Apa itu respons insiden?
Jelajahi seberapa efektif respons insiden membantu organisasi mendeteksi, menangani, dan menghentikan ancaman cyber.
Penjelasan tentang respons insiden
Sebelum menentukan respons insiden, penting untuk memperjelas apa itu insiden. Di TI, terdapat tiga istilah yang memiliki arti berbeda tetapi terkadang digunakan untuk hal yang sama:
- Event atau peristiwa adalah tindakan tidak berbahaya yang sering terjadi seperti membuat file, menghapus folder, atau membuka email. Pada dasarnya, suatu peristiwa biasanya bukan merupakan indikasi pelanggaran tetapi ketika dipasangkan dengan peristiwa lain dapat menandakan ancaman.
- Alert atau peringatan adalah pemberitahuan yang dipicu oleh peristiwa, yang bisa jadi merupakan sebuah ancaman maupun bukan ancaman.
- Incident atau insiden adalah sekelompok peringatan yang berkorelasi bahwa manusia atau alat otomatisasi dianggap sebagai potensi ancaman asli. Pada dasarnya, setiap peringatan mungkin tidak terlihat sebagai ancaman besar, tetapi jika digabungkan, peringatan tersebut menunjukkan kemungkinan terjadinya pelanggaran.
Respons insiden adalah tindakan yang dilakukan organisasi ketika mereka percaya bahwa sistem TI atau data mungkin telah dilanggar. Misalnya, profesional keamanan akan bertindak jika mereka melihat bukti pengguna, program jahat, atau kegagalan tindakan keamanan yang tidak sah.
Tujuan respons adalah untuk menghilangkan serangan cyber secepat mungkin, memulihkan, memberi tahu pelanggan atau lembaga pemerintah sebagaimana diwajibkan oleh hukum regional, dan mempelajari cara mengurangi risiko pelanggaran serupa di masa mendatang.
Bagaimana cara kerja respons insiden?
Respons insiden biasanya dimulai ketika tim keamanan mendapatkan peringatan kredibel dari sistem Security Information and Event Management (SIEM).
Anggota tim perlu memverifikasi bahwa kejadian tersebut memenuhi syarat sebagai insiden lalu mengisolasi sistem yang terinfeksi dan menghapus ancaman. Jika insiden parah atau membutuhkan solusi yang memakan waktu, organisasi mungkin perlu memulihkan data cadangan, menangani tebusan, atau memberi tahu pelanggan bahwa data mereka telah disusupi.
Untuk alasan ini, orang selain tim keamanan cyber biasanya terlibat dalam respons tersebut. Pakar privasi, pengacara, dan pembuat keputusan bisnis akan membantu menentukan pendekatan organisasi terhadap suatu insiden dan akibatnya.
Jenis insiden keamanan
Ada beberapa cara yang biasanya dicoba oleh penyerang saat mengakses data perusahaan atau membahayakan sistem dan operasi bisnisnya. Berikut ini adalah beberapa cara yang paling umum:
-
Pengelabuan
Pengelabuan adalah tipe rekayasa sosial yang dimanfaatkan penyerang dengan menggunakan email, teks, atau panggilan telepon untuk menyamar sebagai merek atau orang terkemuka. Serangan pengelabuan umum mencoba membujuk penerima untuk mengunduh program jahat atau memberikan kata sandi mereka. Serangan ini mengeksploitasi kepercayaan orang-orang dan menggunakan teknik psikologis seperti ketakutan untuk membuat orang bertindak. Banyak dari serangan ini tidak memiliki target, dan disebarkan ke ribuan orang dengan harapan hanya satu yang merespons. Namun, versi lebih canggih yang disebut spear phishing menggunakan penelitian mendalam untuk menyusun pesan yang dimaksudkan untuk membujuk individu tertentu. -
Program jahat
Program jahat merujuk pada perangkat lunak apa pun yang dirancang untuk merusak sistem komputer atau melakukan eksfiltrasi data. Program jahat muncul dalam berbagai bentuk, termasuk virus, ransomware, spyware, dan kuda trojan. Pelaku jahat menginstal program jahat dengan memanfaatkan kerentanan perangkat keras dan perangkat lunak atau dengan meyakinkan karyawan untuk melakukannya menggunakan teknik rekayasa sosial.
-
Ransomware
Dalam serangan ransomware, pelaku jahat menggunakan program jahat untuk mengenkripsi data dan sistem penting, lalu mengancam untuk menyebarkan data ke publik atau menghancurkannya jika korban tidak membayar tebusan.
-
Penolakan layanan
Dalam serangan penolakan layanan (serangan DDoS), pelaku ancaman menimpa jaringan atau sistem dengan lalu lintas besar agar melambat atau mengalami crash. Biasanya, penyerang menargetkan perusahaan besar atau terkenal seperti bank atau pemerintah agar mereka merugi waktu dan uang, tetapi organisasi dengan berbagai ukuran juga dapat menjadi korban dari jenis serangan ini.
-
Pria di tengah
Metode lain yang digunakan penjahat cyber untuk mencuri data pribadi adalah dengan menyisipkan diri di tengah percakapan online antara orang-orang yang yakin bahwa mereka berkomunikasi secara pribadi. Dengan mencegat pesan dan menyalinnya atau mengubahnya sebelum mengirimkannya ke penerima yang dituju, mereka mencoba memanipulasi salah satu peserta agar memberikan data berharga.
-
Ancaman dari dalam
Meskipun sebagian besar serangan dilakukan oleh orang di luar organisasi, tim keamanan juga harus waspada terhadap ancaman orang dalam. Karyawan dan orang lain yang memiliki akses sah ke sumber daya terbatas mungkin secara tidak sengaja, atau dalam beberapa kasus, sengaja membocorkan data sensitif.
-
Akses tidak sah
Banyak pelanggaran keamanan dimulai dengan kredensial akun yang dicuri. Pelaku jahat mendapatkan kata sandi melalui kampanye pengelabuan atau dengan menebak kata sandi umum, begitu mereka mendapatkan akses ke sistem, mereka dapat memasang program jahat, melakukan pengintaian jaringan, atau meningkatkan hak istimewa mereka untuk memungkinkan mereka mengakses sistem dan data yang lebih sensitif.
Apa itu rencana respons insiden?
Merespons insiden membutuhkan kerja sama tim yang efisien dan efektif untuk menghilangkan ancaman dan memenuhi persyaratan peraturan. Dalam situasi yang penuh tekanan, orang-orang mudah menjadi bingung dan membuat kesalahan, itulah sebabnya banyak perusahaan mengembangkan rencana respons insiden. Rencana tersebut mendefinisikan peran dan tanggung jawab serta mencakup langkah-langkah yang diperlukan untuk menyelesaikan, mendokumentasikan, dan mengomunikasikan insiden dengan benar.
Pentingnya rencana respons insiden
Serangan yang signifikan tidak hanya merusak operasi organisasi, tetapi juga memengaruhi reputasi bisnis di antara pelanggan dan komunitas, dan mungkin juga memiliki konsekuensi hukum. Semuanya, termasuk seberapa cepat tim keamanan merespons serangan dan bagaimana eksekutif berkomunikasi tentang insiden tersebut, memengaruhi keseluruhan biayanya.
Perusahaan yang menyembunyikan kerusakan dari pelanggan dan pemerintah atau yang tidak menanggapi ancaman dengan cukup serius dapat melanggar peraturan. Jenis kesalahan ini lebih sering terjadi apabila peserta tidak memiliki rencana. Di saat-saat genting, orang-orang berisiko membuat keputusan gegabah yang didorong oleh rasa takut yang akhirnya merugikan organisasi.
Rencana yang dipikirkan dengan baik memberi tahu orang-orang apa yang harus mereka lakukan pada setiap fase serangan sehingga mereka tidak perlu membuatnya dengan terburu-buru. Dan setelah pemulihan, jika ada pertanyaan dari publik, organisasi akan dapat menunjukkan dengan tepat bagaimana responsnya dan menenangkan pelanggan bahwa mereka menangani insiden tersebut dengan serius dan menerapkan langkah-langkah yang diperlukan untuk mencegah hasil yang lebih buruk.
Langkah respons insiden
Ada lebih dari satu cara untuk menanggapi insiden, dan banyak organisasi mengandalkan organisasi standar keamanan untuk memandu pendekatan mereka. SysAdmin Audit Network Security (SANS) adalah organisasi swasta yang menawarkan kerangka kerja respons enam langkah, yang diuraikan di bawah ini. Banyak organisasi juga mengadopsi kerangka kerja pemulihan insiden National Institute of Standards and Technology (NIST).
- Persiapan - Sebelum insiden terjadi, penting untuk mengurangi kerentanan serta menentukan kebijakan dan prosedur keamanan. Dalam tahap persiapan, organisasi melakukan penilaian risiko untuk menentukan letak kelemahan mereka dan memprioritaskan aset. Fase ini mencakup prosedur keamanan penulisan dan penyempurnaan, menentukan peran dan tanggung jawab, serta memperbarui sistem untuk mengurangi risiko. Sebagian besar organisasi secara rutin meninjau kembali tahap ini dan melakukan penyempurnaan pada kebijakan, prosedur, dan sistem saat mereka menyadari bahwa informasi penting atau teknologi telah berubah.
- Identifikasi ancaman - Di waktu tertentu, tim keamanan mungkin menerima ribuan peringatan yang menunjukkan aktivitas mencurigakan. Beberapa di antaranya adalah positif palsu atau mungkin tidak naik ke tingkat insiden. Setelah insiden diidentifikasi, tim menggali sifat pelanggaran dan temuan dokumen, termasuk sumber pelanggaran, jenis serangan, dan tujuan penyerang. Dalam tahap ini, tim juga perlu menginformasikan pemangku kepentingan dan mengomunikasikan langkah berikutnya.
- Pembendungan ancaman - Membendung ancaman secepat mungkin adalah prioritas berikutnya. Semakin lama pelaku jahat mendapatkan akses, semakin besar kerusakan yang dapat mereka lakukan. Tim keamanan bekerja dengan cepat untuk mengisolasi aplikasi atau sistem yang sedang diserang dari jaringan lainnya. Hal ini membantu mencegah penyerang mengakses bagian lain dari bisnis.
- Penghapusan ancaman - Setelah pembendungan selesai, tim menghapus penyerang dan semua program jahat dari sistem dan sumber daya yang terpengaruh. Hal ini mungkin mengharuskan tim untuk mematikan sistem. Tim juga terus memberikan informasi tentang kemajuan kepada pemangku kepentingan.
- Pemulihan dan restorasi - Proses pemulihan dari insiden mungkin memerlukan waktu beberapa jam. Setelah ancaman hilang, tim memulihkan sistem, memulihkan data dari cadangan, dan memantau area yang terpengaruh untuk memastikan penyerang tidak kembali.
- Umpan balik dan penyempurnaan - Saat insiden teratasi, tim meninjau apa yang terjadi dan mengidentifikasi penyempurnaan yang dapat dilakukan pada proses. Belajar dari fase ini membantu tim meningkatkan pertahanan organisasi.
Apa itu tim respons insiden?
Tim respons insiden, yang juga disebut tim respons insiden keamanan komputer (CSIRT), tim respons insiden cyber (CIRT), atau tim respons darurat komputer (CERT), mencakup sekelompok orang lintas fungsi di organisasi yang bertanggung jawab untuk menjalankan rencana respons insiden. Hal ini tidak hanya melibatkan orang-orang yang menghapus ancaman, tetapi juga orang-orang yang membuat keputusan bisnis atau hukum terkait suatu insiden. Tim ini umumnya terdiri atas anggota berikut:
Manajer respons insiden, umumnya direktur TI, mengawasi semua fase respons dan memberi tahu pemangku kepentingan internal.
Analis keamanan melakukan riset terhadap insiden untuk mencoba memahami apa yang terjadi. Mereka juga mendokumentasikan temuan mereka dan mengumpulkan bukti forensik.
Peneliti ancaman melakukan pencarian di luar organisasi untuk mengumpulkan intelijen yang menyediakan konteks tambahan.
Seseorang dari manajemen, seperti Chief Information Security Officer atau Chief Information Officer, memberikan panduan dan berperan sebagai penghubung bagi eksekutif lain.
Spesialis sumber daya manusia membantu mengelola ancaman orang dalam.
Penasihat umum membantu tim menavigasi masalah tanggung jawab dan memastikan bahwa bukti forensik telah dikumpulkan.
- Spesialis hubungan publik mengoordinasikan komunikasi eksternal yang akurat ke media, pelanggan, dan pemangku kepentingan lainnya.
Tim respons insiden mungkin merupakan subset dari pusat operasi keamanan (SOC), yang menangani operasi keamanan di luar respons insiden.
Otomatisasi respons insiden
Di sebagian besar organisasi, jaringan dan solusi keamanan menghasilkan peringatan keamanan yang jauh lebih banyak daripada yang sebenarnya dapat dikelola oleh tim respons insiden. Untuk membantunya berfokus pada ancaman yang sah, banyak bisnis menerapkan otomatisasi respons insiden. Otomasi menggunakan AI dan pembelajaran mesin untuk melakukan triase peringatan, mengidentifikasi insiden, dan membasmi ancaman dengan mengeksekusi playbook respons berdasarkan skrip terprogram.
Otomatisasi dan respons orkestrasi keamanan (SOAR) adalah kategori alat keamanan yang digunakan bisnis untuk mengotomatiskan respons insiden. Solusi ini menawarkan kemampuan berikut:
Mengorelasikan data di beberapa titik akhir dan solusi keamanan untuk mengidentifikasi insiden bagi manusia untuk ditindaklanjuti.
Menjalankan playbook yang telah diskrip untuk mengisolasi dan mengatasi jenis insiden yang diketahui.
Membuat garis waktu investigasi yang mencakup tindakan, keputusan, dan bukti forensik yang dapat digunakan untuk analisis.
Menghadirkan intelijen eksternal yang relevan untuk analisis manusia.
Cara menerapkan rencana respons insiden
Mengembangkan rencana respons insiden mungkin tampak menakutkan, tetapi hal ini dapat secara signifikan mengurangi risiko ketidaksiapan bisnis Anda selama insiden besar. Berikut cara untuk memulainya:
-
Identifikasi dan prioritaskan aset
Langkah pertama dalam rencana respons insiden adalah memahami apa yang Anda lindungi. Dokumentasikan data penting organisasi Anda, termasuk lokasi penyimpannya dan tingkat kepentingannya bagi bisnis.
-
Kenali potensi risiko
Setiap organisasi memiliki risiko yang berbeda. Coba kenali kerentanan terbesar organisasi Anda dan evaluasi bagaimana penyerang dapat mengeksploitasinya.
-
Kembangkan prosedur respons
Selama insiden yang menegangkan, prosedur yang jelas akan sangat membantu memastikan insiden tersebut ditangani dengan cepat dan efektif. Mulailah dengan menentukan apa yang memenuhi syarat sebagai insiden dan kemudian tentukan langkah-langkah yang harus diambil tim Anda untuk mendeteksi, mengisolasi, dan pulih dari insiden tersebut, termasuk prosedur untuk mendokumentasikan keputusan dan mengumpulkan bukti.
-
Bentuk tim respons insiden
Bentuk tim lintas fungsi yang bertanggung jawab untuk memahami prosedur respons dan melakukan mobilisasi jika terjadi insiden. Pastikan untuk mendefinisikan peran dengan jelas dan memperhitungkan peran nonteknis yang dapat membantu membuat keputusan terkait komunikasi dan tanggung jawab. Sertakan seseorang di tim eksekutif yang akan menjadi advokat bagi tim dan kebutuhannya di tingkat tertinggi perusahaan.
-
Tentukan rencana komunikasi Anda
Dengan rencana komunikasi, waktu dan cara orang lain di dalam dan di luar organisasi menerima informasi tentang apa yang terjadi bisa dipastikan. Pikirkan berbagai skenario untuk membantu Anda menilai dalam situasi apa Anda perlu memberi tahu eksekutif, seluruh organisasi, pelanggan, dan media atau pemangku kepentingan eksternal lainnya.
-
Latih karyawan
Pelaku jahat menargetkan karyawan di semua tingkat organisasi, oleh karena itu sangat penting bagi setiap orang untuk memahami rencana respons Anda dan mengetahui apa yang harus dilakukan jika mereka mencurigai bahwa mereka telah menjadi korban serangan. Secara berkala, uji karyawan Anda untuk mengonfirmasi bahwa mereka dapat mengenali email pengelabuan dan memudahkan mereka untuk memberi tahu tim respons insiden jika mereka secara tidak sengaja mengeklik tautan yang buruk atau membuka lampiran yang terinfeksi.
Solusi respons insiden
Mempersiapkan insiden besar adalah bagian penting untuk menjaga organisasi Anda tetap aman dari ancaman. Menyiapkan tim respons insiden internal akan memberi Anda keyakinan bahwa Anda akan siap jika Anda menjadi korban dari aktor jahat.
Manfaatkan solusi SIEM dan SOAR seperti Microsoft Sentinel yang menggunakan otomatisasi untuk membantu Anda mengidentifikasi dan merespons insiden secara otomatis. Organisasi dengan lebih sedikit sumber daya dapat menambah tim mereka dengan penyedia layanan yang dapat menangani beberapa fase respons insiden. Akan tetapi, Anda bisa merespons insiden secara internal maupun eksternal, apa pun itu, pastikan Anda memiliki rencana.
Pelajari selengkapnya tentang Microsoft Security
Perlindungan terhadap ancaman Microsoft
Identifikasi dan respons insiden di seluruh organisasi Anda dengan perlindungan ancaman terbaru.
Microsoft Sentinel
Temukan ancaman canggih dan respons secara tegas dengan solusi SIEM yang andal, yang didukung oleh cloud dan AI.
Microsoft Defender XDR
Hentikan serangan di seluruh titik akhir, email, identitas, aplikasi, dan data.
Tanya jawab umum
-
Respons insiden adalah semua aktivitas yang dilakukan organisasi ketika mencurigai terjadinya pelanggaran keamanan. Tujuannya adalah untuk mengisolasi dan membasmi penyerang secepat mungkin, mematuhi peraturan privasi data, dan melakukan pemulihan dengan aman dengan sesedikit mungkin kerusakan pada organisasi.
-
Tim lintas fungsi bertanggung jawab atas respons insiden. TI umumnya bertanggung jawab untuk mengidentifikasi, mengisolasi, dan melakukan pemulihan dari ancaman, namun ada lebih banyak respons insiden daripada sekadar menemukan dan menyingkirkan pelaku jahat. Tergantung pada jenis serangan, seseorang mungkin harus membuat keputusan bisnis, seperti cara menghadapi tebusan. Penasihat hukum dan profesional hubungan publik membantu memastikan bahwa organisasi mematuhi undang-undang privasi data, termasuk pemberitahuan kepada pelanggan dan pemerintah yang sesuai. Jika ancaman dilakukan oleh karyawan, sumber daya manusia akan menyarankan tindakan yang sesuai.
-
CSIRT adalah nama lain untuk tim respons insiden. CSIRT mencakup tim lintas fungsi yang terdiri dari orang-orang yang bertanggung jawab untuk mengelola semua aspek respons insiden, termasuk mendeteksi, mengisolasi, dan menghilangkan ancaman, pemulihan, komunikasi internal dan eksternal, dokumentasi, dan analisis forensik.
-
Sebagian besar organisasi menggunakan solusi SIEM atau SOAR untuk membantu mereka mengidentifikasi dan merespons ancaman. Solusi ini umumnya mengagregasi data dari beberapa sistem dan menggunakan pembelajaran mesin untuk membantu mengidentifikasi ancaman yang sebenarnya. Solusi ini juga dapat mengotomatiskan respons untuk jenis ancaman tertentu berdasarkan playbook yang telah diskrip.
-
Siklus hidup respons insiden mencakup enam tahapan:
- Persiapan terjadi sebelum sebuah insiden diidentifikasi dan mencakup definisi tentang apa yang dianggap organisasi sebagai insiden dan semua kebijakan dan prosedur yang diperlukan untuk mencegah, mendeteksi, menghilangkan, dan memulihkan diri dari serangan.
- Identifikasi ancaman adalah proses yang menggunakan analis dan otomatisasi manusia untuk mengidentifikasi kejadian mana yang merupakan ancaman nyata yang perlu diatasi.
- Pembendungan ancaman adalah tindakan yang dilakukan tim untuk mengisolasi ancaman dan mencegahnya menginfeksi area bisnis lainnya.
- Penghapusan ancaman mencakup langkah-langkah untuk menghapus program jahat dan penyerang dari organisasi.
- Pemulihan dan restorasi yang mencakup memulai ulang sistem dan mesin serta memulihkan semua data yang hilang.
- Umpan balik dan penyempurnaan adalah proses yang diambil tim untuk mengungkap pelajaran dari insiden tersebut dan menerapkan pembelajaran tersebut ke dalam kebijakan dan prosedur.
Ikuti Microsoft Security