Respons insiden (terkadang disebut respons insiden keamanan siber) mengacu pada proses dan teknologi organisasi untuk mendeteksi dan merespons ancaman siber, pelanggaran keamanan, dan serangan siber. Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan.
Tujuan dari respon insiden adalah untuk mencegah serangan siber sebelum terjadi, dan untuk meminimalkan biaya dan gangguan bisnis yang diakibatkan oleh serangan siber yang terjadi.
Idealnya, sebuah organisasi mendefinisikan proses dan teknologi respons insiden dalam rencana respons insiden (IRP) formal yang menentukan dengan tepat bagaimana berbagai jenis serangan siber harus diidentifikasi, diatasi, dan diselesaikan. Rencana tanggap insiden yang efektif dapat membantu tim keamanan siber mendeteksi dan mengatasi ancaman siber serta memulihkan sistem yang terdampak dengan lebih cepat, dan mengurangi hilangnya pendapatan, denda peraturan, dan biaya lain yang terkait dengan ancaman ini. Laporan Biaya Pelanggaran Data 2022 dari IBM mendapati bahwa organisasi yang memiliki tim tanggap insiden dan rencana tanggap insiden yang diuji secara teratur memiliki biaya pelanggaran data rata-rata USD 2,66 juta lebih rendah daripada organisasi tanpa tim tanggap insiden dan IRP.
Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM X-Force Threat Intelligence Index.
Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Insiden keamanan, atau peristiwa keamanan, adalah pelanggaran digital atau fisik yang mengancam kerahasiaan, integritas, atau ketersediaan atau sistem informasi organisasi atau data sensitif. Insiden keamanan dapat berkisar dari serangan siber yang disengaja oleh peretas atau pengguna yang tidak sah, hingga pelanggaran kebijakan keamanan yang tidak disengaja oleh pengguna resmi yang sah.
Beberapa insiden keamanan yang paling umum meliputi:
Ransomware. Ransomware adalah jenis peranti lunak berbahaya, atau malware, yang mengunci data atau perangkat komputasi korban dan mengancam untuk tetap menguncinya—atau lebih buruk lagi—kecuali jika korban membayar uang tebusan kepada penyerang. Menurut laporan Cost of a Data Breach 2022 IBM, serangan ransomware meningkat sebesar 41 persen antara tahun 2021 dan 2022.
Pelajari ransomware selengkapnya
Phising dan rekayasa sosial. Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima untuk membagikan informasi sensitif, mengunduh peranti lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merusak lainnya. Penipu membuat pesan phishing agar terlihat atau terdengar seperti berasal dari organisasi atau individu yang tepercaya atau kredibel—terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.
Phishing adalah penyebab pelanggaran data yang paling mahal dan paling umum kedua, menurut laporan Cost of a Data Breach 2022 IBM. Phising juga merupakan bentuk paling umum dari rekayasa sosial—sebuah kelas serangan yang meretas sifat manusia, bukan kerentanan keamanan digital, untuk mendapatkan akses tidak sah ke data atau aset pribadi atau perusahaan yang sensitif.
Pelajari lebih lanjut tentang rekayasa sosial
Serangan DDoS. Dalam denial-of-service terdistribusi (DDoS), peretas mendapatkan kendali jarak jauh atas sejumlah besar komputer dan menggunakannya untuk membanjiri jaringan atau server organisasi target dengan lalu lintas, sehingga sumber daya tersebut tidak tersedia bagi pengguna yang sah.
Pelajari lebih lanjut tentang serangan DDoS
Serangan rantai pasokan. Serangan rantai pasokan adalah serangan siber yang menyusup ke organisasi target dengan menyerang vendornya—misalnya, dengan mencuri data sensitif dari sistem pemasok, atau dengan menggunakan layanan vendor untuk mendistribusikan malware. Pada Juli 2021, penjahat siber memanfaatkan kelemahan dalam platform VSA Kaseya (tautan berada di luar ibm.com) untuk menyebarkan ransomware ke pelanggan dengan kedok pembaruan peranti lunak yang sah. Meskipun serangan rantai pasokan semakin sering terjadi, hanya 32 persen organisasi yang memiliki rencana tanggap insiden yang disiapkan untuk menghadapi ancaman siber ini, menurut Studi Organisasi Tangguh Siber 2021dari IBM.
Pelajari lebih lanjut tentang keamanan rantai pasokan
Ancaman orang dalam. Ada dua jenis ancaman orang dalam. Orang dalam yang jahat adalah karyawan, mitra, atau pengguna resmi lainnya yang dengan sengaja membahayakan keamanan informasi organisasi. Orang dalam yang lalai adalah pengguna resmi yang secara tidak sengaja membahayakan keamanan dengan tidak mengikuti praktik terbaik keamanan—dengan, misalnya, menggunakan kata sandi yang lemah, atau menyimpan data sensitif di tempat yang tidak aman.
Perencanaan respons insiden
Seperti disebutkan sebelumnya, upaya respons insiden organisasi dipandu oleh rencana respons insiden. Biasanya ini dibuat dan dijalankan oleh tim respons insiden keamanan komputer (CSIRT) yang terdiri atas pemangku kepentingan dari seluruh organisasi—chief information security officer (CISO), pusat operasi keamanan (SOC) dan staf TI, tetapi juga perwakilan dari kepemimpinan eksekutif, hukum, sumber daya manusia, kepatuhan terhadap peraturan, dan manajemen risiko.
Rencana respons insiden biasanya mencakup
Tidak jarang CSIRT menyusun rencana tanggap insiden yang berbeda untuk jenis insiden yang berbeda, karena setiap jenis insiden mungkin memerlukan respons yang unik. Menurut IBM 2021 Cyber Resilient Organization Study, sebagian besar organisasi memiliki rencana respons insiden khusus yang berkaitan dengan serangan DDoS, malware dan ransomware, serta phishing, dan hampir separuhnya memiliki rencana untuk menghadapi ancaman dari orang dalam.
Beberapa organisasi melengkapi CSIRT internal dengan mitra eksternal yang menyediakan layanan respons insiden. Mitra ini sering kali bekerja pada retainer, membantu dengan berbagai aspek proses manajemen insiden, termasuk mempersiapkan dan melaksanakan IRP.
Proses respons insiden
Sebagian besar IRP juga mengikuti kerangka kerja respons insiden umum yang sama berdasarkan model respons insiden yang dikembangkan oleh SANS Institute, Institut Standar dan Teknologi Nasional (NIST), serta Badan Keamanan Siber dan Infrastruktur (CISA).
Persiapan. Fase pertama dari respons insiden ini juga merupakan fase yang berkelanjutan, untuk memastikan bahwa CSIRT selalu memiliki prosedur dan perangkat terbaik yang dapat digunakan untuk merespons dalam mengidentifikasi, menangani, dan memulihkan diri dari suatu insiden secepat mungkin dengan gangguan bisnis yang minimal.
Melalui penilaian risiko rutin, CSIRT mengidentifikasi kerentanan jaringan, mendefinisikan berbagai jenis insiden keamanan yang menimbulkan risiko pada jaringan, dan memprioritaskan setiap jenis sesuai dengan potensi dampaknya terhadap organisasi. Berdasarkan penilaian risiko ini, CSIRT dapat memperbarui rencana respons insiden yang ada atau menyusun yang baru.
Deteksi dan Analisis. Selama fase ini, anggota tim keamanan memantau jaringan untuk aktivitas mencurigakan dan potensi ancaman. Mereka menganalisis data, pemberitahuan, dan peringatan yang dikumpulkan dari log perangkat dan dari berbagai alat keamanan (peranti lunak antivirus, firewall) yang dipasang di jaringan, menyaring positif palsu dan melakukan triase terhadap peringatan yang sebenarnya sesuai dengan tingkat keparahannya.
Saat ini, sebagian besar organisasi menggunakan satu atau beberapa solusi keamanan—seperti SIEM (informasi keamanan dan manajemen peristiwa) dan EDR (deteksi dan respons titik akhir)—untuk membantu tim keamanan memantau dan menganalisis peristiwa keamanan secara real-time, serta mengotomatiskan proses deteksi dan respons insiden. (Lihat “Teknologi respons insiden“ untuk informasi lebih lanjut.)
Rencana komunikasi juga turut berperan selama fase ini. Setelah CSIRT menentukan jenis ancaman atau pelanggaran yang mereka hadapi, mereka akan memberi tahu personel yang tepat sebelum melanjutkan ke tahap berikutnya dari proses respons insiden.
Penahanan. Tim respons insiden mengambil langkah-langkah untuk menghentikan pelanggaran agar tidak merusak jaringan lebih lanjut. Kegiatan penahanan dapat dibagi menjadi dua kategori:
Pada tahap ini, CSIRT juga dapat membuat cadangan sistem yang terkena dampak dan yang tidak terkena dampak untuk mencegah kehilangan data tambahan, dan untuk mengambil bukti forensik dari insiden tersebut untuk dipelajari di masa mendatang.
Pemberantasan. Setelah ancaman diatasi, tim beralih ke remediasi penuh dan penghapusan total ancaman dari sistem. Ini melibatkan pemberantasan ancaman itu sendiri—misalnya, menghancurkan malware, mem-boot pengguna yang tidak sah atau nakal dari jaringan—dan meninjau sistem yang terpengaruh dan tidak terpengaruh untuk memastikan bahwa tidak ada jejak pelanggaran yang tertinggal.
Pemulihan. Ketika tim tanggap insiden yakin bahwa ancaman telah diberantas sepenuhnya, mereka mengembalikan sistem yang terkena dampak ke operasi normal. Langkah ini mungkin melibatkan penerapan patch, membangun kembali sistem dari pencadangan, dan membawa sistem dan perangkat yang telah diperbaiki kembali online.
Tinjauan pascainsiden. Dalam setiap tahap proses tanggap insiden, CSIRT mengumpulkan bukti pelanggaran dan mendokumentasikan langkah-langkah yang diambil untuk mengatasi dan memberantas ancaman. Pada tahap ini, CSIRT meninjau informasi ini untuk lebih memahami insiden tersebut. CSIRT berusaha untuk menentukan akar masalah serangan, mengidentifikasi bagaimana serangan itu berhasil menembus jaringan, dan menyelesaikan kerentanan sehingga insiden semacam ini tidak terjadi lagi di masa depan.
CSIRT juga meninjau apa yang berjalan dengan baik dan mencari peluang untuk meningkatkan sistem, alat, dan proses guna memperkuat inisiatif respons insiden terhadap serangan di masa depan. Bergantung pada keadaan pelanggaran, penegak hukum mungkin juga dilibatkan dalam penyelidikan pasca-insiden.
Seperti disebutkan di atas, selain menjelaskan langkah-langkah yang harus diambil oleh CSIRT jika terjadi insiden keamanan, rencana tanggap insiden biasanya menguraikan solusi keamanan yang harus dimiliki oleh tim tanggap insiden untuk melaksanakan atau mengotomatiskan alur kerja tanggap insiden utama, seperti mengumpulkan dan mengaitkan data keamanan, mendeteksi insiden secara waktu nyata, dan merespons serangan yang sedang berlangsung.
Beberapa teknologi respons insiden yang paling umum digunakan meliputi:
Memanfaatkan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Rangkaian solusi terintegrasi yang memungkinkan Anda menentukan kebijakan sebagai kode, menerapkan kontrol untuk data yang aman, serta menilai postur keamanan dan kepatuhan di seluruh lingkungan multicloud hybrid.
Gunakan data DNS untuk mengidentifikasi kesalahan konfigurasi dan masalah keamanan dengan cepat.
Ransomware adalah malware yang menyandera perangkat dan data korban hingga tebusan dibayarkan.
Ancaman orang dalam terjadi ketika pengguna yang berwenang dengan sengaja atau tidak sengaja mengekspos data sensitif atau aset jaringan.
Pahami lanskap keamanan siber Anda dan prioritaskan inisiatif bersama dengan arsitek dan konsultan keamanan senior IBM dalam sesi berpikir desain selama 3 jam, baik secara virtual maupun tatap muka, gratis.