SHARE

Incident handling dapat didefinisikan sebagai sebuah proses perencanaan dan penanganan terhadap intrusi, pencurian data, denial of service, rootkit, website defacement dan peristiwa keamanan informasi lainnya. Ruang lingkup dalam Incident handling juga mencakup kegiatan yang menggangu kerahasiaan, keutuhan dan ketersediaan informasi baik secara disengaja maupun tidak.

Dalam menangani sebuah insiden seorang Incident Handler cenderung berada dibawah tekanan dan dikejar oleh waktu, melakukan kesalahan dalam penanganan sebuah insiden dapat berdampak fatal. Untuk itu diperlukan standarisasi penanganan dalam menangani insiden dari tahap awal sampai akhir.

National Institute of Standards and Technology (NIST) mempublikasikan standard dalam melakukan incident handling yang terbagi menjadi 6 tahapan, yaitu preparation, identification, containment, eradiction, recovery, dan leason learned. Berikut penjelasan secara umum terhadap 6 tahapan tersebut.

sumber gambar: humanelementsecurity.com

Preparation

Tahapan ini merupakan tahapan paling awal dan krusial dan sering diabaikan dalam menangani sebuah insiden. Tujuan dari tahapan ini adalah mempersiapkan tim agar siap menangani sebuah insiden pada saat insiden tersebut terjadi.

Ada beberapa elemen yang perlu diperhatikan dalam tahapan ini seperti kebijakan terkait akses kontrol, pemilihan anggota tim, dukungan dari divisi management, alat komunikasi cadangan, dan training terhadap anggota tim.

Identification

Pada tahapan ini berkaitan dengan pendeteksian sebuah insiden, penentuan insiden dapat juga berdasarkan anomali dari keadaan normal yang ditemukan pada sistem.

Pada tahapan ini diperlukan pengumpulan data dari berbagai sumber yang berbeda seperti log files, error files, IDS/IPS, SIEM dan sumber lainnya yang membantu dalam menentukan jenis insiden.

Containment

Tujuan dari tahapan ini adalah untuk meminimalisir dampak dan mencegah kerusakan lebih lanjut terhadap sistem yang terinfeksi serta pengamanan dan pencegahan terhadap kerusakan terhadap bukti-bukti yang ditemukan.

Hal yang perlu diperhatikan pada tahapan ini adalah backup sistem untuk keperluan forensik, mengisolasi jaringan sistem yang terinfeksi, melakukan patch atau rebuilding.

Eradication

Pada tahapan ini dilakukan pembersihan dan restore terhadap sistem yang terkena dampak. Pada tahapan ini perlu dipastikan dengan baik bahwa sistem tersebut telah dibersihkan sebelum ditempatkan kembali ke production environment.

Selain melakukan pembersihan terhadap sistem, pada tahap ini juga dilakukan improvisasi terhadap keamanan sistem dan melakukan vulnerability analysis untuk memastikan insiden yang sama tidak terulang kembali

Recovery

Tujuan dari tahapan ini adalah mengembalikan sistem yang terinfeksi kembali ke production environment. Pada tahap ini perlu dilakukan secara hati-hati agar tidak terjadi kesalahan yang menyebabkan insiden lainnya.

Hal yang perlu diperhatikan pada tahapan ini adalah melakukan test dan memastikan sistem telah bersih, monitoring aktifitas anomali dan memvalidasi apakah sistem sudah berfungsi dengan baik sebelum menempatkan sistem kembali ke production environment.

Lesson Learned

Tahapan terakhir dalam incident handling yang sering diabaikan yaitu learning dan improving. Tujuan dari tahapan ini adalah melengkapi dokumentasi yang kurang lengkap pada saat menangani insiden dan juga dokumentasi tambahan yang dapat membantu dalam menangani insiden yang akan datang.

Dokumentasi yang baik dapat juga digunakan untuk melakukan training terhadap anggota tim baru. Dari hasil report dokumentasi ini perlu juga untuk diadakan meeting untuk memberikan rekomendasi terhadap divisi management.

Referensi:
Computer Security Incident Handling Guide – NIST
Incident Handlers Handbook – SANS Whitepaper

(Diedit oleh Wahyu Nuryanto)

Tinggalkan komentar

Berikan komentar