Pembentukan Security Incident Response Team (SIRT)
Di beberapa organisasi, SIRT mungkin hanya menjadi sebuah asosiasi atau informal IT dan staf infosec yang akan dipanggil jika serangan terdeteksi pada aset informasi perusahaan.Hal lain, implementasi yang lebih formal, SIRT (juga disebut sebagai SIRT komputer atau CSIRT) adalah seperangkat kebijakan, prosedur, teknologi, orang, dan data yang diperlukan untuk mencegah, mendeteksi, bereaksi dan pulih dari insiden yang berpotensi merusak informasi organisasi. Pada tingkat tertentu, setiap anggota suatu organisasi adalah anggota tim SIRT, karena setiap tindakan mereka berpotensi menyebabkan atau mencegah insiden.
Pengembangan SIRT melibatkan tahapan sebagai berikut:
– Mengumpulkan informasi dari pemangku kepentingan
– Mendefinisikan struktur tim IR
– Menentukan layanan tim IR
Pengumpulan informasi dari stakeholder (Pemangku kepentingan)
Dalam membentuk SIRT, tim perencanaan IR perlu mengumpulkan informasi sebanyak mungkin tentang penanganan insiden dan kebutuhan pelayanan organisasi. informasi ini digunakan untuk membentuk tim SIRT dan memastikan keterampilan dan kemampuan tersebut dibawa untuk menanggani situasi yang dihadapi. Meskipun pengertian organisasi dan tanggung jawab SIRT mungkin berbeda antara berbagai komunitas yang berkepentingan. Pembentukan ruang lingkup dan tanggung jawab SIRT adalah salah satu tugas utama yang akan dilakukan oleh perencana IR ketika membentuk SIRT tersebut. Demikian juga definisi dari SIRT dan bidang fungsional mereka, serta fokus strategis keseluruhan SIRT tersebut merupakan dua tugas penting lainnya.
Setelah ini disusun, konstituensi tim dan kemampuan harus ditentukan. lagi, percakapan dengan para pemangku kepentingan membantu mengidentifikasi keterampilan dan kemampuan tim, serta kebutuhan spesifik dari pengguna akhir.
Beberapa keterampilan khas kebutuhan tim SIRT termasuk pengalaman dalam bidang berikut:
– Virus scanning, elimination and recovery
– System Administration
– Network administration (Switches, Routers, and Gateways)
– Firewall administration
– Intrusion detection system
– Crytography
– Data storage and recovery (for example, RAID and/or Storage Area Networks)
– Documentation creation and maintenance
Di samping keterampilan teknis yang tercantum, pengalaman manajerial yang terkait dengan menciptakan dan mengikuti rencana kebijakan dan juga sangat diinginkan. Rincian tambahan pada keterampilan dan kemampuan yang dibutuhkan untuk tugas tugas tertentu dalam wilayah khusus penanganan insiden disediakan dalam bagian berikutnya dari bab ini.
Pengalaman ini harus sepadan dengan sistem yang digunakan oleh organisasi. Setelah tim ini dibentuk, dapat bertemu dan mulai meninjau kasus akhir skenario serangan untuk menentukan apakah mereka menjamin dimasukkan dalam rencana IR.
“Bagian berikut ini diadaptasi dari NIST insiden publikasi 800-61 keamanan komputer khusus Penanganan Guide dan bahan dari CERT / CC “
STRUKTURE TIM RESPON INSIDEN
Sebuah tim respon insiden harus tersedia untuk kontak dengan siapa saja yang menemukan atau mencurigai bahwa insiden yang melibatkan organisasi telah terjadi. satu atau lebih anggota tim, tergantung pada besarnya kejadian dan ketersediaan personil, kemudian menangani insiden tersebut. Penangan insiden menganalisa data insiden, menentukan dampak dari insiden itu, dan bertindak dengan tepat untuk
membatasi kerusakan pada organisasi dan mengembalikan layanan normal. Meskipun tim respon insiden mungkin hanya beberapa anggota, kesuksesan tim tergantung pada partisipasi dan kerjasama dari individu di seluruh organisasi. bagian ini mengidentifikasi orang tersebut, membahas respon insiden model tim, dan memberikan panduan untuk memilih model yang sesuai.
Model Tim Model yang digunakan untuk mengembangkan tim respon insiden jatuh ke salah satu dari tiga kategori struktural:
- Tim respon insiden Tengah: Sebuah tim respon insiden tunggal menangani insiden di seluruh organisasi. Model ini efektif untuk organisasi kecil dan untuk organisasi besar dengan keragaman geografis minimal dalam hal sumber daya komputasi.
- Tim respon insiden Terdistribusi: Organisasi memiliki tim respon insiden beberapa, masing-masing bertanggung jawab untuk menangani insiden untuk segmen logis atau fisik tertentu organisasi. Model ini efektif untuk organisasi besar (misalnya, satu tim per divisi) dan organisasi dengan sumber daya utama komputasi di lokasi yang jauh (misalnya, satu tim per wilayah geografis atau satu tim per fasilitas utama). Namun tim harus menjadi bagian dari entitas tunggal terpusat sehingga proses respon insiden konsisten di seluruh organisasi dan informasi dibagi di antara tim. Hal ini sangat penting karena beberapa tim dapat melihat komponen insiden yang sama atau mungkin menangani insiden serupa. String komunikasi antara tim-tim dan praktik yang konsisten harus membuat penanganan insiden lebih efektif dan efisien.
- Tim Koordinasi: Sebuah tim respon insiden memberikan bimbingan dan saran kepada tim lain tanpa otoritas atas tim-tim – misalnya, tim departemen-lebar dapat membantu tim agen individu. Model ini dapat dianggap sebagai SIRT untuk SIRTs. Karena fokus dari dokumen ini adalah pusat dan didistribusikan SIRTs, model tim koordinasi tidak dibahas secara rinci dalam bab ini.
Tim tanggap Insiden sering dikembangkan bersama salah satu dari tiga model kepegawaian ini:- Karyawan: Organisasi melakukan semua pekerjaan respon insiden, dengan dukungan terbatas teknis dan administratif dari kontraktor.
- Sebagian outsourcing: Organisasi outsourcing bagian dari pekerjaan respon insiden tersebut. Kemudian bagian membahas faktor-faktor utama yang harus dipertimbangkan dengan outsourcing. Meskipun tugas penanganan insiden dapat dibagi antara organisasi dan satu atau lebih jasa kontraktor dalam banyak hal, beberapa pengaturan telah menjadi biasa:
- Pengaturan yang paling umum adalah untuk organisasi untuk melakukan outsourcing 24 jam sehari, 7 hari per minggu (24/7) pemantauan sensor deteksi intrusi, firewall, dan perangkat keamanan lainnya untuk offsite -managed layanan keamanan penyedia (MSSP). The MSSP mengidentifikasi dan menganalisis aktivitas yang mencurigakan dan laporan setiap insiden terdeteksi tim respon insiden organisasi. Karena karyawan MSSP dapat memonitor aktivitas untuk beberapa pelanggan secara simultan, model ini dapat memberikan 24/7 monitoring dan kemampuan respon pada keterampilan dan tingkat biaya yang lebih unggul dengan tim internal yang sebanding.
- Beberapa organisasi melakukan pekerjaan respon insiden dasar dalam rumah dan memanggil kontraktor untuk membantu dengan insiden penanganan, terutama mereka yang lebih luas serius. Layanan yang paling sering dilakukan y kontraktor forensik komputer, analisis insiden lanjutan, insiden penahanan dan pemberantasan, dan mitigasi kerentanan.
- Sepenuhnya outsourcing: organisasi benar-benar outsourcing pekerjaan respon insiden tersebut, biasanya untuk kontraktor onsite. Model ini paling mungkin untuk digunakan ketika organisasi perlu penuh-waktu, tim respon insiden onsite tetapi tidak memiliki cukup tersedia, karyawan yang memenuhi syarat.