Incident response team
Untuk mengoptimalkan sistem keamanan web, umumnya perusahaan membuat tim khusus dalam menghadapi serangan cyber. Tim ini bertugas untuk menghadapi dan memberikan respon cepat saat menghadapi serangan cyber. Lalu peran apa saja yang di perlukan :- Decision-makers : Sumber utama yang mampu membuat keputusan dengan cepat adalah dengan melibatkan eksekutif perusahaan. CIO atau CTO dapat memberikan solusi yang cepat dan tepat saat mengalami serangan cyber.
- Technical resources : Tim teknis di perlukan untuk mengidentifikasi akar masalah dari penyerangan cyber. Cyber incident response bertanggung jawab atas teknis, memulihkan dan memperbaiki sistem yang telah terpengaruh atau mencegah aset lainnya mengalami kerusakan lebih lanjut. Personel ini akan menangani secara langsung masalah yang di hadapi.
- Legal and compliance resources: Biasanya insiden cyber melibatkan data yang sensitive dimana akan berpengaruh pada hukum yang berlaku seperti kepatuhan pada GDPR, PCI DSS, HIPAA dan lainnya. Oleh karena itu perwakilan dari departemen legal bisa menjadi peritambangan dalam memproritaskan kelangsungan bisnis.
- Communication : Hampir setiap insiden cyber dalam beberapa hal akan mempengaruhi pihak eksternal. Misalnya, pelanggan Anda, mitra Anda, atau masyarakat umum. Oleh karena itu Anda harus menyertakan sumber daya dari departemen layanan pelanggan, hubungan masyarakat, manajemen akun, dan lainnya.
- External resources: Anda dapat mempertimbangkan untuk melibatkan sumber daya eksternal seperti ahli forensik, analis manajemen risiko, dan banyak lagi. Jika demikian, Anda harus memilih dan membangun hubungan dengan pihak-pihak tersebut sebelum terjadi insiden, sehingga mereka siap membantu saat dibutuhkan.
Technical assets
Karena insiden cyber selalu melibatkan beberapa aset teknis, visibilitasnya yang jelas adalah kunci untuk respons yang efektif. Jika aset tidak didefinisikan dengan baik, disebutkan, dan hubungannya tidak jelas, mungkin saja untuk tidak menahan dan menyelesaikan insiden tersebut sepenuhnya.- Asset identification: Anda harus memiliki pandangan yang jelas tentang semua aset teknis Anda, baik di dalam perusahaan itu sendiri maupun yang eksternal. Ini adalah praktik sehari-hari yang baik tetapi kepentingannya bahkan lebih besar jika aset terpengaruh oleh suatu insiden.
- Asset relationships: Banyak aset teknis saling berhubungan oleh karena itu, seorang hacker mungkin melanggar salah satu aset dan meningkatkan ke aset lainnya. Bergantung pada struktur teknis bisnis Anda, kemungkinan setiap aset dapat terpengaruh oleh insiden ini dan harus menjadi bagian dari penyelidikan dan perbaikan.
- Asset ownership: Beberapa aset teknis yang saling berhubungan mungkin berada di luar kepemilikan bisnis Anda. Misalnya, Anda mungkin bekerja dengan penyedia atau mitra layanan cloud. Organisasi Anda mungkin juga dibagi menjadi entitas terpisah dengan manajemen yang berbeda. Di sinilah aset teknis terjalin dengan sumber daya manusia dan di mana Anda mungkin harus mempertimbangkan aspek teknis dalam komposisi CSIRT Anda. Dalam kasus insiden, Anda tidak dapat tiba-tiba menemukan bahwa Anda tidak dapat menahan atau memperbaiki karena Anda tidak memiliki kendali atas aset tersebut. Setiap aset harus memiliki perwakilan bertanggung jawab yang terdefinisi dengan baik yang memiliki kendali penuh atas aset tersebut.
Tools
Rencana respons insiden keamanan mungkin melibatkan tools yang harus diidentifikasi serta berpotensi diterapkan sebelum insiden terjadi dan sebelum Anda memulai aktivitas untuk merespons serangan cyber.- Identification tools: Ada banyak alat keamanan web yang mungkin berguna untuk mengidentifikasi suatu insiden. Misalnya, sistem deteksi intrusi (IDS) untuk mendeteksi kemungkinan penyusupan, pemindai kerentanan untuk mengidentifikasi kerentanan (tetapi Anda harus menggunakannya secara teratur sebagai bagian dari otomatisasi reguler), alat manual untuk pengujian penetrasi untuk mengonfirmasi kerentanan, serta sebagai alat pendeteksi ancaman, keamanan web, keamanan jaringan, dan informasi keamanan dan manajemen peristiwa (SIEM) lainnya.
- Planning and modeling tools: Anda dapat menggunakan tools tambahan untuk memodelkan struktur aset Anda, mengatur aktivitas selama respons insiden, memberikan intelijen ancaman, mengikuti metodologi yang dipilih, dan banyak lagi. Alat tersebut mungkin perangkat lunak perencanaan proyek dan berbagai jenis perangkat lunak pemodelan.
- Communication tools: Selama prosedur respons insiden, beberapa tools komunikasi bisnis biasa mungkin dianggap tidak aman. Misalnya, jika suatu insiden melibatkan pelanggaran server email internal, Anda tidak dapat menggunakan email internal untuk berkomunikasi selama respons insiden karena ada risiko penyerang mengetahui aktivitas Anda dan dapat melawannya. Oleh karena itu, Anda harus memiliki rencana komunikasi cadangan.
Fase respons insiden
Proses respon insiden dibagi menjadi beberapa fase yang harus dimasukkan dalam rencana. Berikut Fase-fasenya :
Preparation: Ini adalah fase paling penting dari respons insiden dan melibatkan pendefinisian semua elemen di atas: CSIRT, aset, dan ruang lingkup dari apa yang dianggap sebagai insiden. Ini juga melibatkan pelatihan sumber daya dan bahkan melakukan uji coba, dan serangan tiruan untuk melihat apakah semuanya berfungsi sebagaimana mestinya. Kunci keberhasilan tahap persiapan adalah menghindari kekacauan dalam organisasi jika suatu insiden diumumkan.
Identification: Fase ini melibatkan dua kegiatan utama. Salah satunya adalah investigasi awal yang mengarah pada deklarasi sebuah insiden. Fase ini hanya melibatkan sebagian dari tim: pengambil keputusan dan sumber daya teknis yang menyediakan intelijen. Perhatikan bahwa laporan potensi insiden mungkin juga berasal dari sumber eksternal, misalnya, dari pelanggan, mitra, atau bahkan penegak hukum Anda, sehingga personel komunikasi mungkin juga terlibat.
Insiden diumumkan selama fase ini dan jika demikian, penyelidikan terperinci diperlukan untuk mengetahui, aset mana yang berpotensi terpengaruh oleh insiden tersebut dan harus dilibatkan dalam fase berikutnya. Misalnya, jika penyerang melanggar aplikasi web Anda, Anda harus mengidentifikasi apakah ini memengaruhi server yang terhubung atau bahkan seluruh jaringan. Perhatikan bahwa setelah identifikasi selesai, sumber daya komunikasi dan hukum/kepatuhan Anda seharusnya sudah mulai mengerjakan tugas mereka.
Containment: Setelah karakter dan ruang lingkup insiden diidentifikasi dengan jelas, Anda harus memutuskan aset mana yang harus ditampung. Penahanan mutlak diperlukan untuk mitigasi jangka pendek dan fase ini tidak dapat dilewati, bahkan jika Anda tergoda untuk membasmi ancaman sesegera mungkin. Jika tidak ditampung, penyerang mungkin masih bekerja secara paralel dengan tim Anda dalam eskalasi dan terus menyebar ke sistem lain yang saat ini tidak terpengaruh.
Containment berarti mengisolasi aset yang terpengaruh dari aset yang tidak terpengaruh. Namun, mereka sering tidak offline (bahkan untuk sementara) karena ini dapat membuat pemberantasan lebih sulit. Fase penahanan berakhir dengan keputusan bahwa aset yang terpengaruh diisolasi dengan aman dan penyerang dihentikan.
Elimination: Setelah aset yang terkena dampak terkandung, sumber daya teknis Anda mulai menghilangkan konsekuensi dari insiden tersebut. Misalnya, menghapus malware, memperbaiki kerentanan, memulihkan sistem dari cadangan yang aman, patching, dll. Fase eliminasi berakhir dengan keputusan bahwa semua konsekuensi teknis dari insiden tersebut diberantas dan sistem diamankan.
Recovery: Sistem yang diamankan sekarang harus kembali online dan dihubungkan kembali ke aset lain, dan semua proses teknis dan bisnis harus kembali ke operasi normal. Fase pemulihan berakhir dengan keputusan bahwa seluruh infrastruktur teknis berfungsi sebaik sebelum insiden. Perhatikan bahwa fase pemulihan juga melibatkan penyelesaian pekerjaan dengan sumber daya komunikasi dan hukum/kepatuhan Anda. Hasil akhir dari fase ini adalah pengambil keputusan Anda untuk menyatakan insiden tersebut sebagai ditutup dan anggota tim Anda untuk kembali ke kegiatan rutin mereka.
Meskipun bisnis utama Anda terkait dengan web dan Anda paling peduli dengan ancaman terkait web, Anda tidak dapat membatasi rencana untuk keamanan web. Karena sistem IT di setiap organisasi saling berhubungan, templat rencana respons insiden harus melibatkan semua organisasi dan pihak terkait serta semua aset. Hanya dengan demikian Anda dapat mengharapkan kesuksesan penuh dalam menghilangkan konsekuensi insiden. Acunetix adalah salah tools yang dapat membantu Anda dalam perencanaan kemanan aplikasi web anda.
0 Comment