Dasar-dasar manajemen insiden

- [Instruktur] Dengan sumber daya yang diinvestasikan dalam kejahatan dunia maya dan malware yang disponsori negara, tidak dapat dihindari bahwa serangan pada akhirnya akan menembus organisasi yang paling berhati-hati sekalipun. Ketika itu terjadi, perbedaan antara ketidaknyamanan dan bencana adalah seberapa siap organisasi untuk menanggapi insiden tersebut. Kerangka kerja keamanan siber NIST menyediakan serangkaian tujuan kontrol di bawah area fungsional, merespons. Ini terdiri dari lima kategori: perencanaan, komunikasi, analisis, mitigasi, dan perbaikan. Kerangka kerja ini juga mencakup fungsi pemulihan yang menambah tiga kategori respons. Lima kategori kerangka kerja keamanan siber selaras erat dengan proses penanganan insiden empat tahap, yang didefinisikan dalam Panduan Penanganan Insiden Publikasi Khusus NIST SP 800-61. Berbeda dengan kerangka kerja keamanan siber, komunikasi yang terjadi selama empat tahap ini tidak ditampilkan sebagai tahap terpisah. Kerangka kerja keamanan siber dan SP 800-61 juga dapat diselaraskan dengan model tiga tahap yang diterbitkan oleh CREST UK, dengan model persiapan, tanggapan, dan tindak lanjutnya. Apa pun modelnya, aspek kunci dari manajemen insiden adalah berbagi informasi. Ini termasuk intelijen ancaman dalam tahap persiapan dan masalah respons operasional selama insiden. NIST mendirikan Forum Tim Respons Insiden dan Keamanan, FIRST, pada tahun 1990, dan ini berlanjut hingga hari ini sebagai forum aktif yang membantu mendukung industri, pemerintah, dan komunitas vendor. FIRST menyelenggarakan lokakarya dan konferensi untuk mendorong kerja sama dan koordinasi dalam pencegahan insiden untuk merangsang reaksi cepat terhadap insiden, dan di mana para ahli materi pelajaran dapat bertemu untuk berbagi informasi. Komunitas Tim Tanggap Insiden Komputer, atau CIRTS, beroperasi di tingkat nasional untuk melindungi pemerintah dan infrastruktur pentingnya, dan untuk memberikan saran masyarakat tentang masalah keamanan siber. CIRT AS, misalnya, adalah bagian dari Departemen Keamanan Dalam Negeri. Melalui pusat operasi 24 kali 7, US CERT menerima, memilah, dan berkolaborasi dalam insiden, memberikan bantuan teknis dan menyebarkan pemberitahuan tentang masalah keamanan saat ini dan potensial. CIRT juga berkolaborasi di tingkat internasional melalui forum tim tanggap insiden. Ini tidak hanya melibatkan pemeliharaan saluran CIRT ke CIRT nasional, menjalankan kursus pelatihan, dan berpartisipasi dalam konferensi tahunan, tetapi juga menjadi kontak utama CIRT ke organisasi seperti Forum Pakar Keamanan Global dan Persatuan Telekomunikasi Internasional. Sangat berguna untuk memiliki bahasa yang sama ketika berbicara tentang jenis insiden dan memiliki seperangkat templat generik yang sesuai dengan tujuan untuk masing-masing. CIRT AS mendefinisikan tujuh kategori insiden. Kategori nol mencakup insiden yang merupakan bagian dari latihan siber untuk menguji pertahanan jaringan. Insiden kategori satu adalah insiden di mana seseorang mendapatkan akses logis atau fisik, tanpa izin, ke sistem jaringan, data aplikasi, atau sumber daya lainnya. Insiden kategori dua adalah peristiwa penolakan layanan di mana serangan berhasil mencegah atau mengganggu fungsionalitas resmi normal dari sistem jaringan atau aplikasi, dengan menghabiskan sumber daya. Kategori tiga mencakup keberhasilan penginstalan perangkat lunak berbahaya yang tidak dikarantina oleh perangkat lunak antivirus. Insiden kategori empat adalah insiden yang melibatkan pelanggaran penggunaan yang dapat diterima. Insiden kategori lima adalah pemindaian dan penyelidikan sistem, mencari port, protokol, atau layanan terbuka, yang tidak secara langsung mengakibatkan kompromi atau penolakan layanan. Kategori enam adalah untuk insiden yang melibatkan aktivitas yang belum dikonfirmasi tetapi berpotensi berbahaya, yang membenarkan penyelidikan lebih lanjut. Insiden tidak sering muncul dengan cara yang langsung jelas untuk kategorisasi, biasanya akan memiliki beberapa bentuk peristiwa yang ditandai sebagai mencurigakan, dan beberapa penyelidikan diperlukan. Alat penting untuk manajemen insiden adalah Sistem Tiket Masalah, yang memungkinkan kami untuk mempertahankan semua informasi yang relevan tentang suatu peristiwa, hingga menjadi insiden dan akhirnya diselesaikan. Berikut adalah contoh Sistem Tiket Masalah yang disebut Tiket OS, yang menampilkan daftar tiket terbukanya.