Pengantar Manajemen Respon Insiden Keamanan Cyber ​​dan Praktik Terbaik

Ketika serangan dunia maya terus meningkat dalam volume, keragaman, dan kecanggihan, selain lebih mengganggu dan merusak, organisasi harus siap untuk menanganinya secara efektif..


Selain menerapkan solusi dan praktik keamanan yang efektif, mereka membutuhkan kemampuan untuk dengan cepat mengidentifikasi dan mengatasi serangan, sehingga memastikan kerusakan, gangguan, dan biaya minimal.

Setiap sistem TI adalah target potensial serangan cyber, dan kebanyakan orang setuju bahwa itu bukan masalah jika, tetapi kapan itu akan terjadi. Namun, dampaknya bervariasi sesuai dengan seberapa cepat dan efektif Anda mengatasi masalah ini, maka perlunya kesiapsiagaan untuk menanggapi insiden.

Respon insiden keamanan siber (IR) mengacu pada serangkaian proses yang dilakukan organisasi untuk mengatasi serangan pada sistem TI-nya. Ini memerlukan kombinasi perangkat keras dan perangkat lunak yang tepat serta praktik-praktik seperti perencanaan, prosedur, pelatihan, dan dukungan yang tepat oleh semua orang di organisasi.

Praktik terbaik sebelum, selama dan setelah insiden keamanan

Ketika serangan dunia maya terjadi, beberapa kegiatan dapat terjadi secara bersamaan, dan ini bisa menjadi sibuk ketika tidak ada koordinasi atau prosedur penanganan insiden yang tepat.

Namun, mempersiapkan terlebih dahulu dan menetapkan rencana dan kebijakan respons insiden yang jelas dan mudah dipahami memungkinkan tim keamanan bekerja secara harmonis. Ini memungkinkan mereka untuk fokus pada tugas-tugas penting yang membatasi potensi kerusakan pada sistem, data, dan reputasi TI mereka selain menghindari gangguan bisnis yang tidak perlu.

Mempersiapkan rencana respons insiden

Rencana tanggapan insiden mendokumentasikan langkah-langkah yang harus diikuti jika terjadi serangan atau masalah keamanan lainnya. Meskipun langkah-langkah aktual dapat bervariasi sesuai dengan lingkungan, proses yang khas, berdasarkan kerangka SANS (SysAdmin, Audit, Network, dan Security), akan mencakup persiapan, identifikasi, penahanan, penghapusan, pemulihan, pemberitahuan insiden, dan post-post. ulasan kejadian.

respon insidenAlur proses respons insiden (berdasarkan templat NIST) Gambar NIST

Persiapan mencakup pengembangan rencana dengan informasi yang relevan dan prosedur aktual yang akan diikuti oleh tim respons insiden komputer (CIRT) untuk mengatasi insiden tersebut..

Ini termasuk:

  • Tim dan individu tertentu yang bertanggung jawab untuk setiap langkah dari proses respons insiden.
  • Menentukan apa yang merupakan insiden, termasuk apa yang menjamin jenis respons apa.
  • Data dan sistem kritis yang membutuhkan lebih banyak perlindungan dan pengamanan.
  • Cara untuk melestarikan keadaan yang terkena dampak sistem yang terkena dampak untuk tujuan forensik.
  • Prosedur untuk menentukan kapan dan siapa yang harus memberi tahu tentang masalah keamanan. Ketika sebuah insiden terjadi, mungkin perlu untuk memberi tahu para pengguna, pelanggan, penegak hukum staf yang terkena dampak, dll. Tetapi ini akan berbeda dari satu industri dan kasus lainnya..

Rencana respons insiden harus mudah dipahami dan diimplementasikan serta selaras dengan rencana dan kebijakan organisasi lainnya. Namun, strategi dan pendekatan dapat berbeda di berbagai industri, tim, ancaman, dan potensi kerusakan. Pengujian dan pembaruan rutin memastikan bahwa paket tersebut valid dan efektif.

Langkah-langkah respons insiden saat serangan cyber terjadi

Begitu ada insiden keamanan, tim harus bertindak cepat dan efisien untuk menampungnya dan mencegahnya menyebar ke sistem yang bersih. Berikut ini adalah praktik terbaik saat menangani masalah keamanan. Namun, ini mungkin berbeda sesuai dengan lingkungan dan struktur organisasi.

Kumpulkan atau libatkan tim respons insiden komputer

Pastikan bahwa tim CIRT multi-disiplin di-rumah atau outsourcing memiliki orang-orang yang tepat dengan keterampilan dan pengalaman yang tepat. Dari semua ini, pilih pemimpin tim yang akan menjadi orang penting untuk memberi arahan dan memastikan respons berjalan sesuai rencana dan jadwal. Pemimpin juga akan bekerja bahu membahu dengan manajemen dan terutama ketika ada keputusan penting untuk dibuat sehubungan dengan operasi.

Identifikasi insiden dan tentukan jenis dan sumber serangan

Atas tanda-tanda ancaman, tim IR harus bertindak cepat untuk memverifikasi apakah itu memang masalah keamanan, apakah internal atau eksternal sambil memastikan bahwa mereka dapat mengatasinya secepat mungkin. Cara-cara khas untuk menentukan kapan ada masalah termasuk tetapi tidak terbatas pada;

  • Peringatan dari alat pemantauan keamanan, kegagalan fungsi dalam sistem, perilaku yang tidak biasa, modifikasi file yang tidak terduga atau tidak biasa, menyalin atau mengunduh, dll.
  • Pelaporan oleh pengguna, admin jaringan atau sistem, personel keamanan, atau mitra atau pelanggan pihak ketiga eksternal.
  • Log audit dengan tanda-tanda perilaku pengguna atau sistem yang tidak biasa, seperti beberapa upaya login gagal, unduhan file besar, penggunaan memori tinggi, dan anomali lainnya.

Peringatan otomatis insiden keamanan VaronisInsiden otomatis insiden keamanan Varonis – Gambar Varonis 

Menilai dan menganalisis dampak serangan itu

Kerusakan yang disebabkan oleh serangan bervariasi tergantung pada jenisnya, keefektifan solusi keamanan, dan kecepatan respons tim. Paling sering, tidak mungkin untuk melihat tingkat kerusakan sampai setelah menyelesaikan masalah sepenuhnya. Analisis tersebut harus mencari tahu jenis serangan, dampaknya, dan layanan yang dapat terpengaruh.

Ini juga merupakan praktik yang baik untuk mencari jejak yang penyerang bisa tinggalkan dan mengumpulkan informasi yang akan membantu dalam menentukan garis waktu kegiatan. Ini melibatkan menganalisis semua komponen sistem yang terkena dampak, menangkap relevan untuk forensik, dan menentukan apa yang bisa terjadi pada setiap tahap.

Tergantung pada tingkat serangan dan temuannya, mungkin perlu untuk meningkatkan insiden ke tim yang relevan.

Penahanan, penghapusan ancaman, dan pemulihan

Fase penahanan termasuk memblokir serangan dari penyebaran serta mengembalikan sistem ke status operasi awal. Idealnya, tim CIRT harus mengidentifikasi ancaman dan akar penyebab, menghilangkan semua ancaman dengan memblokir atau memutus sistem yang disusupi, membersihkan malware atau virus, memblokir pengguna jahat, dan memulihkan layanan.

Mereka juga harus membangun dan mengatasi kerentanan yang dieksploitasi penyerang untuk mencegah kejadian yang sama di masa depan. Penahanan tipikal melibatkan tindakan jangka pendek dan jangka panjang serta cadangan status saat ini.

Sebelum mengembalikan cadangan bersih atau membersihkan sistem, penting untuk menyimpan salinan status sistem yang terpengaruh. Ini diperlukan untuk menjaga keadaan saat ini, yang dapat berguna ketika datang ke forensik. Setelah dicadangkan, langkah selanjutnya adalah pemulihan layanan yang terganggu. Tim dapat mencapai ini dalam dua fase:

  • Periksa sistem dan komponen jaringan untuk memverifikasi bahwa semua berfungsi dengan baik
  • Periksa kembali semua komponen yang terinfeksi atau dikompromikan dan kemudian dibersihkan atau dipulihkan untuk memastikan bahwa mereka sekarang aman, bersih, dan operasional.

Memberitahu dan melaporkan

Tim tanggapan kejadian melakukan analisis, merespons, dan melaporkan. Mereka perlu mengeksplorasi akar penyebab insiden, mendokumentasikan temuan mereka tentang dampak, bagaimana mereka menyelesaikan masalah, strategi pemulihan sambil memberikan informasi yang relevan kepada manajemen, tim lain, pengguna, dan penyedia pihak ketiga.

Komunikasi dengan agen dan penyedia eksternalKomunikasi dengan agensi eksternal dan penyedia Gambar NIST

Jika pelanggaran menyentuh pada data sensitif yang membutuhkan pemberitahuan otoritas penegakan hukum, tim harus memulai ini dan mengikuti prosedur yang ditetapkan dalam kebijakan TI mereka.

Biasanya, serangan mengakibatkan pencurian, penyalahgunaan, korupsi, atau aktivitas tidak sah lainnya pada data sensitif seperti informasi rahasia, pribadi, pribadi, dan bisnis. Untuk alasan ini, penting untuk memberi tahu mereka yang terkena dampak sehingga mereka dapat mengambil tindakan pencegahan dan melindungi data penting mereka seperti informasi keuangan, pribadi, dan rahasia lainnya.

Misalnya, jika penyerang berhasil mengakses akun pengguna, tim keamanan harus memberi tahu mereka dan meminta mereka untuk mengubah kata sandi mereka.

Melakukan peninjauan pasca-insiden

Menyelesaikan insiden juga menawarkan pelajaran yang dapat diambil, dan tim dapat menganalisis solusi keamanan mereka dan mengatasi tautan yang lemah mencegah kejadian serupa di masa depanBeberapa peningkatan termasuk menerapkan solusi keamanan dan pemantauan yang lebih baik untuk ancaman internal dan eksternal, mencerahkan staf dan pengguna tentang ancaman keamanan seperti phishing, spam, malware, dan lainnya yang harus mereka hindari.

Langkah-langkah perlindungan lainnya menjalankan alat keamanan terbaru dan efektif, menambal server, mengatasi semua kerentanan pada komputer klien dan server, dll.

Studi kasus respons insiden NIC Asia Bank Nepal

Kemampuan atau respons deteksi yang tidak memadai dapat menyebabkan kerusakan dan kerugian yang berlebihan. Salah satu contoh adalah kasus NIC Asia Bank Nepal, yang kehilangan dan memulihkan sejumlah uang setelah kompromi proses bisnis pada 2017. Penyerang mengkompromikan SWIFT dan secara curang mentransfer dana dari bank ke berbagai rekening di Inggris, Jepang, Singapura, dan AS..

Untungnya, pihak berwenang mendeteksi transaksi ilegal tetapi hanya berhasil memulihkan sebagian kecil dari uang yang dicuri. Mungkinkah ada sistem peringatan yang lebih baik, tim keamanan akan mendeteksi insiden pada tahap awal, mungkin sebelum para penyerang berhasil dalam kompromi proses bisnis.

Karena ini adalah masalah keamanan yang rumit yang melibatkan negara lain, bank harus memberi tahu pihak penegak hukum dan investigasi. Juga, ruang lingkup berada di luar tim respons insiden internal bank dan karenanya kehadiran tim eksternal dari KPMG, bank sentral, dan lainnya..

Investigasi forensik oleh tim eksternal dari bank sentral mereka menetapkan bahwa insiden tersebut mungkin berasal dari malpraktik orang dalam yang mengekspos sistem kritis.

Menurut sebuah laporan, enam operator saat itu telah menggunakan komputer sistem SWIFT khusus untuk tugas-tugas lain yang tidak terkait. Ini mungkin telah mengekspos sistem SWIFT, sehingga memungkinkan penyerang berkompromi. Setelah kejadian itu, bank memindahkan enam karyawan ke departemen lain yang kurang sensitif.

Pelajaran yang dipetik: Bank seharusnya menerapkan sistem pemantauan dan peringatan yang efektif sebagai tambahan untuk menciptakan kesadaran keamanan yang baik di antara karyawan dan menegakkan kebijakan yang ketat.

Kesimpulan

Respons insiden yang terencana dengan baik, tim yang baik, dan alat serta praktik keamanan yang relevan memberi organisasi Anda kemampuan untuk bertindak cepat dan mengatasi berbagai masalah keamanan. Ini mengurangi kerusakan, gangguan layanan, pencurian data, kehilangan reputasi, dan kewajiban potensial.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map