“CYBERDEFENCE”KEAMANANINFORMASIDANKEDAULATAN

NKRIMELALUIBATALYONCYBERDisampaikan oleh :

IGNMANTRA– ChairmanPeneliti CyberWar,CyberCrimedan CyberSecurity

IndonesiaAcademicCSIRT

SeminarCyberDefenceUPNVeteran-Jakarta,09Desember 2016

CYBERSPACE&BACKGROUND

Harga BandwidthMakinTurun

Tahun 1998• 2,000US$/MBps

• Handset3jt

Tahun 2013• 1.57US$/MBps

• Handset1jt

Tahun 2014• 0.94US$/MBps

• Handset700rb

Tahun 2015• 0.63US$/MBps

• Handset500rb

Tahun 2016• 0.45US$/MBps

• Handset200rb

InternetConnectionSpeed2015-2016

AkamaiQ42015globalaverageconnectionspeedsrankings

InternetLiveStatistic

InternetUsers:byCountry2016

Pertumbuhan UserInternetIndonesia

53,236,719

CYBERTHREATS

Highlightsfromthe2016InternetSecurityThreatReport

91% increaseintargetedattackscampaignsin2015

62% increaseinthenumberofbreaches

in2015

Over552M identitieswereexposedviabreachesin2015

23zero-dayvulnerabilitiesdiscovered

38%ofmobileusershaveexperienced

mobilecybercrime inpast12months

Spamvolumedroppedto66%ofallemailtraffic

1in392emailscontainaphishing

attacks

Web-based attacksareup23%

1in8legitimatewebsiteshavea

criticalvulnerability

Highlightsfromthe2016InternetSecurityThreatReport

91% increaseintargetedattacks

campaigns

62% increaseinthenumberofbreaches

Over552M identities wereexposedviabreaches

LessonsFromPastCyberAttacks

CyberAttackscorrelations tophysical attacks

CyberAttacksareincreasinginvolume,sophistication,andmakecoordinations

CyberAttacksareattractedtohigh-valuetargets

PhysicalConflictsCorrelationswithCyberAttacks

• ThePakistan/IndiaConflict• TheIsrael/PalestinianConflict• TheFormerRepublicofYugoslavia

(FRY)/NATOConflictinKosovo• TheU.S.– ChinaSurveillancePlane

Incident• TheIndonesia– Myanmarcyber

attacks(Rohingya)• TheIndonesia– Bangladeshcyber

attacks.• TheIndonesia– Malaysiacyber

attacks.

PotentialCyberAttacks

• UnauthorizedIntrusions• Defacements• DomainNameServer

Attacks• DistributedDenialof

ServiceAttacks• ComputerWorms• RoutingOperations• CriticalInfrastructures• CompoundAttacks

CriticalInfrastructures

• Criticalinfrastructuresincludegas,power,water,bankingandfinance,transportation,communications

• Alldependenttosomedegreeoninformationsystems

• Insiderthreat- specializedskills

15

High

Low1980 1985 1990 2000 2014

password guessing

password cracking

exploiting known vulnerabilities

disabling auditsback doors

hijacking sessions

sniffers

packet spoofing

GUIautomated probes/scans

denial of service

www attacks

Tools

Attackers

IntruderKnowledge

AttackSophistication

“stealth” / advanced scanning techniques

burglaries

network mgmt. diagnostics

distributedattack tools

binary encryption

Source: CERT/CC

Attack sophistication vsIntruder Technical Knowledge

IncreasingAttackSophistication

2005

1985 1995

CyberAttacksdiNasional

IndustriKeuangan• ATM,NilaiTukar,Saham,Reksadana,Kredit,LaporanKeuangandsbnya.

IndustriKesehatan• DatabaseMedicalPasien,Farmasi,Dokter,PeralatanRSdsbnya.

IndustriPertahanan• Alutsista,Pasukan,Peta Serangan dan Pertahanan,Inteligent dsbnya.

InfrastrukturKritis• Listrik,PAM,Energi,Pangan,Emergencydsbnya.

Kenegaraan• Kepresidenan,PejabatNegaradanPeralatannya,ProdukKenegaraandsbnya.

TrendCyberAttacksdiGlobal#1

#1Serangan dan penipuan diSocialNetwork• Penipuan identitas diFacebook.com,• Saling menghujat ditwitter.com,• Situs palsu disocialmedia,sehingga semakin sulitmembedakan mediaasli dan palsu,

• Penggiringan opini dan politik disosmed (pra PEMILU2014,2016Pilkada)

• Saat ini para hackermenggunakan “IntelligentInformationGathering”atau “BusinessIntelligentSoftware”untuk mencariinformasi secara detaildalam melakukan aksi targetedattacks.

TrendCyberAttacksdiGlobal#2

#2Serangan diperalatan Mobile• Peralatan smart/peralatan computerkecil yangtidakmemiliki antivirus,antimalwaresehingga sangatmudah untuk diattackoleh hackers.

• Hackerdapat menginstall spywaredan dengan mudahmengawasi/mensniff targetnya tanpa diketahui.

• Mobilespywaredapat mencari lokasi si korban denganmenghubungkannya ke GPS.

• Salah satujudul buku/ebook populer:”Hacking theAndroid”dan ”Penetration Android Devices”.

TrendCyberAttacksdiGlobal#3

#3NextGenerationHacking• Kegiatan hackingsaat ini melanda semua kategori perusahaan dan bisnis,segala aspek dicoba oleh para hackeruntuk menyusup ke dalam databaseperusahaan,

• Parahackersmemiliki pengetahuan dan skillyangberbeda-beda,memilikipengetahuan lebih tinggi dan sudah cukup memiliki jamterbang.

• Parahackermuda ini memanfaatkan “intelligentInformationGathering”seperti google (google hackingcommand),yahoodan bing.com,

• mengirim malwareke “targetedattack”,“Trojanhorse”atau RemoteAdminToolsdimana para hackersdapat mengendalikan secara jarak jauh.

• Yangperlu diperhatikan adalah file-fileyangsering dishare seperti *.com,*.exe,*.vbs,*.bat,dan saat ini adalah *.doc(documents),*.xls (exceldoc),*.pdf juga disusupi malwareuntuk dijadikan Trojanhorse,backdoorsdansegala macam penyakit computer.

TrendCyberAttacksdiGlobal#4

#4Ancaman dari dalam organisasi dan Kejahatanteroganisir• 60%ancaman cybersecurityberasal dari dalam internalorganisasiatau kejahatan yangsudah teroganisir.

• Penyebab ancaman dari dalam organisasi adalah mantankaryawan yangtelah dipecat,sakit hati,Contoh :EdwardSnowden.

• Kejahatan teroganisir juga sudah melanda beberapa Negaraseperti China,Brasil,Eropa Timur,mereka berkelompok untukmenyerang perusahaan start-upyangkaya.

• Perlunya HumanResourceSecurityControldidalam perekrutan

TrendCyberAttacksdiGlobal#5

#5Insfrastruktur dan Outsourcingyangtidak aman• Infrastruktur (InfrastructureasaService-IaaS),• Aplikasi (SoftwareasaService-SaaS),platform(PlatformasaService-PaaS),

• Orang(EngineerasaService-EaaS)dan• Security(SecurityasaService-SeaS),yang• Saat ini sangat populardengan CloudComputingServices.• PerusahaanITstart-upharus memilih dengan baik dan amanpihak ketiga karena sebagai supportingoperasionalperusahaan karena tidak mudah dan murah untukmengoperasikan sendiri.

CyberChaos:FIRESALE

Transportasi:Shutdown

Telekomunikasi,Keuangan:Shutdown

Energi,Pangan:Shutdown

PERANANCERT/CSIRTDINASIONALCIKALBAKALBATALYONCYBERRI

INCIDENTRESPONSETEAM

Alasan Pendirian CSIRT

Infrastruktur keamanan yangterbaikpun tidak dapat menjamin serangan akanterjadi.

Bila insiden terjadi,maka institusi bergerak cepat untuk merespon secara efektifdengan memimalisasi kerusakan dan mengurangi biaya recovery.

Untuk melindungi kejadian-kejadian yangtidak diinginkan di masa depan denganmengatur strategi keamanan,berbagi informasi untuk updatepengetahuan danberkolaborasi dengan CSIRTyanglain.

Fokus kepada pencegahan kerentanan keamanan,melakukan mitigasi danmemastikan pemenuhan/pencapaian regulasi dan kebijakan keamanan institusi.

AlasanNyataDibutuhkan karena hukum,regulasi,kebijakan,standar,audit,kerjasama/perjanjian internasional.

Pemenuhan bisnis,permintaan pasar/pengguna,bestpracticedankeuntungan kompetitif.

Pada saat terjadi insiden dan insiden akan mengganggu institusi.

Sebagai Titik kontak yangbertanggungjawab bila ada insiden untuksegera bergerak dan berkoordinasi dengan pihak-pihak terkait.

Kelompok ahli yangmemberikan rekomendasi dan membahasmasalah keamanan yangterkini.

Mengapa butuh CSIRT?Saat insiden cyberterjadi dan menyebar,maka perlu tindakan segera seperti :

• Secara Efektif mendeteksi dan me-identifiaksi segala macam aktivitas.• Melakukan mitigasi dan merespons secara strategis.• Membangun saluran komunikasi yangdapat dipercaya.• Memberikan peringatan dini kepada masyarakat dan konstituen tentang

dampak yangakan dan sudah terjadi.• Memberitahu pihak laintentang masalah-masalah yangpotensial di

komunitas keamanan dan internet.• Berkoordinasi dalam meresponse masalah.• Berbagi datadan informasi tentang segala aktivitas dan melakukan

korespondensi untuk responsesegala solusi kepada konstituen.• Melacak dan memonitor informasi untuk menentukan tren dan strategi

jangka panjang.

LingkuppekerjaanCSIRT

Menyediakan satu titik untuk kontak insiden.

Melakukan identifikasi,analisis,dampak dari ancaman/insiden.

Penelitian,mitigasi,rencana strategi dan pelatihan.

Berbagi pengalaman,informasi dan belajar/mengajar.

Kesadaran,membangun kapasitas,jejaring.

Merespon,mengontrol kerusakan,recovery,meminimalisir resiko dan manajemen resiko,pencegahan dan pertahanan.

Macam-macamCSIRT

InternalCSIRT:menyediakan layanan penanganan insident kepada organisasi induk.CSIRTsemacam ini seperti Bank,PerusahaanManufaktur,Universitas dll.

NationalCSIRT:menyediakan layanan penanganan insiden kepada negara.Sebagai contoh adalah JapanCERTCoordinationCenter(JPCERT/CC).

CoordinationCenters :melakukan koordinasi penanganan insiden lintas sektor.CSIRT.Sebagai contoh adalah UnitedStatesComputerEmergencyReadinessTeam(US-CERT).

AnalysisCenters fokus kepadan sintesa datadari berbagai macam sumber untuk menentukan tren dan pola-pola aktivitas insiden.Contoh :(SANSGIAC).

VendorTeamsmenangani laporan tentang kerentanan di dalam produk softwaredan hardware.Mereka bekerja di dalamorganisasi untuk menentukan produk-produk mereka rentan atau tidak dan mengembangkan strategi mitigasi.Vendorteamjugasebagai internalCSIRTuntuk organisasi tersebut.

IncidentResponseProvidersmenawarkan layanan penanganan insiden dengan bentuk bisnis kepada organisasi yangmemerlukannya.

CSIRTJabatandanPekerjaanKetua /Wakil Ketua

Manageratau Pimpinan Tim

Assistan Manager,Supervisoratau Pimpinan Grup

Hotline,Helpdeskdan Staf

Incidenthandler

Vulnerabilityhandler

Artifactanalysisstaf

Platformspecialist

Trainer

Technologywatch

Networkatau SystemAdministrator

Programmer

Staf Legal/Hukum

Macam-macamOrganisasiCSIRT• FIRST – Forum of Incident Response and Security

– Teams (Global/International Initiatives)

• APCERT – Asia Pacific Computer EmergencyResponseTeam– Response Team (Regional Asia Pacific)

• OIC-CERT – Organization of Islamic Conference– Computer Emergency Response Team

• TF-CSIRT – Collaboration of Computer Security– Incident Response Team in Europe

• ENISA - European Network and Information– Security Agency (Regional Europe Union)

• ANSAC - ASEAN Network Security Action Council

FIRST

APCERT

OIC-CERT

TF-CSIRT

ENISA

ANSAC

Forum of Incident Response and Security

Asia Pacific CERT

EUROPEANCSIRT

TF-CSIRT – Collaboration of Computer Security

Fungsi-fungsiCSIRTDEFENSE – melindungi infrastruktur kritisMONITORING – menganalisis anomaly dengan berbagai pola

terdefinisi dan pola tak terdefinisi. (disebut sebagaivulnerability database).

INTERCEPTING – mengumpulkan kontek spesifik atau disebuttargeted content.

SURVEILLANCE –mengamati dan menganalisis aktivitas yangdicurigai dan informasi yangberubah dalam sistem.

MITIGATING – mengendalikan kerusakan dan menjagaketersediaan serta kemampuan layanan tersebut.

REMEDIATION – membuat solusi untuk mencegah kegiatanyangberulang-ulang dan mempengaruhi sistem.

OFFENSIVE – pencegahan/perlawanan dengan menyerang balikseperti CyberArmydan kemampuan untuk menembussistem keamanan.

DEFENCE

MONITORING

INTERCEPTING

SURVEILLANCE

MITIGATING

REMEDIATION

OFFENSIVE

KemampuanCSIRT• PROTECT – melakukan risk assessment,

proteksi malware, pelatihan dan kesadaran,operasi dan dukungan,managementkerentanan dan jaminan keamanan.

• DETECT – pengawasan jaringan,pengukuran dan analisis keterhubungandan situasinya,pengawasan lingkungan.

• RESPONSE – pelaporan insiden, analysis,response, mitigasi dan remediasi.

• SUSTAIN – berkolaborasi dengan MOU,kontrak pihak ketiga (vendor, provider),management(program, personnel, standarkeamanan).

PROTECT

DETECT

RESPONSE

SUSTAIN

PenangananInsidenPREPARE

Awareness, SOP,Compliance etc.

PROTECTHardening, ChangeManagement etc.

RESPONSEMitigation,

Remediation

DETECTMonitoring, Incident

Reporting

TRIAGEClassification,

Priority etc.

SumberPendanaan

Biasanyapendanaan dariorganisasi induk.

Proyek sponsoroleh para partner.

Iuran keanggotaandan chargeperlayanan.

Pendanaan dariPemerintah (full

atau projectbase).

Menyediakan jasakeamananprofesional.

CERTLogo

ForumIncidentResponseTeam

304 TEAM66 NEGARA

AP-CERT,AsiaPasific

TOTAL 25 TEAM MEMBER

Nasional CERT

IDCERT ID-SIRTI ACAD-CSIRT

IDGOV-CERT IDMIL-CERT SECTORCERT

Anggota CSIRT

TERBESAR30.000 staf@CNCERT

TERKECIL2-5 staf@CERT/CSIRT

CSIRTMembers

Koordinasi IncidentdiCSIRT

LaporanIncidentdari

Internal

LaporanIncidentdari

External

KoordinasiKolaborasi

Koordinasi dibawah LocalCSIRT

Incident(Victims)

TimIncidentResponseLocal-CSIRT

Koordinasi ke CSIRTNasional• IDSIRTII,IDCERT,GOVCERT,TNI,ACAD-CSIRT

APCERT

FIRST

Tugas CSIRT

Pembangunandan PengembanganCSIRT

Stage1Educatingtheorganization

Stage2Planningeffort

Stage3Initial

implementation

Stage4Operational

phase

Stage5Peer

collaboration

Struktur SDMdan Koordinasi

OperasionalManagement

MiddleManagement

TopManagement Ketua/Wakil

Dep.1

Ops.11 Ops.12

Dep.2

Ops.21 Ops.22

Koordinasi membutuhkan Masyarakatdan Negara

CSIRT

Masyarakatdan Negara

CSIRTBody

CSIRTSector

CSIRTNasional

Struktur CSIRT

TeamCSIRTSector

CSIRTNasional

IDSIRTII

Telekomunikasi

Telkom-CSIRT

Indosat-CSIRT

Akademik ACAD-CSIRT

Infrastruktur CSIRT

Console

Sensor

Analizer

Server

Storage

Tugas CSIRT

PREVENTIF DETEKSI

RESPON RISETDANPENGEMBANGAN

CyberDefence International

Kesimpulan :CSIRTdan Manfaat Batalyon CyberRI

CSIRTadalah lembaga keamanan nirlaba untuktanggap darurat mengatasi insiden keamanan.

CSIRTdiperlukan karena hukum.

CSIRTdibentuk oleh negara,industri ataupendidikan.

CSIRTmemiliki kebijakan keamanan,mendeteksi,penanganan insiden dan kolaborasi.

CSIRTmemilikisumberpendanaanygjelasdanterencana.

Contact:Informations:info@acad-csirt.or.id

IncidentResponse:incident@acad-csirt.or.idURL:http://www.acad-csirt.or.id