Langkah Penanganan Insiden Malware

-


 

Langkah Penanganan Insiden Malware

 

·         Start

·         Preparation

·         Identification

·         Containment

·         Eradication

·         Recovery

·         Follow up

·         End

Preparation

Adalah tahap dimana kebijakan, prosedur, teknologi, dan sumber daya manusia harus disiapkan secara matang, dimana akan digunakan pada proses pencegahan dan penanganan terhadap insiden yang diakibatkan oleh berbagai macam malware. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi penanganan insiden yang disebabkan oleh malware.

Penyiapan dokumen-dokumen yang dibutuhkan :

Suatu dokumen kebijakan biasanya menguraikan persyaratan tertentu atau aturan yang harus dipenuhi. Suatu dokumen prosedur adalah dokumen yang memandu pengguna secara teknis dalam proses (langkah demi langkah) tentang cara untuk mencapai persyaratan yang telah ditetapkan dan diuraikan dalam dokumen kebijakan. Beberapa kebijakan, yang sering digunakan untuk membantu dalam mencegah masuknya malware dan menghentikan penyebaran itu adalah :

a. kebijakan keamanan

b. kebijakan penggunaan antivirus

c. kebijakan penggunaan yang diperbolehkan

d. kebijakan penggunaan internet

e. kebijakan penggunaan email

f. kebijakan penggunaan laptop

g. kebijakan melakukan backup

h. kebijakan pelaporan dan mekanisme pelacakan insiden

i. prosedur dan formulir penanganan insiden

j. dokumen tentang audit

k. dokumen profil perangkat lunak pada proses bisnis

l. dokumen pengetahuan.

 

Penyiapan teknologi yang dipakai :

a. filter URL dan Email

b. pembatasan internet menggunakan daftar

c. penonaktifan perangkat removable

d. hash sistem file

e. intrusion detection system berbasis host

f. antivirus

g. deteksi antivirus online

- scanner file

- sistem scanner

h. virus submissions URL

i. virus removal tools

j. mesin uji

k. utilitas sistem operasi

l. reverse enginering tools

 

Penyiapan personil (orang)

a. kesadaran keamanan

b. matrik  ekskalasi penanganan insiden

c.tim terampil penanganan insiden

Tahap identification

a. file tidak dikenal atau unusual

b.file dengan ekstensi ganda

c. proses tak diketahui

d. kegagalan membuka utilitas sistem

e. lambatnya respon CPU

f. sistem / aplikasi crash

g. peringatan dari rekan

h. forum keamanan informasi

 

Containment

a. izin / pemberitahuan untuk melakukan containment

b. isolasi sistem

c. memeriksa gejala kemiripan

d. melihat insiden yang pernah ada

e. melakukan backup semua data yang ada

 

Pemberantasan

a. memeriksa integritas sistem file

b. mengidentifikasi file baru

c. identifikasi gejala lain

d. menganalisa file

e. memeriksa jaringan

f. memeriksa backup

g. menemukan penyebab

h. meningkatkan pertahanan

 

Pemulihan

a. validasi sistem

b. pemulihan operasi

c. pemantauan sistem

 

Tahap tindak lanjut

a. penambahan pengetahuan dasar tentang penanganan insiden

b. penciptaan signature dan inklusi anti malware

c. pelatihan untuk tim penanganan insiden

d. memperbarui aturan penyaringan

e. pendidikan bagi penggunaan dalam identifikasi malware

f. peningkatan pertahanan

 

Identification

Tahap ini adalah tahap di mana identifikasi malware dan konfirmasi kehadirannya dilakukan dengan menggunakan berbagai teknik.

Containment

Tahap ini merupakan fase aktif pertama yang melibatkan perubahan lingkungan untuk menghentikan atau secara harfiah mencegah penyebaran malware. Metode yang digunakan dapat mencakup mengisolasi sistem yang terinfeksi dari jaringan.

 

 

 

 

MALWARE

 

Malware adalah singkatan dari Malicious Ware yang berarti perangkat lunak yang dirancang untuk mengganggu kerja dari sebuah sistem komputer. Perangkat lunak ini diperintahkan untuk melakukan perubahan diluar kewajaran kerja dari system komputer. Malware biasanya menyusup pada sistem jaringan komputer tanpa diketahui oleh pemilik jaringan komputer, dari jaringan komputer ini malware tersebut akan memasuki sebuah sistem komputer. Pemilik komputer juga tidak mengetahui bahwa komputernya telah disusupi oleh malware. Tujuan seseorang untuk menyusupkan program jahat bisa bermacam-macam, mulai hanya sekedar iseng ingin mencoba kemampuan, merusak data, mencuri data, sampai menguasai computer orang lain dan mengendalikannya dari jarak jauh melalui jaringan komputer.

Berbagai jenis malware :

Virus

Virus adalah sebuah program replikasi diri yang menempel pada perangkat lunak yang sah dan membutuhkan interaksi pengguna untuk berhasil menginfeksi sistem.Virus adalah sebutan untuk salah satu malware. Malware belum tentu virus, tapi virus sudah pasti malware. Virus dapat menyebar dan berkembang di dalam sistem komputer. Beberapa virus tidak akan terasa dampaknya pada komputer atau perangkat lainnya, namun ada pula virus yang sifatnya berbahaya. Karena bias memperbanyak diri, dampak yang paling terasa adalah berkurangnya ruang di memory atau hard disk perangkat dengan signifikan. Tentu ini cukup mengganggu pengguna.

Pencegahan

·         Menghindari membuka lampiran E-mail dari sumber yang tidak diketahui

·         Menghindari pengunduhan software / file secara ilegal

·         Dengan mengunakan software anti virus

Trojan horse

Merupakan jenis malware yang memiliki sifat seperti kuda Trojan. Trojan dapat berupa program apapun yang menyerupai program yang sah, namun didalamnya memiliki beberapa kode berbahaya. Jenis ini merupakan kode non-replikasi dan umumnya bersifat parasit karena membutuhkan sebuah program yang sah untuk menyembunyikan diri.Trojan merupakan sebuah perangkat lunak yang berdiri sendiri yang tidak menempelkan dirinya ke program lain atau menyebarkan dirinya melalui jaringan. Trojan mendapatkan nama mereka dari Trojan horse terkenal dalam mitologi Yunani. Sebuah Trojan Backdoor, setelah diinstal dapat memungkinkan hacker untuk mengakses secara remote terhadap komputer yang telah terinfeksi. Penyerang setelah itu dapat melakukan berbagai tindakan pada komputer yang terkena, dari mulai mencuri informasi sampai menggunakan komputer untuk mengirimkan SPAM.

Pencegahan

·         Menghindari untuk membuka lampiran E-mail dari sumber yang tidak diketahui

·         Menghindari mengunduh software / file secara ilegal

·         Memastikan browser selalu dalam kondisi up-to-date

·         Tidak membuka link di E-mail

Penghapusan

Kebanyakan trojan dapat dihapus oleh perangkat lunak anti-virus. Namun perlu diingat bahwa setelah Trojan terinstal di sistem,maka trojan akan mengunduh perangkat lunak berbahaya lainnya ke sistem anda.

 

Worm

 

Worm adalah sebuah program replikasi diri yang menggunakan kerentanan dalam jaringan komputer untuk menyebarkan dirinya. Berbeda dengan virus komputer worm tidak perlu melampirkan sendiri ke program lain dan tidak memerlukan interaksi pengguna untuk menjalankan. Kerusakan yang disebabkan oleh worm computer tergantung pada muatan mereka. Meskipun beberapa worm hanya diprogram untuk memperbanyak diri di seluruh jaringan, mereka masih bisa mengganggu karena mereka mengkonsumsi bandwidth jaringan. Worm lain membawa muatan lebih berbahaya karena mereka bisa menciptakan backdoors untuk hacker untuk mengambil kontrol dari PC, mengubahnya menjadi sebuah "zombie" yang akan mengeksekusi perintah dari kata hacker.

 

Pencegahan

·         Menghindari membuka lampiran E-mail dari sumber yang tidak diketahui

·         Menghindari mengunduh software / file secara ilegal

·         Memastikan browser selalu up-to-date

·         Tidak membuka link di Email

 

Penghapusan

 

Karena worm merambat melalui koneksi jaringan, penghapusan bisa menjadi rumit. Setiap mesin yang terinfeksi harus diambil dari jaringan dan dibersihkan. Setelah mesin kembali terhubung harus dipantau agar tidak terinfeksi kembali. Jika mesin terinfeksi kembali dalam waktu singkat, itu bisa berarti bahwa ada lebih banyak mesin yang terinfeksi pada jaringan.

 

Trapdoor

 

Istilah Trapdoor dapat berarti pintu masuk alternatif ke dalam sistem. Jenis malware ini digunakan untuk memotong mekanisme keamanan yang ada dibangun menuju ke dalam sistem. Mereka umumnya dibuat oleh programmer untuk menguji fungsi kode tertentu dalam waktu yang singkat, sehingga dalam banyak kasus, tidak sengaja tertinggal. Namun, jenis malware ini juga mungkin ditanam oleh penyerang untuk menikmati akses istimewa. trapdoors umumnya mandiri dan berjenis non-replikasi malware.

 

Logic bomb

 

Logic Bomb adalah jenis malware yang mengeksekusi beberapa set instruksi untuk menyerang sistem informasi berdasarkan logika yang didefinisikan oleh penciptanya. Logic bomb biasanya berupa program yang menggunakan waktu atau peristiwa yang baik sebagai pemicu. Ketika kondisi yang ditetapkan dalam set instruksi dipenuhi, kode yang berada payload dijalankan.

 

Spyware

 

Malware ini adalah jenis kode berbahaya yang digunakan untuk memata-matai kegiatan korban pada sistem dan juga untuk mencuri informasi yang sensitif dari klien. Jenis ini juga merupakan alat paling populer yang digunakan untuk melakukan pencurian identitas, yang merupakan risiko utama bagi pengguna sistem publik online tanpa adanya jaminan keamanan.

Spyware adalah perangkat lunak yang mengumpulkan informasi tanpa persetujuan pengguna dan melaporkan hal ini kepada pembuat perangkat lunak. Jenis informasi yang dikumpulkan benar-benar tergantung pada apa yang pembuat spyware inginkan. Informasi ini kemudian dapat dijual kepada pengiklan yang dapat mengirimkan lebih banyak iklan bertarget. Mereka juga bisa mendapatkan informasi seperti username, password dan informasi sensitif lainnya. Mereka menggunakan informasi ini untuk mencuri identitas dan uang.

 

Pencegahan

 

·         Menghindari membuka lampiran E-mail dari sumber yang tidak diketahui

·         Menghindari mengunduh software / file secara ilegal

·         Memastikan browser selalu up-to-date

·         Tidak membuka link dalam E-mail

 

Penghapusan

 

Menggunakan Anti-Virus/Anti-Spyware software (saat ini sebagian besar perangkat lunak anti-virus dapat menghapus spyware).

 

Rootkit

 

Rootkit adalah kumpulan program yang digunakan untuk mengubah fungsi system operasi standar dengan tujuan untuk menyembunyikan kegiatan berbahaya yang sedang dilakukan olehnya. Malware ini umumnya menggantikan operasi dari utilitas umum seperti kernel, netstat, ls, ps dengan set dari program mereka sendiri, sehingga salah satu aktivitas yang berbahaya dapat disaring sebelum menampilkan hasilnya pada layar.

 

Pencegahan

·         Menghindari membuka lampiran E-mail dari sumber yang tidak diketahui

·         Menghindari mengunduh software / file secara ilegal

·         Memastikan browser selalu up-to-date

·         Tidak membuka link di E-mail

 

Penghapusan

 

Terdapat tool anti-rootkit yang tersedia, juga beberapa solusi anti-virus dapat mendeteksi dan menghapus rootkit.

 

Bot dan Botnet

 

Sebuah bot adalah program yang melakukan tindakan berdasarkan instruksi yang diterima dari tuannya atau controller. Jaringan yang digunakan oleh bot tersebut disebut botnet. Karena ini adalah program yang bersifat otonom, maka sering digunakan dalam lingkungan komunitas tertutup untuk menyelesaikan banyak tugas berbahaya dengan menggunakan teknik remote kontroler (dikendalikan dari jauh).

 

Pencegahan

 

Bot-agen (perangkat lunak yang mengubah suatu komputer menjadi bot) didistribusikan dalam beberapa cara, salah satu metode distribusi yang paling umum untuk bot-agen adalah melalui lampiran e-mail. Inilah sebabnya mengapa penting untuk tidak membuka lampiran dari sumber yang tidak diketahui. Bot-agen juga dapat dimasukkan dalam software ilegal/file. Jadi metode yang baik untuk mencegah bot- agen adalah untuk tidak berpartisipasi dalam mengunduh materi ilegal. Juga menjaga browser internet Anda up-to-date untuk mencegah Drive-by-download .

 

Penghapusan

 

Bot-agen dapat dikenali dan dihapus oleh perangkat lunak Anti-Virus (jadi pastikan perangkat lunak Anti-Virus Anda selalu up to date).

 

 

Cara kerja malware

 

Secara garis besar, malware memiliki 4 tahap siklus hidup yaitu :

 

a. Dormant phase ( Fase Istirahat/Tidur )

Pada fase ini malware tidaklah aktif. Malware akan diaktifkan oleh suatu kondisi tertentu, semisal tanggal yang ditentukan, kehadiran program lain/dieksekusinya program lain, dan sebagainya. Tidak semua malware melalui fase ini

 

b. Propagation phase ( Fase Penyebaran )

Pada fase ini malware akan mengkopikan dirinya kepada suatu program atauke suatu tempat dari media storage (baik hardisk, ram dsb). Setiap programyang terinfeksi akan menjadi hasil “klonning” dari malware tersebut(tergantung cara malware tersebut menginfeksinya).

 

 

c. Trigerring phase ( Fase Aktif )

Di fase ini malware tersebut akan aktif dan hal ini juga di picu oleh beberapakondisi seperti pada Dormant phase.

 

d. Execution phase ( Fase Eksekusi )

Pada Fase inilah malware yang telah aktif tadi akan melakukan fungsinya. Seperti menghapus file, menampilkan pesan-pesan, dan sebagainya.

 

Sumbe penyebaran dari malware

 

a. Disket, media storage R/W

Media penyimpanan eksternal dapat menjadi sasaran empuk bagi malware untukdijadikan media. Baik sebagai tempat menetap ataupun sebagai media penyebarannya. Media yang bisa melakukan operasi R/W (read dan Write) sangat memungkinkan untuk ditumpangi malware dan dijadikan sebagai media penyebaran.

 

b. Jaringan ( LAN, WAN,dsb)

Hubungan antara beberapa komputer secara langsung sangat memungkinkan suatu malware ikut berpindah saat terjadi pertukaran/pengeksekusian file/programyang mengandung malware.

 

c. Halaman web (internet)

Sangat mungkin suatu situs sengaja di tanamkan suatu malware yang akan menginfeksi komputer-komputer yang mengaksesnya.

 

d. Software yang Freeware, Shareware atau bahkan Bajakan

Banyak sekali malware yang sengaja ditanamkan dalam suatu program yang disebarluaskan baik secara gratis, atau trial version yang tentunya sudah tertanam malware didalamnya.

 

e. Attachment pada Email, transferring file

Hampir semua jenis penyebaran malware akhir-akhir ini menggunakan email attachment dikarenakan semua pemakai jasa internet pastilah menggunakan email untuk berkomunikasi, file-file ini sengaja dibuat mencolok/menarik perhatian, bahkan seringkali memiliki ekstensi ganda pada penamaan filenya.

 

 

Pencegahan malware

 

 

a. Email merupakan salah satu perantara malware yang paling banyak digunakan. Berikan perhatian lebih pada SPAM email. Jangan membuka spam email dari sumber/pengirim yang tidak jelas.Itulah alasan kenapa penyedia layanan email seperti Gmail, Yahoo mail atau Hotmail menyediakan folder SPAM. Email yang dicurigai dapat merusak komputer karena mengandung virus, malware atau sejenisnya akan masuk ke folder tersebut. Apabila dalam email yang dibuka terdapat lampiran file (attachments) tidak usah diunduh jika tidak dikenal pengirimnya atau melakukan scan sebelum membuka file tersebut.

 

b. Internet menjadi tempat terbesar untuk menyebarkan malware. Tidak mudah tergiur dengan pop-up iklan yang muncul tiba-tiba dan menyebutkan anda memenangkan suatu hadiah/undian. Tutup pop-up tersebut atau sekalian saja meninggalkan situs web tersebut. Beberapa program antivirus menyediakan toolbar pencarian khusus seperti AVG Link Scanner, yang dilengkapi kemampuan scan situs web hasil pencarian google. Ini berguna untuk mencegah anda mengunjungi website yang terinfeksi malware.

 

c. Melakukan scan terlebih dahulu sebelum menyalin (copy) file dari perangkat penyimpanan seperti USB flash disk dan memory card. Menggunakan klik kanan kemudian menekan 'Open' untuk melihat isi flash disk, cara ini lebih aman dibandingkan melakukan double click. Menghindari membuka file atau folder mencurigakan yang ada di dalam flash disk. Contohnya file/folder dalam bentuk shortcut.

 

 

d. Menginstall antivirus yang bagus dan melakukan update program secara berkala. Tujuannya adalah supaya antivirus bisa mengenali varian virus baru sehingga ampuh mencegah penyebaran infeksi pada komputer. Memasang juga antivirus lokal sebagai software pendamping karena antivirus lokal lebih mengenali varian virus buatan lokal. Jika program antivirus yang digunakan tidak memiliki fitur anti-spyware, menginstall software anti-spyware untuk perlindungan lebih maksimal.

 

e. Berhati-hati jika mengunduh file dari situs yang menyediakan file illegal seperti cracks, serials, warez. Situs web seperti ini umumnya dijadikan tempat penyebaran virus, worm dan trojan.

 

f. Selalu membuat jadwal secara teratur untuk update dan scan. Penjadwalkan secara teratur untuk update dan scan system akan membantu meminimakan kerusakan apabila tanpa sepengetahuan ternyata komputer terinfeksi trojan. Mencoba mengikuti trend arah perkembangan malware. Semakin hari, malware semakin berkembang dan semakin intrusif dalam ide dan skema serangan. Karena itu sebaiknya mempersenjatai diri dengan update info-info terkini. Tidak perlu tahu terlalu mendetail, cukup mengenal secara general dan mengerti trend penyebaran.

 

g. Selalu memeriksa removable media yang di hubungkan ke komputer. Malware sering menggunakan media removable misal USB FD, External HDD dan media storage lainnya sebagai media penyebaran. Mereka juga menggunakan fasilitas Autorun windows untuk aktifasi otomatis begitu removable media dihubungkan ke komputer.

 

 

h. Mencari situs yang memiliki akses online ter-enkripsi untuk transaksi penting, misal perbankan atau jual-beli. Menggunakan website terpercaya dalam melakukan transaksi dengan mode terenkripsi/enkapsulasi, misal HTTPS/SSL. Di dunia interne yang luas, data dan paket informasi hilir mudik sebagian besar tanpa terlindungi dan hanya berupa plain text. Orang–orang jahat yang bisa melakukan tap, umumnya bisa membaca isi paket tanpa kesulitan. Karena itu menggunakan situs terenkripsi yang mengubah paket/data menjadi string tak terbaca yang hanya bisa dibuka oleh penerima. Orang jahat pun akan mengalami kesulitan membuka data yang diterima, mereka akan memerlukan waktu lebih banyak untuk membongkarnya. Perkembangan dunia internet, hacking dan cracking, memungkinkan suatu saat bahkan metode enkripsi terbaik sekalipun untuk dijebol. Tetapi diharapkan pelaku kejahatan memerlukan waktu lebih banyak untuk melakukan satu aksi kejahatan.

 

 

i. Selalu mengambil sikap paranoid dan berhati–hati ketika berada di dunia Internet. Hal itu berguna untuk mengantisipasi kemungkinan menjadi korban phising (pencurian data), penipuan ataupun pemerasan. Memperhatikan dengan seksama website yang dikunjungi, memilih website yang terpercaya, lengkap informasinya, dan membimbing anak-anak untuk mengakses website yang aman dan tidak menampilkan iklan–iklan tak wajar untuk usianya. Jika perlu, menggunakan content filtering untuk akses internet.

 

 

j. Melakukan penyaringan atas informasi dan data yang di terima. Dunia internet yang amat luas sehingga memungkinkan informasi mengalir demikian cepat. Melampaui batas–batas negara dan perundangan. Tapi, tidak semua informasi dan data dapat dipercaya, menggunakan selalu akal sehat, rasio dan pemikiran yang matang ketika melakukan justifikasi. Mengumpulkan data sebanyak mungkin lalu membandingkan seobjektif mungkin. Mematangkan dan menetralkan kedewasaan berpikir.

 

k. Tidak mematikan firewall dalam keadaan komputer aktif online terhubung ke internet. Mematikan antivirus untuk sementara waktu masih bisa ditolerir ketika ada aplikasi yang berbenturan. Tetapi mematikan firewall untuk komputer yang terhubung ke LAN/Internet.

 

 

 

 

Komentar

Posting Komentar

Postingan populer dari blog ini

Langkah menampilkan Database di CMD XAMPP

-
Gambar
  LANGKAH UNTUK MENAMPILKAN DATABASE   Di sini Saya akan menjelaskan tentang langkah untuk menampilkan sebuah Database Mahasiswa sesuai dengan gambar diatas: 1. Pertama-tama kita membuka xampp dan untuk melanjutkan kelangkah selanjutnya kita klik panel start terlebih dahulu pada apache dan mysql untuk megaktifkan xampp 2. Setelah aktif kita bisa menggunakan google chrome ataupun yang lain untuk membuat Database itu sendiri dengan keyword localhost/xampp/ 3. selanjutnya setelah kita sudah membuat sebuah Database, kita bisa langsung menampilkannya di CMD atau langsung dari terminal xampp itu sendiri, dengan langkah sebagai berikut :   ü   mysql –u root –p mysql menginisialisasikan bahwa kita mau masuk ke sebuah directory mysql, perintah -u root adalah sebagai user default, dan p sendiri ssebagai password. ü   Show databases; Jika sudah masuk kita bisa langsung mencoba menampilkan Database yang ada di server, dengan cara memasukan perintah show databases; untuk...
Baca selengkapnya

COBIT

-
Fokus utama COBIT adalah pengembangan kebijakan yang jelas dan praktik yang baik untuk keamanan dan kontrol di bidang TI untuk dukungan di seluruh dunia oleh organisasi komersial, pemerintah, dan profesional. Tujuan utamanya adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan. Pendekatan ini sesuai dengan perspektif COSO, yang pertama dan terutama adalah kerangka kerja manajemen untuk pengendalian internal. Selanjutnya, tujuan dan pedoman audit dikembangkan dari tujuan pengendalian (sertifikasi informasi keuangan, sertifikasi tindakan pengendalian internal, efisiensi dan efektivitas, dll.) perspektif.  COBIT Audience: Manajemen, Pengguna dan Auditor COBIT dirancang untuk digunakan oleh tiga audiens yang berbeda: • Manajemen—Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi dalam lingkungan TI yang seringkali tidak dapat diprediksi. • Pengguna—Untuk mendapatkan jaminan atas keamanan dan kontrol layanan TI yang disediaka...
Baca selengkapnya

Menambah, mengubah, dan menghapus field pada tabel database

-
Gambar
  LANGKAH PERTAMA : Masuk directory Database MYSQL dengan langkah sebagai berikut : 1. C:\Users\Lenovo>cd.. 2. C:\Users>cd.. 3. C:\cd xampp 4. C:\xampp>cd mysql 5. C:\xampp\mysql>cd bin 6. C:\xampp\mysql\bin>mysql -u root -p Setelah masuk langsung saja kita mengecek Database yang ada di server, dan setelah muncul kita akan membuat sebuah tabel baru pada database kasir dengan perintah seperti dibawah ini : - create table detail_pelanggan ( - id_pelanggan int (11) primary key auto_increment, - email_pelanggan varchar (50), - member varchar (50)); LANGKAH KEDUA : nah setelah jadi dan tidak terjadi eror, kita akan mencoba melakukan perubahan pada field member menjadi member_pelanggan dan menambahkan field no_wa dengan tipe data char (12), seperti gambar dibawah ini : LANGKAH KETIGA : Dan yang terakhir kita akan mencoba melakukan perubahan pada field no_wa menjadi tipe data varchar (20), menghapus field member_pelanggan dan menghapus tabel itu sendiri seperti con...
Baca selengkapnya