Respons insiden (terkadang disebut respons insiden keamanan siber) mengacu pada proses dan teknologi organisasi untuk mendeteksi dan merespons ancaman siber, pelanggaran keamanan, dan serangan siber. Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan.
Tujuan dari respons insiden adalah untuk mencegah serangan siber sebelum terjadi dan meminimalkan biaya dan gangguan bisnis yang dihasilkan dari serangan siber yang terjadi. Respons insiden adalah bagian teknis dari manajemen insiden, yang juga mencakup manajemen eksekutif, SDM dan hukum dari insiden serius.
Idealnya, sebuah organisasi menetapkan proses dan teknologi respons insiden dalam rencana tanggap insiden (IRP) formal yang mengatur cara berbagai jenis serangan siber harus diidentifikasi, diatasi, dan diselesaikan.
Rencana respons insiden yang efektif dapat membantu tim respons insiden siber mendeteksi dan mengatasi ancaman siber, memulihkan sistem yang terdampak, serta mengurangi kehilangan pendapatan, denda peraturan, dan biaya lainnya.
Laporan Biaya Pelanggaran Data IBM menemukan bahwa dengan memiliki tim tanggap insiden dan rencana tanggap insiden formal, perusahaan dapat mengurangi biaya pelanggaran hingga hampir setengah juta dolar AS (USD 473.706) rata-rata.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Insiden keamanan, atau peristiwa keamanan, adalah pelanggaran digital atau fisik yang mengancam kerahasiaan, integritas atau ketersediaan sistem informasi atau data sensitif organisasi. Insiden keamanan dapat berkisar dari serangan siber yang disengaja oleh peretas atau pengguna yang tidak sah, hingga pelanggaran kebijakan keamanan TI yang tidak disengaja oleh pengguna resmi yang sah.
Beberapa insiden keamanan yang paling umum meliputi:
Ransomware adalah jenis peranti lunak berbahaya, atau malware, yang mengunci data atau perangkat komputasi korban dan mengancam untuk tetap menguncinya—atau lebih buruk lagi—kecuali jika korban membayar uang tebusan kepada penyerang. X-Force Threat Intelligence Index terbaru dari IBM melaporkan bahwa 20% serangan jaringan menggunakan ransomware dan serangan berbasis pemerasan merupakan kekuatan pendorong dalam kejahatan siber, hanya dikalahkan oleh pencurian dan kebocoran data.
Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima agar membagikan informasi sensitif, mengunduh perangkat lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merugikan lainnya.
Penyerang membuat pesan phishing agar terlihat atau terdengar seolah-olah berasal dari organisasi atau individu yang tepercaya atau kredibel—terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.
Phishing dan kredensial yang dicuri atau disusupi adalah dua vektor serangan yang paling umum, menurut laporan Biaya Pelanggaran Data IBM. Phishing juga merupakan bentuk paling umum dari rekayasa sosial—sebuah kelas serangan yang meretas sifat manusia, bukan kerentanan keamanan digital, untuk mendapatkan akses tidak sah ke data atau aset pribadi atau perusahaan yang sensitif.
Dalam serangan denial-of-service terdistribusi (DDoS), peretas mendapatkan kendali atas sejumlah besar komputer dan menggunakannya untuk membanjiri jaringan atau server organisasi target dengan lalu lintas palsu, sehingga sumber daya tersebut tidak tersedia bagi pengguna yang sah.
Serangan rantai pasokan adalah serangan siber yang menyusup ke organisasi target dengan menyerang vendornya. Misalnya, ini dapat mencakup pencurian data sensitif dari sistem pemasok atau menggunakan layanan vendor untuk mendistribusikan malware.
Ada dua jenis ancaman orang dalam. Orang dalam yang jahat adalah karyawan, mitra, atau pengguna resmi lainnya yang dengan sengaja membahayakan keamanan informasi organisasi. Orang dalam yang lalai adalah pengguna resmi yang secara tidak sengaja membahayakan keamanan dengan tidak mengikuti praktik terbaik keamanan—misalnya, dengan menggunakan kata sandi yang lemah, atau menyimpan data sensitif di tempat yang tidak aman.
Kondisi ini melibatkan penyerang yang pertama-tama mendapatkan hak istimewa terbatas dalam sebuah sistem dan menggunakannya untuk bergerak secara lateral, menerima hak istimewa yang lebih tinggi dan dalam prosesnya mendapatkan akses ke data yang lebih sensitif.
Kredensial yang dicuri dapat membantu penyerang untuk masuk ke dalam sistem atau meningkatkan hak istimewa mereka. Menurut X-Force Threat Intelligence Index, penyalahgunaan akun yang valid adalah cara paling umum yang digunakan penyerang untuk membobol sistem saat ini.
Dalam serangan MITM, pelaku ancaman mencegat komunikasi, sering kali email yang berisi informasi sensitif seperti nama pengguna atau kata sandi, dan mencuri atau mengubah komunikasi itu. Penyerang menggunakan informasi yang dicuri secara langsung atau menyuntikkan malware untuk diteruskan ke penerima yang dituju.
Upaya penanganan insiden organisasi biasanya dipandu oleh rencana respons insiden. Biasanya, rencana dibuat dan dijalankan oleh tim respons insiden keamanan komputer (CSIRT) yang terdiri atas para pemangku kepentingan dari seluruh organisasi.
Tim CSIRT mungkin termasuk chief information security officer (CISO), pusat operasi keamanan (SOC), analis keamanan dan staf TI. Tim ini juga dapat mencakup perwakilan dari kepemimpinan eksekutif, hukum, sumber daya manusia, kepatuhan terhadap peraturan, manajemen risiko, dan mungkin pakar pihak ketiga dari penyedia layanan.
Laporan Biaya Pelanggaran Data mencatat bahwa, “Dengan berinvestasi dalam kesiapan tanggap darurat, organisasi dapat membantu mengurangi dampak pelanggaran data yang mahal dan mengganggu, mendukung kelangsungan operasional, dan membantu menjaga hubungan mereka dengan pelanggan, mitra, dan pemangku kepentingan utama lainnya.”
Rencana respons insiden biasanya meliputi:
Buku pedoman tanggap insiden yang mencantumkan peran dan tanggung jawab setiap anggota CSIRT di seluruh siklus tanggap insiden.
Solusi keamanan—perangkat lunak, perangkat keras, dan teknologi lainnya—yang diinstal di seluruh perusahaan.
Rencana keberlangsungan bisnis yang menguraikan prosedur untuk memulihkan sistem dan data penting secepat mungkin jika terjadi pemadaman.
Metodologi respons insiden yang memerinci langkah-langkah spesifik yang harus diambil pada setiap fase proses respons insiden, dan oleh siapa.
Rencana komunikasi untuk menginformasikan pimpinan perusahaan, karyawan, pelanggan, dan penegak hukum tentang insiden.
Petunjuk untuk mengumpulkan dan mendokumentasikan informasi tentang insiden untuk ulasan postmortem dan (jika perlu) proses hukum.
CSIRT dapat menyusun rencana respons insiden yang berbeda untuk jenis insiden yang berbeda, karena setiap jenis insiden mungkin memerlukan respons yang unik. Banyak organisasi memiliki rencana respons insiden khusus yang berkaitan dengan serangan DDoS, malware, ransomware, phishing, dan ancaman orang dalam.
Memiliki rencana respons insiden yang disesuaikan dengan lingkungan organisasi —atau lingkungan—adalah kunci untuk mengurangi waktu untuk merespons, memulihkan, dan memulihkan diri dari serangan.
Beberapa organisasi melengkapi CSIRT internal dengan mitra eksternal yang menyediakan layanan respons insiden. Para mitra ini sering kali bekerja dengan para retainer dan membantu dengan berbagai aspek dari keseluruhan proses manajemen insiden, termasuk mempersiapkan dan melaksanakan rencana respons insiden.
Sebagian besar rencana respons insiden mengikuti kerangka kerja respons insiden umum yang sama berdasarkan model yang dikembangkan oleh Institut Standar dan Teknologi Nasional (NIST)1 dan SANS Institute2. Langkah-langkah respons insiden umum meliputi:
Fase pertama tanggap insiden ini juga berkelanjutan. CSIRT memilih prosedur, alat, dan teknik terbaik untuk menanggapi, mengidentifikasi, menangani, dan memulihkan dari suatu insiden secepat mungkin dan dengan gangguan bisnis yang minimal.
Melalui penilaian risiko secara berkala, CSIRT mengidentifikasi lingkungan bisnis yang harus dilindungi, potensi kerentanan jaringan, dan berbagai jenis insiden keamanan yang menimbulkan risiko pada jaringan. Tim memprioritaskan setiap jenis insiden sesuai dengan potensi dampaknya terhadap organisasi.
CSIRT dapat “bermain perang” dengan beberapa strategi serangan yang berbeda dan kemudian membuat templat respons yang paling efektif untuk mempercepat tindakan selama serangan nyata. Waktu respons dapat dilacak untuk menetapkan metrik untuk latihan di masa depan dan kemungkinan serangan. Berdasarkan penilaian risiko yang lengkap, CSIRT mungkin memperbarui rencana respons insiden yang ada atau menyusun rencana baru.
Selama fase ini, anggota tim keamanan memantau jaringan untuk aktivitas mencurigakan dan potensi ancaman. Mereka menganalisis data, notifikasi, dan peringatan yang dikumpulkan dari log perangkat dan berbagai alat keamanan (perangkat lunak antivirus, firewall) untuk mengidentifikasi insiden yang sedang berlangsung. Tim ini bekerja untuk menyaring positif palsu dari insiden yang sebenarnya, melakukan triase terhadap peringatan yang sebenarnya sesuai dengan tingkat keparahannya.
Saat ini, sebagian besar organisasi menggunakan satu atau beberapa solusi keamanan—seperti manajemen informasi dan peristiwa keamanan (SIEM) dan deteksi dan respons titik akhir (EDR)—untuk memantau peristiwa keamanan secara real-time dan mengotomatiskan upaya respons. (Lihat bagian “Teknologi tanggap insiden” untuk informasi lebih lanjut.)
Rencana komunikasi juga turut berperan selama fase ini. Setelah CSIRT menentukan jenis ancaman atau pelanggaran yang mereka hadapi, mereka akan memberi tahu personel yang tepat dan kemudian berpindah ke tahap berikutnya dari proses respons insiden.
Tim respons insiden mengambil langkah-langkah untuk menghentikan pelanggaran atau aktivitas jahat lainnya agar tidak menimbulkan kerusakan lebih lanjut pada jaringan. Rencana respons insiden darurat kemudian mulai dilaksanakan. Ada dua kategori kegiatan penahanan:
Langkah-langkah mitigasi jangka pendek berfokus pada pencegahan penyebaran ancaman saat ini dengan mengisolasi sistem yang terpengaruh, seperti dengan mematikan perangkat yang terinfeksi.
Langkah-langkah penahanan jangka panjang berfokus pada perlindungan sistem yang tidak terpengaruh dengan menempatkan kontrol keamanan yang lebih kuat di sekelilingnya, seperti menyegmentasikan basis data yang sensitif dari seluruh jaringan.
Pada tahap ini, CSIRT mungkin juga akan membuat cadangan sistem yang terkena dampak dan yang tidak terkena dampak untuk mencegah kehilangan data tambahan dan mengambil bukti forensik dari insiden tersebut untuk dipelajari pada masa mendatang.
Setelah ancaman diatasi, tim beralih ke remediasi penuh dan penghapusan total ancaman dari sistem. Ini dapat mencakup penghapusan malware atau melakukan booting pengguna yang tidak sah atau nakal dari jaringan. Tim juga melakukan ulasan sistem yang terpengaruh dan tidak terpengaruh untuk membantu memastikan bahwa tidak ada jejak pelanggaran yang tertinggal.
Ketika tim tanggap insiden yakin bahwa ancaman telah diberantas sepenuhnya, mereka mengembalikan sistem yang terkena dampak ke operasi normal. Pemulihan ini mungkin melibatkan penerapan patch, membangun kembali sistem dari pencadangan, serta membawa sistem dan perangkat kembali online. Catatan serangan dan penyelesaiannya disimpan untuk analisis dan perbaikan sistem.
Dalam setiap tahap proses tanggap insiden, CSIRT mengumpulkan bukti pelanggaran dan mendokumentasikan langkah-langkah yang diambil untuk mengatasi dan memberantas ancaman. Pada tahap ini, CSIRT meninjau informasi ini untuk lebih memahami insiden dan mengumpulkan “pelajaran yang dipetik.” CSIRT berusaha untuk menentukan akar masalah serangan, mengidentifikasi bagaimana serangan itu berhasil menembus jaringan, dan menyelesaikan kerentanan sehingga insiden serupa tidak terjadi lagi pada masa depan.
CSIRT juga meninjau apa yang berjalan dengan baik dan mencari peluang untuk memperbaiki sistem, alat, dan proses guna memperkuat inisiatif respons insiden terhadap serangan pada masa depan. Bergantung pada keadaan pelanggaran, penegak hukum mungkin juga ikut terlibat dalam penyelidikan pasca-insiden.
Selain menjelaskan langkah-langkah yang harus diambil oleh CSIRT selama insiden keamanan, rencana respons insiden biasanya menguraikan solusi keamanan yang harus digunakan oleh tim respons insiden untuk mengimplementasikan atau mengotomatiskan alur kerja utama, seperti mengumpulkan dan menghubungkan data keamanan, mendeteksi insiden secara real-time, dan merespons serangan yang sedang berlangsung.
Beberapa teknologi respons insiden yang paling umum digunakan meliputi:
Solusi ASM mengotomatiskan penemuan, analisis, remediasi, dan pemantauan kerentanan dan vektor serangan potensial secara berkelanjutan di semua aset di permukaan serangan organisasi. ASM dapat mengungkap aset jaringan yang sebelumnya tidak dipantau dan memetakan hubungan antar aset.
EDR adalah perangkat lunak yang dirancang untuk secara otomatis melindungi pengguna, perangkat titik akhir, dan aset TI organisasi dari ancaman siber yang dapat melewati perangkat lunak antivirus dan alat keamanan titik akhir tradisional lainnya.
EDR mengumpulkan data secara terus menerus dari semua titik akhir di jaringan. Alat ini juga menganalisis data secara real time guna mencari bukti ancaman siber yang diketahui atau dicurigai dan dapat merespons secara otomatis untuk mencegah atau meminimalkan kerusakan akibat ancaman yang diidentifikasi.
SIEM mengumpulkan dan menghubungkan data peristiwa keamanan dari alat keamanan internal yang berbeda (misalnya firewall, pemindai kerentanan, dan umpan intelijen ancaman), dan dari perangkat di jaringan.
SIEM dapat membantu tim tanggap insiden melawan “kelelahan peringatan” dengan membedakan indikator dari ancaman yang sebenarnya dari notifikasi lain dalam jumlah besar yang dihasilkan oleh alat keamanan.
SOAR memungkinkan tim keamanan untuk menentukan buku pedoman, alur kerja formal yang mengoordinasikan berbagai operasi dan alat keamanan dalam menanggapi insiden keamanan. Platform SOAR juga dapat mengotomatiskan bagian dari alur kerja ini jika memungkinkan.
UEBA menggunakan analitik perilaku, algoritmamachine learning, dan otomatisasi untuk mengidentifikasi perilaku pengguna dan perangkat yang tidak normal dan berpotensi berbahaya.
UEBA efektif dalam mengidentifikasi ancaman orang dalam—orang dalam yang jahat atau peretas yang menggunakan kredensial orang dalam yang disusupi—yang dapat menghindari alat keamanan lain karena meniru lalu lintas jaringan yang sah. Fungsi UEBA sering dimasukkan dalam solusi SIEM, EDR, dan XDR.
XDR adalah teknologi keamanan siber yang menyatukan alat keamanan, titik kontrol, sumber data dan telemetri, serta analitik di seluruh lingkungan TI hybrid. XDR menciptakan sistem perusahaan pusat tunggal untuk pencegahan, deteksi, dan respons ancaman. XDR dapat membantu tim keamanan dan SOC yang terlalu banyak bekerja dengan lebih sedikit dengan menghilangkan silo di antara alat keamanan dan mengotomatiskan respons di seluruh rantai pembunuhan ancaman siber.
Kecerdasan buatan (AI) dapat membantu organisasi membangun pertahanan yang lebih kuat terhadap ancaman siber, sama seperti pencuri data dan peretas menggunakan AI untuk memberdayakan serangan mereka.
Penghematan biaya menggunakan perlindungan AI tambahan bisa signifikan. Menurut Laporan Biaya Pelanggaran Data IBM, organisasi yang menggunakan solusi keamanan yang didukung AI dapat menghemat biaya pelanggaran sebanyak USD 2,2 juta.
Sistem keamanan kelas perusahaan yang didukung AI dapat meningkatkan kemampuan tanggap insiden:
Sistem yang didukung AI dapat mempercepat deteksi dan mitigasi ancaman dengan memantau volume data yang sangat besar untuk mempercepat pencarian pola lalu lintas yang mencurigakan atau perilaku pengguna.
Sistem yang didukung AI dapat menunjang proses tanggap insiden yang lebih proaktif dengan memberikan insight real-time kepada tim keamanan siber, mengotomatiskan triase insiden, mengoordinasikan pertahanan terhadap ancaman siber, dan bahkan mengisolasi sistem yang sedang diserang.
Analisis risiko yang didukung AI dapat menghasilkan ringkasan insiden untuk mempercepat investigasi peringatan dan membantu menemukan akar masalah kegagalan. Ringkasan insiden ini dapat membantu memperkirakan ancaman mana yang paling mungkin terjadi di masa depan sehingga tim respons insiden dapat menyempurnakan rencana yang lebih kuat untuk menghadapi ancaman tersebut.