PERANAN CERT/CSIRT UNTUK MELINDUNGI DATA PRIBADI & INSTITUSI
Disampaikan oleh : IGN MANTRA – Chairman
Peneli: Cyber War, Cyber Crime dan Cyber Security Indonesia Academic CSIRT
Seminar Cyber Defence
Teknik Informa:ka, Universitas Jendral Soedirman PURWOKERTO, 21 Sep 2014
BACKGROUND
Harga Bandwidth Makin Turun
Tahun 1998 • 1,200 US$ / MBps
• Handset 3jt
Tahun 2013 • 1.57 US$ / MBps
• Handset 500rb
Tahun 2014 • 0.94 US$ / MBps
• Handset 500rb
Tahun 2015 • 0.63 US$ / MBps
• Handset 350rb
Internet Live Sta:s:c
Internet User 2014 (Juni) vs 1993
1993 14jt
2005 1.0M
2014 2.9M
Internet User : by Country
Internet User : Leader Board
Indonesia (13) 42,3 jt
Brazil (5) 107,9 jt
Japan (4) 109,3 jt
India (3) 243,2 jt
USA (2) 279,8 jt
CHINA(1) 641,6 jt
Pertumbuhan User Internet Indonesia
42,258,824
CYBER SECURITY THREATS
Highlights from the 2014 Internet Security Threat Report
91% increase in targeted aOacks campaigns in 2013
62% increase in the number of breaches
in 2013
Over 552M idenTTes were exposed via breaches in 2013
23 zero-‐day vulnerabiliTes discovered
38% of mobile users have experienced
mobile cybercrime in past 12 months
Spam volume dropped to 66% of all email traffic
1 in 392 emails contain a phishing
aOacks
Web-‐based aOacks are up 23%
1 in 8 legiTmate websites have a
cri:cal vulnerability
Highlights from the 2014 Internet Security Threat Report
91% increase in targeted aOacks
campaigns
62% increase in the number of breaches
Over 552M idenTTes were exposed via breaches
Lessons From Past Cyber Aeacks
Cyber aeacks accompany physical
aeacks
Cyber aeacks are increasing in volume, sophis:ca:on, and
coordina:on
Cyber aeacks are aeracted to high-‐value targets
Physical Conflicts and Cyber Aeacks
• The Pakistan/India Conflict • The Israel/Pales:nian Conflict • The Former Republic of Yugoslavia
(FRY)/NATO Conflict in Kosovo • The U.S. – China Surveillance Plane
Incident • The Indonesia – Myanmar cyber
aeacks. • The Indonesia – Bangladesh cyber
aeacks. • The Indonesia – Malaysia cyber
aeacks.
Poten:al Cyber Aeacks
• Unauthorized Intrusions • Defacements • Domain Name Server
Aeacks • Distributed Denial of
Service Aeacks • Computer Worms • Rou:ng Opera:ons • Cri:cal Infrastructures • Compound Aeacks
Cri:cal Infrastructures
• Cri:cal infrastructures include gas, power, water, banking and finance, transporta:on, communica:ons
• All dependent to some degree on informa:on systems
• Insider threat -‐ specialized skills
16
High
Low 1980 1985 1990 2000 2014
password guessing
password cracking
exploiting known vulnerabilities
disabling audits back doors
hijacking sessions
sniffers
packet spoofing
GUI automated probes/scans
denial of service
www attacks
Tools
Attackers
Intruder Knowledge
Attack Sophistication
“stealth” / advanced scanning techniques
burglaries
network mgmt. diagnostics
distributed attack tools
binary encryption
Source: CERT/CC
Attack sophistication vs Intruder Technical Knowledge
Increasing Aeack Sophis:ca:on
2005 1985 1995
Cyber Aeacks di Na:onal
Industri Keuangan • ATM, Nilai Tukar, Saham, Reksadana, Kredit, Laporan Keuangan dsbnya.
Industri Kesehatan • Database Medical Pasien, Farmasi, Dokter, Peralatan RS dsbnya.
Industri Pertahanan • Alutsista, Pasukan, Peta Serangan dan Pertahanan, Inteligent dsbnya.
Infrastruktur Kri:s • Listrik, PAM, Energi, Pangan, Emergency dsbnya.
Kenegaraan • Kepresidenan, Pejabat Negara dan Peralatannya, Produk Kenegaraan dsbnya.
Trend Cyber Aeacks di Global #1
#1 Serangan dan penipuan di Social Network • Penipuan iden:tas di Facebook.com, • Saling menghujat di twieer.com, • Situs palsu di social media, sehingga semakin sulit membedakan media asli dan palsu,
• Penggiringan opini dan poli:k di sosmed (pra PEMILU 2014) • Saat ini para hacker menggunakan “Intelligent Informa:on Gathering” atau “Business Intelligent Somware” untuk mencari informasi secara detail dalam melakukan aksi targeted aeacks.
Trend Cyber Aeacks di Global #2
#2 Serangan di peralatan Mobile • Peralatan smart/peralatan computer kecil yang :dak memiliki an: virus, an: malware sehingga sangat mudah untuk di aeack oleh hackers.
• Hacker dapat menginstall spyware dan dengan mudah mengawasi/mensniff targetnya tanpa diketahui.
• Mobile spyware dapat mencari lokasi si korban dengan menghubungkannya ke GPS.
• Salah satu judul buku/ebook populer: ”Hacking the Android” dan ”Penetra:on Android Devices”.
Trend Cyber Aeacks di Global #3
#3 Next GeneraTon Hacking • Kegiatan hacking saat ini melanda semua kategori perusahaan dan bisnis, segala aspek dicoba oleh para hacker untuk menyusup ke dalam database perusahaan,
• Para hackers memiliki pengetahuan dan skill yang berbeda-‐beda, memiliki pengetahuan lebih :nggi dan sudah cukup memiliki jam terbang.
• Para hacker muda ini memanfaatkan “intelligent Informa:on Gathering” seper: google (google hacking command), yahoo dan bing.com,
• mengirim malware ke “targeted aeack”, “Trojan horse” atau Remote Admin Tools dimana para hackers dapat mengendalikan secara jarak jauh.
• Yang perlu diperha:kan adalah file-‐file yang sering dishare seper: *.com, *.exe, *.vbs, *.bat, dan saat ini adalah *.doc (documents), *.xls (excel doc), *.pdf juga disusupi malware untuk dijadikan Trojan horse, backdoors dan segala macam penyakit computer.
Trend Cyber Aeacks di Global #4
#4 Ancaman dari dalam organisasi dan Kejahatan teroganisir • 60% ancaman cyber security berasal dari dalam internal organisasi atau kejahatan yang sudah teroganisir.
• Penyebab ancaman dari dalam organisasi adalah mantan karyawan yang telah dipecat, sakit ha:, Contoh : Edward Snowden.
• Kejahatan teroganisir juga sudah melanda beberapa Negara seper: China, Brasil, Eropa Timur, mereka berkelompok untuk menyerang perusahaan start-‐up yang kaya.
• Perlunya Human Resource Security Control di dalam perekrutan
Trend Cyber Aeacks di Global #5
#5 Insfrastruktur dan Outsourcing yang Tdak aman • Infrastruktur (Infrastructure as a Service-‐IaaS), • Aplikasi (Somware as a Service-‐SaaS), plaqorm (Plaqorm as a Service-‐PaaS),
• Orang (Engineer as a Service-‐EaaS) dan • Security (Security as a Service-‐SeaS), yang • Saat ini sangat popular dengan Cloud Compu:ng Services. • Perusahaan IT start-‐up harus memilih dengan baik dan aman pihak ke:ga karena sebagai suppor:ng operasional perusahaan karena :dak mudah dan murah untuk mengoperasikan sendiri.
Cyber Chaos : FIRE SALE
Transportasi: Shutdown
Telekomunikasi, Keuangan: Shutdown
Energi, Pangan: Shutdown
PERANAN CERT/CSIRT DI NASIONAL
INCIDENT RESPONSE TEAM
Alasan Pendirian CSIRT
Infrastruktur keamanan yang terbaikpun :dak dapat menjamin serangan akan terjadi.
Bila insiden terjadi, maka ins:tusi bergerak cepat untuk merespon secara efek:f dengan memimalisasi kerusakan dan mengurangi biaya recovery.
Untuk melindungi kejadian-‐kejadian yang :dak diinginkan di masa depan dengan mengatur strategi keamanan, berbagi informasi untuk update pengetahuan dan berkolaborasi dengan CSIRT yang lain.
Fokus kepada pencegahan kerentanan keamanan, melakukan mi:gasi dan memas:kan pemenuhan/pencapaian regulasi dan kebijakan keamanan ins:tusi.
Alasan Nyata Dibutuhkan karena hukum, regulasi, kebijakan, standar, audit, kerjasama/perjanjian internasional.
Pemenuhan bisnis, permintaan pasar/pengguna, best prac:ce dan keuntungan kompe::f.
Pada saat terjadi insiden dan insiden akan mengganggu ins:tusi.
Sebagai Ti:k kontak yang bertanggungjawab bila ada insiden untuk segera bergerak dan berkoordinasi dengan pihak-‐pihak terkait.
Kelompok ahli yang memberikan rekomendasi dan membahas masalah keamanan yang terkini.
Mengapa butuh CSIRT? Saat insiden cyber terjadi dan menyebar, maka perlu :ndakan segera seper: :
• Secara Efek:f mendeteksi dan me-‐iden:fiaksi segala macam ak:vitas. • Melakukan mi:gasi dan merespons secara strategis. • Membangun saluran komunikasi yang dapat dipercaya. • Memberikan peringatan dini kepada masyarakat dan kons:tuen tentang
dampak yang akan dan sudah terjadi. • Memberitahu pihak lain tentang masalah-‐masalah yang potensial di
komunitas keamanan dan internet. • Berkoordinasi dalam meresponse masalah. • Berbagi data dan informasi tentang segala ak:vitas dan melakukan
korespondensi untuk response segala solusi kepada kons:tuen. • Melacak dan memonitor informasi untuk menentukan tren dan strategi
jangka panjang.
Lingkup pekerjaan CSIRT
Menyediakan satu ::k untuk kontak insiden.
Melakukan iden:fikasi, analisis, dampak dari ancaman/insiden.
Peneli:an, mi:gasi, rencana strategi dan pela:han.
Berbagi pengalaman, informasi dan belajar/mengajar.
Kesadaran, membangun kapasitas, jejaring.
Merespon, mengontrol kerusakan, recovery, meminimalisir resiko dan manajemen resiko, pencegahan dan pertahanan.
Macam-‐macam CSIRT
Internal CSIRT: menyediakan layanan penanganan insident kepada organisasi induk. CSIRT semacam ini seper: Bank, Perusahaan Manufaktur, Universitas dll.
NaTonal CSIRT: menyediakan layanan penanganan insiden kepada negara. Sebagai contoh adalah Japan CERT Coordina:on Center (JPCERT/CC) .
CoordinaTon Centers : melakukan koordinasi penanganan insiden lintas sektor. CSIRT. Sebagai contoh adalah United States Computer Emergency Readiness Team (US-‐CERT).
Analysis Centers fokus kepadan sintesa data dari berbagai macam sumber untuk menentukan tren dan pola-‐pola ak:vitas insiden. Contoh : (SANS GIAC).
Vendor Teams menangani laporan tentang kerentanan di dalam produk somware dan hardware. Mereka bekerja di dalam organisasi untuk menentukan produk-‐produk mereka rentan atau :dak dan mengembangkan strategi mi:gasi. Vendor team juga sebagai internal CSIRT untuk organisasi tersebut.
Incident Response Providers menawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yang memerlukannya.
CSIRT Jabatan dan Pekerjaan Ketua / Wakil Ketua
Manager atau Pimpinan Tim
Assistan Manager, Supervisor atau Pimpinan Grup
Hotline, Helpdesk dan Staf
Incident handler
Vulnerability handler
Ar:fact analysis staf
Plaqorm specialist
Trainer
Technology watch
Network atau System Administrator
Programmer
Staf Legal/Hukum
Macam-‐macam Organisasi CSIRT • FIRST – Forum of Incident Response and Security
– Teams (Global/Interna:onal Ini:a:ves)
• APCERT – Asia Pacific Computer Emergency Response Team – Response Team (Regional Asia Pacific)
• OIC-‐CERT – Organiza:on of Islamic Conference – Computer Emergency Response Team
• TF-‐CSIRT – Collabora:on of Computer Security – Incident Response Team in Europe
• ENISA -‐ European Network and Informa:on – Security Agency (Regional Europe Union)
• ANSAC -‐ ASEAN Network Security Ac:on Council
FIRST
APCERT
OIC-‐CERT
TF-‐CSIRT
ENISA
ANSAC
Forum of Incident Response and Security
Asia Pacific CERT
ENISA -‐ European Network and Information
EUROPEAN CSIRT
TF-‐CSIRT – Collabora:on of Computer Security
Fungsi-‐fungsi CSIRT DEFENSE – melindungi infrastruktur kri:s MONITORING – menganalisis anomaly dengan berbagai pola
terdefinisi dan pola tak terdefinisi. (disebut sebagai vulnerability database).
INTERCEPTING – mengumpulkan kontek spesifik atau disebut targeted content.
SURVEILLANCE –mengama: dan menganalisis ak:vitas yang dicurigai dan informasi yang berubah dalam sistem.
MITIGATING – mengendalikan kerusakan dan menjaga ketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatan yang berulang-‐ulang dan mempengaruhi sistem.
OFFENSIVE – pencegahan/perlawanan dengan menyerang balik seper: Cyber Army dan kemampuan untuk menembus sistem keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
Kemampuan CSIRT • PROTECT – melakukan risk assessment,
proteksi malware, pela:han dan kesadaran, operasi dan dukungan, management kerentanan dan jaminan keamanan.
• DETECT – pengawasan jaringan, pengukuran dan analisis keterhubungan dan situasinya, pengawasan lingkungan.
• RESPONSE – pelaporan insiden, analysis, response, mi:gasi dan remediasi.
• SUSTAIN – berkolaborasi dengan MOU, kontrak pihak ke:ga (vendor, provider), management (program, personnel, standar keamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
Penanganan Insiden
PREPARE Awareness, SOP, Compliance etc.
PROTECT Hardening, Change Management etc. RESPONSE Mitigation, Remediation
DETECT Monitoring, Incident Reporting
TRIAGE
Classification, Priority etc.
Sumber Pendanaan
Biasanya pendanaan dari organisasi induk.
Proyek sponsor oleh para partner.
Iuran keanggotaan dan charge perlayanan.
Pendanaan dari Pemerintah (full
atau project base).
Menyediakan jasa keamanan profesional.
CERT Logo
Forum Incident Response Team
304 TEAM 66 NEGARA
AP-‐CERT, Asia Pasific
TOTAL 25 TEAM MEMBER
Nasional CERT
IDCERT ID-‐SIRTI ACAD-‐CSIRT
ID GOV-‐CERT ID MIL-‐CERT SECTOR CERT
Anggota CSIRT
TERBESAR 30.000 staf @CNCERT
TERKECIL 2-5 staf @CERT/CSIRT
CSIRT Members
Koordinasi Incident di CSIRT
Laporan Incident dari
Internal
Laporan Incident dari
External
Koordinasi Kolaborasi
Koordinasi dibawah Local CSIRT
Incident (Vic:ms)
Tim Incident Response Local-‐CSIRT
Koordinasi ke CSIRT Nasional • IDSIRTII, IDCERT, GOVCERT, TNI, ACAD-‐CSIRT
APCERT
FIRST
Tugas CSIRT
Pembangunan dan Pengembangan CSIRT
Stage 1 Educa:ng the organiza:on
Stage 2 Planning effort
Stage 3 Ini:al
implementa:on
Stage 4 Opera:onal
phase
Stage 5 Peer
collabora:on
Struktur SDM dan Koordinasi
Operasional Management
Middle Management
Top Management Ketua/Wakil
Dep.1
Ops.11 Ops.12
Dep.2
Ops.21 Ops.22
Koordinasi membutuhkan Masyarakat dan Negara
CSIRT
Masyarakat dan Negara
CSIRT Body CSIRT Sector
CSIRT Nasional
CSIRT Team
CSIRT Ins:tusi
Kementerian
CSIRT Team
Organisasi Induk
Struktur CSIRT
Team CSIRT Sector
CSIRT Nasional
IDSIRTII
Telekomunikasi
Telkom-‐CSIRT
Indosat-‐CSIRT
Akademik ACAD-‐CSIRT
Infrastruktur CSIRT
Console
Sensor
Analizer
Server
Storage
Tugas CSIRT
PREVENTIF DETEKSI
RESPON RISET DAN PENGEMBANGAN
Kesimpulan : CSIRT dan Koordinasi
CSIRT adalah lembaga keamanan nirlaba untuk tanggap darurat mengatasi insiden keamanan.
CSIRT diperlukan karena hukum.
CSIRT dibentuk oleh negara, industri atau pendidikan.
CSIRT memiliki kebijakan keamanan, mendeteksi, penanganan insiden dan kolaborasi.
CSIRT memiliki sumber pendanaan yg jelas dan terencana.
Contact : InformaTons : info@acad-‐csirt.or.id
Incident Response : insiden@acad-‐csirt.or.id URL : hOp://www.acad-‐csirt.or.id
Top Related