IGN MANTRA Security Incident Seminar IDSIRTII
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

IGN MANTRA Security Incident Seminar IDSIRTII

  • 453 views
Uploaded on

Coordination and Incident Response in IDSIRTII Seminar ...

Coordination and Incident Response in IDSIRTII Seminar
Tuesday, 2 Juli 2013, Royal Kuningan, Jakarta
Response and Coordination on Cyber Incident

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
453
On Slideshare
453
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
63
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SECURITY  INCIDENT     KOORDINASI  PENGELOLAAN  INCIDENT   IGN  Mantra,     Email:  mantra@acad-­‐csirt.or.id,     URL:  acad-­‐csirt.or.id  
  • 2. Security  Incident  
  • 3. #ACAD-­‐CSIRT   Security  Incident   Pendekatan  :   Segala  kejadian  riil   atau  yang   merugikan  kepada   sistem  keamanan   komputer  dan   jaringan  komputer   di  sebuah  insLtusi.   Pelanggaran   terhadap   kebijakan   keamanan   insLtusi         (Security  Policy).    
  • 4. #ACAD-­‐CSIRT   Pendekatan  Og  Security  Incident   IsLlah  “Insiden”  sangat  relaLf  pengerLannya,  seLap  organisasi   menterjemahkan  insiden  tergantung  dari  kebutuhannya.   AkLfitas  Insiden  Keamanan  Komputer  merupakan  sebuah  akLfitas  yang   potensial  mengancam  sistem  keamanan  komputer.   Insiden  dapat  mengalami  kesuksesan  (sistem  jebol)  atau  bisa  juga  gagal   (Ldak  terjadi  apa-­‐apa).   Insiden  bisa  terjadi  karena  kecurigaan  atau  memang  riil  terjadi.   Insiden  dapat  berupa  pelanggaran  aturan  keamanan  baik  tersirat  maupun   tersurat  
  • 5. #ACAD-­‐CSIRT   Contoh  :  Kategori  Incident   Pelanggaran  secara  implisit  dan  eksplisit  kepada   kebijakan  keamanan  di  perusahaan.   Upaya  untuk  masuk  ke  dalam  sistem  secara  Ldak  sah.   Percobaan  mengambil  resource.   Menggunakan  dokumen  elektronik  (confidenLal)   tanpa  ijin.   Melakukan  modifikasi  tanpa  sepengetahuan  pemilik,   mengubah  instruksi  dan  sebagainya.  
  • 6. #ACAD-­‐CSIRT   Contoh  :     Klasifikasi  Informasi  &  Security  Incident   TOP  SECRET   SECRET   CONFIDENTIAL   RESTRICTED   TIDAK   TERKLASIFIKASI  
  • 7. #ACAD-­‐CSIRT   Kategori  Incident   Low  Level   Incident   Medium   Level   Incident   High  Level   Incident  
  • 8. #ACAD-­‐CSIRT   Low  Level  Incident   Hanya  berdampak  sedikit  kerusakan  pada  asset  TI   insLtusi,  Lm  incident  dapat  menyelesaikan/ menangani  problem  incident  tersebut  dalam  waktu   1x24  jam,     IdenLfikasi  seperL  :  kehilangan  atau  lupa  password   personal,  ditemukan  adanya  sharing  account   organisasi,  ditemukannya  aksi  scanning  di  network   logs  dan  gagal,  ditemukan  virus  dan  worm  di  network.  
  • 9. #ACAD-­‐CSIRT   Medium  Level  Incident     Dapat  dikatakan  incident  yang  ditangani  lebih  serius  dari  low  level   incident  dan  penanganan  incident  seperL  dapat  diselesaikan  dalam   waktu  1x24  jam.     IdenLfikasi  seperL  :     • pelanggaran  akses  ke  fasilitas  komputer/data  center,     • pemecatan  karyawan  secara  Ldak  hormat,  penyimpanan  dan  penggunaan  data  tanpa  ijin,     • perusakan  property  dan  perusakan  ke  fasilitas  komputer/data  center  paling  sedikit  mencapai   1  Miliar  Rp.,     • pencurian  data  dan  fasilitas  komputer  mencapai  1  Miliar  Rp.,     • perusakan  data  karena  virus  dan  worm  intensitasnya  cukup  besar,     • pelanggaran  akses  ke  physical  security  baik  pagar,  bangunan  dan  data  center.  
  • 10. #ACAD-­‐CSIRT   High  Level  Incident     Dapat  dikatakan  incident  yang  terjadi  sangat  serius  untuk  disikapi  oleh  Lm  incident  karena   sudah  berdampak  luas  kepada  insLtusi,  Lm  incident  harus  merespon  secara  cepat  untuk   menutup  segala  kemungkinan  yang  terjadi  baik  yang  disebabkan  oleh  alam  maupun  oleh   manusia.  Penanganan  incident  ini  harus  kurang  dari  1x24  jam  dari  mulai  terjadi  incident   dan  diketahui  oleh  Lm,       Iden_ikasi  seperL  :     • Serangan  secara  massive  baik  DoS  maupun  DDoS,     • komputer  yang  dirusak/mengalami  kerusakan  dan  teridenLfikasi  oleh  Lm  incident,     • komputer  bervirus/worm  dengan  intensitas  penyebaran  yang  meluas  (contoh  stuxnet,  trojan,  backdoor),     • Mengubah  sistem  hardware,  firmware,  konfigurasi  so`ware  tanpa  ijin  admin,  perusakan  property  melebihi  1  Miliar   Rp.,     • Personal/hacker  yang  mencuri  asset/data  melebihi  1  Miliar  Rp.,  pelanggaran  hukum  karena  akses  dan  penyimpanan   hal-­‐hal  yang  dilarang  seperL  judi  online,  pornografi,  terorisme  dll.  
  • 11. #ACAD-­‐CSIRT   Bagaimana  mengidenLfikasi  Incident  ?   Alarm  security  berbunyi  memberikan  noLfikasi  bahwa  di  peralatan  intruder  detecLon  system   ada  indikasi  menembus  sistem  security,  sehingga  Lm  akan  fokus  dimana  alarm  tersebut   berbunyi.   Ditemukan  adanya  tersangka  yang  berada  di  dalam  network.   Tidak  adanya  perhitungan  log  (accounLng  logs)  di  dalam  monitoring  selama  sekian  menit  atau   adanya  gap  logs  sehingga  selama  sekian  menit  Ldak  termonitor  di  monitoring  center.   Terlihat  di  Lm  monitor  network,  percobaan  melakukan  access  control  berkali-­‐kali  dan  Ldak   berhasil,  terlihat  trafik  Ldak  semesLnya  keluar  dari  network  yang  dijaga  (DMZ)  baik  internal   maupun  eksternal,  percobaan  untuk  write  system  files,  melakukan  modifikasi  dan  mendelete   file2  data.   Menggunakan  pola  yang  Ldak  biasanya,  seperL  melakukan  compile  program  kepada  account   user  yang  bukan  para  programmer  di  dalam  insLtusi  tersebut.  
  • 12. #ACAD-­‐CSIRT   InformaLon  Security  Life  Cycle     DetecLon   Incident  Response   Countermeasure  
  • 13. INCIDENT  RESPONSE  TEAM  
  • 14. CERT  Logo  
  • 15. Forum  Incident  Response  Team   274 team @ 59 negara
  • 16. AP-­‐CERT,  Asia  Pasific   TOTAL 30 MEMBER 22 Full Member 8 General Member
  • 17. #ACAD-­‐CSIRT   Nasional  CERT   IDCERT   ID-­‐SIRTI   ACAD-­‐CSIRT   ID  GOV-­‐CERT   ID  MIL-­‐CERT   SECTOR  CERT  
  • 18. Anggota  CERT   TERBESAR 30.000 staf @CNCERT TERKECIL 2-5 staf @CERT negara2
  • 19. CERT  Members  
  • 20. #ACAD-­‐CSIRT   Koordinasi  Incident  di  Academic  CSIRT     Laporan   Incident   dari   Internal   Laporan   Incident   dari   External   Koordinasi   Kolaborasi  
  • 21. #ACAD-­‐CSIRT   Koordinasi  dibawah  ACAD-­‐CSIRT   Tim  Incident  Response  Kampus   Tim  Incident  Response  ACAD-­‐CSIRT   Koordinasi  ke  CSIRT  Nasional   • IDSIRTII,  IDCERT,  GOVCERT,  TNI   APCERT   FIRST  
  • 22. Tugas  CSIRT  
  • 23. #ACAD-­‐CSIRT   Pembangunan  dan  Pengembangan   CSIRT   Stage  1   EducaLng  the   organizaLon   Stage  2       Planning  effort   Stage  3                 IniLal   implementaLon   Stage  4   OperaLonal   phase   Stage  5                     Peer   collaboraLon  
  • 24. #ACAD-­‐CSIRT   Struktur  SDM  dan  Koordinasi   Operasional   Management   Middle   Management   Top  Management   Ketua/ Wakil   Dep.1   Ops.11   Ops.12   Dep.2   Ops.21   Ops.22  
  • 25. #ACAD-­‐CSIRT   Koordinasi  membutuhkan   Masyarakat  dan  Negara   CSIRT   Masyarakat   dan  Negara  
  • 26. #ACAD-­‐CSIRT   CSIRT  Body   CSIRT   Sector   CSIRT   Nasional   CSIRT  Team   CSIRT  InsLtusi   Kementerian   CSIRT  Team   Organisasi   Induk  
  • 27. #ACAD-­‐CSIRT   Struktur  CSIRT   Team   CSIRT   Sector   CSIRT   Nasional   IDSIRTII   Telekomunikasi   Telkom-­‐CSIRT   Indosat-­‐CSIRT   Akademik   ACAD-­‐CSIRT  
  • 28. #ACAD-­‐CSIRT   Infrastruktur  CSIRT   Console   Sensor   Analizer   Server   Storage  
  • 29. #ACAD-­‐CSIRT   Tugas  ACAD-­‐CSIRT   PREVENTIF   DETEKSI   RESPON   RISET  DAN   PENGEMBANGAN  
  • 30. #ACAD-­‐CSIRT   Kesimpulan  :  CSIRT  dan  Koordinasi   CSIRT  adalah  lembaga  keamanan  nirlaba  untuk   tanggap  darurat  mengatasi  insiden  keamanan.   CSIRT  diperlukan  karena  hukum.     CSIRT  dibentuk  oleh  negara,  industri  atau   pendidikan.   CSIRT  memiliki  kebijakan  keamanan,  mendeteksi,   penanganan  insiden  dan  kolaborasi.   CSIRT  memiliki  sumber  pendanaan  yg  jelas  dan   terencana.  
  • 31. TERIMA  KASIH   Contact  :   Informa:ons  :  info@acad-­‐csirt.or.id   Incident  Response  :  incident@acad-­‐csirt.or.id   URL  :  hEp://www.acad-­‐csirt.or.id