Incident handling
Menurut saya, Insiden merupakan suatu peristiwa atau
kejadian yang dapat terjadi pada waktu tertentu. Insiden ini biasa terjadi
karena adanya sebab yang dilakukan oleh seseorang. Insiden juga dapat terjadi
dalam kehidupan media elektronik. Dalam kehidupan media elektronik, insiden
dapat kita artikan sebagai suatu kejadian yang tidak sesuai atau melanggar
kebijakan-kebijakan atau peraturan-peraturan yang telah ditetapkan oleh
pengelola media elektronik. Insiden ini bisa terjadi, baik yang disengaja
maupun yang tidak disengaja. insiden ini juga sering terjadi pada waktu yang
kurang tepat, misalnya pada saat tidak adanya petugas admin atau ketika ada
deadline yang harus dikejar. Insiden-insiden yang biasa terjadi dapat berupa :
1.
Wabah virus
2.
Spam mail, mail bomb
3.
Previlage attack, rootkit, intrusion
4.
Dos attack
5.
Unauthorized access
6.
Kemungkinan munculnya skenario baru yang lain,
misalnya ada software yang kuno yang rentang akan serangan, adanya perkembangan
teknologi yang baru yang dapat menciptakan cara penyerangan yang baru, dan
lain-lain.
Dengan adanya insiden yang mungkin dapat terjadi, maka kita
perlu melakukan penanganan terhadap insiden tersebut yang biasa disebut dengan
nama incident handling. Ada juga istilah lain yang biasa dikenal incident
response. Incident response merupakan bagaimana cara kita menanggulangi krisis
yang terjadi akibat serangan dan ancaman yang ada. Tujuan kita melakukan
incident handling ini, yaitu :
1.
Memastikan bahwa insiden terjadi atau tidak
terjadi.
2.
Melakukan pengumpulan informasi yang akurat
terhadap insiden yang terjadi supaya mengetahui siapa-siapa pelakunya.
3.
Melakukan pengambilan dan penanganan bukti-bukti
yang ada ditempat kejadian perkara.
4.
Menjaga agar kegiatan berada dalam kerangka hokum
(misalnya masalah privacy, legal action).
5.
Meminimalkan gangguan terhadap operasi bisnis
dan jaringan.
6.
Membuat laporan yang akurat.
Adapun cara-cara atau metode yang digunakan untuk melakukan penanganan
terhadap insiden yang terjadi, antara lain :
1.
Pre incident preparation. Pada tahap ini kita
melakukan persiapan supaya insiden yang kita tidak ingin tidak terjadi, yaitu
dengan membuat peraturan-peraturan dan sanksi.
2.
Detection of incident. Jika terjadi insiden yang
kita tidak inginkan, maka kita menerapkan tahap ini yaitu dengan mencari tau
insiden yang terjadi dan mencari penyebabnya.
3.
Initial response. Setelah kita mengetahui
insiden apa yang terjadi, maka kita melakukan langkah awal agar insiden
tersebut tidak bertambah parah yaitu dengan mengamankan bukti-bukti yang ada
supaya tidak hilang dan melakukan tindakan pengamanan awal yang bisa dilakukan.
4.
Response strategy formulasi. Setelah kita
melakukan tindakan awal tersebut, maka kita menyusun sebuah rencana untuk
mengatasi akibat dari insiden yang terjadi.
5.
Duplication. Lalu kita membuat duplikasi dari
data-data atau bukti yang ada untuk kebutuhan forensic backups.
6.
Investigation. Lalu dari data-data yang sudah
diperoleh itu, kita melakukan investigasi terhadap insiden yang terjadi dengan
menganalisa dan menelusuri bukti-bukti yang dimiliki.
7.
Security measure implementation. Langkah ini
kita lakukan untuk mengukur tingkat keamanan dari sistem yang saat ini
digunakan, sehingga kita dapat mengetahui seberapa parah serangan yang terjadi.
8.
Network monitoring. Langkah ini kita lakukan
untuk menjaga aktivitas jaringan yang sedang terjadi agar jika ada aktivitas
jaringan yang mencurigakan kita dapat langsung mengatasinya.
9.
Recovery. Langkah ini dilakukan dengan memperbaiki
sistem-sistem yang telah diserang dan meningkatkan keamanan sistem tersebut.
10.
Follow-up. Langkah ini kita lakukan untuk
menjaga sistem kita agar tidak diserang lagi yaitu dengan melakukan back-up
data-data penting yang dimiliki dan lain-lain.
Adapun kendala-kendala yang dihadapi oleh kita (pemula),
antara lain :
1.
Teknis
·
Apa saja yang harus dilaporkan ?
o
Apakah ada informasi yang confidential?
(nomor IP, userid, password, data, file)
·
Ketersediaan trouble ticketing system, help desk
(24jam?)
·
Datalog sering tidak tersedia sehingga
menyulitkan bagi incident handling untuk mengungkapkan siapa pelakunya
·
Penggunaan perangkat yang sudah disertifikasi
sebagai perangkat penanganan insiden
2.
Non-teknis
·
Organisasi :
o
Kemana (kepada siapa) harus melapor jika terjadi
insiden ? Perlunya “Incident Response Team” (IRT)
o
Melapor ke orang yang lebih tinggi pangkatnya
atau orang yang lebih jago mengenai hal tersebut ?
·
Hubungan dengan policy dan procedure yang
seringkali tidak dimiliki oleh institusi
·
Ketersediaan SDM
Referensi :
http://br.paume.itb.ac.id/courses/ec5010/incident-handling.ppt