Mengenal 6 Tahapan Security Incident Response Procedure

Mengenal 6 Tahapan Security Incident Response Procedure

Security incident response procedure merupakan prosedur perencanaan dan penanganan yang dilakukan untuk menghadapi masalah data dan keamanan. Misalkan seperti pencurian data, instrusi, rootkit, website defacement, denial of service, dan berbagai macam serangan lainnya. Umumnya, ruang lingkupnya meliputi aktivitas yang bisa berpengaruh pada kerahasiaan data, keutuhan dan ketersediaan informasi, baik disengaja atau tidak. Jadi dibutuhkan pemilihan dan anlisis aktivitas yang di duga sebagai serangan. Setelah selang waktu yang ditentukan, praduga insiden dieskalasi ke analisa insiden dan tim respon untuk dipelajari lebih lanjut.

Oleh karena itu, dibutuhkan tahapan-tahapan yang tepat dalam menangani suatu insiden sehingga tidak terjadi kerugian dalam skala yang lebih besar. Beruntung National Institute of Standards and Technology (NIST) sudah mempublikasikan 6 tahapan dengan tepat. Mulai dari preparation (persiapan), identification (identifikasi), containment (penahanan), eradiction (pemberantasan), recovery (pemulihan), dan lessons learned (pemeblajaran) . Berikut penjelasan lengkap dari masing-masing tahapan yang dimaksud.

Tahapan Security Incident Response Procedure

1. Preparation (persiapan)

Di mulai dari tahap preparation atau persiapan. Tahap ini memegang peran yang sangat krusia. Melalui tahap persiapan biasaanya menekankan persiapan – tidak hanya menetapkan kemapuan respon insiden sehingga organisasi siap untuk menaggapi insiden, tetapi juga mencegah insiden dengan memastikan bahwa sistem, jaringan dan aplikasi cukup aman. Meskipun tim respons insiden biasanya tidak bertanggung jawab atas pencegahan insiden, ini penting untuk keberhasilan tim security incident response procedur untuk lebih siap menangani permasalahan yang akan terjadi. Bagian ini memberikan saran dasar tentang persiapan menangani insiden dan mencegah insiden.

2. Identification (identifikasi)

Setelah persiapan berjalan lancar, tahap selanjutnya yang harus dilakukan yaitu proses identifikasi yang dilakukan dengan cara mendeteksi terjadinya sebuah insiden. Insiden dapat terjadi dengan cara tak terhitung jumlahnya, sehingga tidak mungkin mengembangkan instruksi langkah demi langkah untuk menagnani setipa insiden.

Oraganisasi umumnya harus siap untuk menangani insiden apa pun tetapi harus fokus pada persiapan untuk menagani insiden yang menggunakan vektor serangan umum. Vektor serangan seperti removable media, attrition, web, email, impersonation, improper usage, dan loss or theft of equipment tidak dimaksudkan untuk memberikan klasifikasi definitif untuk insiden; melainkan, mereka hanya mendaftar metode serangan umum, yang dapat digunakan sebagai dasar untuk mendefinisikan penanganan yang lebih spesifik. Prekursor dan indikator diidentifikasi menggunakan banyak sumber yang berbeda, dengan peringatan perangkat lunak keamanan komputer yang paling umum, log, informasi yang tersedia untuk umum, dan orang-orang seperti: Siems, IDPSs, antivirus, antispam, perangkat network, informasi kerentanan dan ekploitas baru, user dan sistem administrator.

3. Containtment (penahanan)

Untuk mencegah dan meminimalisir kerusakan yang lebih lanjut pada sistem, maka dilakukan serangkaian proses penahanan. Penahanan penting sebelum sebuah insiden membanjiri sumber daya atau meningkatkan kerusakan. Sebagian besar insiden memerlukan penahanan, sehingga merupakan pertimbangan penting di awal perjalanan penangaanan setiap insiden.

Tahapan ini menyediakan waktu untuk mengembangkan strategi perbaikan yang disesuaikan. Bagian penting dari penahanan adalah pengambilan keputusan (mis., matikan sistem, putuskan dari jaringan, nonaktifkan fungsi tertentu). Keputusan semacam itu jauh lebih mudah untuk dibuat jika ada strategi dan posedur yang telah ditentukan untuk mengatasi insiden tersebut. Dan prosedur ini juga akan mudah untuk dijalankan dengan baik.

4. Eradiction (pemberantasan)

Setelah insiden telah di contained, berikutnya adalah tahap eradicition atau pemberantasan. Pemberantasan mungkin diperlukan untuk menghilangkan komponen-komponen insiden, seperti menghapus malware dan menonaktifkan akun pengguna yang dilanggar, serta mengidentifikasi dan mengurangi semua kerentanan yang dieksploitasi. Selama pemberantasan, penting untuk mengidentifikasi semua host yang terkena dampak dalam organisasi sehingga mereka dapat diatasi. Namun, pastikan terlebih dulu bahwa seluruh sistem telah berada dalam kondisi yang benar-benar bersih sebelum disimpan kembali pada product environment. Di sisi lain, pada tahap ini juga akan dilakukan improvisasi dan vulnerability analysis agar insiden yang terjadi tidak akan terulang lagi di masa mendatang.

Mengetahui Apa Itu Cyber Security yang Punya Peran Penting Pada Masa Kini

5. Recovery (pemulihan)

Lalu, selanjutnya dengan tahapan recovery atau pemulihan. Administrator mengembalikan sistem ke operasi normal, mengkonfirmasi bahwa sistem berfungsi secara normal, dan (jika ada) memulihkan kerentanan untuk mencegah insiden serupa. Pemulihan mungkin melibatkaan tindakan seperti mengembalikan sistem dari cadangan bersih. Membangun kembali sistem dari awal, mengganti file yang dikompromikan dengan versi bersih, memasang tambalan. Serta mengubah kata sandi, dan memperketet keamanan perimeter jaringan.

Tujuannya jelas agar sistem yang terinfeksi dapat disembuhkan dan dikembalikan pada product environment. Untuk melalui tahap ini dibutuhkan ketelitian dan kehati-hatian agar tidak terjadi kesalahan yang bisa memicu insiden lain. Jangan lupa untuk memastikan sistem sudah bersih, lakukan monitoring aktivitas anomali, serta periksa kembali performa fungsi sistem tersebut. 

6. Lessons Learned (Pemebelajaran)

Salah satu bagian terpenting dari ini juga yang paling sering diabaikan: learning dan Improve. Setiap tim respons insiden harus berevolusi untuk mencerminkan ancaman baru, peningkatkan teknologi, dan pembelajaran. Mengadakan pertemuan “Pembelajaran” dengan semua pihak yang terlibat setelah sebuah insiden besar, dan secara berkala setelah insiden yang lebih kecil memungkinkan, dapat sangat membantu dalam meningkatkan langkah-langkah keamanan dan proses penanganan insiden itu sendiri.

Berbagai insiden dapat dicakup dalam satu pertemuan pembelajaran. Pertemuan ini memberikan peluang untuk mencapai penutupan sehubungan dengan suatu insiden dengan meninjau kembali apa yang terjadi, apa yang dilakukan untuk melakukan intervensi, dan seberapa baik intervensi bekerja. Pertemuan harus diadakan dalam beberapa hari setelah akhir insiden.

Ini Dia 4 Tipe Keamanan Jaringan Wireless yang Mesti Diketahui

Itulah tadi beberapa tahapan security incident response procedure yang harus dilakukan agar lebih memudahkan dalam menangani suatu insiden atau serangan yang terjadi.