“cyber defence” keamanan informasi dan kedaulatan nkri melalui batalyon cyber
TRANSCRIPT
“CYBERDEFENCE”KEAMANANINFORMASIDANKEDAULATAN
NKRIMELALUIBATALYONCYBERDisampaikan oleh :
IGNMANTRA– ChairmanPeneliti CyberWar,CyberCrimedan CyberSecurity
IndonesiaAcademicCSIRT
SeminarCyberDefenceUPNVeteran-Jakarta,09Desember 2016
CYBERSPACE&BACKGROUND
Harga BandwidthMakinTurun
Tahun 1998• 2,000US$/MBps
• Handset3jt
Tahun 2013• 1.57US$/MBps
• Handset1jt
Tahun 2014• 0.94US$/MBps
• Handset700rb
Tahun 2015• 0.63US$/MBps
• Handset500rb
Tahun 2016• 0.45US$/MBps
• Handset200rb
InternetConnectionSpeed2015-2016
AkamaiQ42015globalaverageconnectionspeedsrankings
InternetLiveStatistic
InternetUsers:byCountry2016
Pertumbuhan UserInternetIndonesia
53,236,719
CYBERTHREATS
Highlightsfromthe2016InternetSecurityThreatReport
91% increaseintargetedattackscampaignsin2015
62% increaseinthenumberofbreaches
in2015
Over552M identitieswereexposedviabreachesin2015
23zero-dayvulnerabilitiesdiscovered
38%ofmobileusershaveexperienced
mobilecybercrime inpast12months
Spamvolumedroppedto66%ofallemailtraffic
1in392emailscontainaphishing
attacks
Web-based attacksareup23%
1in8legitimatewebsiteshavea
criticalvulnerability
Highlightsfromthe2016InternetSecurityThreatReport
91% increaseintargetedattacks
campaigns
62% increaseinthenumberofbreaches
Over552M identities wereexposedviabreaches
LessonsFromPastCyberAttacks
CyberAttackscorrelations tophysical attacks
CyberAttacksareincreasinginvolume,sophistication,andmakecoordinations
CyberAttacksareattractedtohigh-valuetargets
PhysicalConflictsCorrelationswithCyberAttacks
• ThePakistan/IndiaConflict• TheIsrael/PalestinianConflict• TheFormerRepublicofYugoslavia
(FRY)/NATOConflictinKosovo• TheU.S.– ChinaSurveillancePlane
Incident• TheIndonesia– Myanmarcyber
attacks(Rohingya)• TheIndonesia– Bangladeshcyber
attacks.• TheIndonesia– Malaysiacyber
attacks.
PotentialCyberAttacks
• UnauthorizedIntrusions• Defacements• DomainNameServer
Attacks• DistributedDenialof
ServiceAttacks• ComputerWorms• RoutingOperations• CriticalInfrastructures• CompoundAttacks
CriticalInfrastructures
• Criticalinfrastructuresincludegas,power,water,bankingandfinance,transportation,communications
• Alldependenttosomedegreeoninformationsystems
• Insiderthreat- specializedskills
15
High
Low1980 1985 1990 2000 2014
password guessing
password cracking
exploiting known vulnerabilities
disabling auditsback doors
hijacking sessions
sniffers
packet spoofing
GUIautomated probes/scans
denial of service
www attacks
Tools
Attackers
IntruderKnowledge
AttackSophistication
“stealth” / advanced scanning techniques
burglaries
network mgmt. diagnostics
distributedattack tools
binary encryption
Source: CERT/CC
Attack sophistication vsIntruder Technical Knowledge
IncreasingAttackSophistication
2005
1985 1995
CyberAttacksdiNasional
IndustriKeuangan• ATM,NilaiTukar,Saham,Reksadana,Kredit,LaporanKeuangandsbnya.
IndustriKesehatan• DatabaseMedicalPasien,Farmasi,Dokter,PeralatanRSdsbnya.
IndustriPertahanan• Alutsista,Pasukan,Peta Serangan dan Pertahanan,Inteligent dsbnya.
InfrastrukturKritis• Listrik,PAM,Energi,Pangan,Emergencydsbnya.
Kenegaraan• Kepresidenan,PejabatNegaradanPeralatannya,ProdukKenegaraandsbnya.
TrendCyberAttacksdiGlobal#1
#1Serangan dan penipuan diSocialNetwork• Penipuan identitas diFacebook.com,• Saling menghujat ditwitter.com,• Situs palsu disocialmedia,sehingga semakin sulitmembedakan mediaasli dan palsu,
• Penggiringan opini dan politik disosmed (pra PEMILU2014,2016Pilkada)
• Saat ini para hackermenggunakan “IntelligentInformationGathering”atau “BusinessIntelligentSoftware”untuk mencariinformasi secara detaildalam melakukan aksi targetedattacks.
TrendCyberAttacksdiGlobal#2
#2Serangan diperalatan Mobile• Peralatan smart/peralatan computerkecil yangtidakmemiliki antivirus,antimalwaresehingga sangatmudah untuk diattackoleh hackers.
• Hackerdapat menginstall spywaredan dengan mudahmengawasi/mensniff targetnya tanpa diketahui.
• Mobilespywaredapat mencari lokasi si korban denganmenghubungkannya ke GPS.
• Salah satujudul buku/ebook populer:”Hacking theAndroid”dan ”Penetration Android Devices”.
TrendCyberAttacksdiGlobal#3
#3NextGenerationHacking• Kegiatan hackingsaat ini melanda semua kategori perusahaan dan bisnis,segala aspek dicoba oleh para hackeruntuk menyusup ke dalam databaseperusahaan,
• Parahackersmemiliki pengetahuan dan skillyangberbeda-beda,memilikipengetahuan lebih tinggi dan sudah cukup memiliki jamterbang.
• Parahackermuda ini memanfaatkan “intelligentInformationGathering”seperti google (google hackingcommand),yahoodan bing.com,
• mengirim malwareke “targetedattack”,“Trojanhorse”atau RemoteAdminToolsdimana para hackersdapat mengendalikan secara jarak jauh.
• Yangperlu diperhatikan adalah file-fileyangsering dishare seperti *.com,*.exe,*.vbs,*.bat,dan saat ini adalah *.doc(documents),*.xls (exceldoc),*.pdf juga disusupi malwareuntuk dijadikan Trojanhorse,backdoorsdansegala macam penyakit computer.
TrendCyberAttacksdiGlobal#4
#4Ancaman dari dalam organisasi dan Kejahatanteroganisir• 60%ancaman cybersecurityberasal dari dalam internalorganisasiatau kejahatan yangsudah teroganisir.
• Penyebab ancaman dari dalam organisasi adalah mantankaryawan yangtelah dipecat,sakit hati,Contoh :EdwardSnowden.
• Kejahatan teroganisir juga sudah melanda beberapa Negaraseperti China,Brasil,Eropa Timur,mereka berkelompok untukmenyerang perusahaan start-upyangkaya.
• Perlunya HumanResourceSecurityControldidalam perekrutan
TrendCyberAttacksdiGlobal#5
#5Insfrastruktur dan Outsourcingyangtidak aman• Infrastruktur (InfrastructureasaService-IaaS),• Aplikasi (SoftwareasaService-SaaS),platform(PlatformasaService-PaaS),
• Orang(EngineerasaService-EaaS)dan• Security(SecurityasaService-SeaS),yang• Saat ini sangat populardengan CloudComputingServices.• PerusahaanITstart-upharus memilih dengan baik dan amanpihak ketiga karena sebagai supportingoperasionalperusahaan karena tidak mudah dan murah untukmengoperasikan sendiri.
CyberChaos:FIRESALE
Transportasi:Shutdown
Telekomunikasi,Keuangan:Shutdown
Energi,Pangan:Shutdown
PERANANCERT/CSIRTDINASIONALCIKALBAKALBATALYONCYBERRI
INCIDENTRESPONSETEAM
Alasan Pendirian CSIRT
Infrastruktur keamanan yangterbaikpun tidak dapat menjamin serangan akanterjadi.
Bila insiden terjadi,maka institusi bergerak cepat untuk merespon secara efektifdengan memimalisasi kerusakan dan mengurangi biaya recovery.
Untuk melindungi kejadian-kejadian yangtidak diinginkan di masa depan denganmengatur strategi keamanan,berbagi informasi untuk updatepengetahuan danberkolaborasi dengan CSIRTyanglain.
Fokus kepada pencegahan kerentanan keamanan,melakukan mitigasi danmemastikan pemenuhan/pencapaian regulasi dan kebijakan keamanan institusi.
AlasanNyataDibutuhkan karena hukum,regulasi,kebijakan,standar,audit,kerjasama/perjanjian internasional.
Pemenuhan bisnis,permintaan pasar/pengguna,bestpracticedankeuntungan kompetitif.
Pada saat terjadi insiden dan insiden akan mengganggu institusi.
Sebagai Titik kontak yangbertanggungjawab bila ada insiden untuksegera bergerak dan berkoordinasi dengan pihak-pihak terkait.
Kelompok ahli yangmemberikan rekomendasi dan membahasmasalah keamanan yangterkini.
Mengapa butuh CSIRT?Saat insiden cyberterjadi dan menyebar,maka perlu tindakan segera seperti :
• Secara Efektif mendeteksi dan me-identifiaksi segala macam aktivitas.• Melakukan mitigasi dan merespons secara strategis.• Membangun saluran komunikasi yangdapat dipercaya.• Memberikan peringatan dini kepada masyarakat dan konstituen tentang
dampak yangakan dan sudah terjadi.• Memberitahu pihak laintentang masalah-masalah yangpotensial di
komunitas keamanan dan internet.• Berkoordinasi dalam meresponse masalah.• Berbagi datadan informasi tentang segala aktivitas dan melakukan
korespondensi untuk responsesegala solusi kepada konstituen.• Melacak dan memonitor informasi untuk menentukan tren dan strategi
jangka panjang.
LingkuppekerjaanCSIRT
Menyediakan satu titik untuk kontak insiden.
Melakukan identifikasi,analisis,dampak dari ancaman/insiden.
Penelitian,mitigasi,rencana strategi dan pelatihan.
Berbagi pengalaman,informasi dan belajar/mengajar.
Kesadaran,membangun kapasitas,jejaring.
Merespon,mengontrol kerusakan,recovery,meminimalisir resiko dan manajemen resiko,pencegahan dan pertahanan.
Macam-macamCSIRT
InternalCSIRT:menyediakan layanan penanganan insident kepada organisasi induk.CSIRTsemacam ini seperti Bank,PerusahaanManufaktur,Universitas dll.
NationalCSIRT:menyediakan layanan penanganan insiden kepada negara.Sebagai contoh adalah JapanCERTCoordinationCenter(JPCERT/CC).
CoordinationCenters :melakukan koordinasi penanganan insiden lintas sektor.CSIRT.Sebagai contoh adalah UnitedStatesComputerEmergencyReadinessTeam(US-CERT).
AnalysisCenters fokus kepadan sintesa datadari berbagai macam sumber untuk menentukan tren dan pola-pola aktivitas insiden.Contoh :(SANSGIAC).
VendorTeamsmenangani laporan tentang kerentanan di dalam produk softwaredan hardware.Mereka bekerja di dalamorganisasi untuk menentukan produk-produk mereka rentan atau tidak dan mengembangkan strategi mitigasi.Vendorteamjugasebagai internalCSIRTuntuk organisasi tersebut.
IncidentResponseProvidersmenawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yangmemerlukannya.
CSIRTJabatandanPekerjaanKetua /Wakil Ketua
Manageratau Pimpinan Tim
Assistan Manager,Supervisoratau Pimpinan Grup
Hotline,Helpdeskdan Staf
Incidenthandler
Vulnerabilityhandler
Artifactanalysisstaf
Platformspecialist
Trainer
Technologywatch
Networkatau SystemAdministrator
Programmer
Staf Legal/Hukum
Macam-macamOrganisasiCSIRT• FIRST – Forum of Incident Response and Security
– Teams (Global/International Initiatives)
• APCERT – Asia Pacific Computer EmergencyResponseTeam– Response Team (Regional Asia Pacific)
• OIC-CERT – Organization of Islamic Conference– Computer Emergency Response Team
• TF-CSIRT – Collaboration of Computer Security– Incident Response Team in Europe
• ENISA - European Network and Information– Security Agency (Regional Europe Union)
• ANSAC - ASEAN Network Security Action Council
FIRST
APCERT
OIC-CERT
TF-CSIRT
ENISA
ANSAC
Forum of Incident Response and Security
Asia Pacific CERT
EUROPEANCSIRT
TF-CSIRT – Collaboration of Computer Security
Fungsi-fungsiCSIRTDEFENSE – melindungi infrastruktur kritisMONITORING – menganalisis anomaly dengan berbagai pola
terdefinisi dan pola tak terdefinisi. (disebut sebagaivulnerability database).
INTERCEPTING – mengumpulkan kontek spesifik atau disebuttargeted content.
SURVEILLANCE –mengamati dan menganalisis aktivitas yangdicurigai dan informasi yangberubah dalam sistem.
MITIGATING – mengendalikan kerusakan dan menjagaketersediaan serta kemampuan layanan tersebut.
REMEDIATION – membuat solusi untuk mencegah kegiatanyangberulang-ulang dan mempengaruhi sistem.
OFFENSIVE – pencegahan/perlawanan dengan menyerang balikseperti CyberArmydan kemampuan untuk menembussistem keamanan.
DEFENCE
MONITORING
INTERCEPTING
SURVEILLANCE
MITIGATING
REMEDIATION
OFFENSIVE
KemampuanCSIRT• PROTECT – melakukan risk assessment,
proteksi malware, pelatihan dan kesadaran,operasi dan dukungan,managementkerentanan dan jaminan keamanan.
• DETECT – pengawasan jaringan,pengukuran dan analisis keterhubungandan situasinya,pengawasan lingkungan.
• RESPONSE – pelaporan insiden, analysis,response, mitigasi dan remediasi.
• SUSTAIN – berkolaborasi dengan MOU,kontrak pihak ketiga (vendor, provider),management(program, personnel, standarkeamanan).
PROTECT
DETECT
RESPONSE
SUSTAIN
PenangananInsidenPREPARE
Awareness, SOP,Compliance etc.
PROTECTHardening, ChangeManagement etc.
RESPONSEMitigation,
Remediation
DETECTMonitoring, Incident
Reporting
TRIAGEClassification,
Priority etc.
SumberPendanaan
Biasanyapendanaan dariorganisasi induk.
Proyek sponsoroleh para partner.
Iuran keanggotaandan chargeperlayanan.
Pendanaan dariPemerintah (full
atau projectbase).
Menyediakan jasakeamananprofesional.
CERTLogo
ForumIncidentResponseTeam
304 TEAM66 NEGARA
AP-CERT,AsiaPasific
TOTAL 25 TEAM MEMBER
Nasional CERT
IDCERT ID-SIRTI ACAD-CSIRT
IDGOV-CERT IDMIL-CERT SECTORCERT
Anggota CSIRT
TERBESAR30.000 staf@CNCERT
TERKECIL2-5 staf@CERT/CSIRT
CSIRTMembers
Koordinasi IncidentdiCSIRT
LaporanIncidentdari
Internal
LaporanIncidentdari
External
KoordinasiKolaborasi
Koordinasi dibawah LocalCSIRT
Incident(Victims)
TimIncidentResponseLocal-CSIRT
Koordinasi ke CSIRTNasional• IDSIRTII,IDCERT,GOVCERT,TNI,ACAD-CSIRT
APCERT
FIRST
Tugas CSIRT
Pembangunandan PengembanganCSIRT
Stage1Educatingtheorganization
Stage2Planningeffort
Stage3Initial
implementation
Stage4Operational
phase
Stage5Peer
collaboration
Struktur SDMdan Koordinasi
OperasionalManagement
MiddleManagement
TopManagement Ketua/Wakil
Dep.1
Ops.11 Ops.12
Dep.2
Ops.21 Ops.22
Koordinasi membutuhkan Masyarakatdan Negara
CSIRT
Masyarakatdan Negara
CSIRTBody
CSIRTSector
CSIRTNasional
Struktur CSIRT
TeamCSIRTSector
CSIRTNasional
IDSIRTII
Telekomunikasi
Telkom-CSIRT
Indosat-CSIRT
Akademik ACAD-CSIRT
Infrastruktur CSIRT
Console
Sensor
Analizer
Server
Storage
Tugas CSIRT
PREVENTIF DETEKSI
RESPON RISETDANPENGEMBANGAN
CyberDefence International
Kesimpulan :CSIRTdan Manfaat Batalyon CyberRI
CSIRTadalah lembaga keamanan nirlaba untuktanggap darurat mengatasi insiden keamanan.
CSIRTdiperlukan karena hukum.
CSIRTdibentuk oleh negara,industri ataupendidikan.
CSIRTmemiliki kebijakan keamanan,mendeteksi,penanganan insiden dan kolaborasi.
CSIRTmemilikisumberpendanaanygjelasdanterencana.
Contact:Informations:[email protected]
IncidentResponse:[email protected]:http://www.acad-csirt.or.id