Computer Security Incident Response)

Analyzer ECSA Experience & Opinion

Free-Abstract-Background-Vector-ArtDiawal awal mempelajari keilmuan Forensic Investigator, kita akan dikenalkan dengan yang namanya CSIRT ( Computer Security Incident Response) yang mana secara garis besar menyediakan layanan koordinasi teknis terkait insiden internet di seluruh dunia. Pusat CSIRT sendiri di dirikan Tahun 2001 di Waldorf,MD Maryland Amerika Serikat.

Kenyataan nya bahwa CSIRT sebenarnya diperlukan tidak hanya untuk global tetapi juga didalam lingkungan perusahaan karena ini membantu organisasi itu untuk dapat pulih dari pelanggaran dan ancaman. Bentuk dari CSIRT ini adalah ad hoc dan memiliki tanggung jawab utama untuk menghandle berbagai macam incident yang terjadi.

Inciden sendiri secara umum dibagi menjadi 3 masing masing dengan ukuran impactnya yaitu rendah ( low), menengah( middle) dan tinggi ( high).

Low Level Incident misalnya saja kehilangan password personal, menggunakan account secara bersama sama ( sharing account), adanya aktifitas scanning network illegal, adanya virus, worm.

Medium Level Incident misalnya hack terhadap suatu computer, penyimpanan dan pengolah data illegal, perusakan perangkat computer dengan nilai kurang dari 100.000 USD, pencurian identitas,pembangunan illegal, virus atau worm yang memiliki impact jaringan.

High Level Incident misalnya perusakan perangkat dengan nilai lebih dari 100.000 USD, pemindahan dana dari dan ke satu rekening lain, pornography, perjudian , Trojan backdoor, illegal akses melalui backdoor, perubahan hardware, firmware tanpa pemberitahuan.

CSIRT sendiri sebaiknya terdiri dari tim yang professional, dimana masing masing anggota bertanggung jawab mendeteksi terjadinya incident secara dini dan membuat report untuk mencegah incident lanjutan lainnya. Selain itu mereka juga bertanggung jawab untuk melindungi dan mengamankan Informasi penting dari organisasi itu, karena secara langsung baik data, hardware, dan Informasi itu akan menjadi kelangsungan hidup dari organisasi .

CSIRT juga melakukan edukasi terkait masalah maslah yang berhubungan dengan keamanan, hacking dan penetration testing, sebab ini akan secara otomatis memperkuat system keamanan organisasi. Tentunya dengan tim yang terlatih juga mempengaruhi response time bila terjadi incident di masa yang akan datang.

Contoh contoh CISRT misalnya :

Internal CSIRT yang ada di bank, perusahaan manufacture, universitas, atau Lembaga pemerintahan lainnya.

National CSIRT yang menyediakan service untuk seluruh negara, misalnya saya Japan Computer Emergency Response Team Coordination Center ( JPCERT /CC). Nah tahukah rekan rekan bahwa Indonesia juga memiliki team serupa ? Mereka di kenal dengan ID CERT, tim ini di dirikan di Tahun 1998 yang berbasis teknis komunitas dan untuk komunitas yang bersifat independent. Di dirikan oleh Budi Rahardjo. ID CERT bersama JP-CERT dan AUS CERT pendiri forum AP CERT ( Asia Pasific Computer Emergency Respon Team). Menurut dari situs resminya bahwa salah satu misi dari ID CERT adalah melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri. Untuk Informasi lain bisa di lihat di website resmi mereka di http://www.cert.or.id/ .

Analysis Center yang akan menganalisa trend dan pola dari suatu incident yang berulang ( aktifitas) untuk memprediksi kemungkinan terjadinya aktifitas di masa depan atau untuk menyediakan deteksi dini.

Vendor Team yang meng- identifikasi vulnerabilities didalam produk software dan hardware..

Incident Response Provider , yang ini berbayar sebab mereka menawarkan service menangani incident hanya kepada client mereka saja.

Beberapa tahap bila rekan rekan semua akan mendirikan CSIRT sendiri adalah :

  1. Obtain Management Support dan Buy In ; Perlu dukungan management untuk membentuk CSIRT, jadi yang diperlukan adalah secara kebijakan yang bersifat politis, tanpa dukungan dan persrtujuan management akan sulit sekali di dirikan. Perlu juga di dipikirkan penyandang dana untuk kelangsungan team tersebut, resource baik staff, perangkat hardware dan software.
  2. Determine Strategic Plan ; Menentukan tujuan yang bisa dicapai, time frame. Siapa saja anggotanya , dari mana saja. Bagaimana menentukan strategi bila masing masing anggota itu letaknya terpisah secara geografis.
  3. Gather Relevant Information ; Menemui para stakeholder untuk mendiskusikan harapan, strategi, definsii dan tanggung jawab dari CSIRT. Yang dimaksud dengan stake holder disini adalah para manager, perwakilan IT, perwakilan Legal, HRD, Public Relation, Keamanan, Audit dan Risk Management.
  4. Design CSIRT Vision ;Menentukan misi dan visi, menentukan model CSIRT dan struktur organisasi. Identifikasi resource, staff, perangkay dan infrastruktur yang diperlukan untuk mengoperasikan CSIRT. Menentukan pendanaan untuk awal dan long term maintenance serta pertumbuhan CSIRT.
  5. Communicate Vision & Operation Plan ; Mengkomunikasikan Visi dan Misi serta rencana operasional kepada pihak management, konstituen dan pihak lain yang sekiranya perlu dan memahami CSIRT.Meminta mereka untuk memberikan feedback pada fase ini sangat membantu sekali.
  6. Implementation ; Mulai membuka lowongan untuk staff, pembelian perangkat infrastruktur. Membangun dasar kebijakan ( policies), SOP, incident tracking system, incident report
  7. Annouce Operational CSIRT ;Umumkan kepada para konsituent dan organisasi atas ber operasinya CSIRT, tentunya sudah pula ditentukan PIC / Contact Person, Jam operasional CSIRT, membangun SOP Lanjutan yang lebih baik, Guidelines dll.

Demikian dapat saya bagi untuk hari ini, tetap semangat , Selamat berpuasa dan Salam kompasiana.