Semua peristiwa di jaringan perusahaan terkait data besar. Fenomena apa pun dapat diamati, mulai dari login hingga unduhan, skrip, pembaruan, perubahan konfigurasi, dan lainnya, semua terjadi di semua titik akhir, server, router, dan infrastruktur lainnya di jaringan dapat membuat log peristiwa yang dengan cepat berkembang menjadi kumpulan data yang hampir tak terbayangkan untuk diproses
Tidak dapat dihindari, sejumlah peristiwa memiliki konsekuensi negatif bagi keamanan perusahaan. Seorang karyawan menyambungkan stik USB pribadi dikompromikan oleh worm ke dalam perangkat kerja mereka dan tiba-tiba, sebuah insiden buruk terjadi. Tetapi apakah Anda mengatur sistem untuk mendeteksi insiden itu? Dan sekarang setelah terjadi, apa yang akan dilakukan?
Empat Fase Respon Insiden
Standarisasi respons insiden yang diterbitkan NIST adalah Panduan Penanganan Insiden Keamanan Komputer. Panduan ini merinci empat fase respons insiden: Persiapan, Deteksi & Analisis, Penahanan, Pemberantasan & Pemulihan dan Kegiatan Pasca Insiden.
-
Persiapan
Sebelum insiden terjadi, penting untuk membuat kontrol keamanan yang tepat yang akan meminimalkan insiden yang dapat terjadi. Dengan kata lain, jaringan perusahaan perlu dibangun dan dipelihara dengan mengutamakan keamanan.
Termasuk menjaga agar server, sistem operasi, dan aplikasi tetap mutakhir, dikonfigurasi dengan tepat, dan diperkuat dengan perlindungan malware. Parameter jaringan juga harus diamankan dengan benar melalui firewall dan VPN.
Jangan lupa tentang titik terlemah perusahaan, karyawan yang terlihat tidak bersalah di meja mereka. Sedikit pelatihan dapat membatasi jumlah insiden yang disebabkan oleh perilaku karyawan yang buruk.
Bagian penting dari pengaturan jaringan adalah memastikan semua alat pemantauan dan pencatatan yang diperlukan tersedia untuk mengumpulkan dan menganalisis peristiwa yang terjadi di jaringan Anda.
Pilihan berkisar dari Remote Monitoring and Management (RMM) alat untuk Security Information and Event Management (SIEM) kemudian Security Orchestration Automation and Response (SOAR), Intrusion Detection Systems (IDS) dan Intrusion Prevention Systems (IPS), serta solusi Endpoint Detection and Response (EDR).
Lebih banyak organisasi yang menghindari ancaman, seperti bank dan badan pemerintah, mengambil keuntungan dari feed intelijen ancaman seperti ESET Threat Intelligence Service untuk memberikan indikator kompromi yang, jika ditemukan dalam suatu lingkungan, dapat memulai proses respons insiden.
Memutuskan alat pemantauan dan pencatatan yang sesuai untuk jaringan Anda akan memiliki dampak besar pada kegiatan deteksi dan analisis CSIRT Anda, serta opsi remediasi yang tersedia bagi mereka.
Membuat tim respons insiden
Selanjutnya, buat tim respon insiden Computer Security Incident Response Team (CSIRT). Organisasi yang lebih kecil kemungkinan besar hanya membutuhkan tim sementara yang terdiri dari admin TI yang ada. Perusahaan yang lebih besar memiliki CSIRT permanen yang biasanya akan membawa admin TI lain dari perusahaan hanya untuk membantu dalam serangan spesifik; misalnya, admin basis data untuk membantu menganalisis serangan injeksi SQL.
Yang paling penting, setiap CSIRT perlu memiliki anggota staf yang mengerti bagaimana jaringan mereka dibangun. Idealnya, mereka harus memiliki pengalaman seperti dari hal yang normal sampai apa yang tidak biasa.
Manajemen juga perlu mengambil peran aktif dengan menyediakan sumber daya, dana, dan kepemimpinan yang diperlukan agar CSIRT dapat melakukan tugasnya secara efektif. Itu berarti menyediakan alat, perangkat, yang akan dibutuhkan oleh CSIRT, serta membuat keputusan bisnis yang sulit akibat insiden tersebut.
-
Deteksi & Analisis
Dalam fase ini, analis respons peristiwa mengolah berbagai bentuk data yang disajikan kepada mereka oleh semua alat pemantauan dan log untuk memahami dengan tepat apa yang terjadi dalam jaringan dan apa yang dapat dilakukan .
Tugas analis adalah untuk mengkorelasikan peristiwa untuk menciptakan kembali urutan peristiwa yang mengarah ke kejadian tersebut. Terutama adalah mampu mengidentifikasi akar penyebab untuk beralih ke langkah fase 3 secepat mungkin.
Solusi Endpoint Detection & Response, seperti ESET Enterprise Inspector secara otomatis menandai peristiwa yang mencurigakan dan menyimpan seluruh proses untuk pemeriksaan lebih lanjut oleh responden kejadian sangat mendukung kegiatan fase 2.
-
Penahanan, Pemberantasan & Pemulihan
Pada tahap ketiga, CSIRT memutuskan metode untuk menghentikan penyebaran ancaman yang terdeteksi lebih lanjut. Haruskah server dimatikan, titik akhir diisolasi, atau layanan tertentu dihentikan?
Strategi penahanan yang dipilih harus mempertimbangkan potensi kerusakan lebih lanjut, menjaga bukti dan durasi waktu penahanan. Biasanya, ini berarti mengisolasi sistem yang dikompromikan, mensegmentasi bagian-bagian jaringan, atau menempatkan mesin yang terkena dampak dalam sandbox.
Sandboxing memiliki manfaat memungkinkan pemantauan lebih lanjut terhadap ancaman serta mengumpulkan lebih banyak bukti. Namun, ada bahaya bahwa host yang dikompromikan dapat menjadi lebih rusak saat berada di kotak pasir.
Penasihat hukum dapat menentukan bahwa CSIRT harus mengumpulkan dan mendokumentasikan sebanyak mungkin bukti. Dalam hal ini, transfer bukti dari orang ke orang perlu dicatat dengan cermat.
Setelah terkandung, setiap malware yang ditemukan perlu dihapus dari sistem yang dikompromikan. Akun pengguna mungkin perlu dinonaktifkan, ditutup atau diatur ulang. Kerentanan harus ditambal, sistem dan file harus dipulihkan dari cadangan bersih, kata sandi harus diubah, aturan firewall harus diperketat, dll.
Pengembalian penuh ke operasi bisnis normal dapat memakan waktu berbulan-bulan tergantung pada insidennya. Dalam jangka pendek, pemantauan yang ditingkatkan atau lebih baik harus ditetapkan sehingga admin TI dapat mencegah kejadian yang sama terjadi lagi. Jangka panjang mungkin melihat lebih banyak perubahan infrastruktur menyeluruh untuk membantu mengubah jaringan menjadi lebih aman.
-
Kegiatan Pasca Insiden
CSIRT harus mendokumentasikan dan menyediakan rekonstruksi acara dan timeline. Ini membantu untuk memahami akar penyebab insiden dan apa yang dapat dilakukan untuk mencegah kejadian berulang atau serupa.
Ini juga merupakan waktu bagi semua tim untuk meninjau efektivitas proses dan prosedur yang digunakan, mengidentifikasi kesenjangan dalam kesulitan komunikasi dan kolaborasi, dan mencari peluang untuk memperkenalkan efisiensi pada rencana respons insiden saat ini.
Akhirnya, manajemen perlu memutuskan kebijakan retensi untuk bukti yang dikumpulkan selama insiden. Jadi, jangan hanya menghapus hard drive tanpa terlebih dahulu berkonsultasi dengan departemen hukum. Sebagian besar organisasi mengarsipkan catatan insiden selama dua tahun agar tetap mematuhi peraturan.
Ingin melengkapi alat tanggap insiden Anda dengan kemampuan investigasi yang kuat? Dapatkan uji coba gratis Inspektur ESET Enterprise.
