security incident

Apa itu insiden keamanan?

Insiden keamanan (security incident) adalah sebuah peristiwa yang bisa menunjukkan bahwa sistem atau data milik organisasi telah dikompromikan, atau bahwa langkah-langkah keamanan yang dipasang untuk melindunginya telah gagal.

Dalam dunia IT, sebuah peristiwa adalah apa pun yang punya signifikansi terhadap perangkat keras atau perangkat lunak sistem, sedangkan sebuah insiden adalah peristiwa yang mengganggu operasi normal. Peristiwa keamanan biasanya dibedakan berdasarkan tingkat keparahan dan potensi risiko yang terkait terhadap organisasi.

Kalau, misalnya, satu pengguna ditolak akses ke layanan yang diminta, itu bisa dianggap sebagai peristiwa keamanan karena mungkin saja menandakan ada sistem yang dikompromikan. Tapi kegagalan akses itu juga bisa disebabkan oleh banyak faktor lain. Tema umumnya untuk kebanyakan peristiwa keamanan, apa pun penyebabnya, adalah bahwa mereka biasanya tidak berdampak parah terhadap organisasi. Namun, kalau jumlah pengguna yang tidak bisa mengakses layanan sangat banyak, kemungkinan besar itu menunjukkan masalah yang lebih serius, seperti serangan distributed denial-of-service (DDoS), sehingga peristiwa itu bisa diklasifikasikan sebagai insiden keamanan karena dampak gangguannya terhadap operasional.
Salah satu ilustrasi sederhana untuk membedakan antara peristiwa keamanan dan insiden keamanan adalah pintu yang tidak dikunci. Membiarkan pintu terbuka tanpa dikunci adalah peristiwa keamanan, sedangkan jika kemudian terjadi perampokan akibat pintu yang tidak dikunci itu, itulah insiden keamanan.

Apa perbedaan antara insiden keamanan dan pelanggaran keamanan?

Sering kali ada kebingungan soal perbedaan insiden keamanan dan pelanggaran keamanan. Insiden keamanan mencakup berbagai macam pelanggaran keamanan — mulai dari pelanggaran akses ke sistem komputer, jaringan, dan data, hingga serangan malware, serangan DDoS, atau bahkan pencurian perangkat komputer fisik dan perangkat lain yang berisi data sensitif.

Sedangkan pelanggaran keamanan lebih spesifik ke pelanggaran data saja — tidak termasuk pelanggaran akses ke jaringan atau sistem, atau serangan malware di mana data tidak terlibat.
Dengan kata lain, pelanggaran keamanan adalah subkategori dari insiden keamanan yang secara khusus terkait dengan akses tidak sah atau pencurian data saja.
Pelanggaran data ini bisa melibatkan perubahan atau pencurian langsung terhadap data sensitif perusahaan, seperti kekayaan intelektual atau daftar pelanggan. Ini juga bisa mencakup akses tidak sah, perubahan, atau pencurian informasi pribadi (PII) milik pelanggan, klien, pasien, atau individu lain yang melanggar hak privasi mereka.

Contoh insiden keamanan mencakup hal-hal berikut:

  • Upaya dari pengguna atau sumber tidak sah untuk mengakses sistem atau data.
  • Gangguan layanan yang tidak direncanakan atau denial of service.
  • Pemrosesan atau penyimpanan data secara tidak sah.
  • Perubahan tidak sah pada perangkat keras, firmware, atau perangkat lunak sistem.
  • Pelanggaran jaringan, sistem, atau informasi yang dilakukan oleh orang dalam seperti karyawan atau kontraktor, termasuk serangan berbahaya terhadap sistem dan jaringan.
  • Infeksi malware seperti ransomware atau virus yang mengkompromikan jaringan, sistem, atau workstation, atau melakukan tindakan tidak sah.
  • Insiden keamanan siber eksternal yang bertujuan untuk mengganggu, melumpuhkan, menghancurkan, atau mengendalikan lingkungan komputasi atau infrastruktur organisasi secara jahat.
  • Serangan yang dirancang untuk menghancurkan atau mencuri data.
  • Kehilangan atau pencurian peralatan komputer.

Contoh pelanggaran keamanan mencakup hal-hal berikut:

  • Akses tidak sah ke data pribadi atau data hak istimewa.
  • Mencuri perangkat komputer yang berisi data sensitif atau PII.
  • Mencuri dokumen fisik yang berisi data sensitif atau data pribadi.
  • Penetrasi data yang mengakibatkan kerusakan atau penghancuran data.
  • Serangan ransomware yang mencuri data lalu meminta tebusan untuk mengembalikannya.
  • Akses ke data pelanggan perusahaan melalui broker data pihak ketiga tanpa persetujuan perusahaan atau pelanggan.

Jenis-Jenis Insiden Keamanan yang Umum

Insiden keamanan mencakup berbagai macam ancaman dan pelanggaran keamanan yang bisa dihadapi oleh bisnis. Beberapa insiden keamanan yang umum meliputi:

  • Serangan akses tidak sah. Insiden siber ini melibatkan upaya tidak sah oleh penjahat dunia maya untuk mengakses sistem atau data menggunakan akun pengguna yang sah. Upaya ini bisa dilakukan melalui serangan brute-force, serangan phishing, atau eksploitasi kata sandi lainnya untuk mencuri informasi sensitif.
  • Infeksi malware. Malware adalah perangkat lunak berbahaya yang dapat menginfeksi sistem dan membahayakan keamanannya. Insiden malware melibatkan infiltrasi sistem oleh virus, worm, ransomware, atau jenis perangkat lunak berbahaya lainnya.
  • Eskalasai hak akses (privilege escalation). Serangan privilege escalation terjadi ketika penyerang berusaha mendapatkan akses tidak sah ke jaringan organisasi dan berupaya memperoleh hak istimewa tambahan melalui eksploitasi. Jika berhasil, penyerang mendapatkan hak akses lebih dari pengguna biasa. Biasanya serangan ini terjadi setelah hacker berhasil membobol endpoint keamanan organisasi melalui akun pengguna dengan hak akses rendah.
  • Serangan denial-of-service. Serangan DoS dirancang untuk membanjiri sistem atau jaringan dengan lalu lintas berlebihan sehingga tidak dapat digunakan oleh pengguna yang sah.
  • Serangan phishing. Ini adalah jenis serangan rekayasa sosial di mana pelaku menyamar sebagai entitas terpercaya melalui email untuk membagikan kode berbahaya atau tautan, dengan tujuan mencuri kredensial login atau detail akun korban. Variasi yang lebih canggih disebut serangan spear phishing, di mana pelaku meluangkan waktu untuk meneliti korban agar pendekatan pencurian informasinya lebih terarah dan efektif.
  • Ancaman dari dalam (insider threats). Ini mencakup berbagai kompromi yang dilakukan oleh individu dalam organisasi, baik disengaja maupun tidak, yang bisa menimbulkan risiko keamanan. Contohnya, karyawan yang tidak puas bisa melakukan serangan dari dalam.
  • Konfigurasi keamanan yang salah. Kesalahan konfigurasi dalam sistem, jaringan, atau aplikasi dapat membuka celah yang bisa dimanfaatkan oleh hacker.
  • Ancaman persisten tingkat lanjut (APT). Sebuah APT adalah serangan yang canggih dan berlangsung lama, melibatkan infiltrasi tersembunyi, kehadiran yang berkelanjutan, dan eksploitasi sistem atau jaringan secara terarah.
  • Serangan pada aplikasi web. Insiden ini terjadi saat aplikasi web dimanfaatkan dalam serangan. Serangan aplikasi web biasanya melibatkan eksploitasi celah pada kode dan melewati mekanisme autentikasi. Salah satu contohnya adalah serangan cross-site scripting (XSS), di mana penyerang menyisipkan data seperti skrip berbahaya ke dalam konten dari situs web terpercaya.

Cara Merespons Insiden Keamanan

Karena pelanggaran keamanan adalah bagian dari insiden keamanan, alat dan teknik untuk menanganinya pun serupa. Dalam semua kasus, tujuannya adalah mengendalikan atau menyelesaikan insiden secepat mungkin.

Organisasi bisa menggunakan alat dan teknik berikut untuk merespons insiden keamanan:

  • Kumpulkan tim. Koordinasikan tim pakar keamanan untuk menilai tingkat keparahan insiden, berkomunikasi dengan manajemen, dan melakukan mitigasi.
  • Identifikasi, evaluasi, dan isolasi insiden. Cari tahu apa yang sudah dikompromikan. Jika ada jaringan yang terinfeksi sementara jaringan lain masih aman, segera isolasi sistem dan jaringan yang terdampak agar infeksi tidak menyebar. Pastikan juga semua data di jaringan yang terinfeksi tetap disimpan untuk analisis lebih lanjut.
  • Pulihkan dan kembalikan sistem. Jika sistem atau jaringan terlalu rusak sehingga tidak bisa beroperasi dengan aman, lakukan pemulihan bencana penuh dan failover.
  • Beritahu pihak yang terdampak. Jika data pelanggan, klien, atau pasien bocor dalam insiden tersebut, beri tahu mereka dan tawarkan layanan mitigasi jika diperlukan.
  • Atasi masalah internal. Jika serangan berasal dari karyawan internal, segera hubungi HRD untuk mengambil tindakan yang sesuai.
  • Publikasikan informasi. Koordinasikan dengan tim pemasaran dan hubungan masyarakat untuk penyampaian pesan kepada media atau publik.
  • Lakukan post-mortem insiden keamanan. Setelah insiden selesai ditangani, tinjau apa yang terjadi, bagaimana bisa terjadi, dan langkah-langkah apa yang perlu diambil agar kejadian serupa tidak terulang. Update kebijakan dan praktik jika diperlukan.
  • Evaluasi kinerja tim. Tim keamanan harus mengevaluasi berapa lama waktu yang dibutuhkan untuk mendeteksi, merespons, dan menyelesaikan insiden, serta mengevaluasi apa yang bisa dilakukan lebih baik ke depannya.

Cara Mencegah Insiden Keamanan

Metode dan alat untuk mencegah insiden keamanan antara lain:

  • Latih karyawan secara rutin agar mereka familiar dengan standar dan praktik keamanan perusahaan.
  • Gunakan auditor internal maupun eksternal untuk meninjau kebijakan dan praktik keamanan TI, termasuk uji penetrasi dan uji kerentanan pada jaringan dan sistem.
  • Pastikan patch keamanan pada hardware dan software diterapkan segera setelah tersedia.
  • Monitor fasilitas fisik, termasuk akses ke pusat data, lemari arsip, dan area penyimpanan dokumen sensitif lainnya.
  • Monitor dan log aktivitas pengguna dan data pada jaringan, workstation, dan perangkat internet of things (IoT). Gunakan alert otomatis real-time untuk mendeteksi ancaman dan pelanggaran keamanan.
  • Seleksi vendor dengan ketat untuk memastikan kepatuhan terhadap standar keamanan dan tata kelola perusahaan.
  • Buat perjanjian dengan mitra bisnis untuk membatasi berbagi informasi rahasia tanpa izin eksplisit dari perusahaan Anda.
  • Terapkan kontrol akses yang ketat, hanya berikan akses data sensitif kepada pengguna yang berwenang saja.
  • Promosikan penggunaan autentikasi multifaktor (MFA) di kalangan karyawan untuk menambahkan lapisan verifikasi ekstra.
  • Enkripsi laptop dan perangkat mobile, serta pastikan perlindungan terhadap perangkat yang hilang atau dicuri.
  • Terus update informasi dengan bergabung dalam komunitas keamanan dan menghadiri konferensi untuk mengikuti tren ancaman dan praktik terbaik terbaru.

Proses dan Alat untuk Membantu Manajemen Insiden Keamanan

Ada banyak alat dan penyedia layanan insiden komersial yang tersedia untuk membantu menangani insiden keamanan. Contohnya:

  • Alat deteksi dan respons endpoint (EDR). EDR menganalisis perangkat endpoint seperti laptop, desktop, dan ponsel untuk mendeteksi insiden keamanan di pinggiran jaringan perusahaan, sangat berguna untuk lingkungan IoT. Contohnya: CrowdStrike Falcon dan Symantec Endpoint Detection and Response.
  • Alat manajemen informasi dan event keamanan (SIEM). SIEM mengumpulkan dan menganalisis data log dari berbagai sumber seperti perangkat jaringan, server, dan aplikasi. Alat ini memberikan peringatan, mengorelasikan event, dan mengidentifikasi pola. Contoh: IBM Security QRadar, McAfee SIEM, dan SolarWinds Security Event Manager.
  • Software respons insiden. Template perencanaan respons insiden membantu organisasi dalam menyusun rencana respons insiden keamanan skala perusahaan. Contoh penyedia: BlueVoyant dan Exabeam.
  • Alat orkestrasi, otomatisasi, dan respons keamanan (SOAR). Alat SOAR mengotomatisasi respons insiden dengan mengintegrasikan berbagai alat keamanan dan mengelola tugas berulang, membuat respons lebih cepat dan efisien. Contoh: Palo Alto Networks Cortex XSOAR, Splunk Phantom, dan Swimlane.
  • Alat manajemen ancaman terpadu (UTM). UTM menyediakan fitur keamanan lengkap seperti firewall, antivirus, IDS/IPS, VPN, dan intelijen ancaman dalam satu platform. Contoh: Check Point Next Generation Firewall, Cisco Meraki, dan WatchGuard Network Security.
  • Software pelatihan keamanan. Software ini membantu karyawan memahami praktik keamanan yang efektif. Tapi tetap harus dilengkapi dengan pelatihan internal seperti orientasi karyawan baru dan pelatihan keamanan tahunan. Contoh platform: Infosec IQ dari Infosec Institute, Proofpoint Security Awareness Training, dan SANS Institute.
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *