Seminar UBIDAR Palembang 20 June 2014

676 views

Published on

Seminar Keamanan Informasi, Honeynet/Honepot, Computer Security Incident Response Team, CSIRT, Universitas Bina Darma, Palembang, 20 Juni 2014, Kerjasama Honeynet, Direktorat Keamanan Informasi, Indonesia Academic CSIRT, Komunitas Keamanan Informasi.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
676
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seminar UBIDAR Palembang 20 June 2014

  1. 1. CSIRT  :  Apa  dan  Peranannya  di  Nasional   Disampaikan  oleh  :     IGN  MANTRA  –  Chairman   Peneli:  Cyber    War,  Cyber  Crime  dan  Cyber  Security       Indonesia  Academic  CSIRT     Seminar  Indonesia  Honeynet  –  Ditkaminfo   UBIDAR  –  20  Juni  2014  
  2. 2. BACKGROUND  
  3. 3. Internet  Live  Sta:s:c  
  4. 4. Internet  User  2014  (Juni)  vs  1993   1993   14jt   2005   1.0M   2014   2.9M  
  5. 5. Internet  User  :  by  Country  
  6. 6. Internet  User  :  Leader  Board   Indonesia   (13)   42,3  jt   Brazil  (5)   107,9  jt   Japan  (4)   109,3  jt   India  (3)   243,2  jt   USA  (2)   279,8  jt   CHINA(1)   641,6  jt  
  7. 7. Pertumbuhan  User  Internet  Indonesia   42,258,824    
  8. 8. SECURITY  INCIDENTS  
  9. 9.  Highlights  from  the  2014  Internet  Security  Threat  Report   Key  Findings               •  91%  increase  in  targeted  aMacks  campaigns  in  2013   •  62%  increase  in  the  number  of  breaches  in  2013     •  Over  552M  idenSSes  were  exposed  via  breaches  in   2013   •  23  zero-­‐day  vulnerabiliSes  discovered   •  38%  of  mobile  users  have  experienced  mobile   cybercrime  in  past  12  months   •  Spam  volume  dropped  to  66%  of  all  email  traffic   •  1  in  392  emails  contain  a  phishing  aMacks   •  Web-­‐based  aMacks  are  up  23%   •  1  in  8  legiSmate  websites  have  a  cri:cal  vulnerability  
  10. 10.  Highlights  from  the  2014  Internet  Security  Threat  Report   Key  Findings               91%  increase  in   targeted  aMacks   campaigns  in  2013   62%  increase  in  the   number  of  breaches  in   2013     Over  552M  idenSSes  were  exposed   via  breaches  in  2013  
  11. 11. Defini:on   •  Cyber  A`acks:  computer-­‐to-­‐computer  a`ack   that  undermines  the  confiden:ality,  integrity,   or  availability  of  a  computer  or  informa:on   resident  on  it.    
  12. 12. Lessons  From  Past  Cyber  A`acks   Cyber  a`acks   accompany  physical   a`acks   Cyber  a`acks  are   increasing  in  volume,   sophis:ca:on,  and   coordina:on   Cyber  a`acks  are   a`racted  to  high-­‐ value  targets  
  13. 13. Physical  Conflicts  and  Cyber  A`acks   •  The  Pakistan/India  Conflict   •  The  Israel/Pales:nian  Conflict   •  The  Former  Republic  of  Yugoslavia   (FRY)/NATO  Conflict  in  Kosovo   •  The  U.S.  –  China  Surveillance  Plane   Incident   •  The  Indonesia  –  Myanmar  cyber   a`acks.     •  The  Indonesia  –  Bangladesh  cyber   a`acks.   •  The  Indonesia  –  Malaysia  cyber   a`acks.  
  14. 14. Poten:al  Cyber  A`acks   •  Unauthorized  Intrusions   •  Defacements   •  Domain  Name  Server   A`acks   •  Distributed  Denial  of   Service  A`acks   •  Computer  Worms   •  Rou:ng  Opera:ons   •  Cri:cal  Infrastructures   •  Compound  A`acks  
  15. 15. Compound  A`acks   •  Employ  some  or  all  of   aforemen:oned  cyber   a`acks   •  Possibly  combined  with   conven:onal  (physical)   terror  a`ack   •  Consequences  include   devasta:ng  disrup:on  in   communica:on  and   commerce  
  16. 16. Cri:cal  Infrastructures   •  Cri:cal  infrastructures   include  gas,  power,  water,   banking  and  finance,   transporta:on,   communica:ons   •  All  dependent  to  some   degree  on  informa:on   systems   •  Insider  threat  -­‐  specialized   skills  
  17. 17. 17   High Low 1980 1985 1990 2000 2014 password guessing password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions sniffers packet spoofing GUI automated probes/scans denial of service www attacks Tools Attackers Intruder Knowledge Attack Sophistication “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics distributed attack tools binary encryption Source: CERT/CC Attack sophistication vs Intruder Technical Knowledge Increasing  A`ack  Sophis:ca:on   20051985 1995
  18. 18. 18   Levels  of  “Force”   Source:  “Handbook  of  Informa:on  Security”  ar:cle  on    Ac:ve  Response,  by   David  Di`rich  and  Kenneth  E.  Himma,  forthcoming,  John  Wiley  &  Sons  
  19. 19. APA  DAN  PERAN  CSIRT  DI   NASIONAL  
  20. 20. INCIDENT  RESPONSE  TEAM  
  21. 21. Alasan  Pendirian  CSIRT   Infrastruktur  keamanan  yang  terbaikpun  :dak  dapat  menjamin  serangan  akan   terjadi.   Bila  insiden  terjadi,  maka  ins:tusi  bergerak  cepat  untuk  merespon  secara  efek:f   dengan  memimalisasi  kerusakan  dan  mengurangi  biaya  recovery.   Untuk  melindungi  kejadian-­‐kejadian  yang  :dak  diinginkan  di  masa  depan  dengan   mengatur  strategi  keamanan,  berbagi  informasi  untuk  update  pengetahuan  dan   berkolaborasi  dengan  CSIRT  yang  lain.   Fokus  kepada  pencegahan  kerentanan  keamanan,  melakukan  mi:gasi  dan   memas:kan  pemenuhan/pencapaian  regulasi  dan  kebijakan  keamanan  ins:tusi.  
  22. 22. Alasan  Nyata   Dibutuhkan  karena  hukum,  regulasi,  kebijakan,  standar,  audit,   kerjasama/perjanjian  internasional.   Pemenuhan  bisnis,  permintaan  pasar/pengguna,  best  prac:ce  dan   keuntungan  kompe::f.   Pada  saat  terjadi  insiden  dan  insiden  akan  mengganggu  ins:tusi.   Sebagai  Ti:k  kontak  yang  bertanggungjawab  bila  ada  insiden  untuk   segera  bergerak  dan  berkoordinasi  dengan  pihak-­‐pihak  terkait.   Kelompok  ahli  yang  memberikan  rekomendasi  dan  membahas   masalah  keamanan  yang  terkini.    
  23. 23. Mengapa  butuh  CSIRT?   Saat  insiden  cyber  terjadi  dan  menyebar,  maka  perlu  :ndakan  segera  seper:  :     •  Secara  Efek:f  mendeteksi  dan  me-­‐iden:fiaksi  segala  macam  ak:vitas.     •  Melakukan  mi:gasi  dan  merespons  secara  strategis.   •  Membangun  saluran  komunikasi  yang  dapat  dipercaya.   •  Memberikan  peringatan  dini  kepada  masyarakat  dan  kons:tuen  tentang   dampak  yang  akan  dan  sudah  terjadi.   •  Memberitahu  pihak  lain  tentang  masalah-­‐masalah  yang  potensial  di   komunitas  keamanan  dan  internet.   •  Berkoordinasi  dalam  meresponse  masalah.   •  Berbagi  data  dan  informasi  tentang  segala  ak:vitas  dan  melakukan   korespondensi  untuk  response  segala  solusi  kepada  kons:tuen.   •  Melacak  dan  memonitor  informasi  untuk  menentukan  tren  dan  strategi   jangka  panjang.    
  24. 24. Lingkup  pekerjaan  CSIRT   Menyediakan  satu  ::k  untuk  kontak  insiden.   Melakukan  iden:fikasi,  analisis,  dampak  dari  ancaman/insiden.   Peneli:an,  mi:gasi,  rencana  strategi  dan  pela:han.   Berbagi  pengalaman,  informasi  dan  belajar/mengajar.   Kesadaran,  membangun  kapasitas,  jejaring.   Merespon,  mengontrol  kerusakan,  recovery,  meminimalisir  resiko  dan  manajemen  resiko,   pencegahan  dan  pertahanan.  
  25. 25. Macam-­‐macam  CSIRT   Internal  CSIRT:  menyediakan  layanan  penanganan  insident  kepada  organisasi  induk.  CSIRT  semacam  ini  seper:  Bank,   Perusahaan  Manufaktur,  Universitas  dll.     NaSonal  CSIRT:  menyediakan  layanan  penanganan  insiden  kepada  negara.  Sebagai  contoh  adalah  Japan  CERT   Coordina:on  Center  (JPCERT/CC)  .   CoordinaSon  Centers  :  melakukan  koordinasi  penanganan  insiden  lintas  sektor.  CSIRT.  Sebagai  contoh  adalah  United   States  Computer  Emergency  Readiness  Team  (US-­‐CERT).   Analysis  Centers  fokus  kepadan  sintesa  data  dari  berbagai  macam  sumber  untuk  menentukan  tren  dan  pola-­‐pola   ak:vitas  insiden.    Contoh  :  (SANS  GIAC).   Vendor  Teams  menangani  laporan  tentang  kerentanan  di  dalam  produk  somware  dan  hardware.    Mereka  bekerja  di   dalam  organisasi  untuk  menentukan  produk-­‐produk  mereka  rentan    atau  :dak  dan  mengembangkan  strategi  mi:gasi.   Vendor  team  juga  sebagai  internal  CSIRT  untuk  organisasi  tersebut.     Incident  Response  Providers  menawarkan  layanan  penanganan  insiden  dengan  bentuk  bisnis  kepada  organisasi  yang   memerlukannya.  
  26. 26. CSIRT  Jabatan  dan  Pekerjaan   Ketua  /  Wakil  Ketua   Manager  atau  Pimpinan  Tim     Assistan  Manager,  Supervisor  atau  Pimpinan  Grup   Hotline,  Helpdesk  dan  Staf   Incident  handler     Vulnerability  handler     Ar:fact  analysis  staf     Plaoorm  specialist   Trainer     Technology  watch     Network  atau  System  Administrator   Programmer     Staf  Legal/Hukum  
  27. 27. Macam-­‐macam  Organisasi  CSIRT   •  FIRST  –  Forum  of  Incident  Response  and  Security   –  Teams  (Global/Interna:onal  Ini:a:ves)   •  APCERT  –  Asia  Pacific  Computer  Emergency   Response  Team   –  Response  Team  (Regional  Asia  Pacific)   •  OIC-­‐CERT  –  Organiza:on  of  Islamic  Conference   –  Computer  Emergency  Response  Team   •  TF-­‐CSIRT  –  Collabora:on  of  Computer  Security   –  Incident  Response  Team  in  Europe   •  ENISA  -­‐  European  Network  and  Informa:on   –  Security  Agency  (Regional  Europe  Union)   •  ANSAC  -­‐  ASEAN  Network  Security  Ac:on  Council   FIRST   APCERT   OIC-­‐CERT   TF-­‐CSIRT   ENISA   ANSAC  
  28. 28. Forum  of  Incident  Response  and  Security  
  29. 29. Asia  Pacific  CERT  
  30. 30. EUROPEAN  CSIRT  
  31. 31. TF-­‐CSIRT  –  Collabora:on  of  Computer  Security    
  32. 32. Fungsi-­‐fungsi  CSIRT   DEFENSE  –  melindungi  infrastruktur  kri:s   MONITORING  –  menganalisis  anomaly  dengan  berbagai  pola   terdefinisi  dan  pola  tak  terdefinisi.  (disebut  sebagai   vulnerability  database).   INTERCEPTING  –  mengumpulkan  kontek  spesifik  atau  disebut   targeted  content.   SURVEILLANCE  –mengama:  dan  menganalisis  ak:vitas  yang   dicurigai  dan  informasi  yang  berubah  dalam  sistem.   MITIGATING  –  mengendalikan  kerusakan  dan  menjaga   ketersediaan  serta  kemampuan  layanan  tersebut.   REMEDIATION  –  membuat  solusi  untuk  mencegah  kegiatan   yang  berulang-­‐ulang  dan  mempengaruhi  sistem.     OFFENSIVE  –  pencegahan/perlawanan  dengan  menyerang  balik   seper:  Cyber  Army  dan  kemampuan  untuk  menembus   sistem  keamanan.   DEFENCE   MONITORING   INTERCEPTING   SURVEILLANCE   MITIGATING   REMEDIATION   OFFENSIVE  
  33. 33. Kemampuan  CSIRT   •  PROTECT  –  melakukan  risk  assessment,   proteksi  malware,  pela:han  dan  kesadaran,   operasi  dan  dukungan,  management   kerentanan  dan  jaminan  keamanan.   •  DETECT  –  pengawasan  jaringan,  pengukuran   dan  analisis  keterhubungan  dan  situasinya,   pengawasan  lingkungan.   •  RESPONSE  –  pelaporan  insiden,  analysis,   response,  mi:gasi  dan  remediasi.   •  SUSTAIN  –  berkolaborasi  dengan  MOU,   kontrak  pihak  ke:ga  (vendor,  provider),   management  (program,  personnel,  standar   keamanan).   PROTECT   DETECT   RESPONSE   SUSTAIN  
  34. 34. Penanganan  Insiden   PREPARE Awareness, SOP, Compliance etc.    PROTECT Hardening, Change Management etc. RESPONSE Mitigation, Remediation          DETECT Monitoring, Incident Reporting TRIAGE Classification, Priority etc.
  35. 35. Sumber  Pendanaan   Biasanya   pendanaan  dari   organisasi  induk.   Proyek  sponsor   oleh  para  partner.   Iuran  keanggotaan   dan  charge   perlayanan.   Pendanaan  dari   Pemerintah  (full   atau  project  base).   Menyediakan  jasa   keamanan   profesional.  
  36. 36. CERT  Logo  
  37. 37. Forum  Incident  Response  Team   304 TEAM 66 NEGARA
  38. 38. AP-­‐CERT,  Asia  Pasific   TOTAL 25 TEAM MEMBER
  39. 39. Nasional  CERT   IDCERT   ID-­‐SIRTI   ACAD-­‐CSIRT   ID  GOV-­‐CERT   ID  MIL-­‐CERT   SECTOR  CERT  
  40. 40. Anggota  CSIRT   TERBESAR 30.000 staf @CNCERT TERKECIL 2-5 staf @CERT/ CSIRT
  41. 41. CSIRT  Members  
  42. 42. Koordinasi  Incident  di  CSIRT     Laporan   Incident   dari   Internal   Laporan   Incident   dari   External   Koordinasi   Kolaborasi  
  43. 43. Koordinasi  dibawah  Local  CSIRT   Incident  (Vic:ms)   Tim  Incident  Response  Local-­‐CSIRT   Koordinasi  ke  CSIRT  Nasional   • IDSIRTII,  IDCERT,  GOVCERT,  TNI,  ACAD-­‐CSIRT   APCERT   FIRST  
  44. 44. Tugas  CSIRT  
  45. 45. Pembangunan  dan  Pengembangan   CSIRT   Stage  1   Educa:ng  the   organiza:on   Stage  2       Planning  effort   Stage  3                 Ini:al   implementa:on   Stage  4   Opera:onal   phase   Stage  5                     Peer   collabora:on  
  46. 46. Struktur  SDM  dan  Koordinasi   Operasional   Management   Middle   Management   Top  Management   Ketua/ Wakil   Dep.1   Ops.11   Ops.12   Dep.2   Ops.21   Ops.22  
  47. 47. Koordinasi  membutuhkan  Masyarakat   dan  Negara   CSIRT   Masyarakat   dan  Negara  
  48. 48. CSIRT  Body   CSIRT   Sector   CSIRT   Nasional   CSIRT  Team   CSIRT  Ins:tusi   Kementerian   CSIRT  Team   Organisasi   Induk  
  49. 49. Struktur  CSIRT   Team   CSIRT   Sector   CSIRT   Nasional   IDSIRTII   Telekomunikasi   Telkom-­‐CSIRT   Indosat-­‐CSIRT   Akademik   ACAD-­‐CSIRT  
  50. 50. Infrastruktur  CSIRT   Console   Sensor   Analizer   Server   Storage  
  51. 51. Tugas  CSIRT   PREVENTIF   DETEKSI   RESPON   RISET  DAN   PENGEMBANGAN  
  52. 52. Kesimpulan  :  CSIRT  dan  Koordinasi   CSIRT  adalah  lembaga  keamanan  nirlaba  untuk   tanggap  darurat  mengatasi  insiden  keamanan.   CSIRT  diperlukan  karena  hukum.     CSIRT  dibentuk  oleh  negara,  industri  atau   pendidikan.   CSIRT  memiliki  kebijakan  keamanan,  mendeteksi,   penanganan  insiden  dan  kolaborasi.   CSIRT  memiliki  sumber  pendanaan  yg  jelas  dan   terencana.  
  53. 53. Contact  :   InformaSons  :  info@acad-­‐csirt.or.id   Incident  Response  :  insiden@acad-­‐csirt.or.id   URL  :  hMp://www.acad-­‐csirt.or.id    

×