seminar ubidar palembang 20 june 2014
DESCRIPTION
Seminar Keamanan Informasi, Honeynet/Honepot, Computer Security Incident Response Team, CSIRT, Universitas Bina Darma, Palembang, 20 Juni 2014, Kerjasama Honeynet, Direktorat Keamanan Informasi, Indonesia Academic CSIRT, Komunitas Keamanan Informasi.TRANSCRIPT
CSIRT : Apa dan Peranannya di Nasional
Disampaikan oleh : IGN MANTRA – Chairman
Peneli: Cyber War, Cyber Crime dan Cyber Security Indonesia Academic CSIRT
Seminar Indonesia Honeynet – Ditkaminfo
UBIDAR – 20 Juni 2014
BACKGROUND
Internet Live Sta:s:c
Internet User 2014 (Juni) vs 1993
1993 14jt
2005 1.0M
2014 2.9M
Internet User : by Country
Internet User : Leader Board
Indonesia (13) 42,3 jt
Brazil (5) 107,9 jt
Japan (4) 109,3 jt
India (3) 243,2 jt
USA (2) 279,8 jt
CHINA(1) 641,6 jt
Pertumbuhan User Internet Indonesia
42,258,824
SECURITY INCIDENTS
Highlights from the 2014 Internet Security Threat Report Key Findings
• 91% increase in targeted aMacks campaigns in 2013 • 62% increase in the number of breaches in 2013 • Over 552M idenSSes were exposed via breaches in 2013
• 23 zero-‐day vulnerabiliSes discovered • 38% of mobile users have experienced mobile cybercrime in past 12 months
• Spam volume dropped to 66% of all email traffic • 1 in 392 emails contain a phishing aMacks • Web-‐based aMacks are up 23% • 1 in 8 legiSmate websites have a cri:cal vulnerability
Highlights from the 2014 Internet Security Threat Report Key Findings
91% increase in targeted aMacks campaigns in 2013
62% increase in the number of breaches in
2013
Over 552M idenSSes were exposed via breaches in 2013
Defini:on
• Cyber A`acks: computer-‐to-‐computer a`ack that undermines the confiden:ality, integrity, or availability of a computer or informa:on resident on it.
Lessons From Past Cyber A`acks
Cyber a`acks accompany physical
a`acks
Cyber a`acks are increasing in volume, sophis:ca:on, and
coordina:on
Cyber a`acks are a`racted to high-‐value targets
Physical Conflicts and Cyber A`acks
• The Pakistan/India Conflict • The Israel/Pales:nian Conflict • The Former Republic of Yugoslavia
(FRY)/NATO Conflict in Kosovo • The U.S. – China Surveillance Plane
Incident • The Indonesia – Myanmar cyber
a`acks. • The Indonesia – Bangladesh cyber
a`acks. • The Indonesia – Malaysia cyber
a`acks.
Poten:al Cyber A`acks
• Unauthorized Intrusions • Defacements • Domain Name Server
A`acks • Distributed Denial of
Service A`acks • Computer Worms • Rou:ng Opera:ons • Cri:cal Infrastructures • Compound A`acks
Compound A`acks • Employ some or all of
aforemen:oned cyber a`acks
• Possibly combined with conven:onal (physical) terror a`ack
• Consequences include devasta:ng disrup:on in communica:on and commerce
Cri:cal Infrastructures
• Cri:cal infrastructures include gas, power, water, banking and finance, transporta:on, communica:ons
• All dependent to some degree on informa:on systems
• Insider threat -‐ specialized skills
17
High
Low 1980 1985 1990 2000 2014
password guessing
password cracking
exploiting known vulnerabilities
disabling audits back doors
hijacking sessions
sniffers
packet spoofing
GUI automated probes/scans
denial of service
www attacks
Tools
Attackers
Intruder Knowledge
Attack Sophistication
“stealth” / advanced scanning techniques
burglaries
network mgmt. diagnostics
distributed attack tools
binary encryption
Source: CERT/CC
Attack sophistication vs Intruder Technical Knowledge
Increasing A`ack Sophis:ca:on
2005 1985 1995
18
Levels of “Force”
Source: “Handbook of Informa:on Security” ar:cle on Ac:ve Response, by David Di`rich and Kenneth E. Himma, forthcoming, John Wiley & Sons
APA DAN PERAN CSIRT DI NASIONAL
INCIDENT RESPONSE TEAM
Alasan Pendirian CSIRT
Infrastruktur keamanan yang terbaikpun :dak dapat menjamin serangan akan terjadi.
Bila insiden terjadi, maka ins:tusi bergerak cepat untuk merespon secara efek:f dengan memimalisasi kerusakan dan mengurangi biaya recovery.
Untuk melindungi kejadian-‐kejadian yang :dak diinginkan di masa depan dengan mengatur strategi keamanan, berbagi informasi untuk update pengetahuan dan berkolaborasi dengan CSIRT yang lain.
Fokus kepada pencegahan kerentanan keamanan, melakukan mi:gasi dan memas:kan pemenuhan/pencapaian regulasi dan kebijakan keamanan ins:tusi.
Alasan Nyata Dibutuhkan karena hukum, regulasi, kebijakan, standar, audit, kerjasama/perjanjian internasional.
Pemenuhan bisnis, permintaan pasar/pengguna, best prac:ce dan keuntungan kompe::f.
Pada saat terjadi insiden dan insiden akan mengganggu ins:tusi.
Sebagai Ti:k kontak yang bertanggungjawab bila ada insiden untuk segera bergerak dan berkoordinasi dengan pihak-‐pihak terkait.
Kelompok ahli yang memberikan rekomendasi dan membahas masalah keamanan yang terkini.
Mengapa butuh CSIRT? Saat insiden cyber terjadi dan menyebar, maka perlu :ndakan segera seper: :
• Secara Efek:f mendeteksi dan me-‐iden:fiaksi segala macam ak:vitas. • Melakukan mi:gasi dan merespons secara strategis. • Membangun saluran komunikasi yang dapat dipercaya. • Memberikan peringatan dini kepada masyarakat dan kons:tuen tentang
dampak yang akan dan sudah terjadi. • Memberitahu pihak lain tentang masalah-‐masalah yang potensial di
komunitas keamanan dan internet. • Berkoordinasi dalam meresponse masalah. • Berbagi data dan informasi tentang segala ak:vitas dan melakukan
korespondensi untuk response segala solusi kepada kons:tuen. • Melacak dan memonitor informasi untuk menentukan tren dan strategi
jangka panjang.
Lingkup pekerjaan CSIRT
Menyediakan satu ::k untuk kontak insiden.
Melakukan iden:fikasi, analisis, dampak dari ancaman/insiden.
Peneli:an, mi:gasi, rencana strategi dan pela:han.
Berbagi pengalaman, informasi dan belajar/mengajar.
Kesadaran, membangun kapasitas, jejaring.
Merespon, mengontrol kerusakan, recovery, meminimalisir resiko dan manajemen resiko, pencegahan dan pertahanan.
Macam-‐macam CSIRT
Internal CSIRT: menyediakan layanan penanganan insident kepada organisasi induk. CSIRT semacam ini seper: Bank, Perusahaan Manufaktur, Universitas dll.
NaSonal CSIRT: menyediakan layanan penanganan insiden kepada negara. Sebagai contoh adalah Japan CERT Coordina:on Center (JPCERT/CC) .
CoordinaSon Centers : melakukan koordinasi penanganan insiden lintas sektor. CSIRT. Sebagai contoh adalah United States Computer Emergency Readiness Team (US-‐CERT).
Analysis Centers fokus kepadan sintesa data dari berbagai macam sumber untuk menentukan tren dan pola-‐pola ak:vitas insiden. Contoh : (SANS GIAC).
Vendor Teams menangani laporan tentang kerentanan di dalam produk somware dan hardware. Mereka bekerja di dalam organisasi untuk menentukan produk-‐produk mereka rentan atau :dak dan mengembangkan strategi mi:gasi. Vendor team juga sebagai internal CSIRT untuk organisasi tersebut.
Incident Response Providers menawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yang memerlukannya.
CSIRT Jabatan dan Pekerjaan Ketua / Wakil Ketua
Manager atau Pimpinan Tim
Assistan Manager, Supervisor atau Pimpinan Grup
Hotline, Helpdesk dan Staf
Incident handler
Vulnerability handler
Ar:fact analysis staf
Plaoorm specialist
Trainer
Technology watch
Network atau System Administrator
Programmer
Staf Legal/Hukum
Macam-‐macam Organisasi CSIRT • FIRST – Forum of Incident Response and Security
– Teams (Global/Interna:onal Ini:a:ves)
• APCERT – Asia Pacific Computer Emergency Response Team – Response Team (Regional Asia Pacific)
• OIC-‐CERT – Organiza:on of Islamic Conference – Computer Emergency Response Team
• TF-‐CSIRT – Collabora:on of Computer Security – Incident Response Team in Europe
• ENISA -‐ European Network and Informa:on – Security Agency (Regional Europe Union)
• ANSAC -‐ ASEAN Network Security Ac:on Council
FIRST
APCERT
OIC-‐CERT
TF-‐CSIRT
ENISA
ANSAC
Forum of Incident Response and Security
Asia Pacific CERT
ENISA -‐ European Network and Information
EUROPEAN CSIRT
TF-‐CSIRT – Collabora:on of Computer Security
Fungsi-‐fungsi CSIRT DEFENSE – melindungi infrastruktur kri:s MONITORING – menganalisis anomaly dengan berbagai pola
terdefinisi dan pola tak terdefinisi. (disebut sebagai vulnerability database).
INTERCEPTING – mengumpulkan kontek spesifik atau disebut targeted content.
SURVEILLANCE –mengama: dan menganalisis ak:vitas yang dicurigai dan informasi yang berubah dalam sistem.
MITIGATING – mengendalikan kerusakan dan menjaga ketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatan yang berulang-‐ulang dan mempengaruhi sistem.
OFFENSIVE – pencegahan/perlawanan dengan menyerang balik seper: Cyber Army dan kemampuan untuk menembus sistem keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
Kemampuan CSIRT • PROTECT – melakukan risk assessment,
proteksi malware, pela:han dan kesadaran, operasi dan dukungan, management kerentanan dan jaminan keamanan.
• DETECT – pengawasan jaringan, pengukuran dan analisis keterhubungan dan situasinya, pengawasan lingkungan.
• RESPONSE – pelaporan insiden, analysis, response, mi:gasi dan remediasi.
• SUSTAIN – berkolaborasi dengan MOU, kontrak pihak ke:ga (vendor, provider), management (program, personnel, standar keamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
Penanganan Insiden
PREPARE Awareness, SOP, Compliance etc.
PROTECT Hardening, Change Management etc. RESPONSE Mitigation, Remediation
DETECT Monitoring, Incident Reporting
TRIAGE
Classification, Priority etc.
Sumber Pendanaan
Biasanya pendanaan dari organisasi induk.
Proyek sponsor oleh para partner.
Iuran keanggotaan dan charge perlayanan.
Pendanaan dari Pemerintah (full
atau project base).
Menyediakan jasa keamanan profesional.
CERT Logo
Forum Incident Response Team
304 TEAM 66 NEGARA
AP-‐CERT, Asia Pasific
TOTAL 25 TEAM MEMBER
Nasional CERT
IDCERT ID-‐SIRTI ACAD-‐CSIRT
ID GOV-‐CERT ID MIL-‐CERT SECTOR CERT
Anggota CSIRT
TERBESAR 30.000 staf @CNCERT
TERKECIL 2-5 staf @CERT/CSIRT
CSIRT Members
Koordinasi Incident di CSIRT
Laporan Incident dari
Internal
Laporan Incident dari
External
Koordinasi Kolaborasi
Koordinasi dibawah Local CSIRT
Incident (Vic:ms)
Tim Incident Response Local-‐CSIRT
Koordinasi ke CSIRT Nasional • IDSIRTII, IDCERT, GOVCERT, TNI, ACAD-‐CSIRT
APCERT
FIRST
Tugas CSIRT
Pembangunan dan Pengembangan CSIRT
Stage 1 Educa:ng the organiza:on
Stage 2 Planning effort
Stage 3 Ini:al
implementa:on
Stage 4 Opera:onal
phase
Stage 5 Peer
collabora:on
Struktur SDM dan Koordinasi
Operasional Management
Middle Management
Top Management Ketua/Wakil
Dep.1
Ops.11 Ops.12
Dep.2
Ops.21 Ops.22
Koordinasi membutuhkan Masyarakat dan Negara
CSIRT
Masyarakat dan Negara
CSIRT Body CSIRT Sector
CSIRT Nasional
CSIRT Team
CSIRT Ins:tusi
Kementerian
CSIRT Team
Organisasi Induk
Struktur CSIRT
Team CSIRT Sector
CSIRT Nasional
IDSIRTII
Telekomunikasi
Telkom-‐CSIRT
Indosat-‐CSIRT
Akademik ACAD-‐CSIRT
Infrastruktur CSIRT
Console
Sensor
Analizer
Server
Storage
Tugas CSIRT
PREVENTIF DETEKSI
RESPON RISET DAN PENGEMBANGAN
Kesimpulan : CSIRT dan Koordinasi
CSIRT adalah lembaga keamanan nirlaba untuk tanggap darurat mengatasi insiden keamanan.
CSIRT diperlukan karena hukum.
CSIRT dibentuk oleh negara, industri atau pendidikan.
CSIRT memiliki kebijakan keamanan, mendeteksi, penanganan insiden dan kolaborasi.
CSIRT memiliki sumber pendanaan yg jelas dan terencana.
Contact : InformaSons : info@acad-‐csirt.or.id
Incident Response : insiden@acad-‐csirt.or.id URL : hMp://www.acad-‐csirt.or.id