Mengelola Insiden Siber

NIST menyediakan manajemen insiden di bawah area respond. Dalam melakukan manajemen insiden sebenarnya ada 3 alternatif, yaitu NIST SP 800-61, NIST cybersecurity framework, dan crest UK. Gambaran perbandingan kerangka kerja dari ketiga alternatif tersebut adalah:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/incident-management-basics?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Dalam manajemen insiden ada 7 kategori insiden, yaitu

1. Category 0 : insiden tugas
2. Category 1 : akses tidak terotorisasi
3. Category 2 : denial of service
4. Category 3 : kode malicious
5. Category 4 : penggunaan yang tidak tepat
6. Category 5 : memindai dan menyelidiki
7. Category 6 : investigasi

Persiapan dari manajemen insiden adalah pelatihan dan stabilisasi tim, proses penugasan dan stabilisasi, dan memperoleh alat dan sumber daya. Kesadaran situasional penting dalam hal ancaman yang cerdas seperti strategi analisis dan pelaporan serta taktik pertukaran informasi. Untuk dapat melakukan pengukuran insiden maka diperlukan prosedur dan teknologi. Biasanya terdiri atas proses respon insiden, pelacakan issue sistem, buku pedoman operasi, dan jump kit (laptop, perangkat media, kabel, perangkat lunak, dsb). Yang tidak kalah penting adalah stabilitas hubungan dan pra-otorisasi.

Seperti pada kajian terjadinya kebakaran perlu dilakukan latihan maka harus ada latihan untuk sebuah insiden. Latihan tersebut meliputi latihan prosedur tanggapan, latihan keahlian tim, dan demonstrasi dampak potensial dari insiden. Siklus dari tanggapan sebuah insiden dapat di lihat pada gambar di bawah:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/detecting-an-attack?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Dalam proses deteksi dan analisis penting untuk memperhatikan kedatangan malware atau intrusi, koneksi malware ke C&C servernya, dan bukti lateral pergerakan. Dalam melakukan pemantauan isu juga harus diperhatikan perihal pemantauan dan pemetikan serangan, positif yang palsu, kontradiksi, dan informasi yang tidak lengkap. Vektor serangan berupa precursor dan indicator juga menjadi hal yang mungkin dibutuhkan. Setelah terdeteksi maka hasil deteksi tersebut harus divalidasi dengan mengetahui kenormalan, over time deteksi, tindak lanjut paket secara mendalam, dan prioritasisasi.

Setelah hal terdeteksi dan tervalidasi maka tanggapan dari insiden harus dilakukan seperti keputusan penahanan sebelum persetujuan, investigasi, proses major incident management (MIM), dan bukti serta rantai hak kelola. Setelahnya bisa dilakukan eradication atau pemberantasan pada sistem terpengaruh dan kerentanan sistem pada serangan yang sama. Akhirnya harus dilakukan pemantauan secara berkelanjutan.

ref:

https://www.linkedin.com/learning/cybersecurity-foundations-2/