Incident Handling

Pada tulisan kali ini, akan dibahas mengenai Incident Handling dalam keamanan sistem atau biasa dikenal dengan Penanganan Insiden. Pada materi-materi sebelumnya selalu membahas tentang bagaimana cara mengamankan sistem sebelum insiden terjadi, pada pembahasan ini akan dibahas mengenai bagaimana cara mengamankan sistem setelah insiden terjadi.

Sebelum membahas lebih jauh, sebaiknya kita mengetahui arti dari insiden terlebih dulu, insiden adalah suatu peristiwa yang tidak diinginkan terjadi baik disengaja maupun tidak disengaja. Insiden yang disengaja berarti suatu peristiwa yang disadari terjadi, sedangkan insiden yang tidak disengaja berarti suatu peristiwa yang kita sendiri tidak sadar terjadi.

Sebagai contoh misalnya kita mendapat E-Mail dari seseorang dan kita tidak hati-hati langsung membuka dan melihat file yang dikirimi oleh pihak tersebut yang bisa saja mengandung virus atau hal lain yang bersifat merugikan, maka itu sudah dapat dikategorikan insiden yang disengaja karena kita dengan sadar membuka sendiri file yang kita belum tahu pasti apa isinya dan benarkah dikirim oleh pihak yang benar. Sedangkan yang tidak disengaja misalnya kita ingin mengambil data dari komputer teman dengan menggunakan Flash Disk, kemudian kita mencolok FlashDisk tersebut ke komputer kita. Hal ini merupakan insiden yang tidak disengaja karena kita tidak mengetahui apa yang berada dalam komputer teman kita yang ikut tersimpan dalam Flash Disk dan dapat membahayakan komputer kita sendiri.

Tujuan dari Incident Handling adalah:
1. Memastikan bahwa insiden terjadi atau tidak
Sebelumnya tentu dipastikan terlebih dahulu apakah suatu insiden benar-benar terjadi atau tidak sebelum melakukan tindakan lain.

2. Melakukan pengumpulan informasi yang akurat
Mengumpulkan informasi terkait dengan suatu insiden merupakan hal yang perlu dilakukan untuk melakukan tindakan selanjutnya.

3. Melakukan pengambilan dan penanganan bukti-bukti (menjaga chain of custody)
Pengambilan dan penanganan bukti-bukti tidak dapat dilakukan secara bebas karena biasanya ada pihak-pihak yang melindungi aksi dari pelaku. Misalnya pelaku melakukan aksinya di sebuah warnet, dan pihak warnet tidak ingin memberikan lognya kepada pihak penyidik tentu kita tidak dapat memaksakan kehendak karena merupakan hak pihak warnet jika tidak ingin memberikan lognya.

4. Menjaga agar kegiatan berada dalam kerangka hukum
Penanganan insiden dilakukan sesuai dengan aturan-aturan, tidak dilakukan secara sembarangan.

5. Meminimalisir gangguan terhadap operasi bisnis dan jaringan
Sesegera mungkin tangani suatu insiden agar tidak menyebabkan gangguan yang lebih besar.

6. Membuat laporan yang akurat beserta rekomendasinya
Agar dapat dilihat dengan jelas insidennya dan cara menanggulanginya.

Adapun metodologi untuk chain of custody:
1. Pre-preparation incident
adalah persiapan yang dilakukan sebelum insiden terjadi, misalnya membuat aturan atau kebijakan.

2. Detection of incidents
adalah pendeteksian terhadap insiden yang terjadi dengan mencari tahu mengapa insiden tersebut bisa terjadi.

3. Initial Response
adalah tindakan awal jika sudah mengetahui penyebab insiden terjadi, misalkan dalam suatu area diketahui adanya penyusupan pada server, sebagai tindakan awal kita dapat memutus server secara sementara agar penyusup tidak dapat melakukan aksi-aksi selanjutnya.

4. Response strategy formula
adalah mengatur strategi penanganan untuk suatu insiden.

5. Duplication (forensic backups)
setiap kali mengakses suatu website atau ada kegiatan yang terkait dengan jaringan, ada log yang menyimpan setiap kegiatan yang kita lakukan yang nantinya jika diperlukan dapat ditelusuri. Misalnya dari komputer warnet kita melakukan kejahatan pada suatu server, tentunya log akan tersimpan pada warnet tersebut, kemudian pada provider internet, lalu pada HOP berikutnya sampai pada server yang ditargetkan pun terdapat log.

6. Investigation
berlanjut dari contoh pada duplication, investigasi dapat dilakukan dengan menelusuri log yang tersimpan pada tiap titik, tetapi jika masih sulit untuk mendapatkan buktinya, dapat juga melaporkannya ke IRT (Incident Response Team) atau ke yang lebih tinggi yaitu ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure)dimana pihak ini dapat membantu kita dalam mendapatkan bukti-bukti, tetapi harus atas kepentingan hukum.

7. Security measure
mengukur atau mengevaluasi keamanan yang ada saat ini.

8. Network monitoring
merupakan pemantauan traffic network atau arus jaringan, jika terdapat keanehan misalnya ada arus jaringan dalam jumlah besar ke suatu titik maka biasanya akan diberikan pemberitahuan kepada pihak korban bahwa adanya kemungkinan serangan.

9. Recovery
adalah tindakan yang melakukan pemulihan data berdasarkan backup yang ada.

10. Follow-up
merupakan tindak lanjut yang akan dipilih oleh pihak yang dirugikan.

Demikianlah penjelasan mengenai Incident Handling, semoga dapat memberikan manfaat bagi pembaca. Mohon maaf jika terdapat kesalahan pada pembahasan ini.