SECURITY	
  INCIDENT	
  	
  
KOORDINASI	
  PENGELOLAAN	
  INCIDENT	
  
IGN	
  Mantra,	
  	
  
Email:	
  mantra@acad-­‐csir...
Security	
  Incident	
  
#ACAD-­‐CSIRT	
  
Security	
  Incident	
  
Pendekatan	
  :	
  
Segala	
  kejadian	
  riil	
  
atau	
  yang	
  
merugikan	
...
#ACAD-­‐CSIRT	
  
Pendekatan	
  Og	
  Security	
  Incident	
  
IsLlah	
  “Insiden”	
  sangat	
  relaLf	
  pengerLannya,	
 ...
#ACAD-­‐CSIRT	
  
Contoh	
  :	
  Kategori	
  Incident	
  
Pelanggaran	
  secara	
  implisit	
  dan	
  eksplisit	
  kepada	...
#ACAD-­‐CSIRT	
  
Contoh	
  :	
  	
  
Klasifikasi	
  Informasi	
  &	
  Security	
  Incident	
  
TOP	
  SECRET	
  
SECRET	
 ...
#ACAD-­‐CSIRT	
  
Kategori	
  Incident	
  
Low	
  Level	
  
Incident	
  
Medium	
  
Level	
  
Incident	
  
High	
  Level	
...
#ACAD-­‐CSIRT	
  
Low	
  Level	
  Incident	
  
Hanya	
  berdampak	
  sedikit	
  kerusakan	
  pada	
  asset	
  TI	
  
insLt...
#ACAD-­‐CSIRT	
  
Medium	
  Level	
  Incident	
  	
  
Dapat	
  dikatakan	
  incident	
  yang	
  ditangani	
  lebih	
  seri...
#ACAD-­‐CSIRT	
  
High	
  Level	
  Incident	
  	
  
Dapat	
  dikatakan	
  incident	
  yang	
  terjadi	
  sangat	
  serius	...
#ACAD-­‐CSIRT	
  
Bagaimana	
  mengidenLfikasi	
  Incident	
  ?	
  
Alarm	
  security	
  berbunyi	
  memberikan	
  noLfikasi...
#ACAD-­‐CSIRT	
  
InformaLon	
  Security	
  Life	
  Cycle	
  	
  
DetecLon	
  
Incident	
  Response	
  
Countermeasure	
  
INCIDENT	
  RESPONSE	
  TEAM	
  
CERT	
  Logo	
  
Forum	
  Incident	
  Response	
  Team	
  
274 team
@
59 negara
AP-­‐CERT,	
  Asia	
  Pasific	
  
TOTAL 30 MEMBER
22 Full Member
8 General Member
#ACAD-­‐CSIRT	
  
Nasional	
  CERT	
  
IDCERT	
   ID-­‐SIRTI	
   ACAD-­‐CSIRT	
  
ID	
  GOV-­‐CERT	
   ID	
  MIL-­‐CERT	
 ...
Anggota	
  CERT	
  
TERBESAR
30.000
staf
@CNCERT
TERKECIL
2-5 staf
@CERT
negara2
CERT	
  Members	
  
#ACAD-­‐CSIRT	
  
Koordinasi	
  Incident	
  di	
  Academic	
  CSIRT	
  	
  
Laporan	
  
Incident	
  
dari	
  
Internal	
  ...
#ACAD-­‐CSIRT	
  
Koordinasi	
  dibawah	
  ACAD-­‐CSIRT	
  
Tim	
  Incident	
  Response	
  Kampus	
  
Tim	
  Incident	
  R...
Tugas	
  CSIRT	
  
#ACAD-­‐CSIRT	
  
Pembangunan	
  dan	
  Pengembangan	
  
CSIRT	
  
Stage	
  1	
  
EducaLng	
  the	
  
organizaLon	
  
Stag...
#ACAD-­‐CSIRT	
  
Struktur	
  SDM	
  dan	
  Koordinasi	
  
Operasional	
  
Management	
  
Middle	
  
Management	
  
Top	
 ...
#ACAD-­‐CSIRT	
  
Koordinasi	
  membutuhkan	
  
Masyarakat	
  dan	
  Negara	
  
CSIRT	
  
Masyarakat	
  
dan	
  Negara	
  
#ACAD-­‐CSIRT	
  
CSIRT	
  Body	
  
CSIRT	
  
Sector	
  
CSIRT	
  
Nasional	
  
CSIRT	
  Team	
  
CSIRT	
  InsLtusi	
  
Ke...
#ACAD-­‐CSIRT	
  
Struktur	
  CSIRT	
  
Team	
  
CSIRT	
  
Sector	
  
CSIRT	
  
Nasional	
  
IDSIRTII	
  
Telekomunikasi	
...
#ACAD-­‐CSIRT	
  
Infrastruktur	
  CSIRT	
  
Console	
  
Sensor	
  
Analizer	
  
Server	
  
Storage	
  
#ACAD-­‐CSIRT	
  
Tugas	
  ACAD-­‐CSIRT	
  
PREVENTIF	
   DETEKSI	
  
RESPON	
  
RISET	
  DAN	
  
PENGEMBANGAN	
  
#ACAD-­‐CSIRT	
  
Kesimpulan	
  :	
  CSIRT	
  dan	
  Koordinasi	
  
CSIRT	
  adalah	
  lembaga	
  keamanan	
  nirlaba	
  u...
TERIMA	
  KASIH	
  
Contact	
  :	
  
Informa:ons	
  :	
  info@acad-­‐csirt.or.id	
  
Incident	
  Response	
  :	
  incident...
Upcoming SlideShare
Loading in …5
×

Security incident response seminar IDSIRTII

278 views
199 views

Published on

Security Incidenr Response and Coordination
IDSIRTII - ACADEMIC CSIRT/CERT

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
278
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security incident response seminar IDSIRTII

  1. 1. SECURITY  INCIDENT     KOORDINASI  PENGELOLAAN  INCIDENT   IGN  Mantra,     Email:  mantra@acad-­‐csirt.or.id,     URL:  acad-­‐csirt.or.id  
  2. 2. Security  Incident  
  3. 3. #ACAD-­‐CSIRT   Security  Incident   Pendekatan  :   Segala  kejadian  riil   atau  yang   merugikan  kepada   sistem  keamanan   komputer  dan   jaringan  komputer   di  sebuah  insLtusi.   Pelanggaran   terhadap   kebijakan   keamanan   insLtusi         (Security  Policy).    
  4. 4. #ACAD-­‐CSIRT   Pendekatan  Og  Security  Incident   IsLlah  “Insiden”  sangat  relaLf  pengerLannya,  seLap  organisasi   menterjemahkan  insiden  tergantung  dari  kebutuhannya.   AkLfitas  Insiden  Keamanan  Komputer  merupakan  sebuah  akLfitas  yang   potensial  mengancam  sistem  keamanan  komputer.   Insiden  dapat  mengalami  kesuksesan  (sistem  jebol)  atau  bisa  juga  gagal   (Ldak  terjadi  apa-­‐apa).   Insiden  bisa  terjadi  karena  kecurigaan  atau  memang  riil  terjadi.   Insiden  dapat  berupa  pelanggaran  aturan  keamanan  baik  tersirat  maupun   tersurat  
  5. 5. #ACAD-­‐CSIRT   Contoh  :  Kategori  Incident   Pelanggaran  secara  implisit  dan  eksplisit  kepada   kebijakan  keamanan  di  perusahaan.   Upaya  untuk  masuk  ke  dalam  sistem  secara  Ldak  sah.   Percobaan  mengambil  resource.   Menggunakan  dokumen  elektronik  (confidenLal)   tanpa  ijin.   Melakukan  modifikasi  tanpa  sepengetahuan  pemilik,   mengubah  instruksi  dan  sebagainya.  
  6. 6. #ACAD-­‐CSIRT   Contoh  :     Klasifikasi  Informasi  &  Security  Incident   TOP  SECRET   SECRET   CONFIDENTIAL   RESTRICTED   TIDAK   TERKLASIFIKASI  
  7. 7. #ACAD-­‐CSIRT   Kategori  Incident   Low  Level   Incident   Medium   Level   Incident   High  Level   Incident  
  8. 8. #ACAD-­‐CSIRT   Low  Level  Incident   Hanya  berdampak  sedikit  kerusakan  pada  asset  TI   insLtusi,  Lm  incident  dapat  menyelesaikan/ menangani  problem  incident  tersebut  dalam  waktu   1x24  jam,     IdenLfikasi  seperL  :  kehilangan  atau  lupa  password   personal,  ditemukan  adanya  sharing  account   organisasi,  ditemukannya  aksi  scanning  di  network   logs  dan  gagal,  ditemukan  virus  dan  worm  di  network.  
  9. 9. #ACAD-­‐CSIRT   Medium  Level  Incident     Dapat  dikatakan  incident  yang  ditangani  lebih  serius  dari  low  level   incident  dan  penanganan  incident  seperL  dapat  diselesaikan  dalam   waktu  1x24  jam.     IdenLfikasi  seperL  :     • pelanggaran  akses  ke  fasilitas  komputer/data  center,     • pemecatan  karyawan  secara  Ldak  hormat,  penyimpanan  dan  penggunaan  data  tanpa  ijin,     • perusakan  property  dan  perusakan  ke  fasilitas  komputer/data  center  paling  sedikit  mencapai   1  Miliar  Rp.,     • pencurian  data  dan  fasilitas  komputer  mencapai  1  Miliar  Rp.,     • perusakan  data  karena  virus  dan  worm  intensitasnya  cukup  besar,     • pelanggaran  akses  ke  physical  security  baik  pagar,  bangunan  dan  data  center.  
  10. 10. #ACAD-­‐CSIRT   High  Level  Incident     Dapat  dikatakan  incident  yang  terjadi  sangat  serius  untuk  disikapi  oleh  Lm  incident  karena   sudah  berdampak  luas  kepada  insLtusi,  Lm  incident  harus  merespon  secara  cepat  untuk   menutup  segala  kemungkinan  yang  terjadi  baik  yang  disebabkan  oleh  alam  maupun  oleh   manusia.  Penanganan  incident  ini  harus  kurang  dari  1x24  jam  dari  mulai  terjadi  incident   dan  diketahui  oleh  Lm,       Iden_ikasi  seperL  :     • Serangan  secara  massive  baik  DoS  maupun  DDoS,     • komputer  yang  dirusak/mengalami  kerusakan  dan  teridenLfikasi  oleh  Lm  incident,     • komputer  bervirus/worm  dengan  intensitas  penyebaran  yang  meluas  (contoh  stuxnet,  trojan,  backdoor),     • Mengubah  sistem  hardware,  firmware,  konfigurasi  so`ware  tanpa  ijin  admin,  perusakan  property  melebihi  1  Miliar   Rp.,     • Personal/hacker  yang  mencuri  asset/data  melebihi  1  Miliar  Rp.,  pelanggaran  hukum  karena  akses  dan  penyimpanan   hal-­‐hal  yang  dilarang  seperL  judi  online,  pornografi,  terorisme  dll.  
  11. 11. #ACAD-­‐CSIRT   Bagaimana  mengidenLfikasi  Incident  ?   Alarm  security  berbunyi  memberikan  noLfikasi  bahwa  di  peralatan  intruder  detecLon  system   ada  indikasi  menembus  sistem  security,  sehingga  Lm  akan  fokus  dimana  alarm  tersebut   berbunyi.   Ditemukan  adanya  tersangka  yang  berada  di  dalam  network.   Tidak  adanya  perhitungan  log  (accounLng  logs)  di  dalam  monitoring  selama  sekian  menit  atau   adanya  gap  logs  sehingga  selama  sekian  menit  Ldak  termonitor  di  monitoring  center.   Terlihat  di  Lm  monitor  network,  percobaan  melakukan  access  control  berkali-­‐kali  dan  Ldak   berhasil,  terlihat  trafik  Ldak  semesLnya  keluar  dari  network  yang  dijaga  (DMZ)  baik  internal   maupun  eksternal,  percobaan  untuk  write  system  files,  melakukan  modifikasi  dan  mendelete   file2  data.   Menggunakan  pola  yang  Ldak  biasanya,  seperL  melakukan  compile  program  kepada  account   user  yang  bukan  para  programmer  di  dalam  insLtusi  tersebut.  
  12. 12. #ACAD-­‐CSIRT   InformaLon  Security  Life  Cycle     DetecLon   Incident  Response   Countermeasure  
  13. 13. INCIDENT  RESPONSE  TEAM  
  14. 14. CERT  Logo  
  15. 15. Forum  Incident  Response  Team   274 team @ 59 negara
  16. 16. AP-­‐CERT,  Asia  Pasific   TOTAL 30 MEMBER 22 Full Member 8 General Member
  17. 17. #ACAD-­‐CSIRT   Nasional  CERT   IDCERT   ID-­‐SIRTI   ACAD-­‐CSIRT   ID  GOV-­‐CERT   ID  MIL-­‐CERT   SECTOR  CERT  
  18. 18. Anggota  CERT   TERBESAR 30.000 staf @CNCERT TERKECIL 2-5 staf @CERT negara2
  19. 19. CERT  Members  
  20. 20. #ACAD-­‐CSIRT   Koordinasi  Incident  di  Academic  CSIRT     Laporan   Incident   dari   Internal   Laporan   Incident   dari   External   Koordinasi   Kolaborasi  
  21. 21. #ACAD-­‐CSIRT   Koordinasi  dibawah  ACAD-­‐CSIRT   Tim  Incident  Response  Kampus   Tim  Incident  Response  ACAD-­‐CSIRT   Koordinasi  ke  CSIRT  Nasional   • IDSIRTII,  IDCERT,  GOVCERT,  TNI   APCERT   FIRST  
  22. 22. Tugas  CSIRT  
  23. 23. #ACAD-­‐CSIRT   Pembangunan  dan  Pengembangan   CSIRT   Stage  1   EducaLng  the   organizaLon   Stage  2       Planning  effort   Stage  3                 IniLal   implementaLon   Stage  4   OperaLonal   phase   Stage  5                     Peer   collaboraLon  
  24. 24. #ACAD-­‐CSIRT   Struktur  SDM  dan  Koordinasi   Operasional   Management   Middle   Management   Top  Management   Ketua/ Wakil   Dep.1   Ops.11   Ops.12   Dep.2   Ops.21   Ops.22  
  25. 25. #ACAD-­‐CSIRT   Koordinasi  membutuhkan   Masyarakat  dan  Negara   CSIRT   Masyarakat   dan  Negara  
  26. 26. #ACAD-­‐CSIRT   CSIRT  Body   CSIRT   Sector   CSIRT   Nasional   CSIRT  Team   CSIRT  InsLtusi   Kementerian   CSIRT  Team   Organisasi   Induk  
  27. 27. #ACAD-­‐CSIRT   Struktur  CSIRT   Team   CSIRT   Sector   CSIRT   Nasional   IDSIRTII   Telekomunikasi   Telkom-­‐CSIRT   Indosat-­‐CSIRT   Akademik   ACAD-­‐CSIRT  
  28. 28. #ACAD-­‐CSIRT   Infrastruktur  CSIRT   Console   Sensor   Analizer   Server   Storage  
  29. 29. #ACAD-­‐CSIRT   Tugas  ACAD-­‐CSIRT   PREVENTIF   DETEKSI   RESPON   RISET  DAN   PENGEMBANGAN  
  30. 30. #ACAD-­‐CSIRT   Kesimpulan  :  CSIRT  dan  Koordinasi   CSIRT  adalah  lembaga  keamanan  nirlaba  untuk   tanggap  darurat  mengatasi  insiden  keamanan.   CSIRT  diperlukan  karena  hukum.     CSIRT  dibentuk  oleh  negara,  industri  atau   pendidikan.   CSIRT  memiliki  kebijakan  keamanan,  mendeteksi,   penanganan  insiden  dan  kolaborasi.   CSIRT  memiliki  sumber  pendanaan  yg  jelas  dan   terencana.  
  31. 31. TERIMA  KASIH   Contact  :   Informa:ons  :  info@acad-­‐csirt.or.id   Incident  Response  :  incident@acad-­‐csirt.or.id   URL  :  hEp://www.acad-­‐csirt.or.id  

×