Insiden sering terjadi pada waktu yang kurang "Tepat" ,misalnya admin sedang tidak ada ,atau sedang ada deadline. Maka dari itu tulisan saya kali ini akan membahas tentang "Incident Handling" atau Cara menangani insiden.
Definisi dari Incident Handling :
David Theunissen dalam "Corporate incident handling guidelines" menjelaskan bahwa "Incidents is the act of violating or threatening to violate and explicit or implied security policy".
Insiden terbagi menjadi dua,yaitu :
1.Insiden tidak disengaja, adalah insiden atau suatu peristiwa yang kita sendiri tidak sadar terjadi.Contoh dari insiden tidak disengaja : meng-copy data dari flash disk orang lain,dikatakan tidak sengaja karena kita tidak mengetahui bahwa dalam flash disk tersebut mungkin telah terjangkit virus.
2.Insiden yang disengaja, Insiden yang disengaja adalah insiden yang kita sadari.
Contoh dari insiden yang disengaja : mendownload crack atau patcher pada situs situs yang tidak terpercaya,yang kita sadari bahwa hal itu memang berbahaya tetapi tetap saja kita secara sadar mendownload program tersebut.
Contoh Insiden :
- Wabah virus
- Spam mail, Mailbomb
- Previllage attack,rootkit,intrusion
- DoS Attack
- Unauthorized access
- Kemungkinan skenario dimasa depan.
Tujuan dari insiden Handling :
- Melakukan pengumpulan informasi yang akurat
- Melakukan pengambilan dan penanganan bukti-bukti (chain of custody)
- Menjaga agar kegiatan berada dalam kerangka hukum (misal : privacy)
- Meminimalkan gangguan terhadap operasi bisnis dan jaringan
- Membuat laporan yang akurat serta rekomendasinya.
Metedologi Chain of Custody
Berdasarkan penjelasan yang diberikan oleh Bapak dosen saya, chain of custody atau pengambilan dan penanganan bukti-bukti tidak dapat dilakukan secara bebas karena biasanya ada pihak-pihak yang melindungi aksi dari pelaku. Misalnya pelaku melakukan aksinya di sebuah warnet, dan pihak warnet tidak ingin memberikan lognya kepada pihak penyidik tentu kita tidak dapat memaksakan kehendak karena merupakan hak pihak warnet jika tidak ingin memberikan lognya.
1. Pre-preparation incident
adalah persiapan yang dilakukan sebelum insiden terjadi, misalnya membuat aturan atau kebijakan.
2. Detection of incidents
adalah pendeteksian terhadap insiden yang terjadi dengan mencari tahu mengapa insiden tersebut bisa terjadi.
3. Initial Response
adalah tindakan awal respon kita terhadap insiden yang terjadi.
4. Response strategy formula
adalah mengatur strategi penanganan untuk suatu insiden.
5. Duplication (forensic backups)
atau melakukan duplikasi atau penggandaan backups data forensik.
6. Investigationpenyelidikan insiden yang terjadi bila kita bisa mendapatkan bukti-bukti yang diperlukan ,atau dapat juga melaporkannya ke IRT (Incident Response Team) atau ke yang lebih tinggi yaitu ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure).
7. Security measure
mengukur atau mengevaluasi keamanan yang ada saat ini.
8. Network monitoring
Network Monitoring atau memonitoring jaringan, melihat apa-apa saja dan peristiwa yang terjadi pada jaringan
9. Recovery
adalah tindakan yang melakukan pemulihan data berdasarkan backup yang ada.
10. Follow-up
merupakan tindak lanjut yang akan dipilih oleh pihak yang dirugikan.
Apabila anda tidak mampu menangani insiden anda ,dan hal itu sangat merugikan,anda bisa melapor ke organisasi yang lebih tinggi di luar insitusi lokal . Seperti ke ID-SIRTII, ASPIRC,CERT .
Demikian yang dapat saya jelaskan mengenai "Incident Handling" ...
Semoga melalui tulisan saya ini dapat membantu pembaca sekalian untuk menangani insiden yang sudah terjadi. Terima Kasih.
No comments:
Post a Comment