2. AGENDA
WHAT CONSTITUTES AN INCIDENT?
WHAT IS INCIDENT RESPONSE?
WHERE WE ARE NOW ?
WHY SHOULD YOU CARE ABOUT
INCIDENT RESPONSE?
CONCEPT OF THE ATTACK LIFECYCLE
CASE STUDIES
2 P R E S E N T A T I O N T I T L E 2 0 X X
3. REAL-WORLD INCIDENTS
• Sejak sepuluh tahun terakhir dunia kejahatan di dunia cyber
berkembang pesat
• Metodologi dan Evolusi kejahatan dunia maya, alat, dan disiplin
respons insiden telah berkembang
• Namun, beberapa organisasi telah mengambil posisi berpuas diri,
bahkan mungkin sembrono dalam kejahatan dunia maya
• Akhirnya, beberapa menyalahkan pemerintah karena tidak melindungi
mereka
3 P R E S E N T A T I O N T I T L E 2 0 X X
4. "...SEMAKIN BESAR
KEMUNGKINAN KITA
BERASUMSI BAHWA SOLUSI
DATANG DARI LUAR,
SEMAKIN KECIL
KEMUNGKINAN KITA
MEMECAHKAN MASALAH
KITA SENDIRI."
Carl Sagan
4 P R E S E N T A T I O N T I T L E 2 0 X X
6. INSIDEN
BAGIAN DARI KEHIDUPAN
ELEKTRONIK
• tak sengaja vs disengaja
• Sering terjadi pada waktu yang kurang
“pas” (misal: admin sedang tidak ada,
sedang ada deadline)
CONTOH :
• Wabah virus
• Spam mail, mailbomb
• Previlage attack, rootkit, intrusion
• DoS attack
• Harus dipikirkan skenario lain yang
mungkin terjadi
6 P R E S E N T A T I O N T I T L E 2 0 X X
7. TERMASUK INSIDEN?
• Ancaman (threat), hoax, virus
• computer intrusion
• DoS attack
• insider theft information
• any unathorized or unlawful network-based activity
7 P R E S E N T A T I O N T I T L E 2 0 X X
8. DEFINISI
• Insiden keamanan computer adalah tindakan yang melanggar hukum, tidak
sah, atau tidak dapat diterima yang melibatkan sistem komputer atau jaringan
komputer.”
• contoh seperti pencurian rahasia dagang, spam email, penyusupan yang tidak
sah atau melanggar hukum ke dalam sistem komputer, dan penggelapan
• Insiden keamanan computer adalah setiap tindakan yang melanggar hukum,
tidak sah, atau tidak dapat diterima yang melibatkan sistem komputer, ponsel,
tablet, dan perangkat elektronik lainnya dengan sistem operasi atau yang
beroperasi pada jaringan komputer
8 P R E S E N T A T I O N T I T L E 2 0 X X
10. DEFINISI
Incident Response adalah pendekatan
terkoordinasi dan terstruktur untuk
beralih dari deteksi insiden ke resolusi
1 0 P R E S E N T A T I O N T I T L E 2 0 X X
11. KEGIATAN INCIDENT RESPONSE MELIPUTI :
• Konfirmasi apakah terjadi insiden atau
tidak
• Menyediakan deteksi dan penahanan
yang cepat
• Menentukan dan mendokumentasikan
cakupan insiden
• Mencegah respons yang terputus-putus
dan tidak kohesif
• Menentukan dan mempromosikan fakta
dan informasi aktual
• Meminimalkan gangguan pada operasi
bisnis dan jaringan
• Meminimalkan kerusakan pada
organisasi yang disusupi
• Mengembalikan operasi normal
• Mengelola persepsi publik tentang
insiden tersebut
• Memungkinkan tindakan pidana atau
perdata terhadap pelaku
• Mendidik manajemen senior
• Meningkatkan postur keamanan entitas
yang disusupi terhadap insiden di masa
mendatang
1 1 P R E S E N T A T I O N T I T L E 2 0 X X
12. PERMASALAHAN INCIDENT RESPONSE
1 2 P R E S E N T A T I O N T I T L E 2 0 X X
• Apa saja yang harus dilaporkan?
• Apakah ada informasi yang confidential?
(nomor IP, userid, password, data, files)
• Terlalu sedikit/banyak data yang dilaporkan
• Ketersediaan trouble ticketing system, help desk (24 jam?)
• Data-data log sering tidak tersedia sehingga menyulitkan
incident handling
Teknis :
13. PERMASALAHAN INCIDENT
RESPONSE
Non-teknis :
• Organisasi:
Kemana (kepada siapa) harus melapor jika terjadi
insiden? Perlunya “Incident Response Team”
(IRT)
Melapor ke organisasi yang lebih tinggi di luar
institusi lokal? (misal ke ID-CERT, APSIRC,
CERT)
Untuk keperluan statistik (ada wabah regional?)
• Hubungan dengan policy & procedures, SOP yang
seringkali tidak dimiliki oleh institusi
• Ketersediaan SDM
• Kualifikasi apa yang dibutuhkan?
1 3 P R E S E N T A T I O N T I T L E 2 0 X X
14. INCIDENT
RESPONSE ?
Secara umum, respon insiden terdiri
dari tim investigasi yang menentukan
apa yang terjadi dan melakukan
penilaian kerusakan, tim remediasi
yang menghilangkan penyerang dari
lingkungan dan meningkatkan postur
Keamanan , dan beberapa bentuk
hubungan masyarakat (ke manajemen
tingkat atas, karyawan internal, mitra
bisnis, atau publik)
1 4 P R E S E N T A T I O N T I T L E 2 0 X X
15. WHERE WE ARE NOW ?
• Insiden keamanan komputer sekarang dapat mencakup ratusan sistem yang disusupi secara
fisik terletak di mana saja di dunia—beberapa di antaranya mungkin tidak terkait dengan
organisasi yang dilanggar, seperti titik hop yang sering dihubungkan oleh penyerang untuk
menutupi lokasi mereka yang sebenarnya.
• Penyerang bisa memanfaatkan
• kesalahan konfigurasi jaringan
• menggunakan malware
• penyerang canggih mengetahui banyak Teknik mereka mengubah taktik untuk berbaur dengan
sistem dan aktivitas jaringan yang sah
1 5 P R E S E N T A T I O N T I T L E 2 0 X X
16. WHERE WE ARE NOW ?
• Tim respons insiden sekarang harus menyelesaikan aktivitas mereka lebih
cepat dari sebelumnya, dan di berbagai variasi dan jumlah sistem yang lebih
luas, membuat skalabilitas, otomatisasi, dan beragam dukungan OS semakin
penting dalam alat investigasi
• Lingkungan komputasi modern telah menghancurkan hambatan geografis,
yang berarti alat investigasi harus dapat melakukan analisis mereka terlepas
dari lokasi geografis
• investigasi harus dapat dilakukan dari jarak jauh
1 6 P R E S E N T A T I O N T I T L E 2 0 X X
17. WHY SHOULD YOU
CARE ABOUT
INCIDENT
RESPONSE?
Mengapa IR Harus diperhatikan
1 7 P R E S E N T A T I O N T I T L E 2 0 X X
18. WHY SHOULD YOU CARE ?
• Penjahat bekerja dengan sedikit risiko atau dampak saat mereka
mengkompromikan sistem untuk membeli barang secara curang, mencuri
identitas, dan mendapatkan keuntungan dari data pemegang kartu atau data
akun yang dicuri
• Konflik ideologis dan bersenjata modern keduanya memiliki komponen
pertukaran permusuhan yang terjadi di domain siber. Aktivitas penyusupan
yang melanggar hukum atau tidak sah yang terus berkembang ini
membutuhkan kewaspadaan terusmenerus
• Menanggapi pelanggaran keamanan adalah persyaratan yang dibutuhkan oleh
lembaga pemerintah dan perusahaan swasta, dan ini menarik sekaligus
menantang
1 8 P R E S E N T A T I O N T I T L E 2 0 X X
21. 1. INITIAL COMPROMISE
Penyerang berhasil mengeksekusi kode berbahaya
pada satu atau lebih sistem. Kompromi awal sering
terjadi melalui rekayasa sosial, seperti spear phishing,
atau dengan mengeksploitasi kerentanan pada sistem
yang terhubung ke Internet.
2 1 P R E S E N T A T I O N T I T L E 2 0 X X
22. 2.
ESTABLISH
FOOTHOLD
Penyerang memastikan akses jarak jauh ke sistem yang baru
saja disusupi. Ini terjadi segera setelah kompromi awal.
Penyerang biasanya membangun pijakan dengan memasang
backdoor persisten atau mengunduh binari atau shellcode
tambahan ke sistem korban
2 2 P R E S E N T A T I O N T I T L E 2 0 X X
23. 3. ESCALATE PRIVILEGES
• Penyerang memperoleh akses yang
lebih besar ke sistem dan data daripada
yang tersedia sebelumnya
• Fase ini juga termasuk mendapatkan
akses ke akun pengguna yang belum
tentu akun administratif, tetapi memiliki
akses ke file atau sumber daya yang
dibutuhkan penyerang
2 3 P R E S E N T A T I O N T I T L E 2 0 X X
24. 4. INTERNAL RECONNAISSANCE
Penyerang menjelajahi lingkungan korban untuk mendapatkan
pemahaman yang lebih baik tentang lingkungan, peran dan
tanggung jawab individu kunci, dan di mana informasi kunci
disimpan
2 4 P R E S E N T A T I O N T I T L E 2 0 X X
25. 5. MOVE LATERALLY
Penyerang menggunakan pijakan yang telah ditetapkan untuk
bergerak dari sistem ke sistem dalam lingkungan yang
dikompromikan. Metode gerakan lateral yang umum termasuk
mengakses berbagi Network, menggunakan Penjadwal Tugas
Windows untuk menjalankan program, menggunakan alat akses
jarak jauh seperti PsExec dan radmin, atau menggunakan klien
desktop jarak jauh seperti RDP, Dameware, dan komputasi jaringan
virtual (VNC) untuk mengakses sistem ‘ graphical user interface
(GUI)
2 5 P R E S E N T A T I O N T I T L E 2 0 X X
26. 6. MAINTAIN PRESENCE
Penyerang memastikan akses berkelanjutan ke lingkungan korban.
Metode umum untuk mempertahankan kegigihan adalah memasang
beberapa backdoors, mendapatkan akses ke VPN, dan
menerapkan kode pintu belakang dalam aplikasi yang sah.
2 6 P R E S E N T A T I O N T I T L E 2 0 X X
27. 7. COMPLETE MISSION
2 7 P R E S E N T A T I O N T I T L E 2 0 X X
Para penyerang mencapai tujuan mereka, yang sering kali mencakup
pencurian data atau modifikasi data yang ada
Setelah mereka menyelesaikan misi, sebagian besar penyerang
yang ditargetkan dan gigih tidak meninggalkan lingkungan, tetapi
mempertahankan akses jika mereka diarahkan untuk menyelesaikan
misi baru di lingkungan target
Bukan hal yang aneh bagi penyerang untuk mengulangi beberapa
fase siklus hidup serangan beberapa kali selama insiden. Misalnya,
penyerang yang melakukan penipuan kartu kredit/debit perlu mencuri
data dan memanipulasi data hampir secara real time.