Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Sunday, 12 August 2018

Mendeskripsikan Insiden Keamanan dalam VERIS


Untuk memerangi ancaman keamanan dunia maya yang luas dan bervariasi saat ini, organisasi menyadari pentingnya berbagi informasi keamanan untuk tetap mengikuti perkembangan terkini dari ancaman ancaman yang bisa terjadi sekarang. Masalahnya adalah sulit untuk membagi temuan informasi keamanan dengan mudah, aman, dan  menghasilkan transfer informasi yang dapat dimengerti. Berbagi informasi adalah pekerjaan yang rumit dan menantang. Jika dilakukan dengan benar, semua orang yang terlibat mendapat manfaat dari kecerdasan kolektif ini. Jika dilakukan dengan buruk, itu malah dapat menyesatkan partisipannya atau menciptakan kesempatan belajar untuk para musuh. VERIS (Vocabulary for Event Recording and Incident Sharing) , awalnya dikembangkan oleh Verizon, adalah satu set metrik yang menyediakan bahasa umum untuk menggambarkan insiden keamanan secara terstruktur dan berulang.

VERIS adalah format terbuka yang dapat digunakan siapa pun di suatu organisasi tanpa biaya lisensi apa pun (gratis). VERIS membantu organisasi untuk mengumpulkan informasi terkait insiden dan berbagi informasi secara anonim dan bertanggung jawab. Dengan menggunakan metrik VERIS standar, organisasi dapat membandingkan diri mereka dengan organisasi lain, yang membuka sumber baru informasi yang berguna bagi organisasi, termasuk perbandingan antara metrik oranisasi terhadap rata-rata di seluruh dunia, perbandingan sebelum dan sesudah ketika kontrol keamanan baru diterapkan dalam organisasi, dan tren ancaman untuk melihat apakah ada peningkatan.

VCDB adalah repositori terbuka dan bebas dari insiden keamanan yang dilaporkan secara publik yang dicatat dalam format VERIS. Peluncuran awal VCDB berisi data dari lebih dari 1.200 insiden, terutama dari tahun 2012 dan 2013.

Gambar tersebut menunjukkan empat komponen utama VERIS (aktor, tindakan, aset, dan atribut, yang dikenal sebagai "4 A's") yang digunakan untuk menggambarkan sebuah insiden.

Struktur Insiden

Insiden yang didokumentasikan dengan menggunakan skema dan struktur VERIS dapat berisi lima bagian utama berikut yang dirancang untuk menangkap aspek yang berbeda dari narasi insiden menggunakan variabel yang berbeda. Jika dilihat bersama, bagian ini harus memberi organisasi gagasan yang lebih baik tentang penyebab dan keparahan insiden.
Incident Tracking
incident_id
ExampleBreach_00001
Victim Demographics
victim.victim_id
Example Inc.
Incident Description
actor.external.country
ISO 3166-2:RU
Discovery and Response
corrective_action
Create a new IPS rule to ...
Impact Assessment
impact.overall_rating
Damaging
  • Bagian pelacakan insiden (incident tracking) menangkap informasi umum tentang insiden tersebut. Tujuan utamanya adalah memungkinkan organisasi untuk mengidentifikasi, menyimpan, dan mengambil insiden dari waktu ke waktu. Misalnya, variabel incident_id digunakan untuk mengidentifikasi insiden secara unik untuk penyimpanan dan pelacakan dari waktu ke waktu.
  • Bagian demografi korban (Victim Demographics) menjelaskan (tetapi tidak mengidentifikasi) organisasi yang dipengaruhi oleh insiden tersebut. Tujuan utamanya adalah untuk membantu perbandingan antara berbagai jenis organisasi (di seluruh industri, ukuran, wilayah, dan sebagainya) atau departemen dalam satu organisasi. Ketika menggunakan VERIS hanya secara internal dalam suatu organisasi, organisasi mungkin tidak peduli dengan demografi korban, karena organisasi akan menjadi satu-satunya korban. Namun, untuk membagikan data ini dengan organisasi lain, akan sangat membantu untuk mengetahui tentang organisasi korban. VERIS memudahkan untuk membagikan informasi yang relevan tanpa mengungkapkan nama organisasi. Misalnya, variabel victim.victim_id digunakan untuk menghubungkan insiden dengan entitas yang dipengaruhi oleh mereka (tanpa mengidentifikasi entitas itu sendiri), yang dapat berguna dalam skenario berbagi kejadian anonim untuk banyak tujuan. Misalnya, perlu untuk mempelajari hal-hal seperti rata-rata jumlah insiden per organisasi, mengapa organisasi tertentu mengalami lebih banyak insiden, apakah tindakan korektif tertentu mengarah pada insiden atau kerugian yang berkurang, dan seterusnya.
  • Bagian deskripsi insiden (incident description) menerjemahkan narasi insiden "siapa melakukan apa dengan apa (atau siapa) dengan hasil apa" menjadi bentuk yang lebih cocok untuk tren dan analisis. VERIS menggunakan model ancaman A4 yang dikembangkan oleh tim Verizon RISK. Dalam model A4, insiden dipandang sebagai serangkaian peristiwa yang berdampak buruk pada aset informasi dari suatu organisasi. Setiap peristiwa terdiri dari "4 A's" (aktor, tindakan, aset, dan atribut), yang menyediakan struktur tingkat teratas untuk metrik di bagian ini. Sebagai contoh, variabel actor.external.country digunakan untuk mengidentifikasi asal geografis aktor, yang berguna pada berbagai level investigasi, operasional, dan strategis. VERIS menggunakan kode ISO 3166 untuk variabel negara.
  • Bagian penemuan dan tanggapan (discvery and response) berfokus pada garis waktu kejadian, bagaimana insiden itu ditemukan, dan pelajaran yang didapat selama proses tanggap dan remediasi. Ini memberikan wawasan yang berguna ke dalam deteksi dan kemampuan defensif organisasi dan membantu mengidentifikasi tindakan korektif yang diperlukan untuk medeteksi dan mencegah insiden serupa di masa depan. Misalnya, variabel korektif_action digunakan untuk mengidentifikasi apa yang harus (atau apa yang seharusnya) dilakukan untuk mencegah kejadian seperti itu dari berulang.
  • Bagian penilaian dampak (impact assesement) memanfaatkan tiga perspektif dampak untuk memberikan pemahaman dan ukuran konsekuensi yang terkait dengan insiden tersebut. Bersama-sama, mereka berusaha untuk mengkategorikan berbagai kerugian yang dialami, memperkirakan besarnya, dan menangkap penilaian kualitatif dari keseluruhan efek pada organisasi. Misalnya, variabel impact.overall_rating digunakan untuk menilai keseluruhan dampak insiden ini terhadap organisasi.
Daftar lengkap variable VERIS dapat dilihat dihalaman : http://veriscommunity.net/schema-docs.html dan kemudian skema terbaru VERIS dapat dilihat di Github : https://github.com/vz-risk/veris.

VERIS 4A


VERIS "4 A's" (aktor, tindakan, aset, dan atribut) mewakili informasi minimum yang diperlukan untuk menggambarkan skenario insiden atau ancaman secara memadai.

Angka ini menunjukkan serangkaian peristiwa 4 A yang mewakili fase serangan insiden.

Ada beberapa bidang yang diperlukan dalam catatan VERIS, dan banyak dari mereka hanya diisi jika atribut tertentu memang sesuai insiden yang terjadi. Hampir semua bidang yang diperlukan juga memungkinkan untuk tidak diketahui jika atribut tertentu tidak hadir dalam insiden tersebut. Misalnya, jika aktor ancaman tidak dapat ditentukan, atribut aktor dapat didokumentasikan sebagai tidak dikenal.

Berikut ini adalah contoh tiket kasus SOC dari insiden ransomware TeslaCrypt dimana VERIS 4 A digunakan untuk mendokumentasikan insiden di dalam tiket.

Aktor/Actor (atau Agent)
Aktor ancaman adalah entitas yang menyebabkan atau berkontribusi pada suatu insiden.
VERIS mengakui tiga kategori utama dari pelaku ancaman:
  • Aktor eksternal/external actor adalah ancaman eksternal yang berasal dari sumber di luar organisasi dan jaringannya.
  • Aktor internal/internal actor adalah ancaman internal yang berasal dari dalam organisasi.
  • Para aktor/partner actor mitra termasuk pihak ketiga yang berbagi hubungan bisnis dengan organisasi.
Tindakan/Action
Aksi-aksi ancaman menggambarkan apa yang dilakukan oleh aktor ancaman untuk menyebabkan atau berkontribusi terhadap insiden tersebut. Setiap insiden memiliki setidaknya satu insiden, tetapi sebagian besar akan terdiri dari beberapa tindakan (dan seringkali di beberapa kategori). VERIS menggunakan tujuh kategori utama tindakan ancaman: malware, hacking, social, misuse, physical, error, dan environtmental.

Berikut ini adalah contoh tindakan malware:
  • Malware didefinisikan oleh VERIS sebagai "perangkat lunak berbahaya, skrip, atau kode apa pun yang dijalankan pada perangkat yang mengubah status atau fungsinya tanpa persetujuan dari pemilik," yang akan mencakup virus, spyware, backdoor, worm, dan keyloggers.
  • Ada empat subkategori atau atribut untuk malware yang membantu menangkap informasi terkait tentang malware, termasuk ragamnya, vektor serangan, kerentanan yang dimanfaatkan oleh malware, dan nama umum malware.
    • Malware variety menjelaskan variasi atau fungsi malware yang terlibat dalam insiden tersebut. Daftar varietas SOC mencakup backdoor, brute force, CnC, client-side-attack, DoS, downloader, exploit vulnerability, infostealer, ransomware, rootkit, dan lainnya.
    • Malware vector menggambarkan jalur serangan atau infeksi. Daftar vektor SOC termasuk malvertising. web drive-by, web download, email link, email attachment, dan lainnya.
    • Malware vulnerabilities menangkap kerentanan spesifik yang dimanfaatkan oleh malware. Data biasanya mencakup ID kerentanan, seperti nomor CVE.
    • Malware common name adalah nama umum atau nama turunan perangkat lunak perusak.
Berikut ini contoh dari tiga tindakan umum lainnya:
  • Hacking didefinisikan dalam VERIS sebagai "semua upaya untuk secara sengaja mengakses atau membahayakan aset informasi tanpa (atau melebihi) otorisasi dengan menghindari atau menggagalkan mekanisme keamanan logis," yang akan mencakup brute force, DoS, injeksi SQL, dan cryptanalysis. menggunakan dua atribut untuk menggambarkan peretasan: variasi (variety) dan vektor (vector).
  • Daftar variasi hacking (variety) diantaranya :
    • Brute force or password guessing attacks
    • Buffer overflow
    • XSS
    • Man-in-the-middle attacks
    • Remote file inclusion
    • SQL injection
    • DoS
    • Path traversal
  • Dan untuk daftar vektor hacking (vector) sebagai berikut :
    • Third-party online desktop sharing (LogMeIn, GoToAssist, and so on)
    • Backdoor or command and control channel
    • Command shell
    • VPN
    • Web application
  • Social, sosial termasuk penipuan, intimidasi, dan manipulasi untuk mengeksploitasi elemen manusia. SOC ini menggunakan dua atribut untuk menggambarkan serangan sosial: variasi dan vektor.
  • Varietas taktik sosial yang terlibat mungkin termasuk:
    • Phishing
    • Scam
  • Vektor sosial menggambarkan saluran komunikasi yang digunakan dalam serangan itu. Vektor sosial mungkin termasuk:
    • E-mail
    • IM
    • Media sosial
    • Situs web
  • Misuse didefinisikan sebagai penggunaan sumber daya atau hak istimewa organisasi yang dipercayakan untuk tujuan apa pun yang bertentangan dengan apa yang dimaksudkan, yang meliputi penyalahgunaan atau penyalahgunaan aset perusahaan, hak akses, dan pelanggaran kebijakan di antara yang lainnya. Tindakan ini bisa berbahaya atau tidak menguntungkan. Penyalahgunaan adalah eksklusif untuk pihak yang menikmati tingkat kepercayaan dari organisasi, seperti orang dalam dan mitra. SOC ini menggunakan dua atribut untuk menggambarkan penyalahgunaan: penyalahgunaan variasi dan penyalahgunaan vektor.
  • Variasi penyalahgunaan menggambarkan jenis penyalahgunaan yang terlibat dengan insiden, yang mungkin termasuk:
    • Privilege abuse: Penyalahgunaan hak akses sistem
    • Data mishandling: Penanganan data dengan cara yang tidak disetujui
    • Email misuse: Penggunaan email yang tidak tepat
    • Network misuse: Penggunaan jaringan atau akses web yang tidak tepat
    • Illicit content: Penyimpanan atau distribusi konten terlarang
    • Unapproved hardware: Penggunaan perangkat keras atau perangkat yang tidak disetujui
    • Unapproved software: Penggunaan perangkat lunak atau layanan yang tidak disetujui

Asset/Aset, Aset adalah aset informasi yang dikompromikan selama insiden tersebut. "Berkompromi" mengacu pada hilangnya kerahasiaan / kepemilikan, integritas / keaslian, atau ketersediaan / utilitas. Secara alami, suatu insiden dapat melibatkan banyak aset dan mempengaruhi beberapa atribut dari aset tersebut.
  • Organisasi dapat menyertakan daftar aset berikut:
    • Network hardware: Router, switch, IPS, firewall, dan sebagainya
    • Server: Server email, server web, server aplikasi, dan sebagainya
    • User devices: Laptop, desktop, ponsel pintar, tablet, dan sebagainya
    • Other: Pengguna akhir, media penyimpanan, dan sebagainya
Attribute, Atribut adalah atribut keamanan dari aset yang diidentifikasi yang dikompromikan selama insiden tersebut. VERIS enam atribut keamanan utama yaitu confidentiality/possession, integrity/authenticity, dan availability/utility, yang merupakan perpanjangan dari "triad C-I-A."

VERIS Records

Database VERIS berisi kumpulan insiden. Catatan VERIS digunakan untuk mendokumentasikan lima bagian (pelacakan insiden, demografi korban, deskripsi insiden, penemuan dan tanggapan, dan penilaian dampak) dari insiden dengan cara standar.

Catatan VERIS dapat mengintimidasi untuk dilihat. Yang penting untuk diingat adalah bahwa kerangka kerja catatan VERIS dapat sesederhana atau serumit yang Anda butuhkan.

Ada beberapa bidang yang diperlukan (disebut variabel) dalam catatan VERIS, dan banyak dari mereka hanya diperlukan jika atribut tertentu hadir. Misalnya, timeline.insiden variabel-tahun (integer), bulan (integer), hari (integer), dan waktu (string) -digunakan untuk mendokumentasikan ketika insiden ditemukan terjadi.

Berikut ini adalah contoh penggunaan tiga variabel catatan VERIS yang mendokumentasikan tanggal kejadian yang ditemukan.
Variable
Value
timeline.incident.year
2016
timeline.incident.month
11
timeline.incident.day
01
SOC biasanya mengimplementasikan serangkaian ketentuan VERIS yang sederhanakan, membatasi nomenklatur VERIS yang luas dengan istilah-istilah yang berhubungan dengan cybersecurity dan membuang bidang atau deskriptor yang berhubungan dengan jenis ancaman lain seperti keamanan fisik.

Perhatian lain yang mungkin dihadapi SOC dalam menggunakan VERIS adalah kemampuan analis dan penyelidik keamanan untuk memastikan data yang diperlukan untuk mengisi berbagai bidang dalam catatan VERIS.

Berikut ini menunjukkan contoh insiden apa yang disebabkan oleh aktor ancaman internal (actor) karena penyalahgunaan hak (action) mungkin terlihat seperti dalam format catatan VERIS.

Misalnya, memeriksa beberapa bidang yang digunakan untuk mendokumentasikan "4 A's," actor. Nilai asli diatur ke true; nilai action.misuse diatur ke true; nilai asset_server (aset) disetel ke true; dan atribut attribute.confidentiality (atribut) diatur ke true.
Variable
Value
timeline.incident.year
2014
timeline.incident.month
08
schema_version
1.3
incident_id
2014-Doberman
security_incident
Confirmed
discovery_method
Ext - law enforcement
discovery_notes
Found out from local police
timeline.discovery.unit
Months
summary
Employee misuse for identity theft purposes
actor.internal
True
actor.internal.motive
Financial
actor.internal.variety
Finance
action.misuse
True
action.misuse.variety
Privilege abuse
action.misuse.vector
LAN access
attribute.confidentiality
True
asset.server
True
plus.lead_investigator
Gordon
plus.case_status
Complete
impact.loss.1.variety
Response and recovery
impact.loss.1.amount
14121
impact.loss.2.variety
Legal and regulatory
impact.loss.2.amount
8000
Referensi : http://veriscommunity.net/enums.html

No comments:

Post a Comment