Selasa, 25 Juni 2013 , , , , , , , , , ,

Incident Handling

Dalam kehidupan sehari-hari, kita sering menemukan insiden-insiden atau kejadian-kejadian baik yang berdampak positif ataupun negatif. Namun ketika mendengar kata insiden ini, kita selalu berpikir kata ini berdampak negatif. Insiden ini dapat terjadi baik kita sengaja maupun tidak. Insiden ini juga sering terjadi dalam kehidupan elektronik dan sudah menjadi bagian dari kehidupan elektronik. Dalam hal ini, kehidupan elektronik yang dimaksud merupakan kehidupan dalam bidang teknologi informasi. Insiden-insiden yang biasa terjadi secara tidak sengaja merupakan insiden yang secara tak sadar kita telah melakukannya, seperti ketika kita mencolokkan flash disk ke komputer kita yang tanpa kita sadari flash disk tersebut mengandung virus komputer yang berbahaya. Contoh insiden yang dilakukan sengaja yaitu kita mendownload program-program bajakan yang mengandung virus secara sengaja. Insiden ini sering terjadi pada waktu yang kurang tepat seperti ketika kita diburu deadline atau ketika admin sedang tidak ada ditempat. Insiden juga termasuk ketika kita melanggar kebijakan atau peraturan yang ada dan telah ditetapkan, seperti kebijakan untuk tidak membawa flash disk dari luar.

Insiden-insiden yang terjadi dapat berupa ancaman, seranagn virus, serangan pada sistem dan lain-lainnya. Insiden ini semakin lama akan semakin berkembang seiring dengan perkembangan teknologi saat ini.  Jika insiden-insiden yang tidak kita inginkan telah terjadi, maka insiden tersebut akan menghasilkan krisis-krisis yang terjadi pada sistem kita. Sehingga kita harus melakukan respon terhadapa inseiden tersebut agar insiden tersebut tidak semakin menambah krisis-krisis bagi sistem kita. Respon terhadap insiden yang dimaksudkan disini yaitu bagaimana cara kita untuk menanggulangi kiris-krisis yang terjadi akibat serangan dan ancaman yang telah terjadi. Berikut ada beberapa tujuan melakukan penganggulangan insiden (Incident Handling), yaitu :

·         Untuk memastikan apakah ada insiden yang sedang terjadi atau tidak
·         Untuk melakukan pengumpulan informasi-informasi yang akurat
·         Untuk melakukan pengambilan dan penangganan bukti-bukti
·         Untuk menjaga agar kegiatan berada dalam kerangka hukum, misalnya masalah privasi, legal action, dan lain-lain
·         Untuk meminimalkan gangguan terhadap operasi bisnis dan jaringan
·         Untuk membuat laporan yang akurat berserta rekomendasinya

Dalam melakukan penanggulangan insiden, ada metode yang diterapkan, yaitu :
  1.  Per-incident preparation, yaitu dengan membuat peraturan atau kebijakan-kebijakan beserta sanksi yang akan diterapkan
  2. Detection of incident, yaitu dengan melakukan pedeteksian insiden yang terjadi
  3. Initial response, yaitu langkah awal yang dilakukan untuk melakukan penagganan awal dan supaya bukti tidak hilang
  4. Response strategy formulasi, yaitu dengan mengatur strategi yang akan dilakukan untuk menanggulangi inisiden yang terjadi
  5. Duplication, yaitu dengan membuat duplikasi untuk back up forensik
  6. Investigation, yaitu langkah untuk melakukan analisa dan investigasi terhadap insiden dengan menggunakan bukti-bukti yang ditemukan
  7. Security measure implementation, yaitu dengan melakukan penerapan tindakan pengamanan dan melakukan pengukuran tingkat keamanannya
  8. Network monitoring, yaitu langkah yang dilakukan untuk memonitor aktivitas jaringan yang ada
  9. Recovery, yaitu langkah yang dilakukan untuk memperbaiki dan menyembuhkan sistem kita. Jika sistem kita telah disusupi, maka penyusup pasti akan membuat jalan atau pintu belakang yang sulit untuk kita temukan. Jadi, kita tinggal merecovery sistem kita seperti semula sehingga pintu atau jalan tersebut manjadi hilang atau tertutup.
  10. Follow-up, yaitu  dengan melakukan pemeliharaan secara berkala dan penjagaan yang ketat agar tidak terjadi insiden lagi, serta selalu melakukan back up data secara berkala.
Namun ada beberapa kendala dan permasalahan yang sering dihadapi dalam melakukan incident handling ini, baik dari teknis maupun non-teknis.

·         Dari teknis
o   Apa saja yang harus dilaporkan ?. Kendala ini muncul dari kita sebagai orang awam yang belum tahu langkah awal yang kita lakukan. Dari http://www.cert.or.id, hal yang harus dilaporkan ketika terjadi insiden internet, yaitu file log, timestamp, nama yang mengadu dan nomor telepon yang bisa dihubungi.selain itu, ada beberapa informasi yang perlu dilaporkan, yaitu :
§  Apakah ada informasi yang confidential, seperti nomor IP, user id, password, data, file dan lain-lain ?
§  Perlunya packet scrubbing?  
§  Terlalu sedikit/banyak data yang dilaporkan
o   Ketersediaan trouble ticketing system, help desk. Layanan untuk menlapor insiden yang kita alami biasanya tidak 24 jam. Selain itu, ada kemungkinan  kita tidak lansung dilayani sehingga ada kemungkinan barang bukti sudah dihilangkan atau diubah.
o   Data-data log sering tidak tersedia sehingga menyulitkan incident handling. Data-data log terebut bisa tidak tersedia karena telah dihapus oleh pemiliknya yang bekerja sama dengan penyusup atau tidak diberikan oleh pemilik karena merupakan data rahasia.
o   Penggunaan perangkat yang sudah disertifikasi sebagai perangkat penangganan insiden, misalnya disk copier.
·         Non-teknis
o   Organisasi. Untuk orang awam seperti kita, kita merasa bingung harus melapor kepada siapa. Oleh karena itu, kita perlu membentuk sebuah tim yang dapat melakukan penanggulangan insiden secara cepat. Atau melapor ke organisasi yang lebih tinggi di luar institusi lokal, misalnya ID-CERT, CERT, APSIRC, dan lain-lain.
o   Hubungan dengan policy dan procedure, System Operating Procedure yang seringkali tidak dimiliki oleh institusi
o   Ketersediaan Sumber Daya Manusia yang terbatas

Sumber
  • http://elib.unikom.ac.id/gdl.php?mod=browse&op=read&id=jbptunikompp-gdl-ariefnurha-24962
  • http://www.cert.or.id/indeks_berita/berita/14/
  • http://br.paume.itb.ac.id/courses/ec5010/incident-handling.ppt‎    

Diposting oleh Unknown di 00.28

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
 
;