Apa itu Incident Response?
Teknologi perusahaan semakin berkembang seiring meningkatnya kejahatan siber, merespons ancaman dunia maya, pelanggaran keamanan, dan serangan dunia maya. Tujuan dari incident response adalah untuk mencegah serangan siber sebelum terjadi dan meminimalkan biaya serta gangguan bisnis yang disebabkan oleh serangan siber yang benar-benar terjadi.
Idealnya, suatu perusahaan mendefinisikan proses dan teknologi incident response dalam Incident Response Plans (IRP) formal yang menentukan cara mengidentifikasi, meresponse, dan menyelesaikan berbagai jenis serangan siber. Rencana incident responsee yang efektif akan mampu membantu tim keamanan siber, mendeteksi dan mengatasi ancaman siber, memulihkan sistem yang terkena dampak dengan lebih cepat, dan mengurangi hilangnya pendapatan, denda, dan biaya lain yang terkait dengan ancaman ini.
Bagaimana Incident Response Bekerja?
Adanya perencanaan incident response
Upaya dalam incident response suatu perusahaan dipandu oleh Incident Response Plan (IRP). Biasanya hal ini dibentuk dan dilaksanakan oleh Computer Security Incident Response Team (CSIRT) yang tersusun dari pemegang kekuasaan dari seluruh perusahaan, seperti Chief Information Security Officer (CISO), Security Operations Center (SOC), tim IT serta perwakilan dari pimpinan eksekutif, hukum, sumber daya manusia, kepatuhan terhadap peraturan dan manajemen risiko.
Proses incident response
IRP dalam incident response berpedoman pada kerangkan incident response berdasarkan model incident response yang dikembangkan oleh SANS Institute, Institute of Standards and Technology (NIST), and the Cybersecurity and Infrastructure Agency (CISA)
Persiapan
Fase ini adalah fase pertama dalam incident response untuk memastikan CSIRT memiliki prosedur dan alat terbaik untuk melakukan incident response. Melalui penilaian resiko rutin, CSIRT mampu mengidentifikasi kerentanan jaringan dan memprioritaskan setiap jenis insiden berdasarkan potensi dampaknya terhadap suatu perusahaan.
Deteksi dan Analisis
Pada fase ini, anggota keamanan berperan penting dalam memantau jaringan untuk mencari aktivitas mencurigakan dan potensi ancaman. Selain itu, diperlukan juga analisis data, pemberitahuan, dan peringatan yang dikumpulkan dari log perangkat dari berbagai alat keamanan seperti software antivirus dan firewall yang terpasang pada jaringan, kemudian menyaring kesalahan positif kemudian melakukan penilaian peringatan berdasarkan tingkat keparahan jaringan.
Penahanan
Untuk menghindari timbulnya kerusakan lebih lanjut pada suatu jaringan, perlu dilakukan langkah-langkah mengehentikan pelanggaran oleh tim incident response. Pada tahap ini, CSIRT juga dapat membuat cadangan sistem yang terkena dampak dan tidak terpengaruh untuk mencegah kehilangan data tambahan, dan untuk menangkap bukti forensik dari insiden tersebut untuk studi di masa depan.
Pemberantasan
Setelah ancaman berhasil ditangani, tim incident response akan melakukan tahap remediasi secara penuh dan menghilangkan ancaman secara penuh dari sistem. Hal tersebut melibatkan pemberantasan ancaman secara aktif.
Pemulihan
Pada tahap ini, ketika tim tanggap incident yakin bahwa ancaman telah sepenuhnya dihilangkan, mereka akan mengembalikan sistem yang terkena dampak ke operasi normal. Hal ini mungkin melibatkan penerapan patch, membangun kembali sistem dari cadangan, dan menjadikan sistem dan perangkat yang telah diperbaiki kembali online.
Tinjauan pasca-insiden
Setiap fase proses response insiden, CSIRT mengumpulkan bukti pelanggaran dan mendokumentasikan langkah-langkah yang diperlukan untuk memberantas ancaman tersebut. Pada tahap ini, CSIRT meninjau informasi ini untuk lebih memahami insiden dan berupaya untuk menentukan akar penyebab serangan, mengidentifikasi bagaimana serangan tersebut berhasil menembus jaringan, dan menyelesaikan kerentanan sehingga insiden serupa di masa mendatang tidak terjadi.
CSIRT juga meninjau apa yang berjalan dengan baik dan mencari peluang untuk meningkatkan sistem, alat, dan proses guna memperkuat inisiatif response insiden terhadap serangan di masa depan. Tergantung pada keadaan pelanggaran, penegak hukum mungkin juga dilibatkan dalam penyelidikan pasca-insiden.
Ditulis Oleh : Afrilia Rizki Bening A.
