Incidents is “the act of violating or threatening to violate an explicit or implied security policy”
“Incidents are events that interrupt normal operating procedure and precipitate some level of crisis”
Permasalahan Incident Handling 2
Untuk keperluan statistik (ada wabah regional?)
DOWNLOAD
INCIDENT HANDLING (penanganan insiden)
Diposting oleh
interest blog
|
Insiden merupakan bagian dari kehidupan elektronik Tidak sengaja vs disengaja Sering terjadi pada waktu yang kurang “pas” (misal: admin sedang tidak ada, sedang ada deadline)
Contoh
Wabah virus
Spam mail, mailbomb
Previlage attack, rootkit, intrusion
DoS attack
Harus dipikirkan skenario lain yang mungkin terjadi
Definisi dari “incident”
Apakah yang berikut ini termasuk insiden?
nAncaman (threat), hoax, virus
ncomputer intrusion, DoS attack, insider theft information, any unathorized or unlawful network-based activity
Definisi
David Theunissen, “Corporate Incident Handling Guidelines”:
Kevin Mandia & Chris Prosise, “Incident Response”:
Tujuan dari “Incident Handling”
uMemastikan bahwa insiden terjadi atau tidak terjadi
uMelakukan pengumpulan informasi yang akurat
uMelakukan pengambilan dan penanganan bukti-bukti
uMenjaga agar kegiatan berada dalam kerangka hukum (misalnya masalah privacy, legal action)
uMeminimalkan gangguan terhadap operasi bisnis dan jaringan
Metodologi
From Kevin Mandia & Chris Prosise
“Incident Response”
Pre-incident preparation
Detection of incidents
Initial response
Response strategy formulation
Duplication (forensic backups)
Investigation
Security measure implementation
Network monitoring
Recovery
Follow-up
Permasalahan Incident Handling
Teknis
Apa saja yang harus dilaporkan?
Apakah ada informasi yang confidential?
(nomor IP, userid, password, data, files)
Perlunya packet scrubbing?
Terlalu sedikit/banyak data yang dilaporkan
Ketersediaan trouble ticketing system, help desk (24 jam?)
Data-data log sering tidak tersedia sehingga menyulitkan incident handling
Non-teknis
Organisasi:
Kemana (kepada siapa) harus melapor jika terjadi insiden? Perlunya “Incident Response Team” (IRT)
Melapor ke organisasi yang lebih tinggi di luar institusi lokal? (misal ke ID-CERT, APSIRC, CERT)
Hubungan dengan policy & procedures, SOP yang seringkali tidak dimiliki oleh institusi
Ketersediaan SDM
Kualifikasi apa yang dibutuhkan
Mengenal IRT lain
Lokal Indonesia: ID-CERT
Negara lain:
SingCERT
MyCERT
AusCERT
…
Regional
APSIRC / APCERTF
Eropa, Amerika
Lain-lain
FIRST: http://www.first.org
CERT: http://www.cert.org
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar