Dalam tugas Penanganan Insiden dan Freezing the Scene saya akan memberikan penjelasan tentang Penanganan Insiden Forensik
Pembahasan sebelumnya bisa di lihat pada :
part 1 : IT forensik
- Persiapan Pra Insiden
Sesuai
survey (Desember 2000), ancaman terbesar dari jaringan komputer
adalah: 68% karyawan, 17% hacker, 9% kompetitor, dan 6% customer. Artinya kita
masih harus melakukan perlindungan jaringan baik dari dalam maupun dari luar.
The Information Security Management Handbook, Vol. 2 halaman 559 menyatakan
jenis insiden :
- Virus
- Unauthorized access
- Pencurian atau kehilangan kepercayaan pada informasi
- Serangan denial of service pada sistem
- Korupsi informasi
Untuk
menghadapi penyusupan dan serangan dapat dilakukan persiapan berikut :
1.
Penggunaan beberapa tool untuk mencegah penyusupan
dengan deteksi. Amati aktivitas pada port- port yang biasanya berkaitan dengan trojan,
backdoor, denial of service tool, dan yang serupa. Pergunakan tool
semacam Tripwire untuk mengamati perubahan pada sistem, yang memungkinkan
membuat snapshot sistem
Pemeriksaan lainnya adalah mode promiscous pada network card dan
adanya kompilator yang diinstall.
2.
Kebutuhan untuk backup sistem yang baik sehingga bisa
melakukan restore data sebelum penyusupan.
3.
Jika diasumsikan penyusup mempergunakan sniffer untuk
menangkap password, maka perlu diterapkan kebijakan pasword yang tepat. Bisa juga dipertimbangkan one time
password. Practical Unix & Internet Security, oleh Simson
Garfinkel dan Gene Spafford,merekomendasikan “Jangan mengirimkan clear text
password yang bisa dipergunakan kembali lewat koneksi jaringan. Pergunakan one-time
password atau metode rahasia”.
4.
Suatu kebijakan keamanan harus diterapkan untuk menangani insiden yang muncul, dan
harus cukup mudah diimplementasikan dan dimengerti oleh setiap orang . Misalkan
capture tampilan, jangan matikan komputer, lakukan shutdown normal,
copot modem, labeli semua alat, dan tulis semua yang mungkin. Harus ditentukan standard
operating procedures (SOP) di mana akan memastikan tidak ada kontaminasi
dengan data lain atau data kasus sebelumnya.
5.
Lakukan instalasi patch security dari vendor
sistem operasi atau aplikasi.
6. Matikan semua service jaringan yang tidak
dipergunakan, dan pergunakan security/auditing tool
7.
Luangkan lebih banyak waktu untuk mempelajari sistem
anda dengan lebih baik
8.
Aktifkan fasilitas logging dan accounting
9.
Lakukan audit dan pengujian pada sistem secara rutin
Banyak
organisasi tidak hanya mengabaikan penerapan keamanan untuk melindungi jaringan
dan data mereka, tetapi juga tidak siap untuk menangani penyusupan dan insiden.
Organisasi harus menerapkan perencanaan respon dan pelaporan insiden, serta
membuat team untuk menanganinya. Hal itu bisa juga dilakukan dengan menyewa
ahli forensik dari perusahaan keamanan. Saat diduga terdapat kecurigaan compromise
keamanan atau tindakan ilegal yang berkaitan dengan komputer, maka akan
merupakan suatu hal yang penting untuk melakukan langkah–langkah dalam menjamin
perlindungan terhadap data pada komputer atau media penyimpanan. Penyimpanan
data diperlukan untuk menentukan compromise tingkat keamanan dan letak
bukti-bukti yang mungkin berkaitan dengan tindakan illegal.
- Prosedur Penanganan Insiden
Respon awal
pada penanganan insiden bisa sangat mempengaruhi analisis laboratorium.
Orang-orang tidak berkepentingan tidak seharusnya dibiarkan di sekitar tempat kejadian
perkara. Perlu adanya dokumentasi mengenai perlindungan barang bukti, analisis
dan laporan penemuan. Suatu kebijakan dan prosedur penanganan insiden sangat
penting untuk setiap organisasi. Hal-hal yang harus diingat adalah :
·
Bagaimana untuk mengamankan atau menjaga barang bukti,
baik dengan membuat copy image dan mengunci yang asli, sampai kedatangan ahli
forensik
·
Di mana atau bagaimana untuk mencari barang bukti,
baik itu di drive lokal, backup sistem, komputer atau laptop
·
Daftar yang harus dipersiapkan untuk laporan
menyeluruh
·
Daftar orang untuk keperluan pelaporan, pada suatu
situasi tertentu
·
Daftar software yang disarankan digunakan secara
internal oleh penyelidik
·
Daftar ahli yang disarankan untuk konsultasi
Tiap
organisasi harus memiliki suatu tim penanganan insiden. Tim harus menulis
prosedur penanganan insiden. Prosedur sederhana untuk mengamankan suatu insiden
komputer :
1. Amankan lingkungan
2. Shutting down komputer
3.
Label barang bukti
4.
Dokumentasikan barang bukti
5.
Transportasikan barang bukti
6.
Dokumentasi rangkaian penyimpanan
Fase merespon insiden:
1.
Fase 1: Persiapan (42 tindakan)
2.
Fase 2: Identifikasi (6 tindakan)
3.
Fase 3: Pengisian(17 tindakan)
4.
Fase 4: Pembasmian (10 tindakan)
5.
Fase 5: Pemulihan (6 tindakan)
6.
Fase 6: Tindak lanjut (9 tindakan)
- Emergency Action Card
Salah satu bagian dari dokumen yang bisa dipergunakan
perusahaan yang belum siap menghadapi insiden adalah Emergency Action Card,
berupa sepuluh langkah berikut:
1.
Tetap tenang sehingga menghindari kesalahan fatal.
2. Buatlah catatan yang baik dan relevan: siapa, apa,
bagaimana, kapan, di mana, mengapa.
3. Beritahu orang yang tepat dan carilah pertolongan,
mulai dari koordinator keamanan dan manajer.
4.
Tetapkan kebijakan orang-orang terpercaya yang boleh
tahu.
5.
Gunakan jalur komunikasi terpisah dari sistem yang
mengalami compromise.
6.
Isolasi masalah sehingga tidak bertambah buruk.
7.
Buat backup sistem.
8.
Temukan sumber masalah.
9.
Kembali ke pekerjaan semula setelah backup terjamin,
dan lakukan restore sistem.
10.
Belajar dari pengalaman.
Referensi By:
http://budi.insan.co.id/courses/el695/projects/report-firrar.rtf
part 3 : freezing the scene
part 4 : contoh kasus insiden forensik
part 5 :
part 4 : contoh kasus insiden forensik
part 5 :