Kesuksesan keamanan bukan hanya tentang menjaga ancaman dari jaringan Anda. Ini juga tentang cepat merespon dan menggagalkan serangan ketika itu terjadi.
CSIRT adalah organisasi layanan yang bertanggung jawab untuk menerima, meninjau, dan menanggapi laporan dan aktivitas insiden keamanan komputer. Layanan CSIRT biasanya dilakukan untuk konstituensi yang ditentukan yang bisa menjadi entitas induk seperti organisasi perusahaan, pemerintah, atau pendidikan; suatu wilayah atau negara; jaringan penelitian; atau klien berbayar.
CSIRT dapat menjadi tim yang diformalkan atau tim ad hoc. Tim yang diformalkan melakukan pekerjaan respons insiden sebagai fungsi pekerjaan utamanya. Tim ad hoc dipanggil bersama selama insiden keamanan komputer yang sedang berlangsung atau untuk menanggapi insiden ketika diperlukan.
Setiap CSIRT berbeda. Setiap organisasi, berdasarkan persyaratannya, harus memutuskan struktur dan operasi CSIRT.
CSIRT harus memiliki pemahaman mendalam tentang jaringan dan asetnya. Seringkali, penyerang melakukan pengintaian menyeluruh dan tahu lebih banyak tentang jaringan target mereka daripada tim keamanan korban.
Misi utama CSIRT adalah untuk membantu memastikan perusahaan, sistem, dan pelestarian data dengan melakukan penyelidikan komprehensif terhadap insiden keamanan komputer, dan berkontribusi pada pencegahan insiden tersebut dengan terlibat dalam penilaian dan deteksi ancaman, perencanaan mitigasi, analisis kecenderungan insiden, dan tinjauan arsitektur keamanan.
CSIRT dapat menjadi bagian dari SOC. Ketika analis SOC mengidentifikasi ancaman, kebijakan respons insiden diberlakukan, dan langkah-langkah yang tepat harus dilakukan agar berhasil melindungi aset. Analis SOC harus memastikan bahwa mereka benar-benar mengidentifikasi ancaman sebelum mengambil tindakan apa pun. Persyaratan ini berarti sepenuhnya mendiagnosis kejadian sebelum mencoba untuk menahan insiden tersebut.
Kategori CSIRT
SIRT (Security Incident Response Team) terdiri dari berbagai bentuk dan ukuran dan melayani beragam konstituen. Beberapa kategori umum CSIRT, tetapi tidak terbatas pada, yang berikut:
- Internal CSIRT memberikan layanan penanganan insiden kepada organisasi induknya, yang bisa menjadi CSIRT untuk bank, perusahaan manufaktur, universitas, atau agen federal.
- National CSIRT memberikan layanan penanganan insiden ke suatu negara. Contohnya termasuk JPCERT / CC atau Tim Tanggap Darurat Komputer Singapura (SingCERT). Daftar CSIRT nasional dapat ditemukan di: http://www.cert.org/incident-management/national-csirts/national-csirts.cfm.
- Coordination Center mengoordinasi dan memfasilitasi penanganan insiden di berbagai CSIRT. Contohnya termasuk Pusat Koordinasi CERT atau US-CERT.
- Analysis Center fokus pada menganalisa data dari berbagai sumber untuk menentukan tren dan pola dalam aktivitas insiden. Informasi ini dapat digunakan untuk membantu memprediksi ancaman di masa depan atau memberikan peringatan dini ketika aktivitas tersebut sesuai dengan set karakteristik yang ditentukan sebelumnya.
- Tim vendor menangani laporan kerentanan dalam perangkat lunak atau produk perangkat keras mereka. Mereka dapat bekerja di dalam organisasi untuk menentukan apakah produk mereka rentan dan mengembangkan strategi remediasi dan mitigasi. Tim vendor mungkin juga CSIRT internal untuk organisasi vendor. Misalnya, Tim Respons Insiden Keamanan Produk Cisco (PSIRT) adalah tim global khusus yang mengelola penerimaan, penyelidikan, dan pelaporan publik tentang informasi kerentanan keamanan yang terkait dengan produk dan jaringan Cisco. Cisco PSIRT menyediakan penasehat keamanan dan respons keamanan.
- Penyedia respon insiden menawarkan layanan penanganan insiden sebagai layanan gratis untuk organisasi lain.
- CSIRT dibahas juga dalam RFC 2350.
Struktur CSIRT
Tidak ada satu set definisi, kebijakan, dan prosedur layanan yang sesuai untuk dua CSIRT yang berbeda. Setiap organisasi yang mengimplementasikan CSIRT harus memahami struktur yang melekat dan kebutuhan lingkungan di mana CSIRT akan beroperasi.
Kerangka dasar yang mendefinisikan CSIRT dapat dijelaskan dalam hal untuk apa CSIRT itu dibuat (Mission), untuk siapa (Constituency), seperti apa organisasi induknya (Organization Structure), dan siapa rekan-rekannya (Relationships) :
- Mission Statement, yang menyatakan sasaran, tujuan, dan prioritas tingkat tinggi CSIRT.
- Constituency CSIRT (komunitas spesifik yang dibentuk CSIRT untuk melayani) dan hubungan CSIRT dengan konstituen.
- Posisi CSIRT dalam struktur organisasi. Di sebagian besar lingkungan perusahaan, CSIRT harus tertanam dengan baik dalam struktur bisnis organisasi dan biasanya berada di dalam, atau memiliki beberapa tumpang tindih, dengan organisasi SOC.
- Hubungan dengan tim lain. Misalnya, Angkatan Darat AS, Angkatan Udara, dan Angkatan Laut CSIRT melayani konstituen mereka sendiri, Contoh U.S. Department of Defense Computer Emergency Response Team berkoordinasi dengan semua tim militer AS
Misi dari CISRT pada umumnya seperti berikut :
- Bertanggung jawab untuk pemantauan 24 jam, untuk melakukan investigasi, dan tanggapan terhadap insiden keamanan cybersecurity.
- Terlibat dalam penilaian ancaman secara proaktif, perencanaan mitigasi, deteksi dan respon insiden, kecenderungan insiden dengan melakukan analisis, dan pengembangan arsitektur keamanan.
Layanan Penanganan Insiden CSIRT
CSIRT dapat menawarkan layanan reaktif dan proaktif. Semua layanan CSIRT harus didukung oleh kebijakan dan prosedur yang terdefinisi dengan baik.
Layanan reaktif dipicu oleh peristiwa atau permintaan, seperti laporan dari host yang terdamapak insiden, kode berbahaya yang tersebar luas, kerentanan perangkat lunak, atau sesuatu yang diidentifikasi oleh deteksi intrusi atau pencatatan sistem. Layanan reaktif adalah komponen inti dari pekerjaan CSIRT. Contoh layanan reaktif adalah layanan penanganan insiden.
Layanan proaktif memberikan bantuan dan informasi untuk membantu mempersiapkan, melindungi, dan mengamankan sistem konstituen untuk mengantisipasi serangan, masalah, atau peristiwa. Kinerja layanan proaktif ini akan secara langsung mengurangi jumlah insiden di masa depan. Contoh layanan proaktif adalah audit keamanan atau layanan penilaian.
Tidak semua CSIRT menyediakan rangkaian layanan yang sama. Definisi untuk layanan CSIRT dapat ditemukan di: http://www.cert.org/incident-management/services.cfm.
Agar tim dianggap sebagai CSIRT, mereka harus menyediakan layanan penanganan insiden. Layanan penanganan insiden terdiri dari fungsi triase (Triage), penanganan (Handling), pengumuman (Announcement), dan umpan balik (Feedback).
Kebanyakan CSIRT sesuai dengan spesifikasi fungsional seperti yang diilustrasikan dalam gambar ini, meskipun penerapan fungsi yang tepatnya dapat sangat berbeda. Perbedaan dapat terjadi karena faktor-faktor seperti pendanaan, keahlian yang tersedia, atau struktur organisasi. Misalnya, organisasi dengan lebih banyak dana dan staf dapat membentuk tim bantuan yang terdiri dari staf dengan kemampuan teknis yang terbatas untuk menangani fungsi triase dan umpan balik, dan meneruskan fungsi penanganan ke staf dengan keahlian teknis yang lebih tinggi .
Namun CSIRT diatur, tujuan utamanya adalah untuk meminimalkan kerusakan akibat insiden keamanan, memberikan respons dan pemulihan insiden yang efektif, dan membantu mencegah insiden di masa depan terjadi.
Daftar berikut menjelaskan empat fungsi utama yang terlibat dengan layanan penanganan insiden CSIRT:
- Fungsi triase menyediakan satu titik kontak dan titik fokus untuk menerima, mengumpulkan, menyortir, memesan, dan meneruskan informasi yang masuk untuk layanan. Selain itu, fungsi triase ini dapat menjadi titik dimana semua informasi external keluar. Mendukung titik masukan yang berbeda, sesuai dengan kebutuhan tim dan konstituen. Sebagai bagian dari fungsi triase, tindakan tambahan (seperti pengarsipan, penerjemahan, atau konversi media) dapat dilakukan untuk mempermudah kegiatan penanganan insiden selanjutnya.
- Fungsi penanganan menyediakan dukungan dan bimbingan yang terkait dengan dugaan atau dikonfirmasi insiden keamanan komputer, ancaman, dan serangan. Fungsi ini dapat mencakup beberapa aktivitas berbeda. Tinjauan atas laporan, seperti laporan insiden, dilakukan untuk menentukan apa yang terjadi dan jenis kegiatan khusus yang terlibat. Analisis laporan dapat termasuk meninjau bukti atau bahan pendukung (seperti file log) untuk mengidentifikasi siapa yang terlibat (atau perlu dihubungi) atau bantuan yang diminta dan disediakan. Tim akan perlu mengidentifikasi tanggapan yang sesuai (selaras dengan misi CSIRT, tujuan, dan layanan) dan pemberitahuan aktual atau tindak lanjut dengan reporter atau konstituen.
- Fungsi umpan balik memberikan dukungan untuk memberikan umpan balik tentang masalah yang tidak terkait langsung dengan insiden tertentu. Umpan balik dapat diberikan atas permintaan eksplisit, seperti oleh media, atau tidak diminta secara berkala (dalam laporan tahunan, misalnya), atau didorong oleh kasus, seperti proaktif memberi tahu media. Fungsi ini akan menyediakan sekurang-kurangnya sekumpulan dukungan minimum untuk pertanyaan yang sering diajukan dan mungkin dilihat sebagai antarmuka untuk permintaan media atau masukan ke CSIRT secara luas.
- Fungsi pengumuman opsional menghasilkan informasi yang disesuaikan untuk konstituen dalam berbagai format untuk mengungkapkan rincian ancaman yang sedang berlangsung, langkah-langkah yang dapat diambil untuk melindungi terhadap ancaman tersebut, atau informasi tren dan sifat serangan terbaru yang dilaporkan kepada tim.
Sumber:
- Source: Handbook for Computer Security Incident Response Teams (CSIRTs), Carnegie Mellon Software Engineering Institute.
- RFC 2350
No comments:
Post a Comment