Apa itu forensik digital dan respons insiden (DFIR)?

DFIR mengintegrasikan dua disiplin ilmu keamanan siber yang berbeda: Forensik digital, investigasi ancaman siber, terutama untuk mengumpulkan bukti digital guna mengadili penjahat siber; dan respons insiden, deteksi dan mitigasi serangan siber yang sedang berlangsung. Menggabungkan kedua disiplin ilmu ini membantu tim keamanan menghentikan ancaman dengan lebih cepat, sekaligus menjaga bukti yang mungkin hilang dalam upaya mitigasi ancaman yang mendesak.

Pakar forensik digital menyelidiki dan merekonstruksi insiden keamanan siber dengan mengumpulkan, menganalisis, dan menjaga bukti digital—jejak yang ditinggalkan oleh pelaku ancaman, seperti file malware dan skrip berbahaya. Rekonstruksi ini memungkinkan para pakar untuk menentukan akar masalah serangan dan mengidentifikasi pelakunya.

Investigasi forensik digital mengikuti rantai pengawasan yang ketat atau proses formal untuk melacak bagaimana bukti dikumpulkan dan ditangani. Rantai pengawasan memungkinkan penyelidik untuk membuktikan bahwa bukti tidak dirusak. Akibatnya, bukti dari investigasi forensik digital dapat digunakan untuk tujuan resmi seperti kasus pengadilan, klaim asuransi, dan audit peraturan.

Institut Standar dan Teknologi Nasional (NIST) menguraikan empat langkah untuk investigasi forensik digital:

Respons insiden berfokus pada mendeteksi dan menanggapi pelanggaran keamanan. Tujuan dari respons insiden adalah untuk mencegah serangan sebelum terjadi dan meminimalkan biaya dan gangguan bisnis dari serangan yang terjadi.

Upaya respons insiden dipandu oleh rencana respons insiden (IRP), yang menguraikan bagaimana tim respons insiden harus menangani ancaman siber. Proses respons insiden memiliki enam langkah standar:

1. Persiapan: Persiapan adalah proses berkelanjutan dalam menilai risiko, mengidentifikasi dan memulihkan kerentanan(manajemen kerentanan), serta menyusun IRP untuk berbagai ancaman siber.
   
   
2. Deteksi dan analisis: Responden insiden memantau jaringan untuk aktivitas yang mencurigakan. Mereka menganalisis data, menyaring positif palsu, dan peringatan triase.
   
   
3. Pengendalian: Ketika pelanggaran terdeteksi, tim respons insiden mengambil langkah-langkah untuk menghentikan penyebaran ancaman melalui jaringan.
   
   
4. Pemberantasan: Setelah ancaman berhasil diatasi, responden insiden menghapusnya dari jaringan-misalnya, dengan menghancurkan file ransomware atau mem-boot pelaku ancaman dari perangkat.
   
   
5. Pemulihan: Setelah responden insiden menghapus semua jejak ancaman, mereka mengembalikan sistem yang rusak ke operasi normal.
   
   
6. Tinjauan pasca-insiden: Responden insiden meninjau pelanggaran untuk memahami bagaimana hal itu terjadi dan mempersiapkan diri menghadapi ancaman di masa depan. 

Ketika forensik digital dan respons insiden dilakukan secara terpisah, keduanya dapat saling mengganggu. Responden insiden dapat mengubah atau menghancurkan bukti sambil menghilangkan ancaman dari jaringan, dan penyelidik forensik dapat menunda penyelesaian ancaman saat mereka mencari bukti. Informasi mungkin tidak mengalir di antara tim-tim ini, sehingga membuat setiap orang menjadi kurang efisien.

DFIR menggabungkan kedua disiplin ilmu ini menjadi satu proses yang dilakukan oleh satu tim. Ini menghasilkan dua keuntungan penting:

Pengumpulan data forensik terjadi bersamaan dengan mitigasi ancaman. Selama proses DFIR, responden insiden menggunakan teknik forensik untuk mengumpulkan dan menjaga bukti digital saat mereka menangani dan memberantas ancaman. Hal ini memastikan bahwa rantai pengawasan diikuti dan bukti berharga tidak diubah atau rusak oleh upaya respons darurat.

Tinjauan pasca-insiden mencakup pemeriksaan bukti digital. DFIR menggunakan bukti digital untuk mempelajari lebih dalam insiden keamanan. Tim DFIR memeriksa dan menganalisis bukti yang mereka kumpulkan untuk merekonstruksi insiden dari awal hingga akhir. Proses DFIR diakhiri dengan laporan yang memerinci apa yang terjadi, bagaimana hal itu terjadi, tingkat kerusakan yang terjadi, dan bagaimana serangan serupa dapat dihindari pada masa depan.

Manfaat yang dihasilkan meliputi:

• Pencegahan ancaman yang lebih efektif. Tim DFIR menyelidiki insiden lebih menyeluruh daripada tim respons insiden tradisional. Investigasi DFIR dapat membantu tim keamanan untuk lebih memahami ancaman siber, membuat pedoman respons insiden yang lebih efektif, dan menghentikan lebih banyak serangan sebelum terjadi. Investigasi DFIR juga dapat membantu merampingkan perburuan ancaman dengan mengungkap bukti ancaman aktif yang tidak diketahui.
  
  
• Sedikit atau bahkan tidak ada bukti yang hilang selama penyelesaian ancaman. Dalam proses respons insiden standar, responden insiden mungkin melakukan kesalahan dalam terburu-buru untuk menahan ancaman. Misalnya, jika responden mematikan perangkat yang terinfeksi untuk menahan penyebaran ancaman, bukti apa pun yang tertinggal di RAM perangkat akan hilang. Terlatih dalam forensik digital dan respons insiden, tim DFIR terampil dalam menjaga bukti sekaligus menyelesaikan insiden.
  
  
• Peningkatan dukungan litigasi. Tim DFIR mengikuti rantai pengawasan, yang berarti hasil investigasi DFIR dapat dibagikan kepada penegak hukum dan digunakan untuk menuntut penjahat siber. Investigasi DFIR juga dapat mendukung klaim asuransi dan audit peraturan pasca-pelanggaran.
  
  
• Pemulihan ancaman yang lebih cepat dan lebih kuat. Karena investigasi forensik lebih canggih daripada investigasi respons insiden standar, tim DFIR dapat menemukan malware tersembunyi atau kerusakan sistem yang mungkin terlewatkan. Ini membantu tim keamanan memberantas ancaman dan pulih dari serangan secara lebih menyeluruh.

Di beberapa perusahaan, tim respons insiden keamanan komputer internal (CSIRT), terkadang disebut tim respons darurat komputer (CERT), menangani DFIR. Anggota CSIRT dapat mencakup chief information security officer (CISO), pusat operasi keamanan (SOC) dan staf TI, pemimpin eksekutif dan pemangku kepentingan lainnya dari seluruh perusahaan.

Banyak perusahaan kekurangan sumber daya untuk melaksanakan DFIR sendiri. Dalam hal ini, mereka dapat menyewa layanan DFIR pihak ketiga yang bekerja dengan sistem retainer.

Pakar DFIR internal dan pihak ketiga menggunakan alat DFIR yang sama untuk mendeteksi, menyelidiki, dan menyelesaikan ancaman. Yaitu antara lain:

• Informasi keamanan dan manajemen peristiwa (SIEM): SIEM mengumpulkan dan menghubungkan data peristiwa keamanan dari alat keamanan dan perangkat lain di jaringan.

• Orkestrasi, otomatisasi, dan respons keamanan (SOAR): SOAR memungkinkan tim DFIR untuk mengumpulkan dan menganalisis data keamanan, menentukan alur kerja respons insiden, dan mengotomatiskan tugas-tugas keamanan yang berulang atau tingkat rendah.

• Deteksi dan respons titik akhir (EDR): EDR mengintegrasikan alat keamanan titik akhir dan menggunakan analitik real-time dan otomatisasi berbasis AI untuk melindungi organisasi dari ancaman siber yang melewati perangkat lunak antivirus dan teknologi keamanan titik akhir tradisional lainnya.

• Deteksi dan respons yang diperluas (XDR): XDR adalah arsitektur keamanan siber terbuka yang mengintegrasikan alat keamanan dan menyatukan operasi keamanan di semua lapisan keamanan—pengguna, titik akhir, email, aplikasi, jaringan, beban kerja cloud, dan data. Dengan menghilangkan kesenjangan visibilitas antar-alat bantu, XDR membantu tim keamanan mendeteksi dan menyelesaikan ancaman dengan lebih cepat dan efisien, sehingga membatasi kerusakan yang ditimbulkannya.