Buku Panduan Respons Insiden SOC Security Operations Center untuk Pemerintah Daerah

Arreza MP Juli 08, 2025 0 Komentar

  Ebook Strategi Keamanan Siber untuk Pemerintah Daerah - Transformasi Digital Aman dan Terpercaya

baca juga : Ebook Strategi Keamanan Siber untuk Pemerintah Daerah - Transformasi Digital Aman dan Terpercaya Buku Digital Saku Panduan untuk Pemda

Buku Panduan Respons Insiden SOC Security Operations Center untuk Pemerintah Daerah

Buku Panduan Respons Insiden SOC 1: Infeksi Ransomware

Skenario Titik akhir atau server menunjukkan tanda-tanda aktivitas ransomware seperti enkripsi file, catatan tebusan, atau peringatan dari alat EDR/XDR.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Malware - Ransomware
  • Tingkat Keparahan: Tinggi
  • Prioritas: Kritis (karena potensi dampak bisnis dan kehilangan data)
  • Sumber Deteksi: EDR/XDR, SIEM, Laporan Pengguna, Antivirus, NDR

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Strategi pencadangan dan pemulihan
    • Alat/Tindakan: Pencadangan offline berkala, pengujian pemulihan
  • Tugas: Perlindungan titik akhir
    • Alat/Tindakan: EDR dengan deteksi perilaku dan fitur rollback
  • Tugas: Pelatihan kesadaran pengguna
    • Alat/Tindakan: Edukasi penanganan email dan media USB
  • Tugas: Cakupan pencatatan
    • Alat/Tindakan: Log Windows, Sysmon, log akses file, aliran jaringan
  • Tugas: Langganan IOC dan umpan ancaman
    • Alat/Tindakan: Sertakan indikator spesifik ransomware

2. Deteksi & Analisis

  • Langkah: Konfirmasi aktivitas ransomware
    • Tindakan: Peringatan EDR, keberadaan catatan tebusan, ekstensi file terenkripsi
  • Langkah: Isolasi host yang terpengaruh
    • Tindakan: Putuskan sambungan dari jaringan atau gunakan containment EDR
  • Langkah: Identifikasi jenis ransomware
    • Tindakan: Berdasarkan catatan tebusan, hash file, atau pola nama file
  • Langkah: Analisis log dan perilaku
    • Tindakan: Lacak sumber eksekusi, pergerakan lateral, tugas atau layanan terjadwal yang mencurigakan
  • Langkah: Pemetaan MITRE ATT&CK
    • Tindakan: T1486 (Data Terenkripsi untuk Dampak), T1059 (Eksekusi Perintah), T1021.002 (Pergerakan Lateral SMB)

3. Penahanan

  • Langkah: Isolasi sistem yang terpengaruh
    • Tindakan: Blokir di switch, firewall atau melalui EDR
  • Langkah: Nonaktifkan akun yang terinfeksi
    • Tindakan: Terutama jika digunakan untuk pergerakan lateral
  • Langkah: Blokir komunikasi eksternal
    • Tindakan: Cegah C2 dan pertukaran kunci melalui internet
  • Langkah: Snapshot sistem yang terdampak
    • Tindakan: Untuk analisis forensik (jika diperlukan)

4. Pemberantasan

  • Langkah: Hapus artefak malware
    • Tindakan: Hapus file ransomware, script, tugas terjadwal
  • Langkah: Perbaiki kerentanan
    • Tindakan: Atasi attack vector yang dieksploitasi seperti RDP, SMB, perangkat lunak usang
  • Langkah: Lakukan pemindaian antivirus/EDR penuh
    • Tindakan: Di semua host dalam VLAN/subnet yang terpengaruh
  • Langkah: Validasi penghapusan
    • Tindakan: Pastikan tidak ada mekanisme persistence yang tersisa (registry keys, startup items, layanan)

5. Pemulihan

  • Langkah: Pulihkan dari cadangan bersih
    • Tindakan: Konfirmasikan cadangan tidak terpengaruh sebelum pemulihan
  • Langkah: Bangun kembali sistem jika diperlukan
    • Tindakan: Untuk sistem tanpa cadangan bersih
  • Langkah: Pantau sistem yang dipulihkan
    • Tindakan: Gunakan SIEM dan EDR untuk memastikan tidak terjadi infeksi ulang
  • Langkah: Setel ulang kata sandi
    • Tindakan: Terutama untuk pengguna yang memiliki hak istimewa dan terpengaruh

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan tinjauan pasca-insiden
    • Tindakan: Analisis akar masalah, metode akses awal, dan efisiensi respons
  • Langkah: Perbarui aturan deteksi
    • Tindakan: Tingkatkan aturan dan pemicu korelasi SIEM dan EDR
  • Langkah: Dokumentasikan temuan
    • Tindakan: Sertakan indikator, sistem yang terpengaruh, dan garis waktu
  • Langkah: Bagikan IOC
    • Tindakan: Secara internal dan dengan komunitas threat intel jika diizinkan

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Splunk, QRadar, Sentinel)
  • EDR/XDR (misalnya, CrowdStrike, Cortex XDR, SentinelOne)
  • Alat forensik (misalnya, FTK, Velociraptor, KAPE) Log jaringan (misalnya, Zeek, Suricata, NetFlow)
  • Sistem cadangan (misalnya, Veeam, Rubrik, Commvault)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <10 menit dari awal enkripsi
  • Metrik: Waktu Isolasi
    • Target: <15 menit setelah deteksi
  • Metrik: Waktu Pemulihan
    • Target: Tergantung ketersediaan cadangan, idealnya <24 jam
  • Metrik: Lingkup Penahanan
    • Target: Tidak ada pergerakan lateral di luar VLAN asli

Buku Panduan Respons Insiden SOC 2: Eksfiltrasi Data Orang Dalam

Skenario Seorang karyawan internal, kontraktor, atau pengguna dengan hak istimewa mencoba atau berhasil mengeksfiltrasi data sensitif melalui saluran yang tidak sah seperti email pribadi, penyimpanan

cloud, media yang dapat dilepas, atau alat transfer file.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Ancaman Orang Dalam - Eksfiltrasi Data
  • Tingkat Keparahan: Tinggi (terutama untuk data yang diatur atau rahasia)
  • Prioritas: Tinggi hingga Kritis
  • Sumber Deteksi: DLP, SIEM, log Proksi, CASB, EDR, Email gateway

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Definisikan kategori data sensitif
    • Alat/Tindakan: Klasifikasikan file: PII, data keuangan, rahasia dagang
  • Tugas: Implementasi DLP
    • Alat/Tindakan: Tetapkan kebijakan deteksi pada endpoint, jaringan, email
  • Tugas: Pemantauan aktivitas
    • Alat/Tindakan: Catat akses pengguna, transfer file, dan penggunaan aplikasi cloud
  • Tugas: Pelatihan risiko orang dalam
    • Alat/Tindakan: Edukasi karyawan tentang penanganan data yang dapat diterima
  • Tugas: Penegakan kontrol akses
    • Alat/Tindakan: Akses berbasis peran, hak istimewa paling rendah, segmentasi

2. Deteksi & Analisis

  • Langkah: Pemicu peringatan deteksi
    • Tindakan: Pelanggaran DLP, unduhan abnormal, lampiran email besar, unggahan file yang tidak biasa
  • Langkah: Analisis log akses
    • Tindakan: Cari akses file, waktu transfer, dan tujuan
  • Langkah: Selidiki pengguna
    • Tindakan: Periksa eskalasi hak istimewa, anomali waktu login, upaya akses yang gagal
  • Langkah: Konfirmasi niat atau kesalahan konfigurasi
    • Tindakan: Tentukan apakah tindakan itu berbahaya, tidak disengaja, atau celah kebijakan
  • Langkah: Pemetaan MITRE ATT&CK
    • Tindakan: T1020 (Eksfiltrasi Otomatis), T1048 (Eksfiltrasi melalui Protokol Alternatif), T1537 (Transfer Data ke Akun Cloud)

3. Penahanan

  • Langkah: Tangguhkan akses pengguna
    • Tindakan: Nonaktifkan sementara akun jika risiko tinggi
  • Langkah: Blokir saluran eksfiltrasi
    • Tindakan: Batalkan berbagi cloud, blokir email ke domain eksternal, nonaktifkan port USB
  • Langkah: Isolasi endpoint
    • Tindakan: Jika malware mencurigakan berada di perangkat pengguna
  • Langkah: Pertahankan bukti forensik
    • Tindakan: Jangan matikan sistem kecuali diperlukan; tangkap data volatil jika memungkinkan

4. Pemberantasan

  • Langkah: Hapus alat yang tidak sah
    • Tindakan: Misalnya, aplikasi transfer file pribadi, ekstensi rogue
  • Langkah: Terapkan kebijakan yang lebih ketat
    • Tindakan: Sesuaikan aturan DLP atau aturan firewall untuk memblokir upaya berulang
  • Langkah: Koreksi izin yang salah konfigurasi
    • Tindakan: Kurangi berbagi data yang terlalu terbuka, akses tingkat folder

5. Pemulihan

  • Langkah: Pulihkan akses (jika dibenarkan)
    • Tindakan: Setelah mengkonfirmasi tidak ada ancaman yang berkelanjutan
  • Langkah: Beri tahu stakeholder
    • Tindakan: Tim hukum, HR, kepatuhan, dan manajemen
  • Langkah: Lakukan penilaian dampak
    • Tindakan: Konfirmasikan apakah data benar-benar dieksfiltrasi dan sensitivitasnya

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Dokumentasikan insiden
    • Tindakan: Garis waktu, jenis data, niat aktor, sistem yang digunakan
  • Langkah: Perkuat pemantauan
    • Tindakan: Tingkatkan peringatan pada jenis file dan metode transfer tertentu
  • Langkah: Lakukan pelatihan pengguna atau tindakan disipliner
    • Tindakan: Jika insiden dikonfirmasi berbahaya atau lalai
  • Langkah: Laporkan kepada regulator
    • Tindakan: Jika diwajibkan oleh hukum (misalnya, PDPA, GDPR, HIPAA)
  • Langkah: Perbarui kebijakan ancaman orang dalam
    • Tindakan: Gabungkan wawasan baru ke dalam prosedur keamanan

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Splunk, IBM QRadar, Microsoft Sentinel)
  • Sistem DLP (misalnya, Symantec, Forcepoint, Microsoft Purview)
  • CASB (misalnya, Netskope, Microsoft Defender for Cloud Apps) Agen

endpoint (misalnya, EDR dengan pemantauan transfer data)

  • Log proksi &

firewall

  • Email Security Gateway (misalnya, Proofpoint, Mimecast)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <10 menit dari transfer data
  • Metrik: Waktu Investigasi
    • Target: <1 jam dari peringatan
  • Metrik: Waktu Penahanan
    • Target: <30 menit
  • Metrik: Waktu Respons Regulasi
    • Target: Dalam jangka waktu hukum yang disyaratkan (misalnya, 72 jam)

Buku Panduan Respons Insiden SOC 3: Kompromi Akun Cloud

Skenario Penyerang mendapatkan akses tidak sah ke akun cloud pengguna, kemungkinan melalui phishing, password spraying, pencurian token, atau penyalahgunaan OAuth. Penyerang dapat mengakses email, penyimpanan, fungsi admin, atau infrastruktur

cloud.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Kompromi Identitas - Akun Cloud
  • Tingkat Keparahan: Tinggi (terutama jika akun privileged terlibat)
  • Prioritas: Kritis jika pergerakan lateral atau akses data diamati
  • Sumber Deteksi: SIEM, CASB, Cloud-native logging (misalnya, AWS CloudTrail, Azure AD), Email gateway, EDR

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Aktifkan cloud logging
    • Alat/Tindakan: Gunakan AWS CloudTrail, log Masuk Azure, log audit Google Workspace
  • Tugas: Implementasikan MFA
    • Alat/Tindakan: Wajibkan untuk semua pengguna, terutama akun privileged
  • Tugas: Pantau perilaku pengguna
    • Alat/Tindakan: Integrasikan log cloud ke SIEM, gunakan deteksi anomali
  • Tugas: Atur pembatasan geografis dan peringatan masuk
    • Alat/Tindakan: Peringatkan tentang perjalanan yang tidak mungkin atau akses pertama kali dari IP yang tidak dikenal
  • Tugas: Terapkan least privilege
    • Alat/Tindakan: Gunakan kebijakan RBAC dan audit izin reguler

2. Deteksi & Analisis

  • Langkah: Deteksi anomali masuk
    • Tindakan: Gagal masuk, perjalanan yang tidak mungkin, peringatan bypass MFA
  • Langkah: Korelasikan dengan intelijen ancaman
    • Tindakan: Cocokkan IP, user agent, atau domain dengan umpan IOC
  • Langkah: Periksa log akses
    • Tindakan: Tinjau aktivitas kotak surat, penyimpanan, IAM, atau API setelah kompromi
  • Langkah: Cari eskalasi hak istimewa
    • Tindakan: Identifikasi apakah penyerang mencoba mendapatkan lebih banyak akses atau membuat akun backdoor

3. Penahanan

  • Langkah: Cabut sesi dan token
    • Tindakan: Batalkan semua sesi aktif, token OAuth, dan refresh token
  • Langkah: Setel ulang kata sandi
    • Tindakan: Terapkan kata sandi yang kuat dan aktifkan MFA jika belum diaktifkan
  • Langkah: Tangguhkan akun
    • Tindakan: Jika kompromi dikonfirmasi dan dampaknya tinggi
  • Langkah: Blokir alamat IP
    • Tindakan: Jika penyerang menggunakan IP yang diketahui buruk atau TOR exit nodes

4. Pemberantasan

  • Langkah: Hapus aturan kotak masuk berbahaya atau otomatisasi
    • Tindakan: Bersihkan aturan penerusan otomatis, filter kotak masuk, dan perubahan berbagi kalender
  • Langkah: Nonaktifkan aplikasi rogue
    • Tindakan: Cabut persetujuan untuk aplikasi pihak ketiga yang tidak sah
  • Langkah: Tinjau peran admin
    • Tindakan: Kembalikan akses admin yang tidak sah atau perubahan hak istimewa
  • Langkah: Pulihkan data yang dimodifikasi
    • Tindakan: Jika terjadi masalah integritas (misalnya, penghapusan kotak surat, penggantian file S3)

5. Pemulihan

  • Langkah: Aktifkan kembali akses akun
    • Tindakan: Setelah memastikan kontrol penuh dipulihkan dan tidak ada persistence yang tersisa
  • Langkah: Beri tahu pengguna atau stakeholder yang terpengaruh
    • Tindakan: Terutama jika terjadi kompromi email bisnis (BEC)
  • Langkah: Pantau anomali masuk pasca-pemulihan
    • Tindakan: Gunakan SIEM atau CASB untuk mendeteksi upaya penggunaan kembali atau serangan terkait
  • Langkah: Perbarui kebijakan akses
    • Tindakan: Sempurnakan akses bersyarat, session timeout, dan aturan penegakan MFA

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan analisis akar masalah
    • Tindakan: Phishing, kata sandi lemah, pencurian token, kesalahan konfigurasi
  • Langkah: Perbarui playbook dan aturan deteksi
    • Tindakan: Tambahkan indikator dan logika yang ditingkatkan ke aturan SIEM atau CASB

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Microsoft Sentinel, Splunk, QRadar)
  • Log

cloud-native (misalnya, AWS CloudTrail, Azure Log Analytics, log audit Google Workspace)

  • CASB (misalnya, Netskope, Microsoft Defender for Cloud Apps)
  • Cloud Security Posture Management (misalnya, Wiz, Prisma Cloud)
  • EDR/XDR dengan korelasi identitas (misalnya, CrowdStrike, Cortex XDR)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <15 menit dari login mencurigakan
  • Metrik: Waktu Respons
    • Target: <1 jam untuk mengunci dan mengatur ulang kredensial
  • Metrik: Waktu Penahanan
    • Target: <30 menit setelah konfirmasi
  • Metrik: Periode Pemantauan Pasca-insiden
    • Target: Minimum 7-14 hari

Buku Panduan Respons Insiden SOC 4: Eksploitasi Aplikasi Web

Skenario Seorang penyerang mengeksploitasi kerentanan dalam aplikasi atau server web untuk mendapatkan akses tidak sah, menjalankan perintah, atau mengekstrak data sensitif. Serangan dapat dideteksi melalui peringatan WAF, log SIEM, atau perilaku anomali.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Serangan Lapisan Aplikasi
  • Tingkat Keparahan: Tinggi hingga Kritis (tergantung pada paparan data atau pergerakan lateral)
  • Prioritas: Tinggi
  • Sumber Deteksi: Web Application Firewall (WAF), SIEM, IDS/IPS, log server web, Alat pemantauan cloud

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Lakukan penilaian kerentanan rutin
    • Alat/Tindakan: Gunakan alat seperti Nexpose, Tenable, atau Burp Suite
  • Tugas: Implementasikan WAF
    • Alat/Tindakan: Konfigurasi set aturan OWASP top 10 (misalnya, ModSecurity, Cloudflare, AWS WAF)
  • Tugas: Catat lalu lintas HTTP
    • Alat/Tindakan: Pastikan pencatatan yang tepat dari server web, server aplikasi, dan proxy
  • Tugas: Manajemen patch
    • Alat/Tindakan: Otomatisasi siklus patch untuk framework web, plugin, dan platform
  • Tugas: Tinjauan kode & integrasi DevSecOps
    • Alat/Tindakan: Integrasikan alat SAST/DAST ke dalam pipeline CI/CD

2. Deteksi & Analisis

  • Langkah: Peringatan dari WAF atau SIEM
    • Tindakan: SQL injection, RCE, XSS, upaya LFI/RFI
  • Langkah: Tinjau log
    • Tindakan: Analisis permintaan HTTP, respons server, kode kesalahan yang tidak biasa (misalnya, 500, 403)
  • Langkah: Validasi input payloads
    • Tindakan: Konfirmasi attack vector melalui payload (misalnya, 'OR 1=1−−, )

3. Penahanan

  • Langkah: Blokir IP penyerang
    • Tindakan: Gunakan WAF, firewall atau reverse proxy untuk memblokir IP sumber
  • Langkah: Nonaktifkan fungsi web yang terpengaruh
    • Tindakan: Matikan sementara modul atau API yang rentan
  • Langkah: Isolasi server aplikasi
    • Tindakan: Putuskan sambungan dari jaringan internal jika pergerakan lateral dicurigai
  • Langkah: Cabut session token
    • Tindakan: Jika sesi pengguna atau cookie diyakini telah dibajak

4. Pemberantasan

  • Langkah: Hapus script atau shell berbahaya
    • Tindakan: Cari web shell, reverse shell listener atau backdoor
  • Langkah: Perbaiki kerentanan yang dieksploitasi
    • Tindakan: Perbarui kode, platform, plugin atau kesalahan konfigurasi
  • Langkah: Perkuat aplikasi
    • Tindakan: Implementasikan validasi input, sanitasi, parameterized queries
  • Langkah: Pindai seluruh stack aplikasi
    • Tindakan: Validasi ulang dengan vulnerability scanner yang diperbarui untuk mengkonfirmasi perbaikan

5. Pemulihan

  • Langkah: Pulihkan layanan
    • Tindakan: Aktifkan kembali aplikasi setelah mengkonfirmasi status bersih
  • Langkah: Pantau pasca-pemulihan
    • Tindakan: Amati log dengan cermat untuk upaya berulang atau akses backdoor
  • Langkah: Beri tahu pengguna atau pelanggan yang terpengaruh
    • Tindakan: Jika terjadi pelanggaran data, patuhi persyaratan pengungkapan
  • Langkah: Lakukan retest
    • Tindakan: Konfirmasi tidak ada akses residual atau risiko eksploitasi ulang

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan analisis akar masalah
    • Tindakan: Identifikasi cacat pengkodean, kesalahan konfigurasi, atau patch delay
  • Langkah: Perbarui aturan SIEM dan WAF
    • Tindakan: Tambahkan deteksi kustom berdasarkan exploit vector yang diamati
  • Langkah: Tingkatkan praktik pengkodean aman
    • Tindakan: Lakukan pelatihan penyegaran untuk pengembang tentang OWASP Top 10
  • Langkah: Dokumentasikan garis waktu insiden
    • Tindakan: Sertakan waktu deteksi, TTP, dampak, dan langkah-langkah mitigasi
  • Langkah: Laporkan sesuai kebutuhan
    • Tindakan: Jika data pribadi terpengaruh, laporkan kepada regulator atau pelanggan

Alat yang Biasanya Terlibat

  • WAF (misalnya, ModSecurity, AWS WAF, Cloudflare)
  • SIEM (misalnya, Splunk, Sentinel, QRadar)
  • Log server web (misalnya, Apache, Nginx)
  • Vulnerability scanner (misalnya, Nessus, Qualys, Nikto)
  • EDR/XDR (jika terjadi pergerakan lateral)
  • Alat forensik (jika

shell atau kompromi sistem dicurigai)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <5 menit dari peringatan WAF/SIEM
  • Metrik: Waktu Penahanan
    • Target: <30 menit dari konfirmasi
  • Metrik: Waktu Perbaikan Kerentanan
    • Target: <24 jam (kritis) atau <7 hari (tinggi)
  • Metrik: Waktu Pengujian Ulang Pasca-Insiden
    • Target: Dalam 48 jam setelah pemulihan

Buku Panduan Respons Insiden SOC 5: Serangan Rantai Pasokan

Skenario Sebuah organisasi dikompromikan melalui layanan pihak ketiga terpercaya, pembaruan perangkat lunak, library, plugin, atau penyedia layanan IT. Penyerang menggunakan hubungan yang dipercaya untuk bergerak lateral, menyebarkan

malware, atau mengeksfiltrasi data.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Kompromi Rantai Pasokan
  • Tingkat Keparahan: Kritis (karena eksploitasi kepercayaan tidak langsung)
  • Prioritas: Kritis
  • Sumber Deteksi: Intelijen ancaman, SIEM, EDR, laporan kerentanan, anomali sistem

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Pertahankan inventaris pihak ketiga
    • Alat/Tindakan: Daftar semua vendor, penyedia perangkat lunak, dan integrasi
  • Tugas: Lakukan penilaian risiko
    • Alat/Tindakan: Evaluasi tingkat kekritisan dan akses setiap vendor atau dependensi
  • Tugas: Terapkan pembatasan akses
    • Alat/Tindakan: Gunakan segmentasi dan least privilege untuk layanan pihak ketiga
  • Tugas: Pantau perilaku perangkat lunak
    • Alat/Tindakan: Aktifkan pencatatan dan analisis perilaku untuk semua komponen yang terinstal
  • Tugas: Validasi pembaruan perangkat lunak
    • Alat/Tindakan: Gunakan saluran aman dan biner yang ditandatangani untuk aplikasi penting

2. Deteksi & Analisis

  • Langkah: Identifikasi perilaku abnormal
    • Tindakan: Koneksi keluar, perubahan registry, file yang terhapus, eksekusi dari jalur yang tidak terduga
  • Langkah: Verifikasi terhadap intelijen ancaman
    • Tindakan: Periksa IoC terkait dengan pelanggaran rantai pasokan yang diketahui (misalnya, SolarWinds, MOVEit, Kaseya)
  • Langkah: Periksa komponen yang terpengaruh
    • Tindakan: Tentukan apakah pembaruan terbaru atau akses pihak ketiga memicu perilaku tersebut
  • Langkah: Tinjau komunikasi vendor
    • Tindakan: Periksa pengungkapan publik atau pemberitahuan pelanggaran
  • Langkah: Pemetaan MITRE ATT&CK
    • Tindakan: T1195.002 (Kompromi Dependensi Perangkat Lunak), T1195.001 (Kompromi Rantai Pasokan Perangkat Lunak), T1105 (Ingress Tool Transfer)

3. Penahanan

  • Langkah: Putuskan sambungan sistem yang terpengaruh
    • Tindakan: Cegah pergerakan lateral dan komunikasi eksternal
  • Langkah: Tangguhkan integrasi atau layanan
    • Tindakan: Nonaktifkan koneksi ke perangkat lunak vendor, API, atau modul yang terpengaruh
  • Langkah: Blokir biner atau signature berbahaya
    • Tindakan: Gunakan EDR/XDR untuk mencegah eksekusi komponen berbahaya yang diketahui
  • Langkah: Karantina host yang mencurigakan
    • Tindakan: Isolasi endpoint yang berkomunikasi dengan infrastruktur penyerang

4. Pemberantasan

  • Langkah: Hapus file atau pembaruan berbahaya
    • Tindakan: Uninstall atau roll back perangkat lunak yang terinfeksi atau trojanized
  • Langkah: Validasi integritas perangkat lunak
    • Tindakan: Gunakan perbandingan hash atau biner yang ditandatangani vendor
  • Langkah: Hapus backdoor atau persistence
    • Tindakan: Bersihkan registry keys, tugas terjadwal, akun rogue atau alat akses jarak jauh
  • Langkah: Perbarui aturan deteksi
    • Tindakan: Tambahkan IoC baru ke platform SIEM dan EDR untuk deteksi dini kembalinya kejadian

5. Pemulihan

  • Langkah: Instal ulang dari sumber bersih
    • Tindakan: Gunakan media instalasi yang divalidasi atau versi perangkat lunak yang diperbarui
  • Langkah: Pulihkan dari cadangan
    • Tindakan: Hanya jika cadangan diverifikasi tidak terpengaruh
  • Langkah: Bangun kembali koneksi vendor
    • Tindakan: Setelah patching atau validasi oleh penyedia pihak ketiga
  • Langkah: Lanjutkan operasi normal
    • Tindakan: Setelah penahanan dan pemberantasan sepenuhnya diverifikasi

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan tinjauan pasca-insiden
    • Tindakan: Tentukan garis waktu, jalur serangan, keterlibatan vendor
  • Langkah: Perbarui program risiko pihak ketiga
    • Tindakan: Perkenalkan aturan onboarding, auditing, dan segmentasi yang lebih ketat
  • Langkah: Informasikan stakeholder
    • Tindakan: Beri tahu manajemen, tim hukum, dan unit bisnis yang terpengaruh
  • Langkah: Berkolaborasi dengan vendor
    • Tindakan: Bagikan temuan dan minta pengungkapan penuh tentang status mitigasi mereka
  • Langkah: Laporkan jika diperlukan
    • Tindakan: Kewajiban regulasi dan kontraktual (misalnya, PDPA, GDPR, SLA pelanggan)

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Splunk, Sentinel, QRadar)
  • EDR/XDR (misalnya, CrowdStrike, Cortex XDR)
  • Platform intelijen ancaman (misalnya, MISP, Recorded Future)
  • Validasi integritas perangkat lunak (misalnya,

sigcheck, alat hashing file)

  • Alat manajemen konfigurasi (misalnya, SCCM, Ansible, JAMF)

Metrik Keberhasilan

  • Metrik: Waktu Respons Pemberitahuan Vendor
    • Target: Dalam 24 jam setelah pengungkapan vendor yang diketahui
  • Metrik: Waktu Deteksi Kompromi
    • Target: <6 jam setelah tanda-tanda awal
  • Metrik: Waktu Isolasi & Penahanan
    • Target: <2 jam setelah konfirmasi
  • Metrik: Waktu Penyelesaian Remediasi
    • Target: Dalam 48–72 jam untuk sistem kritis
  • Metrik: Penyelesaian Penilaian Ulang Pihak Ketiga
    • Target: Dalam 7 hari setelah penutupan insiden

Buku Panduan Respons Insiden SOC 6: Malware via Perangkat USB

Skenario Perangkat lunak berbahaya diperkenalkan ke lingkungan melalui perangkat penyimpanan USB yang terinfeksi. Ini mungkin termasuk

malware autorun, ransomware, keylogger, atau alat yang digunakan untuk membangun persistence atau mengeksfiltrasi data.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Infeksi Malware Berbasis Media Fisik
  • Tingkat Keparahan: Sedang hingga Tinggi (tergantung jenis dan penyebaran malware)
  • Prioritas: Tinggi jika pergerakan lateral atau data sensitif terlibat
  • Sumber Deteksi: EDR, antivirus/antimalware, SIEM, laporan pengguna, alat pemantauan USB

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Nonaktifkan autorun USB
    • Alat/Tindakan: Pengaturan Kebijakan Grup atau pengerasan endpoint
  • Tugas: Implementasikan perangkat lunak kontrol USB
    • Alat/Tindakan: Hanya izinkan perangkat yang sah; log penyisipan USB
  • Tugas: Terapkan perlindungan endpoint
    • Alat/Tindakan: EDR dengan perlindungan media yang dapat dilepas dan deteksi perilaku
  • Tugas: Edukasi pengguna
    • Alat/Tindakan: Latih staf untuk tidak mencolokkan drive USB yang tidak dikenal
  • Tugas: Catat penggunaan USB
    • Alat/Tindakan: Aktifkan kebijakan audit untuk aktivitas media yang dapat dilepas

2. Deteksi & Analisis

  • Langkah: Deteksi aktivitas malware
    • Tindakan: Peringatan dari antivirus, EDR, atau SIEM tentang eksekusi proses dari USB
  • Langkah: Identifikasi peristiwa USB
    • Tindakan: Tinjau log untuk peristiwa usb-storage, DevicePlugEvent atau Removable Storage Device
  • Langkah: Analisis asal file
    • Tindakan: Tentukan apakah eksekusi dimulai dari drive USB (misalnya, drive D:\ atau E:)
  • Langkah: Kumpulkan indikator
    • Tindakan: Hashes, nama file, rantai eksekusi, sistem yang terpengaruh
  • Langkah: Pemetaan MITRE ATT&CK
    • Tindakan: T1200 (Hardware Additions), T1091 (Replication Through Removable Media), T1059 (Command and Scripting Interpreter)

3. Penahanan

  • Langkah: Isolasi sistem yang terinfeksi
    • Tindakan: Putuskan sambungan jaringan dan port USB untuk mencegah penyebaran
  • Langkah: Hapus perangkat USB
    • Tindakan: Pertahankan untuk investigasi forensik jika diperlukan
  • Langkah: Blokir hash file berbahaya
    • Tindakan: Dalam sistem EDR atau AV di seluruh organisasi
  • Langkah: Identifikasi sistem lain yang terpapar
    • Tindakan: Pindai infeksi serupa atau jalur pergerakan lateral bersama

4. Pemberantasan

  • Langkah: Hapus malware
    • Tindakan: Gunakan alat EDR atau AV untuk membersihkan file dan proses yang terinfeksi
  • Langkah: Hapus file mencurigakan
    • Tindakan: Dari folder sementara, direktori startup, atau root drive USB
  • Langkah: Hapus mekanisme persistence
    • Tindakan: Periksa registry run keys, tugas terjadwal, layanan
  • Langkah: Lakukan pemindaian malware penuh
    • Tindakan: Pada host yang terinfeksi dan sistem terdekat

5. Pemulihan

  • Langkah: Pulihkan sistem
    • Tindakan: Dari cadangan bersih jika diperlukan
  • Langkah: Pulihkan konektivitas
    • Tindakan: Setelah mengkonfirmasi host bersih
  • Langkah: Aktifkan kebijakan USB yang lebih ketat
    • Tindakan: Hanya izinkan perangkat yang diizinkan atau nonaktifkan USB sepenuhnya di lingkungan berisiko tinggi
  • Langkah: Dokumentasikan akar masalah
    • Tindakan: Asal perangkat, pengguna yang terlibat, jenis malware, dampak sistem

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan pelatihan kesadaran
    • Tindakan: Perkuat kebijakan keamanan tentang penggunaan perangkat
  • Langkah: Perbarui kebijakan USB
    • Tindakan: Tingkatkan kontrol endpoint dan prosedur dokumentasi
  • Langkah: Bagikan temuan dengan tim keamanan
    • Tindakan: Tinjau celah deteksi, waktu respons, dan indikator perilaku
  • Langkah: Dokumentasikan laporan insiden
    • Tindakan: Sertakan semua tindakan yang diambil, temuan, dan rekomendasi

Alat yang Biasanya Terlibat

  • Endpoint Detection and Response (misalnya, CrowdStrike, Cortex XDR)
  • Solusi kontrol USB (misalnya, DeviceLock, Endpoint Protector, kebijakan Microsoft Intune)
  • Perangkat lunak

antivirus (misalnya, Windows Defender, Bitdefender, Kaspersky)

  • SIEM untuk pencatatan USB dan eksekusi file
  • Log Peristiwa Windows (

Event ID 2003, 2102 untuk penyisipan perangkat)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <10 menit setelah eksekusi malware USB
  • Metrik: Waktu Isolasi
    • Target: <15 menit setelah konfirmasi
  • Metrik: Waktu Penghapusan Malware
    • Target: <1 jam (jika tidak diperlukan pembangunan ulang sistem)
  • Metrik: Penegakan Kebijakan USB
    • Target: 100% endpoint telah menerapkan kebijakan
  • Metrik: Tingkat Kesadaran Pengguna
    • Target: ≥ 90% pengguna menyadari risiko USB pasca-pelatihan

Buku Panduan Respons Insiden SOC 7: Serangan DDoS

Skenario Seorang penyerang eksternal meluncurkan serangan distributed denial-of-service (DDoS) yang menargetkan infrastruktur yang menghadap publik seperti situs web, API, server DNS, atau gateway jaringan. Tujuannya adalah untuk mengganggu ketersediaan layanan, menurunkan kinerja, atau menyebabkan kerusakan reputasi dan finansial.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Serangan Ketersediaan Lapisan Jaringan/Aplikasi
  • Tingkat Keparahan: Tinggi (terutama untuk sistem yang menghadap pelanggan atau sistem penting)
  • Prioritas: Kritis jika terjadi pemadaman berkelanjutan atau penurunan layanan
  • Sumber Deteksi: Peringatan NOC, SIEM, log firewall, alat pemantauan aplikasi, CDN/WAF, pemberitahuan ISP

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Implementasikan perlindungan DDoS
    • Alat/Tindakan: Gunakan layanan mitigasi berbasis cloud (misalnya, Cloudflare, AWS Shield, Akamai)
  • Tugas: Terapkan WAF dan pembatasan rate
    • Alat/Tindakan: Lindungi aplikasi dan API
  • Tugas: Pastikan infrastruktur yang dapat diskalakan
    • Alat/Tindakan: Gunakan kelompok autoscaling atau caching CDN untuk menyerap lonjakan
  • Tugas: Bangun komunikasi dengan ISP
    • Alat/Tindakan: Pra-definisikan proses eskalasi dan dukungan mitigasi
  • Tugas: Lakukan latihan DDoS
    • Alat/Tindakan: Simulasikan skenario DDoS dan validasi prosedur respons

2. Deteksi & Analisis

  • Langkah: Identifikasi lonjakan lalu lintas
    • Tindakan: Pantau bandwidth, rate permintaan, atau jumlah koneksi yang melebihi batas normal
  • Langkah: Tentukan attack vector
    • Tindakan: Apakah itu volumetric (banjir UDP), protokol (banjir SYN), atau lapisan aplikasi (banjir HTTP GET)?
  • Langkah: Korelasikan dengan log
    • Tindakan: Identifikasi IP sumber, user agent, referrer, payload

3. Penahanan

  • Langkah: Libatkan layanan mitigasi DDoS cloud
    • Tindakan: Arahkan lalu lintas melalui penyedia mitigasi (misalnya, Cloudflare Magic Transit)
  • Langkah: Blokir IP berbahaya
    • Tindakan: Gunakan firewall, WAF atau aturan geo-blocking
  • Langkah: Implementasikan pembatasan rate dan filter
    • Tindakan: Jatuhkan lalu lintas berdasarkan batas rate atau pola tertentu
  • Langkah: Arahkan ulang atau alihkan lalu lintas
    • Tindakan: Alihkan sementara lalu lintas ke IP alternatif atau load balancer

4. Pemberantasan

  • Langkah: Jatuhkan lalu lintas dari sumber berbahaya yang dikonfirmasi
    • Tindakan: Berdasarkan reputasi IP atau pola perilaku
  • Langkah: Sesuaikan aturan pemfilteran
    • Tindakan: Sempurnakan ACL, kebijakan WAF, signature IDS/IPS
  • Langkah: Hapus aturan sementara pasca-serangan
    • Tindakan: Setelah serangan mereda, pulihkan pola akses normal
  • Langkah: Selidiki ancaman campuran
    • Tindakan: Konfirmasikan tidak ada malware atau pergerakan lateral yang terjadi selama gangguan

5. Pemulihan

  • Langkah: Pantau lalu lintas residual
    • Tindakan: Gunakan dashboard NOC dan SIEM untuk melacak anomali pasca-serangan
  • Langkah: Konfirmasi pemulihan layanan
    • Tindakan: Lakukan pengujian penerimaan pengguna atau pemeriksaan kesehatan API
  • Langkah: Beri tahu pelanggan atau mitra yang terpengaruh
    • Tindakan: Jika SLA atau layanan publik terdampak
  • Langkah: Lanjutkan routing normal
    • Tindakan: Jika pengalihan sementara atau black-holing digunakan selama serangan

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan tinjauan insiden
    • Tindakan: Dokumentasikan garis waktu, dampak, strategi penyerang, dan tindakan respons

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Splunk, Sentinel, QRadar)
  • Alat analisis lalu lintas jaringan (misalnya, NetFlow, Zabbix, Ixia)
  • Layanan perlindungan DDoS (misalnya, Cloudflare, AWS Shield, Akamai Kona, Arbor)
  • Firewall/WAF (misalnya, Fortinet, Palo Alto, ModSecurity)
  • Layanan CDN dan DNS (misalnya, Cloudflare, Fastly, Akamai)
  • Dukungan ISP dan saluran koordinasi

Metrik Keberhasilan

  • Metrik: Waktu Deteksi DDoS
    • Target: <5 menit dari awal
  • Metrik: Waktu Keterlibatan Mitigasi
    • Target: <15 menit dari konfirmasi
  • Metrik: Waktu Henti Layanan
    • Target: Nol atau <30 menit
  • Metrik: Waktu Pemberitahuan Pelanggan
    • Target: Dalam 1 jam jika SLA terpengaruh
  • Metrik: Penyelesaian Post-Mortem
    • Target: Dalam 48 jam

Buku Panduan Respons Insiden SOC 8: Kompromi Email Bisnis (BEC)

Skenario Seorang penyerang mendapatkan akses ke atau spoofing akun email bisnis yang sah untuk menipu staf internal, pelanggan, atau mitra agar melakukan transfer dana tidak sah, berbagi kredensial, atau mengubah catatan keuangan. Ini mungkin melibatkan

phishing, pencurian kredensial, atau penyalahgunaan hubungan tepercaya.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Rekayasa Sosial / Kompromi Identitas
  • Tingkat Keparahan: Tinggi hingga Kritis (karena risiko finansial dan reputasi)
  • Prioritas: Kritis
  • Sumber Deteksi: Email gateway, SIEM, EDR, laporan pengguna, log audit email cloud

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Terapkan otentikasi multifaktor (MFA)
    • Alat/Tindakan: Untuk semua akun email bisnis, terutama eksekutif
  • Tugas: Pantau aktivitas kotak surat
    • Alat/Tindakan: Aktifkan log audit cloud untuk Microsoft 365, Google Workspace
  • Tugas: Konfigurasi pemfilteran email
    • Alat/Tindakan: Blokir domain yang di-spoof, implementasikan SPF, DKIM, DMARC
  • Tugas: Lakukan pelatihan anti-phishing
    • Alat/Tindakan: Simulasi phishing dan sesi kesadaran yang sering
  • Tugas: Definisikan proses kontrol keuangan
    • Alat/Tindakan: Verifikasi multi-orang untuk transfer dana atau perubahan faktur

2. Deteksi & Analisis

  • Langkah: Identifikasi aktivitas mencurigakan
    • Tindakan: Lokasi masuk yang tidak biasa, aturan kotak masuk baru, konten email yang tidak terduga
  • Langkah: Analisis header email dan metadata
    • Tindakan: Verifikasi domain pengirim, reputasi IP, alamat reply-to
  • Langkah: Tinjau aturan kotak surat dan log akses
    • Tindakan: Cari penerusan otomatis, filter penghapusan, dan login tidak sah

3. Penahanan

  • Langkah: Cabut akses
    • Tindakan: Setel ulang kata sandi dan batalkan sesi/token untuk akun yang terpengaruh
  • Langkah: Nonaktifkan aturan kotak masuk
    • Tindakan: Hapus penerusan berbahaya atau filter penghapusan
  • Langkah: Beri tahu pengguna yang berpotensi terdampak
    • Tindakan: Beri tahu mereka yang menerima permintaan palsu atau yang identitasnya ditiru
  • Langkah: Blokir IP penyerang
    • Tindakan: Dalam platform email atau pada tingkat firewall jika berulang

4. Pemberantasan

  • Langkah: Audit penuh akun yang terpengaruh
    • Tindakan: Tinjau riwayat masuk, email yang dikirim, perubahan kalender, manipulasi kontak
  • Langkah: Hapus artefak berbahaya
    • Tindakan: Hapus email palsu, hapus izin rogue atau akses kotak masuk bersama
  • Langkah: Amankan kembali akun
    • Tindakan: Terapkan kebijakan kata sandi yang kuat dan aktifkan akses bersyarat jika didukung
  • Langkah: Lakukan forensik (jika diperlukan)
    • Tindakan: Ekspor log dan pertahankan bukti untuk investigasi hukum atau keuangan

5. Pemulihan

  • Langkah: Aktifkan kembali akses akun
    • Tindakan: Setelah mengkonfirmasi tidak ada risiko yang berkelanjutan
  • Langkah: Pulihkan aliran email yang sah
    • Tindakan: Hapus penerusan otomatis dan pastikan pengaturan pengiriman sudah benar
  • Langkah: Beri tahu stakeholder
    • Tindakan: Informasikan tim internal, vendor, atau klien yang terlibat dalam insiden
  • Langkah: Pantau aktivitas berulang
    • Tindakan: Atur peringatan untuk perilaku akun berisiko tinggi selama 14–30 hari

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Lakukan analisis akar masalah
    • Tindakan: Identifikasi bagaimana kompromi terjadi (phishing, kata sandi lemah, tidak ada MFA)

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Sentinel, Splunk, QRadar)
  • Email security gateways (misalnya, Proofpoint, Mimecast, Microsoft Defender for Office 365)
  • Log audit

cloud (Microsoft 365 Unified Audit Log, Google Workspace Admin Console)

  • Platform identitas (misalnya, Okta, Azure AD, Duo)
  • Umpan

threat intel untuk deteksi domain yang di-spoof dan TTP email

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <15 menit dari phishing atau aktivitas email mencurigakan
  • Metrik: Waktu Penahanan
    • Target: <1 jam setelah konfirmasi
  • Metrik: Pencegahan Penipuan Finansial
    • Target: Hentikan transfer dana atau mitigasi dalam 24 jam
  • Metrik: Penyelesaian Kampanye Kesadaran
    • Target: 100% karyawan berisiko tinggi terlatih pasca-insiden
  • Metrik: Periode Pemantauan Pasca-Insiden
    • Target: Minimum 30 hari untuk akun yang terpengaruh

Buku Panduan Respons Insiden SOC 9: Eskalasi Hak Istimewa Tidak Sah

Skenario Seorang penyerang, baik melalui kerentanan, kesalahan konfigurasi, atau kredensial yang dicuri, meningkatkan hak istimewa dari pengguna berhak rendah ke akun tingkat administratif atau

root, berpotensi mengkompromikan sistem penting atau mengakses data sensitif.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Pelanggaran Kontrol Akses / Penyalahgunaan Hak Istimewa
  • Tingkat Keparahan: Tinggi hingga Kritis
  • Prioritas: Kritis
  • Sumber Deteksi: SIEM, EDR, log IAM, Sysmon, User Behaviour Analytics (UBA), Jejak audit

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Implementasikan RBAC dan least privilege
    • Alat/Tindakan: Pastikan pengguna hanya memiliki akses yang diperlukan
  • Tugas: Pantau aktivitas akun privileged
    • Alat/Tindakan: Atur peringatan untuk perubahan keanggotaan grup dan peningkatan hak istimewa
  • Tugas: Catat upaya eskalasi hak istimewa
    • Alat/Tindakan: Aktifkan log audit di Windows (Event ID 4670, 4672, 4728) dan Linux (sudo logs, auditd)
  • Tugas: Lakukan tinjauan hak secara rutin
    • Alat/Tindakan: Tinjauan berkala hak admin dan keanggotaan grup
  • Tugas: Perkuat endpoint
    • Alat/Tindakan: Perbaiki kerentanan eskalasi hak istimewa dan pantau upaya eksploitasi

2. Deteksi & Analisis

  • Langkah: Identifikasi peringatan eskalasi hak istimewa
    • Tindakan: Akses admin yang tidak biasa, perubahan grup, atau token hak istimewa
  • Langkah: Korelasikan dengan perilaku pengguna
    • Tindakan: Periksa apakah pengguna biasanya memiliki hak admin atau tindakan elevated diharapkan
  • Langkah: Analisis process tree
    • Tindakan: Cari hubungan parent-child yang tidak biasa (misalnya, cmd.exe dari Outlook)

3. Penahanan

  • Langkah: Nonaktifkan akun pengguna yang terpengaruh
    • Tindakan: Jika eskalasi tidak sah atau terkompromi
  • Langkah: Hentikan sesi atau proses yang ditingkatkan
    • Tindakan: Hentikan proses PowerShell, cmd, atau layanan yang mencurigakan
  • Langkah: Blokir IP atau perangkat
    • Tindakan: Jika bagian dari pergerakan lateral atau infrastruktur penyerang yang diketahui
  • Langkah: Beri tahu IT atau HR
    • Tindakan: Jika pengguna bersifat internal dan niatnya tidak jelas (berbahaya vs. kesalahan)

4. Pemberantasan

  • Langkah: Kembalikan perubahan izin
    • Tindakan: Hapus hak elevated, keanggotaan grup, atau access token
  • Langkah: Bersihkan mekanisme persistence
    • Tindakan: Hapus tugas terjadwal, modifikasi registry, entri layanan yang dibuat oleh penyerang
  • Langkah: Perbaiki kerentanan yang dieksploitasi
    • Tindakan: Terapkan perbaikan untuk cacat tingkat kernel atau OS (misalnya, CVE-2021-36934)
  • Langkah: Tinjau kebijakan IAM dan GPO
    • Tindakan: Atasi kesalahan konfigurasi yang diwarisi atau pewarisan izin yang tidak disengaja

5. Pemulihan

  • Langkah: Aktifkan kembali pengguna yang sah
    • Tindakan: Dengan hak akses yang benar setelah tinjauan
  • Langkah: Pulihkan sistem yang terpengaruh
    • Tindakan: Jika konfigurasi atau data diubah selama eskalasi
  • Langkah: Lanjutkan operasi
    • Tindakan: Setelah diverifikasi bersih dan aman
  • Langkah: Lakukan pemindaian pasca-remediasi
    • Tindakan: Konfirmasi tidak ada backdoor atau jalur eskalasi yang tersisa

6. Pelajaran yang Didapat & Pelaporan

  • Langkah: Dokumentasikan jalur eskalasi penuh
    • Tindakan: Bagaimana hak istimewa diperoleh dan apa yang diakses atau dimodifikasi

Alat yang Biasanya Terlibat

  • SIEM (misalnya, Splunk, Sentinel, QRadar)
  • EDR (misalnya, CrowdStrike, Cortex XDR, Microsoft Defender for Endpoint)
  • Platform IAM (misalnya, Azure AD, Okta, LDAP, Active Directory)
  • Log Peristiwa Windows (Log Keamanan, Sysmon, audit GPO)
  • Alat audit Linux (

auditd, sudo logs)

  • Aturan Deteksi Ancaman (

Sigma, KQL, YARA untuk aktivitas hak istimewa yang mencurigakan)

Metrik Keberhasilan

  • Metrik: Waktu Deteksi
    • Target: <5 menit dari peristiwa eskalasi
  • Metrik: Waktu Penahanan
    • Target: <30 menit dari konfirmasi
  • Metrik: Waktu Pembalikan
    • Target: <1 jam untuk menghapus akses yang ditingkatkan
  • Metrik: Penyelesaian Audit & RCA
    • Target: Dalam 48 jam
  • Metrik: Penyelesaian Tinjauan Akun Berhak Istimewa
    • Target: 100% dalam 7 hari pasca-insiden

Buku Panduan Respons Insiden SOC 10: Paparan Kesalahan Konfigurasi Penyimpanan Cloud

Skenario Data sensitif atau rahasia (misalnya, log,

database, informasi pribadi) terekspos ke publik karena izin yang salah konfigurasi pada layanan penyimpanan cloud, sering kali ditemukan melalui umpan intelijen ancaman, pemindai otomatis, atau audit internal.

Klasifikasi Insiden

  • Kategori: Insiden
  • Jenis Insiden: Paparan Data – Kesalahan Konfigurasi
  • Tingkat Keparahan: Tinggi hingga Kritis (tergantung sensitivitas data)
  • Prioritas: Tinggi
  • Sumber Deteksi: Cloud Security Posture Management (CSPM), SIEM, Threat Intel, Pemberitahuan Eksternal (misalnya, peneliti, media), Log Audit

Fase dan Tindakan

1. Persiapan (Pengaturan Pra-Insiden)

  • Tugas: Terapkan kebijakan aman default
    • Alat/Tindakan: Blokir akses publik pada tingkat organisasi untuk layanan penyimpanan cloud
  • Tugas: Implementasikan alat CSPM
    • Alat/Tindakan: Terus pantau kesalahan konfigurasi (misalnya, Wiz, Prisma Cloud, AWS Config)
  • Tugas: Aktifkan pencatatan akses
    • Alat/Tindakan: Untuk layanan penyimpanan cloud (misalnya, log akses AWS S3, diagnostik Azure)
  • Tugas: Tandai dan klasifikasikan data sensitif
    • Alat/Tindakan: Gunakan alat klasifikasi data untuk menandai informasi berisiko tinggi
  • Tugas: Lakukan audit cloud rutin
    • Alat/Tindakan: Tinjau pengaturan akses untuk storage bucket, blob, dan container

2. Deteksi & Analisis

  • Langkah: Terima peringatan dari CSPM atau threat intel
    • Tindakan: Contoh: "Akses baca publik terdeteksi pada S3 bucket yang menyimpan file cadangan"
  • Langkah: Tinjau izin objek
    • Tindakan: Tentukan file mana yang terekspos dan siapa yang dapat mengaksesnya (publik, anonim, pengguna tertentu)
  • Langkah: Nilai sensitivitas data
    • Tindakan: Identifikasi jenis data yang terekspos (misalnya, PII, finansial, kata sandi, kunci API)

 


baca juga : Panduan Praktis Menaikkan Nilai Indeks KAMI (Keamanan Informasi) untuk Instansi Pemerintah dan Swasta

Mengenal Penyadapan Digital: Metode, Dampak, dan Tips Menghindarinya

baca juga: Ancaman Serangan Siber Berbasis AI di 2025: Tren, Risiko, dan Cara Menghadapinya


Tags
Related Article

Anda mungkin menyukai postingan ini

0 Komentar