STANDARD OPERATING PROCEDURE - GovCSIRT IH_Database.pdf · c. Memperbaiki kerusakan yang disebabkan oleh ... pengguna tentang cara melindungi ... kabel koneksi pada motherboard, menonaktifkan

STANDARD OPERATING PROCEDURE

Incident Handling Database

Indonesia Government Computer Security

Incident Response Team (Gov-CSIRT)

Direktorat Keamanan Informasi

Direktorat Jendral Aplikasi Informatika

Direktorat Keamanan Informasi, Halaman 2/40

DAFTAR ISI

TUJUAN .................................................................................................................................... 3

RUANG LINGKUP ................................................................................................................... 3

PROSEDUR PENANGANAN ........................................................................................................... 3

1. Tahap Persiapan (Preparation) ........................................................................................................ 4

2. Tahap Identifikasi ......................................................................................................................... 11

3. Containment .................................................................................................................................. 14

4. Pemberantasan .............................................................................................................................. 16

5. Pemulihan ..................................................................................................................................... 17

6. Tahap Tindak Lanjut ..................................................................................................................... 19

LAMPIRAN A - Informatif ..................................................................................................... 21

LAMPIRAN B – Diagram Alir................................................................................................ 26

LAMPIRAN C - Formulir ....................................................................................................... 32

LAMPIRAN D – Formulir Setiap Tahap................................................................................. 36


TUJUAN

Panduan ini dimaksudkan untuk membantu organisasi memahami tentang

penanganan suatu insiden yang terjadi pada data-data yang dimiliki oleh organisasi.

Penanganan insiden yang terjadi pada data-data organisasi, akan sangat bermanfaat

untuk mengurangi resiko yang diakibatkannya. Resiko yang terjadi pada bocornya

data-data penting/rahasia yang dimiliki oleh organisasi bisa jadi akan sangat

membahayakan kelangsungan hidup organisasi tersebut, terutama apabila data

tersebut jatuh kepada organisasi pesaingnya.

RUANG LINGKUP

Prosedur ini menetapkan suatu proses untuk penanganan insiden keamanan

data/database di mana kerahasiaan, integritas atau ketersediaan telah atau mungkin

dilanggar. Insiden pada keamanan data mungkin bisa disebabkan karena beberapa

hal seperti, pencurian data, pembobolan data, dan pembuangan limbah dari data

rahasia. Semua pelanggaran itu harus ditangani, dinilai, diselidiki dan dilaporkan

sesuai dengan standar prosedur yang ada.

PROSEDUR PENANGANAN

Penanganan suatu insiden ditujukan utuk mencapai hal-hal sebagai berikut,

a. Mengumpulkan informasi sebanyak mungkin tentang sifat insiden;

b. Menghalangi atau mencegah eskalasi kerusakan yang disebabkan oleh

insiden tersebut, jika mungkin;

c. Memperbaiki kerusakan yang disebabkan oleh insiden tersebut;

d. Mengumpulkan bukti insiden itu, yang sesuai;

e. Memulihkan layanan sesegera mungkin;

f. Mengambil langkah-langkah proaktif untuk mengurangi insiden masa

depan

Supaya tujuan diatas dapat terlaksana dengan baik, maka perlu ditentukan tahap-

tahap untuk melakukan penganan terhadap insiden yang terjadi. Tahap-tahap

tersebut dapat digambarkan sebagai berikut,


Gambar 1.

Tahap-tahap penanganan insiden

1. Tahap Persiapan (Preparation)

Ini adalah tahap persiapan dimana kebijakan, prosedur, teknologi, dan suber daya

manusia harus disiapkan secara matang, dimana akan digunakan pada proses

pencegahan dan penanganan terhadap insiden yang terjadi pada keamanan

data/database. Dalam suatu organisasi/institusi, kemampuan melakukan respon

yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi

penanganan insiden yang terjadi pada data. Langkah-langkah yang harus diambil

pada tahap ini adalah;

Penyiapan Personil (orang)

Meskipun memiliki kendali proses dan teknis yang kuat, keamanan dapat

dikompromikan dengan memanfaatkan personil dan membuat mereka melakukan

tindakan yang sebaliknya tidak diizinkan. Tim penanganan insiden yang terampil

dan adanya matrik eskalasi merupakan komponen kunci dari startegi penanganan

yang efektif. Sebuah tim penanganan insiden yang baik adalah sumber daya

sangat berharga ketika dibutuhkan untuk menangani situasi yang mungkin timbul

karena adanya gangguan pada database. Sebagaimana personil adalah sumber

daya organisasi utama yang akhirnya bisa dirugikan oleh gangguan yang terjadi

pada database organisasi, kesadaran akan keamanan merupakan salah satu dari

isu-isu yang perlu terus menerus dipantau dan ditingkatkan untuk perlindungan

yang tepat dari berbagai serangan.

1. Kesadaran Keamanan :

Kesadaran keamanan dapat dianggap sebagai yang paling penting dari semua

langkah-langkah persiapan, yang dapat membantu dalam mengidentifikasi

dan mencegah sebagian besar masalah yang akan timbul. Hal ini mendidik

pengguna tentang cara melindungi informasi, apa yang harus dilakukan dan


apa yang tidak harus dilakukan, siapa yang harus dihubungi pada keadaan

darurat dan bagaimana cara menganalisis jika mendapatkan kesulitan

2. Matrik ekskalasi penanganan insiden

Setiap organisasi harus memiliki matrik eskalasi penanganan insiden yang

secara jelas mendefinisikan siapa yang harus dihubungi dalam kasus insiden.

Hal ini juga menunjukkan tingkat eskalasi untuk keterlibatan lebih jauh

sesuai dengan kompleksitas atau dampak dari insiden.

3. Tim Terampil Penangan Insiden

Sebuah tim penanganan insiden yang berpengetahuan dan terampil dapat

mengurangi sebagian besar dampak terhadap bisnis. Tim penanganan insiden

harus dimiliki pemahaman yang sangat baik dan tingkat keterampilan dalam

berbagai teknologi yang digunakan oleh perusahaan. Karena banyak

perusahaan memiliki kantor-kantor cabang yang berlokasi di wilayah

geografis yang berbeda, tim komando pusat dan tim lokal/regional yang

sesuai sangat direkomendasikan untuk dibentuk. Tim Perintah Pusat Tentu

saja, harus memandu tim lokal dalam menangani insiden .

Penyiapan dokumen-dokumen yang dibutuhkan, yaitu

Dokumen Kebijakan dan Prosedur

Suatu dokumen kebijakan biasanya menguraikan persyaratan tertentu atau aturan

yang harus dipenuhi. Suatu dokumen prosedur adalah dokumen yang memandu

pengguna secara teknis dalam proses (langkah demi langkah) tentang cara untuk

mencapai persyaratan yang telah ditetapkan dan diuraikan dalam dokumen

kebijakan. Beberapa kebijakan, yang sering digunakan untuk membantu dalam

mencegah masuknya malware dan menghentikan penyebaran itu adalah,

a. Kebijakan Keamanan :

Sebuah kebijakan keamanan adalah dokumen tingkat tinggi dari top

manajemen yang menunjukkan pendekatan organisasi terhadap

keamanan informasi. Menurut standar ISO 27001 Keamanan Informasi,

dokumen harus memberikan arahan dan dukungan dari manajemen

untuk keamanan informasi sesuai dengan kebutuhan bisnis, hukum, dan

peraturan yang relevan.

b. Kebijakan penggunaan Antivirus:


Beberapa program jahat (virus) ada yang memiliki kemampuan untuk

merusak data-data yang terdapat pada sistem komputer. Kebijakan

Antivirus adalah kebijakan yang mendefinisikan apa yang harus dan

tidak boleh dilakukan dari para pengguna mengenai perangkat lunak

antivirus yang mereka gunakan, termasuk bagaimana cara mengelolah

perangkat lunak antivirus. Suatu prosedur manual harus mengikuti

kebijakan ini, yang bisa membimbing pengguna tentang cara memeriksa

versi dan definisi virus baru, dan bagaimana untuk menjaga perangkat

lunak agar selalu harus diperbaharui (update). Hal ini juga harus

memandu pengguna tentang cara untuk mengidentifikasi apakah

antivirus tersebut bekerja benar atau tidak.

c. Kebijakan penggunaan yang diperbolehkan (acceptable use)

Kebijakan ini berisi tentang sesuatu yang diperbolehkan atau tidak

diperbolehkan, termasuk pemanfaatan semua sumber daya organisasi.

Hal ini akan membantu pencegahan terhadap bocor dan rusaknya data-

data rahasia yang dimiliki oleh organisasi, karena para anggota

organisasi akan peduli terhadap tindakannya yang mungkin secara

sengaja maupun tidak menimbulkan resiko bagi sumber daya organisasi.

d. Kebijakan penggunaan Internet

Sebuah Kebijakan Penggunaan Internet adalah sebuah kebijakan yang

mendefinisikan bagaimana pengguna diarahkan dalam menggunakan

akses internet yang disediakan oleh organisasi. Hal ini juga harus

menentukan tindakan disiplin apa yang akan dikenakan apabila terjadi

pelanggaran. Hal ini membantu mencegah pengguna dari browsing situs

yang tidak sah dan men-download perangkat lunak dari internet, yang

bisa menjadikan pintu masuk bagi program jahat yang bisa merusak

data-data penting dari perusahaan/organisasi.

e. Kebijakan penggunaan Email

Kebijakan penggunaan email harus menentukan bagaimana email

perusahaan digunakan secara aman. Hal ini harus mencegah pengguna

dari menggunakan email perusahaan untuk penggunaan pribadi,

termasuk penerbitan dan pendaftaran pada kelompok dan forum di

internet. Hal ini akan mengurangi jumlah spam yang diterima oleh mail


server organisasi dan juga membantu mengurangi probabilitas pengguna

menerima konten berbahaya melalui email mereka.

f. Kebijakan penggunaan laptop

Kebijakan laptop harus menentukan bagaimana pengguna diarahkan

untuk mengetahui tindakan apa saja yang bisa dan boleh dilakukan oleh

pengguna dalam menggunakan laptopnya. Hal ini juga harus

menetapkan langkah apa yang perlu diambil pengguna untuk

memastikan keamanan, tidak hanya keamanan fisik dari laptop itu

sendiri, tetapi juga dari informasi yang terkandung didalamnya.

g. Kebijakan melakukan Backup

Kebijakan melakukan backup harus mendefinisikan apa, kapan, dan

bagaimana informasi harus dibackup. Hal ini harus mendefinisikan

secara jelas mengenai jenis informasi dan kapan waktu proses backup

harus dilakukan, dan bagaimana cara untuk melakukannya. Backup yang

baik kadang-kadang bisa menjadi satu-satunya cara untuk pulih dari

hilangnya data-data yang terdapat pada sistem komputer.

h. Kebijakan pelaporan dan mekanisme pelacakan insiden

Keberhasilan di balik rencana penanganan insiden adalah memiliki

mekanisme pelaporan dan pelacakan yang mudah digunakan dan efektif.

Pengguna umumnya mengharapkan mekanisme pelaporan yang dapat

dengan mudah dipahami dan menangkap insiden dengan informasi

sesedikit mungkin. Pengguna juga harus bisa memberikan tingkat

prioritas formal yang dapat divalidasi dan diubah, jika diperlukan oleh

helpdesk atau tim keamanan pusat. Nama, nomor telepon dan alamat

email untuk menghubungi dalam kasus terjadinya suatu aktivitas

berbahaya yang dicurigai harus diberikan melalui semua media

komunikasi seperti situs intranet perusahaan, buletin dan catatan kecil di

sekitar workstation pengguna.

i. Prosedur dan formulir penanganan insiden

Organisasi harus memiliki rencana dan prosedur penanganan insiden

yang tepat dan bisa dilakukan di tempat organisasi berada. Organisasi

harus menyediakan form yang dapat digunakan untuk mencatat dan


merekam semua kejadian secara rinci, selama penanganan insiden pada

semua tahapan.

j. Dokumen tentang audit

Catatan dari audit secara berkala pada sistem informasi akan membantu

dalam mengungkap setiap aktivitas berbahaya yang ada. Catatan ini

dapat mengungkap kegiatan yang dilakukan pengguna pada sistem yang

mungkin tidak disadari. Tim audit biasanya terdiri dari personil terlatih

yang tahu apa yang harus dicari.

k. Dokumen profil perangkat lunak pada proses bisnis

Disarankan untuk memiliki profil dari semua perangkat lunak dan

proses-proses yang harus berjalan pada sistem berdasarkan proyek atau

departemen. Hal ini dapat membantu dalam identifikasi secara cepat dari

keberadaan perangkat lunak atau proses yang tidak diketahui yang

mungkin terinfeksi dari malware .

l. Dokumen pengetahuan

Sebuah dokumentasi rinci dari pengetahuan dasar yang baik dan mudah

mendapatkannya, dapat menghemat banyak waktu ketika insiden terjadi.

Ketika sebuah Insiden terjadi, semua dokumentasi mengenai penanganan

kejadian harus ditambahkan ke dokumen basis pengetahuan. Jadi jika

insiden yang sama terjadi lagi, proses penanganannya akan menjadi lebih

cepat karena sudah ada catatan cara penanggulangannya. Hal ini akan

menghemat banyak waktu yang akan dikonsumsi dalam analisis ulang

insiden tersebut. Sebuah template Root Cause Analysis yang dapat

menangkap sebagian besar rincian Insiden harus disiapkan dan

digunakan.

Penyiapan Teknologi yang akan dipakai

Pada insiden ini teknologi yang dipakai hampir sama dengan teknologi yang

digunakan untuk menangani insiden malware. Gangguan pada data yang terdapat

pada sistem komputer bisa jadi disebabkan oleh adanya malware yang menyerang

pada suatu sistem komputer. Malware bisa menjadi salah satu perantara bagi

penyerang untuk merusak atau mencuri data pada sistem komputer target.

Berbagai infrastruktur teknis & perangkat lunak yang dapat mencegah malware

termasuk Antivirus Scanner Online, URL dan email filter, Virus Submissions


URL , Mesin Uji (mesin Nyata dan mesin virtual), Utilitas dari sistem operasi dan

peralatan Reverse Engineering, harus disiapkan guna penanganan insiden pada

data.

a. Filter URL dan email :

Hampir semua organisasi saat ini terhubung ke Internet untuk berbagai tujuan

termasuk email. Koneksi ke internet dan email adalah jalan yang paling

umum bagi malware untuk memasuki jaringan intranet perusahaan. Entri

tersebut harus ditolak pada perimeter jaringan, sehingga setiap lalu lintas

berbahaya dapat dihentikan sebelum mereka memasuki jaringan (LAN)

perusahaan. Filter URL dapat membantu dalam mencegah pengguna dari

men-download file dari internet yang mungkin berisi program tersembunyi

yang berbahaya. Penyaringan terhadap email juga harus dilakukan untuk

menyaring setiap email yang rentan membawa lampiran berbahaya. Terdapat

berbagai alat gratis dan komersial untuk penyaringan URL. Squid adalah

salah satu yang populer dan stabil, merupakan perangkat lunak open source

pada web proxy yang mendukung penyaringan URL. SquidGuard adalah tool

dapat digunakan untuk menyederhanakan tugas penyaringan URL. Tools ini

adalah plug-in untuk squid yang merupakan kombinasi dari filter, redirector,

dan akses kontrol, yang dapat digunakan untuk membuat aturan akses

berdasarkan pada waktu, kelompok pengguna, dan URL. Berbagai blacklist

juga dapat digunakan untuk melakukan penyaringan URL .

b. Penenonaktifkan perangkat removable

Sebagian besar pembuat malware saat ini telah mengembangkan teknik untuk

menyalin virus ke perangkat removable dan mereka jalankan segera setelah

alat terkoneksi ke sistem. Disarankan untuk menonaktifkan semua perangkat

removable, jika tidak diperlukan. Hal ini dapat dilakukan dengan melepas

kabel koneksi pada motherboard, menonaktifkan port onboard, (USB,

Bluetooth, IR) di BIOS dan juga pada tingkat OS dengan memanfaatkan

GPO (Group Policy Objects) pada windows dan pembatasan akses dalam

Linux (seperti semua perangkat juga file). Kadang-kadang menonaktifkan

USB port pada tingkat BIOS mungkin tidak tepat, jika sistem menggunakan

USB keyboard dan mouse. Masalah ini dapat diatasi dengan menggunakan

pembatasan tingkat OS, terdapat beberapa produk yang diciptakan untuk


tujuan ini (seperti Pointsec, Safend, Safeboot), yang memiliki efisiensi dan

fitur yang jauh lebih baik daripada metode dengan memblokir seperti yang

dibahas atas.

c. Hash sistem file :

Langkah penting lainnya dalam tahap persiapan adalah koleksi hash untuk

file-file yang penting, terutama file sistem. Biasanya, jika mesin berperilaku

tidak normal atau dicurigai terinfeksi dengan malware, file yang dimodifikasi

dapat dideteksi dengan membandingkan hash sistem file dengan hash yang

asli. file-file juga dapat diperiksa untuk setiap infeksi malware dengan

menggunakan layanan online scan antivirus yang telah dikenal atau dapat

pula menyampaiakn laporan kepada Vendor antivirus untuk dilakukan

analisis.

d. Intrusion Detection System

Salah satu cara mudah untuk memeriksa setiap perubahan pada file sistem

adalah dengan menggunakan Intrusion Detection System (IDS) berbasis host.

IDS ini awalnya menghitung nilai hash dari semua file sistem dan

menyimpannya di database. Hash dari file tersebut berubah setiap kali sistem

melakukan modifikasi pada file. Dengan cara ini setiap perubahan tidak sah

dapat diidentifikasi. IDS juga memeriksa setiap proses tersembunyi,

mengurai log untuk setiap aktivitas yang mencurigakan. Ada banyak

perangkat lunak IDS baik yang free maupun komersial. Perangkat lunak open

source seperti Samhain, OSSEC dan Osiris adalah beberapa IDs berbasis

Host.

e. Antivirus

Organisasi harus memiliki perangkat lunak antivirus yang tersedia

dilingkungannnya, terutama untuk semua sistem yang memiliki koneksi

internet atau Perangkat removable (USB , DVDRW drive dll ) yang aktif.

Dalam hal ini dianjurkan untuk menggunakan model client-server yang jauh

lebih mudah dalam hal pengelolahan. Status kerja dari antivirus pada client,

instalasi pada client secara remote, dan pemindaian jarak jauh pada sistem

adalah beberapa keuntungan pada model menggunakan solusi berbasis

server.


f. Virus Removal Tools:

Komponen lain yang harus disediakan dalam penanganan insiden malware

adalah tool dari berbagai vendor antivirus untuk menghapus malware. Tool

penghapus virus bisa lebih efektif, efisien, dan mudah untuk bekerja

daripada mesin antivirus. Namun, tool tersebut terbatas hanya bekerja

sebagian besar satu keluarga malware. McAfee Stringer adalah alat removal

untuk suatu kelompok malware.

g. Utilitas Sistem Operasi:

Ketika wabah virus terjadi, program utilitas dapat digunakan dalam sistem

operasi yang lumpuh. Dalam situasi seperti itu, sumber non-terinfeksi bisa

sangat membantu. Operasi asli utilitas bersama dengan utilitas pihak ketiga

dapat disalin pada media yang hanya memiliki fungsi baca seperti CD-

ROM atau DVD - ROM, sehingga tidak terinfeksi ketika dijalankan. Untuk

Microsoft Windows, SysInternals host adalah utilitas yang berdaya kuat dan

sederhana. Utilitas ini dapat diunduh bebas biaya dan ditambahkan ke

"Utilitas Toolkit". Utilitas ini dapat digunakan untuk mengumpulkan

sampel untuk analisis malware atau untuk mengidentifikasi, menampung,

dan memberantas malware.

2. Tahap Identifikasi

Tahap ini adalah tahap di mana penelusuran terhadap insiden yang terjadi pada

data/database organisasi mulai diidentifikasi. Penyebab terjadinya insiden harus

dilakukan pada tahap ini. Penyebab adanya gangguan dari database bisa berasal

dari dalam sistem komputer maupun dari manusia sebagai pengguna sistem

komputer. Dari dalam sistem komputer yang digunakan, penyebabnya bisa

berasal dari

a. Malware yang menyerang sistem komputer

Malware yang menyerang pada sistem dan jaringan komputer bisa

menyebabkan juga terjadinya gangguan pada server database. Gangguan

yang ditimbulkan bisa berupa terganggunya akses terhadap layanan data dan

bahkan bisa merusak data-data pada komputer maupun server data base. Hal-

hal berikut bisa menjadi ciri-ciri terjadinya gangguan akses terhadap database

yang disebabkan oleh malware


1. Antivirus tidak berfungsi seperti yang diharapkan

2. Kegagalan membuka utilitas sistem pada sisi client

3. Lambatnya Respon CPU

4. Sistem / Aplikasi crash :

b. Gangguan sistem jaringan komputer

Salah satu faktor penting dari keamanan database adalah ketersediaan dari

database itu sendiri. Saat ini, hampir semua database ditempatkan pada mesin

khusus yang berupa server database. Untuk mengakses data-data dalam

database, bisa dilakukan dengan menggunakan model client server. Pada

model client server, peranan dari jaringan komputer sangatlah penting.

Gangguan keamanan pada jaringan komputer bisa mengakibatkan gangguan

pada layanan database. Pengamatan pertama yang bisa dilihat pada gangguan

adalah lamanya waktu yang dibutuhkan untuk mengakses server database,

bahkan koneksi terhadap database bisa terputus.

Gangguan lain pada sistem jaringan adalah terdapatnya proses pemindaian

dan capture data-pada yang keluar masuk pada server database. Proses ini

bisa terdeteksi dengan menggunakan tool IDS berbasis host pada server,

maupun IDS berbasis jaringan. Identifikasi bisa dilakukan dengan melakukan

pemeriksaan pada log dari IDS tersebut. Disamping memasang IDS, tool

lainnya yang bisa digunakan adalah snort, tcpdump, ettercap.

c. Kerentanan aplikasi database yang digunakan

Konfigurasi dan manajemen patch adalah pendekatan prinsip untuk

memperbaiki kelemahan dari sistem basis data. Fitur-fitur default dari aplikasi

pembangun database harus diubah. Identifikasi dapat dilakukan dengan

melihat patch yang pernah dilakukan dan memeriksa fitur-fitur default dari

sistem aplikasi database.

d. Kerentanan kode/program

Kerentanan kode-kode(program) yang digunakan untuk mengakses database,

dapat dimanfaatkan oleh penyerang untuk menembus sistem keamanan dari

database. Kode-kode itu meliputi kode-kode sql maupun kode-kode yang

digunakan untuk membangun aplikasi dari sistem database. Pemeriksaan

terhadap kode-kode itu bisa dilakukan untuk mengidentifikasi dari adanya


gangguan keamanan pada database. Contoh dari serangan pada rentannya

kode-kode adalah sql injection, buffer overflow, cross site scripting.

e. Kelalaian pengguna database

Apabila tidak ditemukannya adanya tanda-tanda bahwa penyebabnya berasal

pada sistem komputer, maka identifikasi harus diarahkan kepada para

pengguna sistem komputer. Beberapa perilaku dari pengguna komputer yang

bisa membahayakan keamanan data,

1. Penggunaan password yang sembarangan

Kerahasiaan password yang tidak terjaga dengan baik, bisa

mengakibatkan password jatuh ke pihak yang tidak diinginkan.

Akibatnya adalah pihak-pihak yang tidak memiliki akses ke dalam

database dapat mengakses database tersebut. Dengan demikian maka

pihak tersebut akan dengan mudah menguasai database.

2. Lupa melakukan log off dari sistem komputer

Kealpaan dalam melakukan log off pada sistem komputer dapat

dimanfaatkan oleh pihak lain untuk mengambil dan bahkan menghapus

data-data penting yang terdapat pada sistem komputer.

Identifikasi dari kasus ini bisa berupa ditolaknya akses ke dalam databse

(record telah diubah atau dihapus), padahal tidak ditemukannya gejala

malware, gangguan pada sistem jaringan komputer, dan kerentanan kode-

kode sql dan program aplikasi database yang digunakan.

Sedangkan pada kasus tercurinya database, identifikasi sulit dilakukan,

karena dampak dari pencurian database tidak bisa dirasakan secara langsung.

Pemilik data baru menyadari bahwa data-data telah tercuri apabila pihak

pencuri telah melakukan ekspose terhadap data-data yang telah dicuri

tersebut.

Pada tahap identifikasi ini, disamping melakukan identifikasi untuk mengetahui

penyebab terganggunya sistem database, juga dilakukan identifikasi terhadap

penting atau tidaknya data/informasi yang telah mengalami gangguan. Hal itu

dilakukan untuk melihat dampak yang diakibatkan oleh terganggunya

data/informasi yang memiliki tingkat kerahasiaan tinggi.


3. Containment

Pada tahap ini akan dilakukan pencegahan lebih lanjut terhadap kerusakan atau

kebocoran lebih lanjut dari data-data penting/rahasia dari organisasi.

Apabila gangguan pada database disebabkan oleh adanya malware, maka

dilakukan proses containment seperti pada prosedur penanganan insiden malware.

Apabila gangguan pada database disebabkan oleh adanya gangguan pada sistem

jaringan, maka dilakukan proses containment seperti pada prosedur penagnanan

insiden jaringan.

Memblokir password yang digunakan untuk mengakses database

Apabila penyebabnya berasal dari keteledoran dari para pengguna sistem

komputer, terutama penggunaan password yang sembarangan, maka semua

password-password tersebut harus diganti. Administrator sistem komputer harus

memblokir semua password, dan memberikan password baru kepada para

pengguna sistem.

Melihat insiden yang pernah ada (Basis Pengetahuan)

Langkah selanjutnya setelah mengidentifikasi gejala dasar malware adalah

menelusuri dokumen untuk mencari pengetahuan yang berisi insiden yang pernah

terjadi di masa lalu. Jika insiden tersebut merupakan pengulangan, maka prosedur

yang diikuti sebelumnya harus dieksekusi dan dianalisis secara mendalam dari

setiap langkah untuk mengidentifikasi penyebab terulangnya kejadian dan

memastikan apakah Langkah-langkah tersebut cukup atau tidak. Jika belum,

maka diperlukan perbaikan secara utuh pada prosedur.

Melakukan backup semua data pada database

Sebelum memasuki fase pemberantasan, semua data yang terdapat pada database

yang ada diambil sebagai backup dan harus terus diisolasi dari backup lain yang

mungkin telah terganggu keamanannya. Hal ini dilakukan untuk mengembalikan

data yang hilang, setelah selesainya analisis.

Memeriksa konfigurasi dan patch dari aplikasi database

Konfigurasi default dari aplikasi database harus diubah, konfigurasi default

merupakan salah satu kelemahan dari suatu aplikasi yang dapat dimanfaatkan

untuk menyerang dan mengganggu fungsi normal dari suatu aplikasi.

Memeriksa konfigurasi dan patch dari sistem operasi database server


Kerentanan yang terdapat pada sistem operasi yang digunakan pada database

server juga bisa digunakan oleh penyerang untuk mengganggu layanan data pada

database server. Kerentanan itu harus diperiksa untuk memastikan keamanan dari

sistem operasi yang digunakan.

Memeriksa kode-kode program yang digunakan pada database

Kode-kode program yang digunakan untuk mengakses dan memanipulasi data-

data pada suatu data base harus memenuhi standar keamanan tertentu. Tidak

amannya penggunaan kode-kode ini bisa dimanfaatkan oleh penyusup untuk

masuk ke dalam database. Apabila seorang penyusup berhasil masuk ke dalam

database dan mendapatkan hak akses penuh, maka penyusup dapat mencuri dan

bahkan menghapus data-data penting dalam database.

Melakukan investigasi terhadap personil

Investigasi terhadap personil dilakukan untuk mengetahui seberapa besar tingkat

keamanan terhadap hak akses ke dalam database yang dimiliki oleh para

personil/karyawan. Bagaimana para karyawan dalam mengelolah kunci dan

password yang telah dimilikinya harus mendapatkan perhatian. Penyusup ke

dalam sistem database bisa memanfaatkan celah keamanan dari kerentanan

pengelolahan hak akses para pengguna yang sah. Keteledoran dalam menyimpan

password dapat menyebabkan password jatuh ke pihak-pihak yang tidak

bertanggung jawab.

Memeriksa penyandian yang digunakan pada data

Supaya data-data yang tersimpan pada database memiliki keamanan yang relatif

tinggi, maka data-data tersebut harus disandikan (enkripsi). Data-data yang telah

terenkripsi akan sulit diketahui arti sebenarnya dari data tersebut. Proses

penyandian data dapat dilakukan pada data yang sedang dikirimkan pada

jaringan, maupun data penting (memiliki tingkat kerahasiaan tinggi) yang

tersimpan pada database.

Memeriksa integritas database

Memeriksa integritas data ditujukan untuk melihat tingkat keparahan dari

kerusakan data yang diakibatkan oleh adanya gangguan pada sistem database.

Informasi yang di simpan dalam basis data bisa berupa apa saja yang membuat ke

akuratan informasi dalam basis data itu perlu dipertanyakan. Untuk itulah

integritas data dibutuhkan untuk menjaga keakuratan dan kebenaran data.


Integritas data merupakan sebuah batasan atau syarat yang di peruntukan dalam

basis data yang berfungsi dalam pembatasan data yang dapat simpan dalam basis

data itu sendiri. Batasan itu menjaga kerusakan terhadap database dengan

memastikan bahwa perubahan tidak menyebabkan inkosistesi dari data. Integritas

di sini mengacu pada konsistesi, akurasi dan keakuratan data yang disimpan

dalam database.

4. Pemberantasan

Tahap ini merupakan tahapan untuk melakukan pemberantasan terhadap

penyebab dari terjadinya insiden pada data/database. Pemberantasan yang

dilakukan harus berdasarkan sumber dari serangan, yaitu

Serangan malware, apabila terganggunya keamanan database disebabkan

oleh malware, maka dilakukan prosedur pemberantasan malware (terdapat

pada penanganan insiden malware)

Serangan pada network, apabila terganggunya keamanan database

disebabkan oleh adanya serangan pada jaringan, maka dilakukan prosedur

pemberantasan gangguan pada jaringan (terdapat pada penanganan insiden

jaringan).

Memperbaharui kerentanan dari sistem operasi dari server database

Memperbaharui kerentanan pada kode-kode pemrograman

Apabila ditemukan adanya kerentanan pada kode-kode pemrograman yang

digunakan untuk mengakses database, maka segera perbaharui kode-kode

program tersebut sesuai dengan standar keamanan yang telah ditetapkan oleh

vendor/pembuat bahasa pemrograman. Contoh halaman web yang bisa

digunakan sebagai panduan untuk membuat kode/program dengan

menggunakan php

https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

http://www.php.net/manual/en/security.php

Memperbaharui konfigurasi dari aplikasi dengan mengubah semua

konfigurasi default sesuai dengan yang disyaratkan oleh vendor pembuat

suatu aplikasi. Dibawah ini adalah halaman web yang berisi tentang

konfigurasi yang aman dari aplikasi database

http://www.symantec.com/connect/articles/securing-mysql-step-step

https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

http://www.php.net/manual/en/security.php

http://www.symantec.com/connect/articles/securing-mysql-step-step


https://www.owasp.org/index.php/OWASP_Backend_Security_Proje

ct_MySQL_Hardening

http://dev.mysql.com/doc/refman/5.0/en/security.html

Memperbaharui metode akses

Apabila terdapat kerentanan terhadap metode akses terhadap suatu sistem

atau database, maka segera perbaharui kerentanan tersebut. Tindakan ini bisa

sampai perubahan pada personil yang memiliki hak akses terhadap suatu

sistem.

Memperbaharui metode pengiriman data

Data-data yang dikirimkan melewati media pada jaringan harus memiliki

tingkat keamanan yang tinggi. Data-data yang disalurkan pada media harus

disandikan agar tidak mudah dibaca oleh pihak-pihak yang melakukan

pengintaian dan capture pada lalu lintas jaringan komputer. Hal ini terutama

untuk data-data yang disalurkan dengan menggunakan media udara

(wireless).

5. Pemulihan

Pemulihan merupakan tahap untuk mengembalikan seluruh sistem bekerja normal

seperti semula. Pada insiden keamanan data/database, pemulihan dilakukan

terhadap penyebab terjadinya kebocoran/kerusakan data/database. Langkah-

langkah yang dilakukan adalah sebagai berikut

a. Apabila serangan berasal dari sistem jaringan, konfirmasikan bahwa

serangan pada jaringan telah selesai dan layanan database bisa dilakukan

kembali. Untuk melihat pulihnya jaringan bisa dilakukan dengan

memanfaatkan perintah pada command prompt seperti ping, tracert,

pathping.

b. Apabila serangan berasal dari adanya malware, maka konfirmasikan juga

bahwa malware telah dibersihkan, dan client dapat mengakses database

pada server secara aman.

c. Validasi sistem

Sistem yang telah pulih, harus divalidasi terhadap kesalahan atau

kekurangan konfigurasi apapun. Jika ada kekurangan pada perangkat

lunak atau data yang ditemukan, maka akan ditambahkan. Melakukan

https://www.owasp.org/index.php/OWASP_Backend_Security_Project_MySQL_Hardening

https://www.owasp.org/index.php/OWASP_Backend_Security_Project_MySQL_Hardening

http://dev.mysql.com/doc/refman/5.0/en/security.html


patching dan mengubah konfigurasi pada sistem database, apabila

konfigurasi pada sistem database telah menjadi penyebab terjadinya

insiden pada database, harus dilakukan. Sebuah tanda tangan dari

pengguna dan pemilik sistem seharusnya diminta untuk

mengkonfirmasikan pemulihan lengkap dan normal dari sistem .

d. Pemulihan Operasi

Setelah validasi sistem pulih selesai, pemilik sistem memutuskan kapan

untuk menempatkan sistem kembali online. Rekomendasi mengenai

keamanan sistem dapat diberikan kepada pemilik sistem. Pemilik harus

mengakui rekomendasi ini melalui memo yang telah ditandatangani.

Rekomendasi berisi tentang penguatan pertahanan terhadap sistem dari

database, misalnya mengharuskan dilakukannya enkripsi pada penyaluran

data melalui jaringan, data-data penting yang tersimpan juga harus

dienkripsi, dan bisa juga rekomendasi untuk mengganti kunci-kunci

enkripsi yang ada

e. Pemulihan Database

Apabila telah terjadi kerusakan pada database, maka database yang telah

terganggu (rusak atau hilang) harus dipulihkan kembali dengan cara

melakukan restore dari backup yang telah dilakukan.

f. Pemulihan terhadap metode akses

Pemulihan terhadap metode akses dilakukan dengan mengganti password-

password yang telah diblokir. Password-password baru tersebut harus

diubah oleh para penggunanya dengan mengikuti mekanisme yang telah

diberikan oleh administrator. Konfirmasi pengubahan password harus

dilakukan oleh para pengguna.

g. Pemantauan Sistem

Akhirnya aktifitas penting pada tahap pemulihan adalah melakukan

pemantauan secara cermat agar sistem database tidak terganggu kembali.

Pemantauan ini dilakukan untuk melihat adanya

1. Infeksi dan penyebaran malware

2. Aktifitas gangguan pada jaringan (DOS, DDOS)

3. Aktifitas pemindaian dan capture pada lalu lintas jaringan

4. Aktifitas pada server database (memantau log)


6. Tahap Tindak Lanjut

Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat

sebagai referensi untuk dimasa mendatang. Fase ini dapat memberikan masukan

kepada tahap persiapan untuk meningkatkan pertahanan. Tahap dimana semua tahap

sebelumnya telah dilalui, tujuan dari tahap ini adalah untuk,

a. Pelaporan, membuat laporan mengenai langkah-langkah dan hasil yang

telah didapatkan pada penanganan insiden yang telah dilakukan.

mendokumentasikan dampak dan biaya dari terjadinya insiden serangan

pada sistem database.

b. Pembelajaran, adalah langkah yang sangat penting yang sering diabaikan.

Pelajaran harus dapat dipetik dari kegiatan sesegera mungkin setelah

penanganan insiden usai. Semua keputusan dan langkah-langkah yang

diambil sepanjang siklus penanganan insiden harus ditinjau. Semua

prosedur harus ditinjau untuk melihat di mana perbaikan dapat dilakukan.

Salah satu hal penting yang harus dilakukan setelah berhasil menangani

sebuah insiden adalah memperbarui pengetahuan. Catatan tentang

penambahan pengetahuan ini harus ditambahkan pada dokuman laporan

dan direview oleh semua pihak yang telah berperan dalam penanganan

insiden. Hal ini akan membantu dalam penanganan insiden serupa di masa

depan dengan mudah, efisien, dan cepat

c. Peningkatan kepedulian terhadap keamanan jaringan, dengan melakukan

review setelah setiap kejadian, akan memungkinkan bagi organisasi untuk

melakukan perbaikan terus-menerus dan berpotensi pada pengurangan

yang signifikan akibat dampak insiden.

d. Peningkatan pertahanan

Setelah penanganan selesai, Root Cause Analysis digunakan untuk

menguatkan berbagai kontrol keamanan yang terdapat dalam perusahaan.

Tim teknis dapat dibuat peduli dan menyadari terjadinya gejala serangan

pada sistem database yang sama, tim penanganan insiden dapat diberikan

insiden serupa untuk melatih diri dan manajemen dapat memperkenalkan

kontrol keamanan yang baru untuk mengurangi risiko di masa depan.


e. Memperbaharui segala standar dan prosedur

Semua jalan masuknya penyusup ke dalam sistem database yang

diidentifikasi harus tepat diblokir untuk mencegah serangan masuk ke

dalam jaringan data dimasa depan. Hal ini dapat dilakukan dengan

menambahkan aturan baru di perimeter dan perangkat penyaringan

lainnya (seperti filter URL, filter email, IDS). Memungkinan

pembaharuan pada dokumen-dokumen berikut:

Standard Operating Procedures

Prosedur Operasi Darurat

Disaster Recovery plan (DRP)


LAMPIRAN A - Informatif

KEAMANAN SISTEM DATABASE

Keamanan database adalah suatu cara untuk melindungi database dari ancaman, baik dalam

bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi atau kejadian baik secara

sengaja maupun tidak yang bersifat merugikan dan mempengaruhi sistem, dan memiliki

konsekuensi terhadap perusahaan/organisasi yang memiliki sistem database.

Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi

juga meliputi bagian lain dari sistem database, yang tentunya dapat mempengaruhi database

tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak,

orang dan data.

Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang

mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator

database. Seorang administratorlah yang memegang peranan penting pada suatu sistem

database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang

cukup agar dapat mengatur suatu sistem database.

Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh

pengguna yang tidak berhak. Sistem keamanan database adalah sistem, proses, dan prosedur

yang melindungi database dari aktivitas yang sengaja maupun tidak disengaja. Sistem yang

aman memastikan kerahasian data yang terdapat didalamnya. Beberapa aspek keamanan

yaitu :

Mambatasi akses ke data dan layanan

Melakukan autentifikasi pada user

Memonitor aktivitas-aktivitas yang mencurigakan

Keamanan database dapat dikelompokan sebagai berikut :

Pencurian dan penipuan.

Pencurian dan penipuan database tidak hanya mempengaruhi lingkungan database

tetapi juga seluruh perusahaan/organisasi. Keadaan ini dilakukan oleh orang, dimana

seseorang ingin melakukan pencurian data atau manipulasi data, seperti saldo

rekening, transaksi, transfer dan lain-lain. Untuk itu fokus harus dilakukan pada

kekuatan sistem agar menghindari akses oleh orang yang tidak memiliki kewenangan.

Hilangnya kerahasiaan dan privasi


Suatu data dapat memiliki nilai kerahasiaan, karena data tersebut merupakan sumber

daya yang strategis pada perusahaan, maka pada kasus ini data tersebut harus

diamankan dengan memberikan hak akses pada orang tertentu saja.

Hilangnya integritas

Integritas ini berkaitan dengan akurasi dan kebenaran data dalam database, seperti

data korup. Hal ini akan secara serius mempengaruhi proses bisnis

perusahaan/organisasi.

Hilangnya ketersediaan

Hilangnya ketersediaan berarti data, sistem, keduanya tidak dapat diakses, layanan

mati, yang tentunya secara serius sangat mempengaruhi perusahaan/organisasi. Saat

ini banyak perusahaan yang membutuhkan kemampuan sistem yang aktif 7 x 24 , 7

hari 1 minggu.

Berdasarkan pengelompokan tersebut, tentunya banyak aspek yang harus kita perhatikan

demi terciptanya keamanan database. Bisa saja seseorang mencuri komputer kita yang berisi

data penting, mungkin juga karyawan yang diberi hak untuk mengakses data melakukan

kejahatan dengan menjual informasi tersebut pada pihak lain demi kepentingan pribadi. Hal-

hal tersebut memang termasuk kendala keamanan database yang harus mendapat perhatian,

tetapi seorang administrator tidak dapat mengawasi kelemahan tersebut. Seorang

administrator hanya fokus pada sistem database itu sendiri, dan hal inilah yang seharusnya

menjadi perhatian juga dalam organisasi.

Tentunya perkembangan teknologi mengharuskan suatu perusahaan untuk

mengimplementasikan sistem database yang bukan hanya aman tetapi juga mudah diakses

dan handal, menyala 7x24 jam, 7 hari 1 minggu tanpa off.

Penyebaran informasi secara global sangat menguntungkan semua pihak. Dengan adanya

internet, komunikasi antar cabang, perusahaan, konsumen dan sebagainya semakin mudah.

Pemberian informasi mengenai perusahaan kepada masyarakat melalui internet merupakan

salah satu strategi komunikasi, marketing, public relation perusahaan tersebut, adanya

transaksi on line yang meningkatkan gaya hidup masyarakat dan lain-lain. Semua itu tidak

terlepas dari suatu perkembangan sistem database dan tentunya membuat keamanan menjadi

rentan.

Sangatlah mudah dalam suatu lingkungan database diciptakan suasana yang menakutkan,

tanpa kepastian dan keraguan. Sebagai seorang administrator sangat perlu memperhatikan

kondisi tersebut. Tentukan resiko yang sebenarnya dan selidiki apa yang dapat dilakukan


terhadap kondisi itu. Sebenarnya kebanyakan database terkonfigurasi dalam keadaan yang

mudah ditembus, akan tetapi hal ini bukan berarti database tidak dapat dibuat aman

sebagaimana mestinya.

Secara garis besar keamanan database dikategorikan sbb:

Keamanan Server

Perlindungan Server adalah suatu proses pembatasan akses yang sebenarnya pada

database dalam server itu sendiri. Server sebagai tempat database harus benar-benar

dijamin keamanannya.

Trusted Ip Access

Setiap server harus dapat mengkonfigurasikan alamat ip yang diperbolehkan

mengakses dirinya. Sistem harus tidak mengijinkan semua orang untuk dapat

mengakses server, sebagaimana tidak mengijinkan seseorang memasuki rumah tanpa

ijin. Jika server melayani suatu web server maka hanya alamat web server itu saja

yang dapat mengakses server database tersebut. Jika server database melayani

jaringan internal maka hanya alamat jaringanlah yang boleh menghubungi server.

Sangat dianjurkan untuk tidak menggabungkan server web dengan server database

informasi internal perusahaan, ini adalah suatu cara yang buruk untuk seorang admin.

Trusted Ip Acces merupakan server database terbatas yang hanya akan memberi

respon pada alamat ip yang dikenali saja.

Koneksi Database

Saat ini semakin banyaknya aplikasi dinamis menjadi sangat menggoda untuk

melakukan akses yang cepat bahkan update yang langsung tanpa authentifikasi. Jika

ingin mengijinkan pemakai dapat mengubah database melalui web page, pastikan

untuk memvalidasi semua masukan untuk memastikan bahwa inputan benar, terjamin

dan aman. Sebagai contoh, pastikan untuk menghilangkan semua code SQL agar tidak

dapat dimasukan oleh user. Jika seorang admin membutuhkan koneksi ODBC,

pastikan koneksi yang digunakan unik.

Kontrol Akses Tabel

Kontrol akses tabel ini adalah salah satu bentuk keamanan database yang sering

diabaikan, karena cukup sulit penerapannya. Penggunaan control akses table yang

benar membutuhkan kolaborasi antara sistem administrator dengan pengembang

database. Hal inilah yang sulit dilakukan. Pemberian ijin user untuk mengakses

informasi dapat membuat informasi terbuka kepada publik.


Pelanggaran keamanan mungkin terjadi karena seorang hacker yang mampu melewati

langkah-langkah keamanan yang telah dibentuk. Ini mungkin juga dikenal sebagai suatu

pelanggaran keamanan. Keamanan pelanggaran bisa terjadi bukan hanya karena hacker,

tetapi juga karena kecerobohan. Ada undang-undang tentang pelanggaran keamanan yang

menyatakan bahwa seseorang harus diberitahu ketika informasi vitalnya telah diganggu.

Ada banyak cara yang berbeda tentang bagaimana menangani pelanggaran keamanan ketika

keamanan database telah dilanggar.

Database (dan khususnya SQL) telah lama menjadi bagian Integral dari sistem dalam

menjalankan bisnis, baik dalam bentuk awalnya, yaitu file database biasa maupun dalam

bentuk sekarang ini,yaitu database yang berorientasi pada tingkat lanjut. Kebutuhan atas

penyimpanan dan pengaksesan informasi secara cepat menjadi hal-hal yang mendesak bagi

tiap bisnis atau aplikasi, begitu pula web.

Aplikasi-aplikasi web sekarang ini berpasangan dengan database. Database dipakai untuk

beragam kegunaan mulai dari menyimpan nama-nama user dan password-pasword untuk

akses resmi, sampai untuk menyimpan alamat-alamat email user, dan informasi kartu kredit

untuk mempermudah pengiriman produk dan pembayarannya. Oleh karena itu, pemahaman

menyeluruh mengenai keamanan web harus mencakup juga lapisan databasenya dan

terpenting memahami juga bagaimana penyusup berusaha memasuki aplikasi untuk

memperoleh akses ke bagian-bagian datanya.

Keamanan database merupakan satu dari sekian banyak metodologi yang sering diabaikan

dan tidak dikembangkan untuk melengkapi dan memperketat kebijaksanaan atas keamanan

database, beberapa cara dibawah ini berguna untuk pencegahan dalam tiap kelemahan.

1. Selalu mengupdate patch

Baik untuk Microsoft maupun oracle, patch-patch dan beberapa perbaikan baru

biasanya diedarkan secara regular. Memastikan untuk nengunduh dan menginstalnya

segera setelah patch-patch itu tersedia. Selalu menguji patch terlebih dahulu pada

system mirror atau pada sistem yang tak menghasilkan produksi, tidak pada sistem

yang sebenarnya,

2. Menerapkan aturan-aturan firewall yang ketat

Memastikan memeriksa konfigurasi firewall dari waktu ke waktu dan selalu

memblock port-port akses database seperti TCP dan UDP 1434 (MS SQL) dan TCP

1521-1520 (Oracle).

3. Sanitasi/Penyaringan Input


Penyaringan harus dilakukan pada yang di terima dari user, data–data yang diterima

harus diperiksa tipenya (integer, string, dan seterusnya) dan harus memotong

karakter-karakter yang tidak diinginkan, misalnya meta karakter.

4. Membuang Stored Procedure

Stored Procedure adalah sebuah prosedur yang disimpan dalam suatu tabel database.

Memastikan telah membuang semua stored procedure (termasuk extended stored

procedure) dari keseluruhan database, termasuk master. Script-script yang

kelihatannya tidak berbahaya ini bisa memberi bantuan dalam menumbangkan

bahkan database yang paling aman sekalipun.

5. Enkripsi Session

Jika server database terpisah dari Web server, memastikan untuk mengenkripsi

session dengan beberapa cara, misalnya menggunakan IPSec built-in Pada

Windows.

6. Sedikit Hak-hak khusus

Memastikan untuk menerapkan sesedikit mungkin hak-hak akses untuk mengakses

file-file database.


LAMPIRAN B – Diagram Alir

Menyiapkan personil dan tempat

MULAI

DAFTAR anggota dan

ketua tim

Menyiapkan dokumen

Menyiapkan tool

Dokumen-dokumen yang

dibutuhkan

SELESAI

LANGKAH-LANGKAH PADA TAHAP PERSIAPAN

Menentukan tata cara

berkomunikasi


Mengidentifikasi adanya malware

MULAI

Mengidentifikasi kelemahan kode-kode/

program

SELESAI

LANGKAH-LANGKAH PADA TAHAP IDENTIFIKASI

Mengidentifikasi kelemahan aplikasi database

Menidentifikasi kelemahan sistem operasi

server database

Mengidentifikasi adanya serangan pada

jaringan

Mengidentifikasi kelalaian pengguna


Memblokir password menuju database

MULAI

Melakukan backup data pada database

Memeriksa konfigurasi aplikasi database

SELESAI

LANGKAH-LANGKAH PADA TAHAP CONTAINMENT

Menelusuri insiden yang pernah terjadiDokumen

pengetahuan

Memeriksa konfigurasi sistem opersai server

database

Memeriksa kode-kode pembangun aplikasi

database

Melakukan investigasi pada pengguna

Memeriksa penyandian data

Memeriksa integritas data


Memperbaiki kelemahan sistem operasi

server database

MULAI

Memperbaiki kerentanan kode/program

pembangun database

SELESAI

LANGKAH-LANGKAH PADA TAHAP ERADICATION

Memperbaiki metode akses

Memperbaiki metode pengiriman data

Memperbaiki konfigurasi aplikasi

database


Validasi sistem

MULAI

Pemulihan database

Pemulihan operasi

SELESAI

LANGKAH-LANGKAH PADA TAHAP RECOVERY

Pemantauan sistem

Pemulihan akses


Membuat Dokumentasi laporan kegiatan

MULAI

Laporan Kegiatan

Melakukan review terhadap langkah-langkah

yang telah dilakukan

Pembuatan basis pengetahuan baru

- jenis gangguan pada data dan database

- penyebab gangguan

- penanganan pada gangguan

Dokumen pengetahuan

baru

SELESAI

LANGKAH-LANGKAH PADA TAHAP TINDAK LANJUT

Meningkatkan pertahanan

- aturan akses pada database server

- sistem otentikasi dan otorisasi

- sistem penyandian

Melatih tim yang lain


LAMPIRAN C - Formulir

Formulir laporan penanganan insiden

1. Informasi Pembuat Laporan

Nama Lengkap

Jabatan pada tim

Internal/External

Nama Institusi (external)

Nomor Telepon tempat kerja

Nomor HP

Alamat E-mail

Nomor Fax

Informasi tambahan

2. Jenis insiden : Database

Nomor insiden : …………………………………..

Dampak dari Malware Dampak dari gangguan pada jaringan Tercurinya password Kelemahan kode sql

Kelemahan kode program aplikasi Kerentanan server database Kelemahan enkripsi Lainnya ..............…………………………

Deskripsi singkat dari insiden:


3. Cakupan dari insiden (pilih salah satu)

Kritis (misal, berpengaruh pada sumber daya informasi yang membahayakan keamanan umum secara luas di luar institusi/lembaga)

Besar (misal, berpengaruh pada seluruh database pada sistem bisnis utama dari institusi/lembaga) Sedang (misal, hanya berpengaruh pada database milik bagian/departemen tertentu dari

institusii/lembaga) Kecil (misal, hanya berpengaruh pada data komputer atau akun pengguna pada institusi/lembaga)

Perkiraan jumlah sistem yang terkena dampak:

Perkiraan jumlah pengguna yang terkena dampak:

Pihak ketiga yang terkena dampak (partner):

Informasi tambahan dari cakupan insiden:

4. Dampak dari insiden

Berhenti/hilangnya layanan Berhenti/hilangnya produktifitas Hilangnya reputasi Berkurang/hilangnya pendapatan

Pengungkapan tidak sah dari data/informasi Pengubahan tidak sah dari data/informasi Lainnya, ………………………………………………………….

Informasi lain dari dampak insiden

5. Sensitivitas dari data yang terkena insiden

Data/info rahasia/sensitiv Data/info Non-sensitive Data/info yang disediakan untuk publik Data/info keuangan

Informasi Identitas Pribadi Personil Data/info tentang HAKI/copyrighted Data/info tentang critical infrastructure/key

resources Lainnya, ………………………………………………………..

Data dienkripsi ? Ya ____ tidak ____

Besarnya data/informasi yang terkena insiden:

(ukuran file, jumlah record)

Informasi tambahan:


6. Sistem yang terkena insiden

Sumber serangan (alamat IP, port):

Tujuan serangan (alamat IP, port):

Alamat IP dari sistem:

Nama Domain dari sistem:

Fungsi dari sistem: (database server, application

server)

Sistem Operasi dari sistem server database:

( version, service pack, configuration )

Level Patching dari sistem server database:

( latest patches loaded, hotfixes )

Perangkat lunak security pada server database:

(anti-virus, anti-spyware, firewall, versions, date of

latest definitions)

Lokasi fisik dari sistem:

(propinsi, kota, gedung,ruang,meja/rak/lemari)

Informasi tambahan dari sistem:

7. Pengguna yang terkena dampak

Nama dan pekerjaan pengguna:

Level hak akses dari pengguna:

( regular user, domain administrator, root)

Informasi tambahan pengguna:


8. Timeline dari insiden

Tanggal dan waktu kejadian pertama kali terdeteksi,

ditemukan, atau diberitahu tentang insiden itu:

Tanggal dan waktu saat kejadian yang sebenarnya terjadi:

(perkiraan, jika tanggal dan waktu yang tepat tidak

diketahui):

Tanggal dan waktu ketika insiden itu ditangani atau ketika

semua sistem/fungsi telah dipulihkan (menggunakan

tanggal dan waktu terakhir):

Tenggang waktu antara penemuan dan kejadian :

Tenggang waktu antara penemuan dan pemulihan :

Keterangan tambahan:

9. Pemulihan dari insiden

Tindakan yang dilakukan untuk

mengidentifikasi sumber daya

yang terkena dampak:

Tindakan yang dilakukan untuk

memulihkan insiden:

Rencana tindakan untuk mencegah

berulangnya insiden:

Informasi tambahan pemulihan insiden:


LAMPIRAN D – Formulir Setiap Tahap

Form untuk tahap Persiapan

Hari/tanggal:

Waktu:

Nama anggota tim pengisi form:

Tanda tangan:

Persiapan

Nama anggota tim

Ketua : .......................................

Anggota :

1. ................................... 2. ................................... 3. ...................................

Metode komunikasi

Handphone

Email Tlp. kantor

Dokumen yang dibutuhkan

1. ......................................... 2. ......................................... 3. .........................................

4. .........................................

Tool/alat yang digunakan

1. ......................................... 2. ......................................... 3. ......................................... 4. .........................................


Form untuk tahap Identifikasi

Hari/tanggal:

Waktu:


Tanda tangan:

Penjelasan secara singkat tentang insiden

database yang terjadi (adanya data yang

rusak/rusak)

Penjelasan secara singkat dampak dari

insiden database (seberapa penting data

yang rusak/hilang)

Berapa banyak sistem informasi/layanan

yang terdapat pada sistem yang

terpengaruh oleh insiden database

Penjelasan singkat mengenai dugaan

awal penyebab dari gangguan pada

database

Penjelasan secara singkat kapan dan

darimana insiden database pertama kali

diketahui


Form untuk tahap Containment

Hari/tanggal:

Waktu:


Tanda tangan:

penghentian akses kepada sistem, layanan, dan data

Penjelasan tentang akses, sistem, dan

layanan yang telah dinonaktifkan karena

adanya insiden pada keamanan database

Pencatatan password-password milik

siapa saja yang telah diblokir untuk

akses ke dalam database

Pencatatan waktu saat semua akses,

sistem, dan layanan dinonaktifkan

Informasi Sistem Back up

Apakah back up sistem berhasil

dilakukan? Ya Tidak, jika tidak, apakah

penyebabnya ?

Nama personil yang melakukan back up

Waktu proses back up dimulai

Waktu prosees back up selesai

Apakah media back up dilindungi dan

disegel?

Ya tidak, Jika tidak, apakah

penyebabnya ?


Form untuk tahap Eradication

Hari/tanggal:

waktu:


Tanda tangan:

Nama Sistem

Nama semua personil yang melakukan

proses forensik terhadap sistem yang

mengalami insiden

Apakah kerentanan yang menyebabkan

insiden keamanan dapat teridentifikasi?

Ya Tidak, jika ya, deskripsikan

secara detail

Jelaskan prosedur validasi yang digunakan

untuk memastikan bahwa

kerentanan telah dikurangi

penyebab gangguan telah

dihilangkan


Form untuk tahap Follow Up

Hari/tanggal:

waktu:

Nama personil pengisi form:

Tanda tangan:

Jelaskan secara singkat tentang insiden

keamanan yang terjadi dan tindakan apa yang

telah diambil

Berapa banyak waktu yang dihabiskan untuk

menangani insiden tersebut ?

Adakah biaya ( langsung dan tidak langsung

) dari insiden itu ?

Apa nama organisasi/institusi yang telah

mambantu dan dapat melakukannya dengan

baik dalam menangani dan mengelolah

insiden tersebut ?

Kesulitan apa yang dihadapi dalam

menangani dan mengelolah insiden tersebut ?

Apakah ada persiapan yang memadai dalam

nenangani kejadian tersebut ?

Apakah deteksi insiden terjadi segera ? Jika

tidak, mengapa ?

Alat tambahan apa yang bisa digunakan

untuk membantu dalam merespon dan

mengelolah insiden keamanan ?

Apakah komunikasi antara anggota tim

cukup memadai ? Jika tidak, apa yang bisa

diperbaiki ?

Apakah komunikasi dengan organisasi-

organisasi luar yang telah membantu cukup

memadai ? Jika tidak, apa yang bisa

diperbaiki ?

Apakah prosedur perbaikan telah memadai

untuk mencegah terjadinya insiden yang

sama pada masa depan ?

Documents

STANDARD OPERATING PROCEDURE - GovCSIRT IH_Database.pdf · c. Memperbaiki kerusakan yang disebabkan oleh ... pengguna tentang cara melindungi ... kabel koneksi pada motherboard, menonaktifkan