1. CSIRT
:
Apa
dan
Peranannya
di
Nasional
Disampaikan
oleh
:
IGN
MANTRA
–
Chairman
Peneli:
Cyber
War,
Cyber
Crime
dan
Cyber
Security
Indonesia
Academic
CSIRT
Seminar
Indonesia
Honeynet
–
Ditkaminfo
UBIDAR
–
20
Juni
2014
9. Highlights
from
the
2014
Internet
Security
Threat
Report
Key
Findings
• 91%
increase
in
targeted
aMacks
campaigns
in
2013
• 62%
increase
in
the
number
of
breaches
in
2013
• Over
552M
idenSSes
were
exposed
via
breaches
in
2013
• 23
zero-‐day
vulnerabiliSes
discovered
• 38%
of
mobile
users
have
experienced
mobile
cybercrime
in
past
12
months
• Spam
volume
dropped
to
66%
of
all
email
traffic
• 1
in
392
emails
contain
a
phishing
aMacks
• Web-‐based
aMacks
are
up
23%
• 1
in
8
legiSmate
websites
have
a
cri:cal
vulnerability
10. Highlights
from
the
2014
Internet
Security
Threat
Report
Key
Findings
91%
increase
in
targeted
aMacks
campaigns
in
2013
62%
increase
in
the
number
of
breaches
in
2013
Over
552M
idenSSes
were
exposed
via
breaches
in
2013
11. Defini:on
• Cyber
A`acks:
computer-‐to-‐computer
a`ack
that
undermines
the
confiden:ality,
integrity,
or
availability
of
a
computer
or
informa:on
resident
on
it.
12. Lessons
From
Past
Cyber
A`acks
Cyber
a`acks
accompany
physical
a`acks
Cyber
a`acks
are
increasing
in
volume,
sophis:ca:on,
and
coordina:on
Cyber
a`acks
are
a`racted
to
high-‐
value
targets
13. Physical
Conflicts
and
Cyber
A`acks
• The
Pakistan/India
Conflict
• The
Israel/Pales:nian
Conflict
• The
Former
Republic
of
Yugoslavia
(FRY)/NATO
Conflict
in
Kosovo
• The
U.S.
–
China
Surveillance
Plane
Incident
• The
Indonesia
–
Myanmar
cyber
a`acks.
• The
Indonesia
–
Bangladesh
cyber
a`acks.
• The
Indonesia
–
Malaysia
cyber
a`acks.
14. Poten:al
Cyber
A`acks
• Unauthorized
Intrusions
• Defacements
• Domain
Name
Server
A`acks
• Distributed
Denial
of
Service
A`acks
• Computer
Worms
• Rou:ng
Opera:ons
• Cri:cal
Infrastructures
• Compound
A`acks
15. Compound
A`acks
• Employ
some
or
all
of
aforemen:oned
cyber
a`acks
• Possibly
combined
with
conven:onal
(physical)
terror
a`ack
• Consequences
include
devasta:ng
disrup:on
in
communica:on
and
commerce
16. Cri:cal
Infrastructures
• Cri:cal
infrastructures
include
gas,
power,
water,
banking
and
finance,
transporta:on,
communica:ons
• All
dependent
to
some
degree
on
informa:on
systems
• Insider
threat
-‐
specialized
skills
18. 18
Levels
of
“Force”
Source:
“Handbook
of
Informa:on
Security”
ar:cle
on
Ac:ve
Response,
by
David
Di`rich
and
Kenneth
E.
Himma,
forthcoming,
John
Wiley
&
Sons
21. Alasan
Pendirian
CSIRT
Infrastruktur
keamanan
yang
terbaikpun
:dak
dapat
menjamin
serangan
akan
terjadi.
Bila
insiden
terjadi,
maka
ins:tusi
bergerak
cepat
untuk
merespon
secara
efek:f
dengan
memimalisasi
kerusakan
dan
mengurangi
biaya
recovery.
Untuk
melindungi
kejadian-‐kejadian
yang
:dak
diinginkan
di
masa
depan
dengan
mengatur
strategi
keamanan,
berbagi
informasi
untuk
update
pengetahuan
dan
berkolaborasi
dengan
CSIRT
yang
lain.
Fokus
kepada
pencegahan
kerentanan
keamanan,
melakukan
mi:gasi
dan
memas:kan
pemenuhan/pencapaian
regulasi
dan
kebijakan
keamanan
ins:tusi.
22. Alasan
Nyata
Dibutuhkan
karena
hukum,
regulasi,
kebijakan,
standar,
audit,
kerjasama/perjanjian
internasional.
Pemenuhan
bisnis,
permintaan
pasar/pengguna,
best
prac:ce
dan
keuntungan
kompe::f.
Pada
saat
terjadi
insiden
dan
insiden
akan
mengganggu
ins:tusi.
Sebagai
Ti:k
kontak
yang
bertanggungjawab
bila
ada
insiden
untuk
segera
bergerak
dan
berkoordinasi
dengan
pihak-‐pihak
terkait.
Kelompok
ahli
yang
memberikan
rekomendasi
dan
membahas
masalah
keamanan
yang
terkini.
23. Mengapa
butuh
CSIRT?
Saat
insiden
cyber
terjadi
dan
menyebar,
maka
perlu
:ndakan
segera
seper:
:
• Secara
Efek:f
mendeteksi
dan
me-‐iden:fiaksi
segala
macam
ak:vitas.
• Melakukan
mi:gasi
dan
merespons
secara
strategis.
• Membangun
saluran
komunikasi
yang
dapat
dipercaya.
• Memberikan
peringatan
dini
kepada
masyarakat
dan
kons:tuen
tentang
dampak
yang
akan
dan
sudah
terjadi.
• Memberitahu
pihak
lain
tentang
masalah-‐masalah
yang
potensial
di
komunitas
keamanan
dan
internet.
• Berkoordinasi
dalam
meresponse
masalah.
• Berbagi
data
dan
informasi
tentang
segala
ak:vitas
dan
melakukan
korespondensi
untuk
response
segala
solusi
kepada
kons:tuen.
• Melacak
dan
memonitor
informasi
untuk
menentukan
tren
dan
strategi
jangka
panjang.
24. Lingkup
pekerjaan
CSIRT
Menyediakan
satu
::k
untuk
kontak
insiden.
Melakukan
iden:fikasi,
analisis,
dampak
dari
ancaman/insiden.
Peneli:an,
mi:gasi,
rencana
strategi
dan
pela:han.
Berbagi
pengalaman,
informasi
dan
belajar/mengajar.
Kesadaran,
membangun
kapasitas,
jejaring.
Merespon,
mengontrol
kerusakan,
recovery,
meminimalisir
resiko
dan
manajemen
resiko,
pencegahan
dan
pertahanan.
25. Macam-‐macam
CSIRT
Internal
CSIRT:
menyediakan
layanan
penanganan
insident
kepada
organisasi
induk.
CSIRT
semacam
ini
seper:
Bank,
Perusahaan
Manufaktur,
Universitas
dll.
NaSonal
CSIRT:
menyediakan
layanan
penanganan
insiden
kepada
negara.
Sebagai
contoh
adalah
Japan
CERT
Coordina:on
Center
(JPCERT/CC)
.
CoordinaSon
Centers
:
melakukan
koordinasi
penanganan
insiden
lintas
sektor.
CSIRT.
Sebagai
contoh
adalah
United
States
Computer
Emergency
Readiness
Team
(US-‐CERT).
Analysis
Centers
fokus
kepadan
sintesa
data
dari
berbagai
macam
sumber
untuk
menentukan
tren
dan
pola-‐pola
ak:vitas
insiden.
Contoh
:
(SANS
GIAC).
Vendor
Teams
menangani
laporan
tentang
kerentanan
di
dalam
produk
somware
dan
hardware.
Mereka
bekerja
di
dalam
organisasi
untuk
menentukan
produk-‐produk
mereka
rentan
atau
:dak
dan
mengembangkan
strategi
mi:gasi.
Vendor
team
juga
sebagai
internal
CSIRT
untuk
organisasi
tersebut.
Incident
Response
Providers
menawarkan
layanan
penanganan
insiden
dengan
bentuk
bisnis
kepada
organisasi
yang
memerlukannya.
26. CSIRT
Jabatan
dan
Pekerjaan
Ketua
/
Wakil
Ketua
Manager
atau
Pimpinan
Tim
Assistan
Manager,
Supervisor
atau
Pimpinan
Grup
Hotline,
Helpdesk
dan
Staf
Incident
handler
Vulnerability
handler
Ar:fact
analysis
staf
Plaoorm
specialist
Trainer
Technology
watch
Network
atau
System
Administrator
Programmer
Staf
Legal/Hukum
27. Macam-‐macam
Organisasi
CSIRT
• FIRST
–
Forum
of
Incident
Response
and
Security
– Teams
(Global/Interna:onal
Ini:a:ves)
• APCERT
–
Asia
Pacific
Computer
Emergency
Response
Team
– Response
Team
(Regional
Asia
Pacific)
• OIC-‐CERT
–
Organiza:on
of
Islamic
Conference
– Computer
Emergency
Response
Team
• TF-‐CSIRT
–
Collabora:on
of
Computer
Security
– Incident
Response
Team
in
Europe
• ENISA
-‐
European
Network
and
Informa:on
– Security
Agency
(Regional
Europe
Union)
• ANSAC
-‐
ASEAN
Network
Security
Ac:on
Council
FIRST
APCERT
OIC-‐CERT
TF-‐CSIRT
ENISA
ANSAC
32. Fungsi-‐fungsi
CSIRT
DEFENSE
–
melindungi
infrastruktur
kri:s
MONITORING
–
menganalisis
anomaly
dengan
berbagai
pola
terdefinisi
dan
pola
tak
terdefinisi.
(disebut
sebagai
vulnerability
database).
INTERCEPTING
–
mengumpulkan
kontek
spesifik
atau
disebut
targeted
content.
SURVEILLANCE
–mengama:
dan
menganalisis
ak:vitas
yang
dicurigai
dan
informasi
yang
berubah
dalam
sistem.
MITIGATING
–
mengendalikan
kerusakan
dan
menjaga
ketersediaan
serta
kemampuan
layanan
tersebut.
REMEDIATION
–
membuat
solusi
untuk
mencegah
kegiatan
yang
berulang-‐ulang
dan
mempengaruhi
sistem.
OFFENSIVE
–
pencegahan/perlawanan
dengan
menyerang
balik
seper:
Cyber
Army
dan
kemampuan
untuk
menembus
sistem
keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
33. Kemampuan
CSIRT
• PROTECT
–
melakukan
risk
assessment,
proteksi
malware,
pela:han
dan
kesadaran,
operasi
dan
dukungan,
management
kerentanan
dan
jaminan
keamanan.
• DETECT
–
pengawasan
jaringan,
pengukuran
dan
analisis
keterhubungan
dan
situasinya,
pengawasan
lingkungan.
• RESPONSE
–
pelaporan
insiden,
analysis,
response,
mi:gasi
dan
remediasi.
• SUSTAIN
–
berkolaborasi
dengan
MOU,
kontrak
pihak
ke:ga
(vendor,
provider),
management
(program,
personnel,
standar
keamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
34. Penanganan
Insiden
PREPARE
Awareness, SOP,
Compliance etc.
PROTECT
Hardening, Change
Management etc.
RESPONSE
Mitigation,
Remediation
DETECT
Monitoring, Incident
Reporting
TRIAGE
Classification,
Priority etc.
35. Sumber
Pendanaan
Biasanya
pendanaan
dari
organisasi
induk.
Proyek
sponsor
oleh
para
partner.
Iuran
keanggotaan
dan
charge
perlayanan.
Pendanaan
dari
Pemerintah
(full
atau
project
base).
Menyediakan
jasa
keamanan
profesional.
42. Koordinasi
Incident
di
CSIRT
Laporan
Incident
dari
Internal
Laporan
Incident
dari
External
Koordinasi
Kolaborasi
43. Koordinasi
dibawah
Local
CSIRT
Incident
(Vic:ms)
Tim
Incident
Response
Local-‐CSIRT
Koordinasi
ke
CSIRT
Nasional
• IDSIRTII,
IDCERT,
GOVCERT,
TNI,
ACAD-‐CSIRT
APCERT
FIRST
52. Kesimpulan
:
CSIRT
dan
Koordinasi
CSIRT
adalah
lembaga
keamanan
nirlaba
untuk
tanggap
darurat
mengatasi
insiden
keamanan.
CSIRT
diperlukan
karena
hukum.
CSIRT
dibentuk
oleh
negara,
industri
atau
pendidikan.
CSIRT
memiliki
kebijakan
keamanan,
mendeteksi,
penanganan
insiden
dan
kolaborasi.
CSIRT
memiliki
sumber
pendanaan
yg
jelas
dan
terencana.