Dokumen tersebut membahas tentang keamanan informasi dan kedaulatan NKRI melalui pembentukan Batalyon Cyber. Dokumen menjelaskan tantangan ancaman siber seperti serangan terhadap infrastruktur kritis, peningkatan sophistikasi serangan, serta perlunya kerja sama antar lembaga terkait untuk menanggulangi ancaman tersebut.
17. Trend Cyber Attacks di Global #1
#1 Serangan dan penipuan di Social Network
• Penipuan identitas di Facebook.com,
• Saling menghujat di twitter.com,
• Situs palsu di social media, sehingga semakin sulit
membedakan media asli dan palsu,
• Penggiringan opini dan politik di sosmed (pra PEMILU 2014,
2016 Pilkada)
• Saat ini para hacker menggunakan “Intelligent Information
Gathering” atau “Business Intelligent Software” untuk mencari
informasi secara detail dalam melakukan aksi targeted attacks.
18. Trend Cyber Attacks di Global #2
#2 Serangan di peralatan Mobile
• Peralatan smart/peralatan computer kecil yang tidak
memiliki anti virus, anti malware sehingga sangat
mudah untuk di attack oleh hackers.
• Hacker dapat menginstall spyware dan dengan mudah
mengawasi/mensniff targetnya tanpa diketahui.
• Mobile spyware dapat mencari lokasi si korban dengan
menghubungkannya ke GPS.
• Salah satu judul buku/ebook populer: ”Hacking the
Android” dan ”Penetration Android Devices”.
19. Trend Cyber Attacks di Global #3
#3 Next Generation Hacking
• Kegiatan hacking saat ini melanda semua kategori perusahaan dan bisnis,
segala aspek dicoba oleh para hacker untuk menyusup ke dalam database
perusahaan,
• Para hackers memiliki pengetahuan dan skill yang berbeda-beda, memiliki
pengetahuan lebih tinggi dan sudah cukup memiliki jam terbang.
• Para hacker muda ini memanfaatkan “intelligent Information Gathering”
seperti google (google hacking command), yahoo dan bing.com,
• mengirim malware ke “targeted attack”, “Trojan horse” atau Remote Admin
Tools dimana para hackers dapat mengendalikan secara jarak jauh.
• Yang perlu diperhatikan adalah file-file yang sering dishare seperti *.com,
*.exe, *.vbs, *.bat, dan saat ini adalah *.doc (documents), *.xls (excel doc),
*.pdf juga disusupi malware untuk dijadikan Trojan horse, backdoors dan
segala macam penyakit computer.
20. Trend Cyber Attacks di Global #4
#4 Ancaman dari dalam organisasi dan Kejahatan
teroganisir
• 60% ancaman cyber security berasal dari dalam internal organisasi
atau kejahatan yang sudah teroganisir.
• Penyebab ancaman dari dalam organisasi adalah mantan
karyawan yang telah dipecat, sakit hati, Contoh : Edward
Snowden.
• Kejahatan teroganisir juga sudah melanda beberapa Negara
seperti China, Brasil, Eropa Timur, mereka berkelompok untuk
menyerang perusahaan start-up yang kaya.
• Perlunya Human Resource Security Control di dalam perekrutan
21. Trend Cyber Attacks di Global #5
#5 Insfrastruktur dan Outsourcing yang tidak aman
• Infrastruktur (Infrastructure as a Service-IaaS),
• Aplikasi (Software as a Service-SaaS), platform (Platform as a
Service-PaaS),
• Orang (Engineer as a Service-EaaS) dan
• Security (Security as a Service-SeaS), yang
• Saat ini sangat popular dengan Cloud Computing Services.
• Perusahaan IT start-up harus memilih dengan baik dan aman
pihak ketiga karena sebagai supporting operasional
perusahaan karena tidak mudah dan murah untuk
mengoperasikan sendiri.
25. Alasan Pendirian CSIRT
Infrastruktur keamanan yang terbaikpun tidak dapat menjamin serangan akan
terjadi.
Bila insiden terjadi, maka institusi bergerak cepat untuk merespon secara efektif
dengan memimalisasi kerusakan dan mengurangi biaya recovery.
Untuk melindungi kejadian-kejadian yang tidak diinginkan di masa depan dengan
mengatur strategi keamanan, berbagi informasi untuk update pengetahuan dan
berkolaborasi dengan CSIRT yang lain.
Fokus kepada pencegahan kerentanan keamanan, melakukan mitigasi dan
memastikan pemenuhan/pencapaian regulasi dan kebijakan keamanan institusi.
26. Alasan Nyata
Dibutuhkan karena hukum, regulasi, kebijakan, standar, audit,
kerjasama/perjanjian internasional.
Pemenuhan bisnis, permintaan pasar/pengguna, best practice dan
keuntungan kompetitif.
Pada saat terjadi insiden dan insiden akan mengganggu institusi.
Sebagai Titik kontak yang bertanggungjawab bila ada insiden untuk
segera bergerak dan berkoordinasi dengan pihak-pihak terkait.
Kelompok ahli yang memberikan rekomendasi dan membahas
masalah keamanan yang terkini.
27. Mengapa butuh CSIRT?
Saat insiden cyber terjadi dan menyebar, maka perlu tindakan segera seperti :
• Secara Efektif mendeteksi dan me-identifiaksi segala macam aktivitas.
• Melakukan mitigasi dan merespons secara strategis.
• Membangun saluran komunikasi yang dapat dipercaya.
• Memberikan peringatan dini kepada masyarakat dan konstituen tentang
dampak yang akan dan sudah terjadi.
• Memberitahu pihak lain tentang masalah-masalah yang potensial di
komunitas keamanan dan internet.
• Berkoordinasi dalam meresponse masalah.
• Berbagi data dan informasi tentang segala aktivitas dan melakukan
korespondensi untuk response segala solusi kepada konstituen.
• Melacak dan memonitor informasi untuk menentukan tren dan strategi
jangka panjang.
28. Lingkup pekerjaan CSIRT
Menyediakan satu titik untuk kontak insiden.
Melakukan identifikasi, analisis, dampak dari ancaman/insiden.
Penelitian, mitigasi, rencana strategi dan pelatihan.
Berbagi pengalaman, informasi dan belajar/mengajar.
Kesadaran, membangun kapasitas, jejaring.
Merespon, mengontrol kerusakan, recovery, meminimalisir resiko dan manajemen resiko,
pencegahan dan pertahanan.
29. Macam-macam CSIRT
Internal CSIRT: menyediakan layanan penanganan insident kepada organisasi induk. CSIRT semacam ini seperti Bank, Perusahaan
Manufaktur, Universitas dll.
National CSIRT: menyediakan layanan penanganan insiden kepada negara. Sebagai contoh adalah Japan CERT Coordination Center
(JPCERT/CC) .
Coordination Centers : melakukan koordinasi penanganan insiden lintas sektor. CSIRT. Sebagai contoh adalah United States
Computer Emergency Readiness Team (US-CERT).
Analysis Centers fokus kepadan sintesa data dari berbagai macam sumber untuk menentukan tren dan pola-pola aktivitas insiden.
Contoh : (SANS GIAC).
Vendor Teams menangani laporan tentang kerentanan di dalam produk software dan hardware. Mereka bekerja di dalam
organisasi untuk menentukan produk-produk mereka rentan atau tidak dan mengembangkan strategi mitigasi. Vendor team juga
sebagai internal CSIRT untuk organisasi tersebut.
Incident Response Providers menawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yang
memerlukannya.
30. CSIRT Jabatan dan Pekerjaan
Ketua / Wakil Ketua
Manager atau Pimpinan Tim
Assistan Manager, Supervisor atau Pimpinan Grup
Hotline, Helpdesk dan Staf
Incident handler
Vulnerability handler
Artifact analysis staf
Platform specialist
Trainer
Technology watch
Network atau System Administrator
Programmer
Staf Legal/Hukum
31. Macam-macam Organisasi CSIRT
• FIRST – Forum of Incident Response and Security
– Teams (Global/International Initiatives)
• APCERT – Asia Pacific Computer Emergency
Response Team
– Response Team (Regional Asia Pacific)
• OIC-CERT – Organization of Islamic Conference
– Computer Emergency Response Team
• TF-CSIRT – Collaboration of Computer Security
– Incident Response Team in Europe
• ENISA - European Network and Information
– Security Agency (Regional Europe Union)
• ANSAC - ASEAN Network Security Action Council
FIRST
APCERT
OIC-CERT
TF-CSIRT
ENISA
ANSAC
36. Fungsi-fungsi CSIRT
DEFENSE – melindungi infrastruktur kritis
MONITORING – menganalisis anomaly dengan berbagai pola
terdefinisi dan pola tak terdefinisi. (disebut sebagai
vulnerability database).
INTERCEPTING – mengumpulkan kontek spesifik atau disebut
targeted content.
SURVEILLANCE –mengamati dan menganalisis aktivitas yang
dicurigai dan informasi yang berubah dalam sistem.
MITIGATING – mengendalikan kerusakan dan menjaga
ketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatan
yang berulang-ulang dan mempengaruhi sistem.
OFFENSIVE – pencegahan/perlawanan dengan menyerang balik
seperti Cyber Army dan kemampuan untuk menembus
sistem keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
37. Kemampuan CSIRT
• PROTECT – melakukan risk assessment,
proteksi malware, pelatihan dan kesadaran,
operasi dan dukungan, management
kerentanan dan jaminan keamanan.
• DETECT – pengawasan jaringan,
pengukuran dan analisis keterhubungan
dan situasinya, pengawasan lingkungan.
• RESPONSE – pelaporan insiden, analysis,
response, mitigasi dan remediasi.
• SUSTAIN – berkolaborasi dengan MOU,
kontrak pihak ketiga (vendor, provider),
management (program, personnel, standar
keamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
57. Kesimpulan :
CSIRT dan Manfaat Batalyon Cyber RI
CSIRT adalah lembaga keamanan nirlaba untuk
tanggap darurat mengatasi insiden keamanan.
CSIRT diperlukan karena hukum.
CSIRT dibentuk oleh negara, industri atau
pendidikan.
CSIRT memiliki kebijakan keamanan, mendeteksi,
penanganan insiden dan kolaborasi.
CSIRT memiliki sumber pendanaan yg jelas dan
terencana.