIRT, dll)

3.

Mengamankan saluran komunikasi untuk saling

bertukar informasi tentang insiden keamanan

informasi (PKI, PGP, dll)