Langkah Penting untuk Bertahan dari Serangan Siber

Credit image: Pixabay

Mengelola insiden keamanan komputer dengan rencana respons insiden 4 fase dapat membantu membangun kepercayaan Tim Respons Insiden Keamanan Komputer (CSIRT) Anda untuk mengembalikan operasional bisnis normal setelah serangan.

Pemantauan semua aktivitas di jaringan perusahaan Anda adalah “bisnis” data besar. Setiap fenomena yang dapat diamati mulai dari:

  • Login.
  • Unduhan.
  • Skrip.
  • Pembaruan.
  • Perubahan konfigurasi.
  • dan lainnya


Yang terjadi di semua titik akhir (endpoint), server, router, switch, dan infrastruktur lainnya di jaringan Anda dapat menciptakan log peristiwa yang dengan cepat berkembang menjadi tumpukan data yang hampir tak terbayangkan untuk diproses.

Tak terhindarkan, sejumlah peristiwa memiliki konsekuensi negatif bagi keamanan perusahaan Anda. Seorang karyawan mencolokkan USB stick pribadi yang terkompromi oleh worm ke perangkat kerjanya.

Dan, tiba-tiba, terjadi peristiwa buruk! Namun, apakah Anda telah mengatur sistem Anda untuk mendeteksi peristiwa-peristiwa tersebut? Dan sekarang setelah satu terjadi, apa yang akan Anda lakukan?

Tidak setiap peristiwa buruk memerlukan mobilisasi penuh tim respons insiden. Respons otomatis memainkan peran besar dalam mengelola sumber daya dan waktu yang tersedia untuk keamanan TI Anda.

Seringkali, bahaya dari peristiwa buruk dapat dikelola dengan cukup baik oleh satu administrator TI yang menggunakan alat dasar perdagangan.

Namun, jika analis keamanan Anda menemukan pola dan niat yang lebih berbahaya di balik semua peristiwa buruk tunggal tersebut, atau secara bergantian, terjadi kegagalan sistem yang tidak dapat dijelaskan.

Maka Anda mungkin memiliki insiden keamanan yang cukup serius untuk memanggil tim respons insiden keamanan komputer (CSIRT) Anda.

Dengan rencana respons insiden yang telah dipikirkan dengan matang, CSIRT yang terlatih dengan baik dapat dengan percaya diri bersiap dan menghadapi setiap musuh yang menyerang jaringan Anda.

Baca juga: Ancaman Rantai Pasok Mengintai UMKM

Empat Fase Respons Insiden

Langkah Penting untuk Bertahan dari Serangan Siber
Credit image: Pixabay

Standar penting untuk memeriksa rencana respons insiden Anda berasal dari publikasi NIST yang disebut Computer Security Incident Handling Guide (SP 800-61).

Panduan ini merinci empat fase respons insiden:

  1. Persiapan.
  2. Deteksi & Analisis.
  3. Penahanan, Pemberantasan & Pemulihan.
  4. Aktivitas Pasca-Insiden.

Penanganan insiden dengan mengikuti keempat langkah ini dapat membantu memastikan keberhasilan kembali ke operasi bisnis normal. Jadi, mari kita lihat apa saja yang terlibat dalam setiap langkah.

1. Persiapan

Sebelum insiden apa pun terjadi, penting untuk menetapkan kontrol keamanan yang tepat yang akan meminimalkan insiden yang dapat terjadi.

Dengan kata lain, jaringan perusahaan Anda perlu dibangun dan dipelihara dengan keamanan sebagai prioritas utama, itu termasuk:

  • Menjaga server.
  • Sistem operasi.
  • Aplikasi selalu up-to-date.
  • Terkonfigurasi dengan tepat.
  • Dan diperkuat dengan perlindungan malware.
  • Perimeter jaringan Anda juga harus diamankan dengan benar melalui firewall dan VPN.


Jangan lupakan bahwa dengan edukasi karyawan yang dapat sangat membantu untuk membatasi jumlah insiden yang disebabkan oleh perilaku karyawan yang tidak tepat.

Bagian penting dari pengaturan jaringan Anda adalah memastikan semua alat pemantauan dan pencatatan yang diperlukan tersedia untuk mengumpulkan dan menganalisis peristiwa yang terjadi di jaringan Anda. Pilihannya berkisar dari alat:

  • Remote Monitoring and Management (RMM).
  • Security Information and Event Management (SIEM)
  • Security Orchestration Automation and Response (SOAR).
  • Intrusion detection systems (IDS)
  • Intrusion prevention systems (IPS).
  • Serta Endpoint Detection and Response (EDR).


Organisasi yang lebih waspada terhadap ancaman, seperti bank dan lembaga pemerintah, memanfaatkan threat intelligence feeds seperti ESET Threat Intelligence Service untuk menyediakan indikator kompromi yang, jika ditemukan dalam lingkungan, dapat memulai proses respons insiden.

Memutuskan alat pemantauan dan pencatatan yang sesuai untuk jaringan Anda akan memiliki dampak besar pada aktivitas deteksi dan analisis CSIRT Anda, serta opsi remediasi yang tersedia bagi mereka.

Baca juga: Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

Membentuk Tim Respons Insiden

Langkah Penting untuk Bertahan dari Serangan Siber
Credit image: Pixabay

Selanjutnya, bentuk tim respons insiden dan terus latih. Organisasi kecil kemungkinan besar hanya akan membutuhkan tim sementara yang terdiri dari administrator TI yang sudah ada.

Organisasi yang lebih besar akan memiliki CSIRT permanen yang biasanya akan melibatkan administrator TI lain dari perusahaan hanya untuk membantu dalam serangan spesifik; misalnya, administrator basis data untuk membantu menganalisis serangan SQL injection.

Outsourcing respons insiden ke penyedia layanan keamanan terkelola (MSSP) juga merupakan pilihan, meskipun biayanya bisa mahal. Jika Anda mempertimbangkan opsi ini, Anda harus siap untuk waktu respons yang lebih lama

Beberapa anggota tim respons insiden mungkin perlu terbang ke lokasi Anda, yang berarti lebih banyak waktu bagi ancaman untuk berdampak lebih lanjut pada jaringan Anda.

Yang terpenting, CSIRT mana pun harus memiliki staf yang memahami cara jaringan mereka dibangun. Idealnya, mereka harus memiliki pengalaman tentang bagaimana “normal” terlihat bagi Anda dan apa yang tidak biasa.

Manajemen juga perlu mengambil peran aktif dengan menyediakan sumber daya, dana, dan kepemimpinan yang diperlukan agar CSIRT dapat bekerja secara efektif.

Itu berarti menyediakan alat, perangkat, dan jump kit yang akan dibutuhkan oleh CSIRT Anda, serta membuat keputusan bisnis sulit yang disebabkan oleh insiden tersebut.

Bayangkan, misalnya, bahwa CSIRT menemukan server e-commerce bisnis telah disusupi dan perlu dimatikan. Manajemen perlu dengan cepat menimbang dampak bisnis dari mematikan atau mengisolasi server dan mengkomunikasikan keputusan akhir kepada CSIRT.

Anggota staf dan tim lain di seluruh organisasi juga memberikan dukungan penting untuk CSIRT. Staf dukungan TI dapat membantu dengan mematikan dan mengganti server, memulihkan dari cadangan, dan membersihkan sesuai permintaan CSIRT.

Penasihat hukum dan tim hubungan masyarakat juga penting untuk mengelola komunikasi seputar insiden dengan media eksternal, mitra, pelanggan, dan/atau penegak hukum.

2. Deteksi & Analisis

Pada fase ini, analis respons insiden memanfaatkan kekuatan pengetahuan, pengalaman, dan pemikiran logis mereka untuk menganalisis berbagai bentuk data yang disajikan kepada mereka oleh semua alat pemantauan dan log untuk memahami dengan tepat apa yang terjadi di jaringan dan apa yang dapat dilakukan.

Tugas analis adalah mengorelasikan peristiwa untuk merekonstruksi urutan peristiwa yang menyebabkan insiden. Yang sangat penting adalah mampu mengidentifikasi akar penyebab untuk beralih ke langkah-langkah penahanan fase 3 secepat mungkin.

Namun, seperti yang digambarkan dalam diagram siklus hidup respons insiden NIST, fase 2 dan 3 bersifat sirkular, artinya respons insiden dapat beralih kembali ke fase 2 untuk melakukan analisis akar penyebab lebih lanjut.

Dalam siklus ini, dapat terjadi bahwa menemukan dan menganalisis beberapa data di fase 2 menunjukkan perlunya mengambil langkah mitigasi tertentu di fase 3.

Mengambil langkah itu kemudian dapat mengungkap data tambahan yang memerlukan analisis lebih lanjut yang mengarah ke langkah mitigasi lebih lanjut, dan seterusnya.

Solusi deteksi dan respons endpoint, seperti ESET Inspect, yang secara otomatis menandai peristiwa mencurigakan dan menyimpan seluruh pohon proses untuk pemeriksaan lebih lanjut oleh respons insiden, sangat memperkuat aktivitas fase 2.

Baca juga: Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber

3. Penahanan, Pemberantasan & Pemulihan

Langkah Penting untuk Bertahan dari Serangan Siber
Credit image: Pixabay

Pada tahap ketiga, CSIRT memutuskan metode untuk menghentikan penyebaran lebih lanjut dari ancaman yang terdeteksi. Haruskah server dimatikan, endpoint diisolasi, atau layanan tertentu dihentikan?

Strategi penahanan yang dipilih harus mempertimbangkan potensi kerusakan lebih lanjut, pelestarian bukti, dan durasi waktu penahanan. Biasanya, ini berarti mengisolasi sistem yang disusupi, mensegmentasi bagian jaringan, atau menempatkan mesin yang terpengaruh dalam sandbox.

Sandboxing memiliki manfaat memungkinkan pemantauan lebih lanjut terhadap ancaman serta pengumpulan lebih banyak bukti. Namun, ada bahaya bahwa host yang disusupi dapat rusak lebih lanjut saat berada di dalam sandbox.

Penasihat hukum dapat memutuskan bahwa CSIRT harus mengumpulkan dan mendokumentasikan bukti sebanyak mungkin. Dalam hal ini, transfer bukti dari satu orang ke orang lain perlu dicatat secara cermat.

Setelah ditahan, malware yang ditemukan perlu dihapus dari sistem yang disusupi. Akun pengguna mungkin perlu dinonaktifkan, ditutup, atau diatur ulang.

Kerentanan harus diperbaiki, sistem dan file harus dipulihkan dari cadangan yang bersih, kata sandi harus diubah, aturan firewall harus diperketat, dll.

Kembalinya penuh ke operasi bisnis normal bisa memakan waktu berbulan-bulan tergantung pada insiden.

Dalam jangka pendek, pencatatan dan pemantauan yang ditingkatkan atau disesuaikan dengan lebih baik harus ditetapkan agar administrator TI dapat mencegah insiden yang sama terjadi lagi.

Jangka panjang mungkin akan melihat lebih banyak perubahan infrastruktur menyeluruh untuk membantu mengubah jaringan menjadi lebih aman.

4. Aktivitas Pasca Insiden

CSIRT harus mendokumentasikan dan menyediakan rekonstruksi peristiwa serta garis waktu (timeline). Ini membantu untuk memahami akar penyebab insiden dan apa yang dapat dilakukan untuk mencegah insiden yang berulang atau serupa.

Ini juga merupakan waktu bagi semua tim untuk meninjau efektivitas proses dan prosedur yang digunakan, mengidentifikasi celah dalam komunikasi dan kesulitan kolaborasi, serta mencari peluang untuk memperkenalkan efisiensi pada rencana respons insiden saat ini.

Akhirnya, manajemen perlu memutuskan kebijakan retensi untuk bukti yang dikumpulkan selama insiden. Jadi, jang

an menghapus hard drive tanpa berkonsultasi terlebih dahulu dengan departemen hukum Anda. Sebagian besar organisasi mengarsipkan catatan insiden selama dua tahun untuk tetap mematuhi peraturan.

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News