Cyber Security Incident Response
Transcript of Cyber Security Incident Response
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Cyber Security Incident ResponseBudi Rahardjo
Indonesia Computer Emergency Response Team2021
2021 Budi Rahardjo - cyber security incident response 1
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
VLSI/Security/Social Media/IoT/AI/Big Data
• Lecturer at ITB• Manage .ID domain 1997-
2005• Founder & chairman of
ID-CERT• Serial technopreneur
22021 Budi Rahardjo - cyber security incident response
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
https://www.bleepingcomputer.com/news/security/business-technology-giant-konica-minolta-hit-by-new-ransomware/
2021 Budi Rahardjo - cyber security incident response 3
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
https://www.itnews.com.au/news/critical-f5-big-ip-vulnerability-made-public-550101
2021 Budi Rahardjo - cyber security incident response 4
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Tokopedia
• Started with 9 millions data• Then 91 millions data
2021 Budi Rahardjo - cyber security incident response 6
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Ransomware
https://www.kaspersky.com/resource-center/threats/ransomware-threats-an-in-depth-guide2021 Budi Rahardjo - cyber security incident response 10
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Distributed Denial of Service Attack (DDos)
2021 Budi Rahardjo - cyber security incident response 11
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Mengapa Perlu CSIRT
• Jika insiden jarang terjadi maka penanganan dapat dilakukan secara ad hoc, yaitu ketika terjadi saja. Dadakan saja• Insiden siber (cybersecurity incidents) terjadi setiap hari dan
dalam skala yang sangat besar• Makin meningkatnya ketergantungan kita kepada pemanfaat
teknologi informasi, akan semakin banyak masalah• GO-JEK, Tokopedia, eGovernment, Pemilu, ...
• Dibutuhkan CSIRT (Cyber Security Incident Response Team) yang dapat menangani insiden secara teroganisir
2021 Budi Rahardjo - cyber security incident response 12
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Incident Response
• Incident response team is a requirement in critical information infrastructure• Infrastruktur Kritis merupakan aset, sistem, maupun jaringan,
berbentuk fisik maupun virtual yang sangat vital, yang jika terjadi gangguan berpotensi mengancam keamanan, kestabilan perekonomian nasional, keselamatan dan kesehatan masyarakat atau gabungan diantaranya
2021 Budi Rahardjo - cyber security incident response 14
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Indonesian National Critical Information Infrastructure
1. Sektor Penegakan Hukum2. Sektor Energi dan Sumber Daya Mineral (termasuk listrik)3. Sektor Transportasi4. Sektor Keuangan dan Perbankan5. Sektor Kesehatan6. Sektor Teknologi Informasi dan Komunikasi7. Sektor Pertanian8. Sektor Pertahanan dan Industri Strategis9. Sektor Layanan Darurat10. Sektor Sumber Daya Air
2021 Budi Rahardjo - cyber security incident response 15
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Incidents
• Insiden merupakan bagian dari kehidupan sehari-hari• Accidents vs. intentional• Sering waktunya kurang pas
(misal: admin sedang liburan, deadline)• Contoh
• Wabah virus, malware, ransomware• Spam mail, mailbomb• Unathorized access, previlage attack, rootkit, intrusion• DoS attack• Data interception
2021 Budi Rahardjo - cyber security incident response 16
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Definitions
• David Theunissen, “Corporate Incident Handling Guidelines”:
Incidents is “the act of violating or threatening to violate an explicit or implied security policy”
• Kevin Mandia & Chris Prosise, “Incident Response”:
“Incidents are events that interrupt normal operating procedureand precipitate some level of crisis”
2021 Budi Rahardjo - cyber security incident response 17
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Tujuan Penanganan Insiden
• Memastikan bahwa insiden terjadi atau tidak terjadi• Melakukan pengumpulan informasi yang akurat• Melakukan pengambilan dan penanganan bukti-bukti (menjaga
chain of custody)• Menjaga agar kegiatan berada dalam kerangka hukum (misalnya
masalah privacy, legal action)• Meminimalkan gangguan terhadap operasi bisnis dan jaringan• Membuat laporan yang akurat berserta rekomendasinya• Melakukan koordinasi dengan regulator dan publik terkait
dengan insiden
2021 Budi Rahardjo - cyber security incident response 18
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Metodology
NIST SP 800-61 Computer Security Incident Handling Guide
2021 Budi Rahardjo - cyber security incident response 19
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Masalah
• Kurang tersedianya tools, teknologi, sumber daya• Harus dikelola secara bersama (sharing resources)• Kurangnya sumber daya manusia (SDM) yang menguasai
penanganan insiden• Capacity & capability• Harus sering berlatih (cyberdrill)• Kurangnya koordinasi (bertukar point of contact)
2021 Budi Rahardjo - cyber security incident response 20
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Penutup
• Insiden siber telah menjadi bagian dari kehidupan kita. Mereka akan terjadi. Tinggal kapan terjadinya, berapa besar kerusakannya, dan seberapa baik kita meresponnya• Kemampuan untuk menangani insiden harus dilatih terus
menerus
2021 Budi Rahardjo - cyber security incident response 21