incident handling

Incident handling

Menurut saya, Insiden merupakan suatu peristiwa atau kejadian yang dapat terjadi pada waktu tertentu. Insiden ini biasa terjadi karena adanya sebab yang dilakukan oleh seseorang. Insiden juga dapat terjadi dalam kehidupan media elektronik. Dalam kehidupan media elektronik, insiden dapat kita artikan sebagai suatu kejadian yang tidak sesuai atau melanggar kebijakan-kebijakan atau peraturan-peraturan yang telah ditetapkan oleh pengelola media elektronik. Insiden ini bisa terjadi, baik yang disengaja maupun yang tidak disengaja. insiden ini juga sering terjadi pada waktu yang kurang tepat, misalnya pada saat tidak adanya petugas admin atau ketika ada deadline yang harus dikejar. Insiden-insiden yang biasa terjadi dapat berupa :

1.       Wabah virus

2.       Spam mail, mail bomb

3.       Previlage attack, rootkit, intrusion

4.       Dos attack

5.       Unauthorized access

6.       Kemungkinan munculnya skenario baru yang lain, misalnya ada software yang kuno yang rentang akan serangan, adanya perkembangan teknologi yang baru yang dapat menciptakan cara penyerangan yang baru, dan lain-lain.

Dengan adanya insiden yang mungkin dapat terjadi, maka kita perlu melakukan penanganan terhadap insiden tersebut yang biasa disebut dengan nama incident handling. Ada juga istilah lain yang biasa dikenal incident response. Incident response merupakan bagaimana cara kita menanggulangi krisis yang terjadi akibat serangan dan ancaman yang ada. Tujuan kita melakukan incident handling ini, yaitu :

1.       Memastikan bahwa insiden terjadi atau tidak terjadi.

2.       Melakukan pengumpulan informasi yang akurat terhadap insiden yang terjadi supaya mengetahui siapa-siapa pelakunya.

3.       Melakukan pengambilan dan penanganan bukti-bukti yang ada ditempat kejadian perkara.

4.       Menjaga agar kegiatan berada dalam kerangka hokum (misalnya masalah privacy, legal action).

5.       Meminimalkan gangguan terhadap operasi bisnis dan jaringan.

6.       Membuat laporan yang akurat.

Adapun cara-cara atau metode yang digunakan untuk melakukan penanganan terhadap insiden yang terjadi, antara lain :

1.       Pre incident preparation. Pada tahap ini kita melakukan persiapan supaya insiden yang kita tidak ingin tidak terjadi, yaitu dengan membuat peraturan-peraturan dan sanksi.

2.       Detection of incident. Jika terjadi insiden yang kita tidak inginkan, maka kita menerapkan tahap ini yaitu dengan mencari tau insiden yang terjadi dan mencari penyebabnya.

3.       Initial response. Setelah kita mengetahui insiden apa yang terjadi, maka kita melakukan langkah awal agar insiden tersebut tidak bertambah parah yaitu dengan mengamankan bukti-bukti yang ada supaya tidak hilang dan melakukan tindakan pengamanan awal yang bisa dilakukan.

4.       Response strategy formulasi. Setelah kita melakukan tindakan awal tersebut, maka kita menyusun sebuah rencana untuk mengatasi akibat dari insiden yang terjadi.

5.       Duplication. Lalu kita membuat duplikasi dari data-data atau bukti yang ada untuk kebutuhan forensic backups.

6.       Investigation. Lalu dari data-data yang sudah diperoleh itu, kita melakukan investigasi terhadap insiden yang terjadi dengan menganalisa dan menelusuri bukti-bukti yang dimiliki.

7.       Security measure implementation. Langkah ini kita lakukan untuk mengukur tingkat keamanan dari sistem yang saat ini digunakan, sehingga kita dapat mengetahui seberapa parah serangan yang terjadi.

8.       Network monitoring. Langkah ini kita lakukan untuk menjaga aktivitas jaringan yang sedang terjadi agar jika ada aktivitas jaringan yang mencurigakan kita dapat langsung mengatasinya.

9.       Recovery. Langkah ini dilakukan dengan memperbaiki sistem-sistem yang telah diserang dan meningkatkan keamanan sistem tersebut.

10.   Follow-up. Langkah ini kita lakukan untuk menjaga sistem kita agar tidak diserang lagi yaitu dengan melakukan back-up data-data penting yang dimiliki dan lain-lain.

Adapun kendala-kendala yang dihadapi oleh kita (pemula), antara lain :

1.       Teknis

·         Apa saja yang harus dilaporkan ?

o   Apakah ada informasi yang confidential?

(nomor IP, userid, password, data, file)

·         Ketersediaan trouble ticketing system, help desk (24jam?)

·         Datalog sering tidak tersedia sehingga menyulitkan bagi incident handling untuk mengungkapkan siapa pelakunya

·         Penggunaan perangkat yang sudah disertifikasi sebagai perangkat penanganan insiden

2.       Non-teknis

·         Organisasi :

o   Kemana (kepada siapa) harus melapor jika terjadi insiden ? Perlunya “Incident Response Team” (IRT)

o   Melapor ke orang yang lebih tinggi pangkatnya atau orang yang lebih jago mengenai hal tersebut ?

·         Hubungan dengan policy dan procedure yang seringkali tidak dimiliki oleh institusi

·         Ketersediaan SDM

Referensi :

http://quantan.blogspot.com/2008/06/insiden-ti-itil.html

http://br.paume.itb.ac.id/courses/ec5010/incident-handling.ppt