Definisi Incident
Menurut David Theunissen , Incidents is “the act of violating or threatening to violate an explicit or implied security policy”
Menurut Kevin Mandia & Chris Prosise, “Incidents are events that interrupt normal operating procedure and precipitate some level of crisis”
Sedangkan Insiden keamanan jaringan adalah suatu aktivitas terhadap suatu jaringan komputer yang memberikan dampak terhadap keamanan sistem yang secara langsung atau tidak bertentangan dengan security policy sistem tersebut.
Contoh insiden
- Wabah virus
- Spam mail, mailbomb
- Previlage attack, rootkit, intrusion
- DoS attack
- Unauthorized access
Tujuan dari Incident Handling
- Memastikan bahwa insiden terjadi atau tidak terjadi
- Melakukan pengumpulan informasi yang akurat
- Melakukan pengambilan dan penanganan bukti-bukti (menjaga chain of custody)
- Menjaga agar kegiatan berada dalam kerangka hukum (misalnya masalah privacy, legal action)
- Meminimalkan gangguan terhadap operasi bisnis dan jaringan
- Membuat laporan yang akurat berserta rekomendasinya
Permasalahan Incident Handling
- Teknis
- Non-teknis
Klasifikasi Incident Handling
Secara garis besar, insiden dapat diklasifikasikan menjadi:
- Probe
- Scan
- Account Compromise
Account compromise adalah penggunaan account sebuah komputer secara ilegal oleh seseorang yang bukan pemilik acoount tersebut. Account compromise dapat mengakibatkan korban mengalami kehilangan atau kerusakan data. Sebuah insiden account compromise dapat berakibat lebih lanjut, yaitu terjadinya insiden root compromise, yang dapat menyebabkan kerusakan lebih besar.
- Root Compromise
Root compromise mirip dengan accountcompromise, dengan perbedaan account yang digunakan secara ilegal adalah account yang mempunyai privilege sebagai administrator sistem. Istilah root diturunkan dari sebuah account pada sistem berbasis UNIX yang mempunyai privelege tidak terbatas. Penyusup yang berhasil melakukan root compromise dapat melakukan apa saja pada sistem yang menjadi korban, termasuk menjalankan program,mengubah kinerja system,dan menyembunyikan jejak penyusup.
- Packet Sniffer
Packet Sniffer adalah suatu device, baik perangkat lunak maupun perangkat keras yang digunakan untuk memperoleh informasi yang melewati jaringan komputer. Kegunaan dari packet sniffer adalah membuat NIC (Network Interface Card), contohnya Ethernet, dalam mode promiscuous sehingga dapat menangkap semua traffic dalam jaringan. Mode promiscuous adalah mode di mana semua workstation pada jaringan komputer “mendengar” semua traffic, tidak hanya traffic yang dialamatkan ke workstation itu sendiri. Jadi workstation pada mode promiscuous dapat “mendengarkan” traffic dalam jaringan yang dialamatkan kepada workstation lain.
Sebuah sniffer dapat berupa kombinasi dari perangkat lunak dan perangkat keras. Keberadaan sniffer di dalam jaringan sangat sulit untuk dideteksi karena sniffer adalah program aplikasi yang sangat pasif dan tidak membangkitkan apa-apa, dengan kata lain tidak meninggalkan jejak pada sistem.
- Denial Of Service (Dos)
Sumber daya jaringan yang berharga antara lain komputer dan database, serta pelayanan-pelayanan (service) yang disediakan oleh organisasi pemilik jaringan. Kebanyakan user jaringan memanfaatkan pelayanan-pelayanan tersebut agar pekerjaan mereka menjadi efisien. Bila pelayanan ini tidak dapat dipergunakan karena sebab-sebab tertentu, maka tentu saja akann menyebabkan kehilangan produktivitas. Sulit untuk memperkirakan penyebab Denial Of Service. Berikut ini adalah contoh penyebab terjadinya Denial Of Service:
- Kemungkinan jaringan menjadi tidak berfungsi karena kebanjiran traffic.
- Kemungkinan ada virus yang menyebar dan menyebabkan sisten komputer menjadi lamban atau bahkan lumpuh.
- Kemungkinan device yang melindungi jaringan dirusak.
- Eksploitasi Terhadap Kepercayaan
Seringkali komputer-komputer di dalam jaringan mempunyai hubungan kepercayaan antara satu dengan yang lain. Sebagai contoh, sebelum mengeksekusi perintah, komputer akan memeriksa suatu set dai file-file yang menspesifikasikan komputer lain yang ada di dalam jaringan tersebutyang diizinkan untuk menggunakan perintah tersebut. Bila penyerang dapat membuat identitas merka tersamar sehingga seolah-olah sedang menggunakan komputer yang dipercayai, mka penyerang tersebutakan dapat memperoleh akses ke komputer lain secara ilegal.
- Malicious Code
Malicious code adalah suatu program yang bila dieksekusi akan menyebabkan sesuatu yang tidak diinginkan di dalam user. User sistem biasanya tidak memperhatikan program ini hingga ditemukan kerusakan. Yang termasuk malicious code adalah trojan horse, virus, dan worm. Trojan horse dan virus biasanya disusupkan ke dalam suatu file atau program. Worm adalah program yang dapat menduplikasikan diri dan menyebar tanpa intervensi manusia setelah program tersebut dijalankan. Virus juga mempunyai kemungkinan untuk menduplikasikan diri namun biasanya memerlukan intervensi dari user komputer untuk menyebar ke program atau sistem yang lain. Malicious code ini dapat menyebabkan kerusakan atau kehilangan data yang serius.
sumber :
http://razmatech.com/keamanan-jaringan.html
http://budi.paume.itb.ac.id/courses/ec5010/incident-handling.ppt
0 Response to "Incident Handling"
Post a Comment