Keamanan Informasi Pertemuan 10
PANDUAN PENANGANAN INSIDEN
KEMANAN JARINGAN
BAGIAN 1 : PENDAHULUAN
Penanganan Insiden Keamanan Jaringan adalah bagian dalam menangani keamanan informasi. Sebab dari keadaan jaringan yang ada dan diaplikasikan dalam suatu organisasi akan mempengaruhi keamanan informasi yang ada padanya.
1.1 TUJUAN
Tujuan dari prosedur ini adalah untuk memastikan manajemen yang efektif dan konsisten dari penanganan insiden keamanan pada jaringan komputer. Tujuan Informasi ini adalah untuk mengenalkan kepada personel keamanan TI terhadap serangan pada jaringan (misal Distributed denial-of-service), modus operandi, dan langkah-langkah yang direkomendasikan untuk membantu upaya perbaikan, persiapan, identifikasi, penahanan, pemulihan dan keberlangsungan yang diperlukan untuk membatasi risiko yang diakibatkan oleh terjadinya insiden. Dokumen ini dapat digunakan oleh administrator sistem, tim insiden respon insiden keamanan komputer, pusat operasi keamanan TI dan kelompok teknologi terkait lainnya.
1.2 RUANG LINGKUP
1. Denial of Service
- Single Or distributed (DoS or DDoS)
- Inbound or outbound
2. Reconnaissance activity
- Port scanning
- Network vulnerabillity scanning
- Unauthorized network monitoring
3. Unauthorized access
- Unauthorized access to network
- Inappropriate Usage
Denial of service (DoS) umumnya merupakan tindakan serangan berbahaya pada jaringan yang ditujukan untuk mengganggu ketersediaan sumber daya komputasi dari pengguna yang sah. Sebuah serangan DDoS terjadi ketika beberapa sistem secara bersamaan membanjiri sumber daya jaringan komputer, membuat mereka tidak dapat diakses. Berbeda dengan serangan DoS, sebuah serangan DDoS, berasal dari berbagai sumber, bisa ratusan atau bahkan ribuan
BAGIAN 2 :
PROSEDUR PENANGANAN INSIDEN KEAMANAN JARINGAN
2.1 Tahap Persiapan (Preparation)
Prosedur dan pedoman yang jelas dan lengkap harus disiapkan secara matang sebelum serangan terjadi. Memiliki rencana yang solid akan membantu mengurangi risiko dan mengurangi dampak buruk dari serangan yang terjadi. Persiapan yang dilakukan meliputi,
Meskipun memiliki kendali proses dan teknis yang kuat, keamanan dapatdikompromikan dengan memanfaatkan personil dan membuat mereka melakukan tindakan yang sebaliknya tidak diizinkan. Tim penanganan insiden yang terampil dan adanya matrik eskalasi merupakan komponen kunci dari startegi penanganan dan penahanan yang efektif. Sebuah tim penanganan insiden yang baik adalah sumber daya sangat berharga ketika dibutuhkan untuk menangani situasi yang mungkin timbul karena adanya malware, dengan cara yang efisien dan efektif.
- Virus Removal Tools
- Wireshark
- Metasploit
- Daftar alamat IP prioritas
- Topologi jaringan
- Disaster Recovery Plan (DRP)
- Anti Malware
- Firewall
- VPN
2.2 Tahap Identifikasi
Indikator awal bahwa terjadi serangan pada jaringan adalah mencakup kinerja jaringan yang buruk, layanan tidak dapat diakses atau sistem crash. Kemampuan untuk mengidentifikasi dan memahami sifat dari serangan dan target akan membantu dalam proses penahanan dan pemulihan.
Langkah yang bisa diambil pada tahap ini,
1. Menentukan apakah jaringan organisasi merupakan target utama atau korban dari imbas
- Melambatnya lalu-lintas jaringan
- Melambatnya proses pada komputer client
- Penggunaan ruang disk yang bertambah
- Waktu login yang lama, bahkan ditolak
- Perubahan pada beberapa password
- Log penuh
- Anomali pada fungsi port
2. Memahami aliran logis dari serangan.
3. Menentukan jenis lalu lintas yang sedang digunakan, seperti alamat IP, port dan protokol.
4. Mempertimbangkan untuk menggunakan alat analisis jaringan untuk menentukan jenis lalu lintas yang digunakan dalam serangan itu (misalnya, tcpdump, wireshark, Snort).
5. Me-review log yang tersedia untuk memahami serangan dan apa yang menjadi sasaran.
6. Memberitahu personil yang tepat, ini mungkin termasuk manajemen senior dan tim hukum.
7. Mengidentifikasi aset dan layanan pada jaringan yang masih dapat diberikan oleh organisasi.
8. Mengidentifikasi apakah seluruh perangkat lunak selalu up to date dengan patch terbaru?
9. Apakah pada jaringan menjalankan layanan yang tidak perlu seperti Telnet atau FTP?
10. Menonaktifkan semua lalu lintas yang jelas palsu.
11. Menetapkan prosedur tentang cara untuk memisahkan jaringan yang satu dengan jaringan yang lain apabila terjadi serangan pada suatu jaringan.
12. Memahami perilaku "normal" dari lalu lintas jaringan, penggunaan CPU, sambungan dan penggunaan memori dari host dalam kondisi normal sehingga alat monitoring jaringan akan memicu peringatan pada perubahan abnormal.
13. Menentukan dampak dari tingkat keparahan yang terjadi
2.3 Tahap Penahanan (Containment)
Memiliki rencana penahanan yang telah ditentukan sebelum serangan untuk sejumlah skenario secara signifikan akan meningkatkan kecepatan respon dan kerusakan akibat serangan pada jaringan.
a. Tidak melakukan perubahan/modifikasi pada sistem
b. Menghubungi ISP untuk meminta penerapan penyaringan.
c. Jika memungkinkan, memblokir lalu lintas yang dekat dengan cloud jaringan (router, firewall, load balancer, dll).
d. Merelokasi target ke alamat IP lain jika suatu host tertentu sedang ditargetkan. Ini adalah solusi sementara.
e. Jika aplikasi tertentu sedang ditargetkan, pertimbangkan untuk menonaktifkan sementara.
f. Mengidentifikasi dan memperbaiki kerentanan atau kelemahan yang tereksploitasi.
g. Melakukan penyaringan berdasarkan karakteristik serangan, salah satu contohnya adalah memblokir paket echo ICMP.
h. Menerapkan rate limiting untuk protokol tertentu, mengijinkan dan membatasi jumlah paket per detik untuk protokol tertentu mengakses suatu host.
i. Mengidentifikasi lokasi dan/atau pemilik sistem yang terlibat dalam insiden tersebut dengan memeriksa hal-hal berikut :
i. Tabel ARP jaringan untuk memetakan alamat IP ke alamat MAC
ii. Catatan log DHCP untuk alamat MAC dan hostname
iii. Perintah "nbtscan" untuk query informasi pada master NetBIOS
iv. Sistem kontrol jaringan untuk semua komputer yang digunakan
v. Perangkat lunak manajemen jaringan ( radius )
vi. Sistem manajemen log file ( misal ‘Qradar’)
j. Menentukan apakah komputer yang telah diblokir masih memiliki akses jaringan. Jika demikian, hal ini dapat dicapai dalam beberapa cara oleh tim jaringan:
i. Pemeriksaan pada port switch , interface router , perimeter jaringan
ii. Memblokir alamat MAC pada semua jaringan nirkabel
iii. Menonaktifkan akses dial-up modem
iv. Nonaktifkan akses VPN
k. Daftar komputer yang telah diblokir harus diumumkan ke semua anggota organisasi.
l. Mungkin ada kasus ketika sebuah protokol (TCP/UDP) atau port tertentu perlu diblokir pada perimeter jaringan beberapa antarmuka jaringan lainnya untuk mencegah penyebaran.
m. Memberi tahu kepada administrator sistem dan/atau pengguna yang bertanggung jawab atas sistem.
n. Mengisolasi komputer yang terkena dampak, baik dengan cara mencabut kabel jaringan (lebih disukai) atau mematikan komputer.
2.4 Tahap Eradication
Tahap eradication merupakan tahap untuk melakukan analisa lebih dalam terhadap barang bukti yang telah ditahan, pada tahap ini dilakukan proses analisa terhadap beberapa log file yang terdapat pada server, peralatan aktif jaringan, IDS, Firewall, sistem file, dan aplikasi. Pada
tahap ini dilakukan analisa forensik dari barang bukti. Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yangpenting bagi proses forensik. Log file mengandung informasi tentang
berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file.
2.5 Recovery
Memahami karakteristik serangan diperlukan untuk pemulihan yang cepat dan tepat.
a. Konfirmasikan bahwa serangan pada jaringan telah selesai dan layanan bisa dilakukan kembali
b. Konfirmasikan bahwa jaringan telah kembali ke kinerja semula.
c. Jika perlu, melakukan patch dan memperbarui semua mesin yang terkena dampak.
d. Jika sumber serangan teridentifikasi berasal dari luar jaringan, meminta bantuan dari ISP merupakan cara yang paling tepat.
e. Melakukan ulasan dan monitoring terhadap log untuk melihat adanya tanda-tanda pengintaian. Melindungi dan menjaga log untuk kebutuhan penegakan hukum di masa depan.
f. Melakukan pemulihan dari back up sistem yang masih baik.
2.6 Tahap Follow Up
Tahap dimana semua tahap sebelumnya telah dilalui, tujuan dari tahap ini
adalah untuk,
a. Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang telah didapatkan pada penanganan insiden yang telah dilakukan. Mendokumentasikan dampak dan biaya dari terjadinya insiden serangan pada jaringan.
b. Pembelajaran, adalah langkah yang sangat penting yang sering diabaikan. Pelajaran harus dapat dipetik dari kegiatan sesegera mungkin setelah penanganan insiden usai. Semua keputusan dan langkah-langkah yang diambil sepanjang siklus penanganan insiden harus ditinjau. Semua prosedur harus ditinjau untuk melihat di mana perbaikan dapat dilakukan.
c. Peningkatan kepedulian terhadap keamanan jaringan, dengan melakukan review setelah setiap kejadian, akan memungkinkan bagi organisasi untuk melakukan perbaikan terus-menerus dan berpotensi pada pengurangan yang signifikan akibat dampak insiden.
d. Memungkinan pembaharuan pada dokumen-dokumen berikut:
- Standard Operating Procedures
- Prosedur Operasi Darurat
- Disaster Recovery Plan (DRP)
0 Response to "Keamanan Informasi Pertemuan 10"
Posting Komentar