Beranda Topics Respons insiden Apa yang dimaksud dengan respons insiden?
Jelajahi solusi respons insiden IBM Berlangganan pembaruan topik keamanan
Ilustrasi dengan kolase piktogram awan, ponsel, sidik jari, tanda centang
Apa yang dimaksud dengan respons insiden?

Respons insiden (terkadang disebut respons insiden keamanan siber) mengacu pada proses dan teknologi organisasi untuk mendeteksi dan merespons ancaman siber, pelanggaran keamanan, dan serangan siber. Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan.

Tujuan dari respon insiden adalah untuk mencegah serangan siber sebelum terjadi, dan untuk meminimalkan biaya dan gangguan bisnis yang diakibatkan oleh serangan siber yang terjadi.

Idealnya, sebuah organisasi mendefinisikan proses dan teknologi respons insiden dalam rencana respons insiden (IRP) formal yang menentukan dengan tepat bagaimana berbagai jenis serangan siber harus diidentifikasi, diatasi, dan diselesaikan. Rencana tanggap insiden yang efektif dapat membantu tim keamanan siber mendeteksi dan mengatasi ancaman siber serta memulihkan sistem yang terdampak dengan lebih cepat, dan mengurangi hilangnya pendapatan, denda peraturan, dan biaya lain yang terkait dengan ancaman ini. Laporan Biaya Pelanggaran Data 2022 dari IBM mendapati bahwa organisasi yang memiliki tim tanggap insiden dan rencana tanggap insiden yang diuji secara teratur memiliki biaya pelanggaran data rata-rata USD 2,66 juta lebih rendah daripada organisasi tanpa tim tanggap insiden dan IRP.

IBM X-Force Threat Intelligence Index

Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM X-Force Threat Intelligence Index.

Konten terkait

Daftar untuk memperoleh laporan Biaya Pelanggaran Data

Apa itu insiden keamanan?

Insiden keamanan, atau peristiwa keamanan, adalah pelanggaran digital atau fisik yang mengancam kerahasiaan, integritas, atau ketersediaan atau sistem informasi organisasi atau data sensitif. Insiden keamanan dapat berkisar dari serangan siber yang disengaja oleh peretas atau pengguna yang tidak sah, hingga pelanggaran kebijakan keamanan yang tidak disengaja oleh pengguna resmi yang sah.

Beberapa insiden keamanan yang paling umum meliputi:

  1. Ransomware
  2. Phishing dan rekayasa sosial
  3. Serangan DDoS
  4. Serangan rantai pasokan
  5. Ancaman orang dalam

Ransomware. Ransomware adalah jenis peranti lunak berbahaya, atau malware, yang mengunci data atau perangkat komputasi korban dan mengancam untuk tetap menguncinya—atau lebih buruk lagi—kecuali jika korban membayar uang tebusan kepada penyerang. Menurut laporan Cost of a Data Breach 2022 IBM, serangan ransomware meningkat sebesar 41 persen antara tahun 2021 dan 2022.

Pelajari ransomware selengkapnya

Phising dan rekayasa sosial. Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima untuk membagikan informasi sensitif, mengunduh peranti lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merusak lainnya. Penipu membuat pesan phishing agar terlihat atau terdengar seperti berasal dari organisasi atau individu yang tepercaya atau kredibel—terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.

Phishing adalah penyebab pelanggaran data yang paling mahal dan paling umum kedua, menurut laporan Cost of a Data Breach 2022 IBM. Phising juga merupakan bentuk paling umum dari rekayasa sosial—sebuah kelas serangan yang meretas sifat manusia, bukan kerentanan keamanan digital, untuk mendapatkan akses tidak sah ke data atau aset pribadi atau perusahaan yang sensitif.

Pelajari lebih lanjut tentang rekayasa sosial

Serangan DDoS. Dalam denial-of-service terdistribusi (DDoS), peretas mendapatkan kendali jarak jauh atas sejumlah besar komputer dan menggunakannya untuk membanjiri jaringan atau server organisasi target dengan lalu lintas, sehingga sumber daya tersebut tidak tersedia bagi pengguna yang sah.

Pelajari lebih lanjut tentang serangan DDoS

Serangan rantai pasokan. Serangan rantai pasokan adalah serangan siber yang menyusup ke organisasi target dengan menyerang vendornya—misalnya, dengan mencuri data sensitif dari sistem pemasok, atau dengan menggunakan layanan vendor untuk mendistribusikan malware. Pada Juli 2021, penjahat siber memanfaatkan kelemahan dalam platform VSA Kaseya (tautan berada di luar ibm.com) untuk menyebarkan ransomware ke pelanggan dengan kedok pembaruan peranti lunak yang sah. Meskipun serangan rantai pasokan semakin sering terjadi, hanya 32 persen organisasi yang memiliki rencana tanggap insiden yang disiapkan untuk menghadapi ancaman siber ini, menurut Studi Organisasi Tangguh Siber 2021dari IBM.

Pelajari lebih lanjut tentang keamanan rantai pasokan

Ancaman orang dalam. Ada dua jenis ancaman orang dalam. Orang dalam yang jahat adalah karyawan, mitra, atau pengguna resmi lainnya yang dengan sengaja membahayakan keamanan informasi organisasi. Orang dalam yang lalai adalah pengguna resmi yang secara tidak sengaja membahayakan keamanan dengan tidak mengikuti praktik terbaik keamanan—dengan, misalnya, menggunakan kata sandi yang lemah, atau menyimpan data sensitif di tempat yang tidak aman. 

Baca selengkapnya tentang ancaman orang dalam

Cara kerja respons insiden

Perencanaan respons insiden

Seperti disebutkan sebelumnya, upaya respons insiden organisasi dipandu oleh rencana respons insiden. Biasanya ini dibuat dan dijalankan oleh tim respons insiden keamanan komputer (CSIRT) yang terdiri atas pemangku kepentingan dari seluruh organisasi—chief information security officer (CISO), pusat operasi keamanan (SOC) dan staf TI, tetapi juga perwakilan dari kepemimpinan eksekutif, hukum, sumber daya manusia, kepatuhan terhadap peraturan, dan manajemen risiko.

Rencana respons insiden biasanya mencakup

  • Peran dan tanggung jawab masing-masing anggota CSIRT;
  • Solusi keamanan—peranti lunak, perangkat keras, dan teknologi lainnya—yang akan dipasang di seluruh perusahaan.
  • Rencana keberlangsungan bisnis yang menguraikan prosedur untuk memulihkan sistem dan data penting yang terkena dampak secepat mungkin jika terjadi pemadaman;
  • Metodologi respons insiden terperinci yang menjabarkan langkah-langkah spesifik yang harus diambil pada setiap fase proses respons insiden, dan oleh siapa;
  • Rencana komunikasi untuk memberi tahu para pemimpin perusahaan, karyawan, pelanggan, dan bahkan penegak hukum tentang insiden;
  • Petunjuk pendokumentasian untuk mengumpulkan informasi dan mendokumentasikan insiden untuk tinjauan post-mortem dan (jika perlu) proses hukum. 

Tidak jarang CSIRT menyusun rencana tanggap insiden yang berbeda untuk jenis insiden yang berbeda, karena setiap jenis insiden mungkin memerlukan respons yang unik. Menurut IBM 2021 Cyber Resilient Organization Study, sebagian besar organisasi memiliki rencana respons insiden khusus yang berkaitan dengan serangan DDoS, malware dan ransomware, serta phishing, dan hampir separuhnya memiliki rencana untuk menghadapi ancaman dari orang dalam.

Beberapa organisasi melengkapi CSIRT internal dengan mitra eksternal yang menyediakan layanan respons insiden. Mitra ini sering kali bekerja pada retainer, membantu dengan berbagai aspek proses manajemen insiden, termasuk mempersiapkan dan melaksanakan IRP.

Proses respons insiden

Sebagian besar IRP juga mengikuti kerangka kerja respons insiden umum yang sama berdasarkan model respons insiden yang dikembangkan oleh SANS Institute, Institut Standar dan Teknologi Nasional (NIST), serta Badan Keamanan Siber dan Infrastruktur (CISA).

Persiapan. Fase pertama dari respons insiden ini juga merupakan fase yang berkelanjutan, untuk memastikan bahwa CSIRT selalu memiliki prosedur dan perangkat terbaik yang dapat digunakan untuk merespons dalam mengidentifikasi, menangani, dan memulihkan diri dari suatu insiden secepat mungkin dengan gangguan bisnis yang minimal.

Melalui penilaian risiko rutin, CSIRT mengidentifikasi kerentanan jaringan, mendefinisikan berbagai jenis insiden keamanan yang menimbulkan risiko pada jaringan, dan memprioritaskan setiap jenis sesuai dengan potensi dampaknya terhadap organisasi. Berdasarkan penilaian risiko ini, CSIRT dapat memperbarui rencana respons insiden yang ada atau menyusun yang baru.

Deteksi dan Analisis. Selama fase ini, anggota tim keamanan memantau jaringan untuk aktivitas mencurigakan dan potensi ancaman. Mereka menganalisis data, pemberitahuan, dan peringatan yang dikumpulkan dari log perangkat dan dari berbagai alat keamanan (peranti lunak antivirus, firewall) yang dipasang di jaringan, menyaring positif palsu dan melakukan triase terhadap peringatan yang sebenarnya sesuai dengan tingkat keparahannya.

Saat ini, sebagian besar organisasi menggunakan satu atau beberapa solusi keamanan—seperti SIEM (informasi keamanan dan manajemen peristiwa) dan EDR (deteksi dan respons titik akhir)—untuk membantu tim keamanan memantau dan menganalisis peristiwa keamanan secara real-time, serta mengotomatiskan proses deteksi dan respons insiden. (Lihat “Teknologi respons insiden“ untuk informasi lebih lanjut.)

Rencana komunikasi juga turut berperan selama fase ini. Setelah CSIRT menentukan jenis ancaman atau pelanggaran yang mereka hadapi, mereka akan memberi tahu personel yang tepat sebelum melanjutkan ke tahap berikutnya dari proses respons insiden. 

Penahanan. Tim respons insiden mengambil langkah-langkah untuk menghentikan pelanggaran agar tidak merusak jaringan lebih lanjut. Kegiatan penahanan dapat dibagi menjadi dua kategori:

  • Langkah-langkah penanggulangan jangka pendek berfokus pada pencegahan penyebaran ancaman saat ini dengan mengisolasi sistem yang terpengaruh, seperti dengan mematikan perangkat yang terinfeksi.
  • Langkah-langkah penahanan jangka panjang berfokus pada perlindungan sistem yang tidak terpengaruh dengan menempatkan kontrol keamanan yang lebih kuat di sekelilingnya, seperti menyegmentasikan basis data yang sensitif dari seluruh jaringan.

Pada tahap ini, CSIRT juga dapat membuat cadangan sistem yang terkena dampak dan yang tidak terkena dampak untuk mencegah kehilangan data tambahan, dan untuk mengambil bukti forensik dari insiden tersebut untuk dipelajari di masa mendatang. 

Pemberantasan. Setelah ancaman diatasi, tim beralih ke remediasi penuh dan penghapusan total ancaman dari sistem. Ini melibatkan pemberantasan ancaman itu sendiri—misalnya, menghancurkan malware, mem-boot pengguna yang tidak sah atau nakal dari jaringan—dan meninjau sistem yang terpengaruh dan tidak terpengaruh untuk memastikan bahwa tidak ada jejak pelanggaran yang tertinggal. 

Pemulihan. Ketika tim tanggap insiden yakin bahwa ancaman telah diberantas sepenuhnya, mereka mengembalikan sistem yang terkena dampak ke operasi normal. Langkah ini mungkin melibatkan penerapan patch, membangun kembali sistem dari pencadangan, dan membawa sistem dan perangkat yang telah diperbaiki kembali online.

Tinjauan pascainsiden. Dalam setiap tahap proses tanggap insiden, CSIRT mengumpulkan bukti pelanggaran dan mendokumentasikan langkah-langkah yang diambil untuk mengatasi dan memberantas ancaman. Pada tahap ini, CSIRT meninjau informasi ini untuk lebih memahami insiden tersebut. CSIRT berusaha untuk menentukan akar masalah serangan, mengidentifikasi bagaimana serangan itu berhasil menembus jaringan, dan menyelesaikan kerentanan sehingga insiden semacam ini tidak terjadi lagi di masa depan. 

CSIRT juga meninjau apa yang berjalan dengan baik dan mencari peluang untuk meningkatkan sistem, alat, dan proses guna memperkuat inisiatif respons insiden terhadap serangan di masa depan. Bergantung pada keadaan pelanggaran, penegak hukum mungkin juga dilibatkan dalam penyelidikan pasca-insiden. 

Teknologi respons insiden

Seperti disebutkan di atas, selain menjelaskan langkah-langkah yang harus diambil oleh CSIRT jika terjadi insiden keamanan, rencana tanggap insiden biasanya menguraikan solusi keamanan yang harus dimiliki oleh tim tanggap insiden untuk melaksanakan atau mengotomatiskan alur kerja tanggap insiden utama, seperti mengumpulkan dan mengaitkan data keamanan, mendeteksi insiden secara waktu nyata, dan merespons serangan yang sedang berlangsung.

Beberapa teknologi respons insiden yang paling umum digunakan meliputi:

  • SIEM (informasi keamanan dan manajemen peristiwa): SIEM mengumpulkan dan menghubungkan data peristiwa keamanan dari alat keamanan internal yang berbeda (misalnya firewall, pemindai kerentanan, umpan intelijen ancaman) dan dari perangkat di jaringan. SIEM dapat membantu tim tanggap insiden melawan 'kelelahan peringatan' dengan indikator ancaman aktual dari volume besar pemberitahuan yang dihasilkan alat ini.

  • SOAR (orkestrasi keamanan, otomatisasi, dan respons): SOAR memungkinkan tim keamanan untuk menentukan playbook—alur kerja formal yang mengoordinasikan berbagai operasi dan alat keamanan sebagai respons terhadap insiden keamanan—dan untuk mengotomatiskan bagian dari alur kerja ini jika memungkinkan.

  • EDR (deteksi dan respons titik akhir): EDR adalah peranti lunak yang dirancang untuk secara otomatis melindungi pengguna akhir organisasi, perangkat titik akhir, dan aset TI dari ancaman siber yang dapat melewati peranti lunak antivirus dan alat keamanan titik akhir tradisional lainnya. EDR mengumpulkan data secara terus menerus dari semua titik akhir di jaringan; EDR menganalisis data secara real time untuk mencari bukti ancaman siber yang diketahui atau dicurigai, dan dapat merespons secara otomatis untuk mencegah atau meminimalkan kerusakan akibat ancaman yang diidentifikasi.

  • XDR (deteksi dan respons yang diperluas): XDR adalah teknologi keamanan siber yang menyatukan alat keamanan, titik kontrol, sumber data dan telemetri, serta analitik di seluruh lingkungan TI hybrid (titik akhir, jaringan, cloud privat dan publik) untuk menciptakan satu perusahaan terpusat sistem untuk pencegahan, deteksi, dan respons ancaman. Sebagai teknologi yang masih berkembang, XDR berpotensi membantu tim keamanan dan pusat operasi keamanan (SOC) melakukan lebih banyak hal dengan menghilangkan silo antar alat keamanan dan mengotomatiskan respons di seluruh rantai pembunuhan ancaman siber.

  • UEBA (analisis perilaku pengguna dan entitas): (UEBA) menggunakan analisis perilaku, algoritma machine learning, dan otomatisasi untuk mengidentifikasi perilaku pengguna dan perangkat yang tidak normal dan berpotensi berbahaya. UEBA efektif dalam mengidentifikasi ancaman orang dalam—orang dalam yang jahat atau peretas yang menggunakan kredensial orang dalam yang disusupi—yang dapat menghindari alat keamanan lain karena meniru lalu lintas jaringan yang sah. Fungsionalitas UEBA sering kali disertakan dalam solusi SIEM, EDR, dan XDR.

  • ASM (manajemen permukaan serangan): Solusi ASM mengotomatiskan penemuan, analisis, remediasi, dan pemantauan berkelanjutan terhadap kerentanan dan vektor serangan potensial di seluruh aset dalam permukaan serangan organisasi. ASM dapat mengungkap aset jaringan yang sebelumnya tidak dipantau, memetakan hubungan antar aset,
Solusi terkait
Solusi pendeteksian dan respons ancaman

Memanfaatkan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.

Jelajahi solusi deteksi dan respons ancaman
IBM Security and Compliance Center

Rangkaian solusi terintegrasi yang memungkinkan Anda menentukan kebijakan sebagai kode, menerapkan kontrol untuk data yang aman, serta menilai postur keamanan dan kepatuhan di seluruh lingkungan multicloud hybrid.

Jelajahi IBM Z Security and Compliance Center
Observabilitas IBM NS1 Connect DNS

Gunakan data DNS untuk mengidentifikasi kesalahan konfigurasi dan masalah keamanan dengan cepat.

Jelajahi IBM NS1 Connect
Sumber daya Apa itu ransomware?

Ransomware adalah malware yang menyandera perangkat dan data korban hingga tebusan dibayarkan.

Apa yang dimaksud dengan ancaman orang dalam?

Ancaman orang dalam terjadi ketika pengguna yang berwenang dengan sengaja atau tidak sengaja mengekspos data sensitif atau aset jaringan.

Lokakarya Framing dan Penemuan IBM Security

Pahami lanskap keamanan siber Anda dan prioritaskan inisiatif bersama dengan arsitek dan konsultan keamanan senior IBM dalam sesi berpikir desain selama 3 jam, baik secara virtual maupun tatap muka, gratis.

Ambil langkah selanjutnya

Layanan keamanan siber IBM memberikan layanan konsultasi, integrasi, dan keamanan terkelola serta kemampuan ofensif dan defensif. Kami menggabungkan tim pakar global dengan teknologi milik sendiri dan mitra untuk berkreasi bersama menciptakan program keamanan khusus yang mengelola risiko.

Jelajahi layanan keamanan siber