22
ASEAN-JAPAN ONLINE CYBER EXERCISE Jakarta, 20 Juni 2019 MATERI INI DISAMPAIKAN PADA PROGRAM PENGEMBANGAN KAPASITAS STAKEHOLDER BSSN. DISTRIBUSI DOKUMEN INI BERSIFAT TERBATAS. DILARANG MENYEBARKAN ATAU MEMPUBLIKASI MATERI INI TANPA PERSETUJUAN PIHAK BSSN.

ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Embed Size (px)

Citation preview

Page 1: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

ASEAN-JAPAN ONLINE CYBER EXERCISE

Jakarta, 20 Juni 2019

MATERI INI DISAMPAIKAN PADA PROGRAM PENGEMBANGAN KAPASITAS STAKEHOLDER BSSN. DISTRIBUSI DOKUMEN INI BERSIFAT TERBATAS. DILARANG MENYEBARKAN ATAU MEMPUBLIKASI MATERI INI TANPA PERSETUJUAN PIHAK BSSN.

Page 2: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Outline

§  Pengantar

§  Skenario ASEAN-Japan Cyber Exercise

§  Persiapan Kegiatan

- T E R B A T A S -

Page 3: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Urgensi Penanganan Insiden Siber (Incident Handling)

Proses/tindakan untuk merespon insiden siber secara sistematis, dengan tujuan : §  Meminimalisasi kerugian sebagai

akibat dari pencurian informasi atau gangguan dari layanan;

§  Menggunakan informasi yang diperoleh selama penanganan insiden, sebagai langkah perbaikan & persiapan penanganan insiden di kemudian hari;

§  Mempersiapkan langkah hukum sebagai akibat dari insiden yang terjadi (jika diperlukan).

- T E R B A T A S -

Page 4: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Cara Mengidentifikasi Insiden Siber

- T E R B A T A S -

Kejadian/InsidenSiber

Peringatanadanyainsiden(Alert)

Serangansiberteridentifikasi

Analisis

Konfirmasiadanyainsidensiber

Kejadian/InsidenSiber

Ujiterhadapdata

Hipotesaatasserangan

siber

Analisis

Konfirmasiadanyainsidensiber

Serangansiber

dikonfirmasi

Datasesuai

Kejadian/InsidenSiber

Ujiterhadapdata

Analisis

Laporanadanya

insidensiber

Serangansiber

dikonfirmasi

Datasesuai

Konfirmasiadanya

insidensiber

Insidensiberdiidentifikasiberdasarkanpemantauanterhadapaktifitasanomaly

padasistem.

Insidensiberdiidentifikasiberdasarkanpencarian

terhadaptanda/indikatorpolaserangantertentu.

Pemberitahuan/laporandaripihakeksternalyang

membantumenemukanadanyainsidensiberdiorganisasi.

1

2

3

4

5

2

1

5

6

3

2

1

4

3

4

5

6

Page 5: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Insiden & Tindakan Kriminal di Ranah Siber

PENANGANAN TINDAKAN KRIMINAL DI RANAH SIBER

§  Cyber Crime (Cyber Incident)

o  Computer/smartphone as tools and/or target.

o  Example : Carding, Malware/Ransomware, Web defacement, etc.

§  Computer-Related Crime o  Any type of crime with computer/ smartphone as

evidence.

o  Example : Hoax, Ujaran kebencian, dsb.

Audit

ManagementAudit

TechnicalAudit

Investigation

DigitalForensic

LawEnforcement

Detection

Analysis

Containment

Eradication

Recovery(System&DataRecovered)

PRE-INCIDENT POST-INCIDENTCYBER

INCIDENT

FEEDBACK

- T E R B A T A S -

Page 6: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Prosedur Penanganan Insiden Siber

Preparation

Detection

Analysis Containment Eradication Recovery PostIncidentAct(LessonsLearned)

Incidentcriteriamatch?

DeclareIncident

CloseIncident

UpdateIncidentCriteria

ImproveAnalysisCapability

ImproveContainmentCapability

ImproveEradicationCapability

ReportIncident

ImproveRecoveryCapability

Preparation

Detection

Analysis

Containment

Eradication

Recovery

PostIncidentActivity

Faseinimeliputitindakan-tindakanuntukmempersiapkanorganisasidalammenghadapiinsidenkeamanansiber.

Faseinimeliputitindakan-tindakanuntukmengidentifikasidanmelakukanverifikasiterhadapinsidenkeamanansiberyangterjadi.

Faseinimeliputitindakan-tindakanuntukmenelaahdanmenentukanjenis,skaladandampakdariinsidenyangterjadi.Faseinimeliputitindakan-tindakanuntukmencegahpenyebarluasaninsidenkekomponensistemataulayananTIlainnya.

Faseinimeliputitindakan-tindakanuntukmenghapusataumenghilangkansumberpenyebabinsiden.

Faseinimeliputitindakan-tindakanuntukmemulihkanlayanandandatayangtergangguatauterdampakolehinsiden.

Faseinimeliputitindakan-tindakandalammengevaluasihasilpembelajarandalampenangananinsidendankendalikeamananyangdiperlukandalammendeteksisertamencegahinsidenserupadikemudianhari.

Page 7: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Petunjuk Teknis Penanganan Insiden Siber (Incident Response Playbook)

Preparation

Analysis

Eradication

Post-IncidentActivity

Detection

Containment

Recovery

Page 8: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Pelaporan Insiden Siber

Page 9: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Cyber Exercise

§  Latihan terkait keamanan siber yang diperuntukkan bagi staf pelaksana di bidang Teknologi Informasi atau Administrator yang bertanggung jawab dalam operasional keamanan siber dan/atau penanganan insiden siber.

§  Bentuk kegiatan : •  Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and delivered via

paper (cards/discussion)

•  Hybrid - Paper injects with some live scenarios facilitated by a Red Team for realism (probes, scans, e-mail spoofing, etc.)

•  Full Live - Exercise plan incorporates real scenarios and injects into the exercise. Paper injects only used to stimulate if necessary.

§  Pelaksanaan Cyber Exercise oleh BSSN •  National Cyber Exercise (National Cyber-X)

•  Government Cyber Exercise (Government Cyber-X)

•  Critical Information Infrastructure Cyber Exercise (CII Cyber-X)

- T E R B A T A S -

Page 10: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

ASEAN-Japan Cyber Exercise

TUJUAN

§  Meningkatkan kerjasama dan berbagi informasi (information sharing) di bidang keamanan siber antar negara anggota ASEAN dan Jepang, serta institusi-institusi yang terlibat dalam pelaksanaan Cyber Exercise.

SASARAN

1.  Meningkatkan kapabilitas dan kesiapan dalam koordinasi penanggulangan insiden keamanan siber di tingkat nasional pada setiap negara ASEAN.

2.  Membangun metode komunikasi untuk berbagi informasi secara aman antara para peserta dan antar negara ASEAN.

3.  Terjalinnya kerja sama dan komunikasi yang baik antar negara ASEAN dan Jepang dalam keamanan siber.

- T E R B A T A S -

Page 11: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Pelaksanaan Cyber Exercise

- T E R B A T A S -

KEGIATAN DRILL TEST PADA SEKTOR INFRASTRUKTUR INFORMASI KRITIKAL NASIONAL

2018

NATIONAL CYBER EXERCISE 2019

Page 12: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Peserta Kegiatan (ASEAN-Jepang)

- T E R B A T A S -

1.  Indonesia

2.  Brunei

3.  Cambodia

4.  Japan

5.  Laos

6.  Myanmar

7.  Malaysia

8.  Philippines

9.  Singapore

10.  Thailand

11.  Viet Nam

injection

Controller Player

Player

Player reports

reports

reports

Informationsharing

Analysiswithinplayer’sorganization

Page 13: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Peserta Kegiatan (Indonesia)

1.  Badan Siber dan Sandi Negara

1.  National CSIRT - International PoC Player

2.  Government CSIRT (Gov-CSIRT) - Domestic Controller

2.  Kementerian Energi dan Sumber Daya Mineral

3.  Kementerian Pertahanan

4.  Kementerian Pendidikan dan Kebudayaan

5.  Kementerian Sosial

6.  Kejaksaan Agung

7.  Kantor Staf Presiden

- T E R B A T A S -

8.  Lembaga Ilmu Pengetahuan Indonesia

9.  Lembaga Administrasi Negara

10. Lembaga Kebijakan Pengadaan Pemerintah

11. Pemerintah Daerah Khusus Ibukota Jakarta

12. Pemerintah Daerah Istimewa Yogyakarta

13. Pemerintah Daerah Jawa Barat

14. Pemerintah Kota Palembang

15. Pemerintah Kabuten Oku

Page 14: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Skenario ASEAN-Japan Cyber Exercise Deskripsi Umum Skenario

§  Kasus yang diangkat berdasarkan kejadian insiden siber yang aktual.

§  Dibagi ke dalam 2 tahap :

•  STAGE 1 : Studi kasus atas insiden web redirection.

•  STAGE 2 : Studi kasus serangan siber secara masif berupa distributed denial of service.

§  Dalam mengatasi permasalahan yang diangkat pada kasus, Peserta bekerjasama dan melakukan praktek berbagi informasi keamanan siber berupa :

•  Mengirimkan status/keadaan keamanan siber pada institusi masing-masing;

•  Mengirimkan laporan singkat atas kejadian insiden siber yang dihadapi.

§  Tanggapan atas setiap kasus dikirim melalui media yang ditentukan (email).

- T E R B A T A S -

Page 15: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Skenario ASEAN-Japan Cyber Exercise Tahapan Skenario

STAGE 1

STAGE 2

- T E R B A T A S -

1. Jepang mengidentifikasi bahwa terdapat beberapa kejadian pengunjung situs/website institusi pemerintah diarahkan (redirect) ke toko online palsu.

2. Sumber/penyebab dari kejadian web redirection teridentifikasi, namun diketahui bahwa banyak pihak yang telah mengakses toko online palsu tersebut.

3. Terjadi kegagalan konektifitas jaringan yang diidentifikasi disebabkan oleh serangan distributed denial of service (DDoS). Walaupun serangan tersebut telah berhenti, investigasi atas kasus tersebut masih berjalan.

4. Negara yang mengalami kejadian serangan DDoS (Singapura) berbagi informasi ttg bagaimana metode mitigasi serangan DDoS tersebut berikut sumber/penyebab serangan tsb.

5. Akar permasalahan atas kasus web redirection (Stage 1) berhasil diketahui. Setiap negara saling berbagi informasi ttg metode mitigasi berikut dg informasi lainnya.

Page 16: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Skenario ASEAN-Japan Cyber Exercise Gambaran Teknis Serangan Siber pada Skenario (1)

TahapanSeranganSiber1.  Sekelompokgruphackerberhasilmenyisipkankode/skripsecara

tidaksahkedalamsitus/websiteinstitusipemerintah,yangmenyebabkanpengunjungsitustersebutdi-redirectkesitustokoonlinepalsu.

2.  Selainitu,saatpengunjungsearchenginemencaritokoonline,ditemukanbahwatokoonlinetersebutberalamatpadadomainwebsitesuatuinstitusipemerintah.

3.  Gruphacker(pelakuserangansiber)memasangperangkat(secaratidaksah)RemoteAccessTrojan/RAT(missal,JBiFrost)kePCyangmengaksestokoonlinepalsu.

4.  CommandandControl(C2,serverpengendaliyangdipasangolehgruphacker)mengendalikandarijarakjauhsetiapPCyangterinfeksiRAT.

5.  PCyangterinfeksimengirimkanpaket-paketjaringanyangdipalsukankeserverOpenDNSResolver,yangditujukankekomputerkorbansebagaitargetserangan(paketjaringanyangdipalsukanberisialamatIPdaritargetserangan).

6.  Setelahmenerimapaketrequest(permintaan)dariPC-PCyangterinfeksi,DNSResolvermengirimkanpaketresponse(balikan)kealamatIPkorban(targetserangan).Saatkomputerkorbanmenerimapaketresponsetsb,karenavolumepaketyangsangatbesar,makaberakibatpadaDenialofService.

Page 17: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

PenanganandanPenangkalanSeranganSiber1.  Penanganankasuswebredirectiontersebutdapatdilakukan

denganmemasangversiterbarudariaplikasiContentManagementSystem(CMS),sistemoperasidanaplikasilainnyayangdigunakanuntukmenjalankanwebserver.Selainitu,kode/skripyangdisisipkansecaratidaksahkedalamwebsitetsbjugaharusdihapus.

2.  Bagipengguna(pengunjungwebsite),mitigasiperludilakukanuntukmencegahinfeksimalwaresaatmembukawebsiteyangcompromised(terpasangkode/skripyangdisisipkansecaratidaksah).Pemblokiranterhadapwebsiteyangcompromiseddapatdilakukanuntukmencegahpenyebaranmalwarelebihlanjut.Selainitu,pastikanbahwaperangkatanti-virus,sistemoperasidanaplikasilainnyadiperbaruidenganversipalingmutakhir.

Skenario ASEAN-Japan Cyber Exercise Gambaran Teknis Serangan Siber pada Skenario (2)

Page 18: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Skenario ASEAN-Japan Cyber Exercise Gambaran Teknis Serangan Siber pada Skenario (3)

PenanganandanPenangkalanSeranganSiberSaatsuatupaketdataIP dimanaalamatsumbernya(sourceaddress)bukanmerupakanalamatIPyangdikeloladiinternaljaringantsbkemudiandikirimkeluarjaringan,makadapatdiidentifikasibahwaalamatsumbertersebutdipalsukan.Koneksipaketdatatersebutsebaiknyadiblokir.MekanismeinidikenaldengannamaBCP38[IETFRFC2827].

Page 19: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Referensi Terkait dengan Skenario yang Diangkat

- T E R B A T A S -

Page 20: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Penjabaran Skenario Rangkaian Kasus (Injection)

TAHAPAN DESKRIPSI WAKTU

Start Jepang(InternationalController)mengirimkanemailnotifikasiuntukmenandakanbahwakegiatandimulai. 14.00STAG

E1

Injection1 Jepangmengirimkaninformasibahwaterdapatkasuswebredirectionpadabeberapasitus/websiteinstitusipemerintah.Pengunjungsituswebinstitusipemerintahdibelokkankesitus-situstookonlinepalsu.

14.01

Injection2 Thailandmemberitahukaninformasiperihalkerentanan(vulnerability)yangmenyebabkankasuswebredirectionpadabeberapasitus/websiteinstitusipemerintah(eksploitasithdkerentananpadaCMSDrupalversi8.5.xsebelum8.5.11danDrupalversi8.6.xsebelum8.6.10).

14.20

Injection3 Jepangmemberitahukanbeberapanegaratelahmemperbaikisitus/websiteyangrusak(terdampakinsidenwebredirection),namunsitus-situstokoonlinepalsumasihbanyakyangaktifdandiketahuibahwabanyakpihakyangtelahmengaksestokoonlinepalsutersebut.

14.35

Injection4 Indonesiamelakukaninvestigasiterhadapsalahsatuwebsitepemerintahyangterdampakinsiden.Waktukejadianhackingthdsalahsatuwebsitepemerintahdiidentifikasiberdasarkaninvestigasilogfilepadawebserver.

14.45

STAG

E2

Injection5 TerjadikegagalankoneksijaringandalamskalabesarpadainstitusipemerintahdiSingapura.Walaupunserangantersebuttelahberhenti,investigasiataskasustersebutmasihberjalan.

15.00

Injection6 KelompokhackerbernamaAnti-AJSocietymelancarkanancamanmelaluimediaTwitter,bahwakelompoktsbakanmelakukanserangansiberskalabesarberupaDistributedDenialofServicekenegara-negaraASEAN.

15.00

Injection7 SaatiniterjadiserangansiberskalabesarberupaDistributedDenialofService(DDoS)dinegara-negaraASEANtermasukIndonesia.Setiapentitassalingberbagiinformasimetodepenangananserangantersebutmelaluimediaselaininternet(conferencecall).

15.15

Injection8 ThailandmelakukaninvestigasiterhadapkasusseranganDDoSyangditujukankeSingapura(Injection5).BerdasarkanhasilinvestigasibersamadenganISPpadaThailand,diungkapbahwasumberseranganDDoSadalahmalwareberupaRemoteAccessTrojan/RATbernamaJBiFrost.

15.55

Injection9 MalaysiamelakukananalisislanjutanterhadapmalwareberupaRemoteAccessTrojan/RATyangdiberikanolehThailand.Ditemukanbahwainsidenwebredirectionyangsebelumnyaterjadi(STAGE1)berkaitandengankejadianseranganDDoSyangtelahterjadidiASEANdimanaaktorpelakuseranganadalahkelompokhackerAnti-AJSociety.

16.05

Injection10 KelompokhackerAnti-AJSocietyditangkap.Setiapnegaramerilisberita(pressrelease)perihalperkembangansituasikeamanansiberyangterjadi,penangkapangruphackerAnti-AJSociety,danbahwasituasikeamanansiberkembaliterkendali.

16.20

Page 21: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

Persiapan Pelaksanaan Kegiatan Informasi Pengiriman & Uji Komunikasi Email

§  Gunakan frase [Latihan Latihan Latihan] pada Subject & Email Header untuk setiap email yang dikirim.

§  Rata-rata waktu ± 15 menit untuk penyelesaian setiap kasus.

§  Persiapan kegiatan :

§  Seluruh kirim/terima email berasal dan ditujukan ke alamat berikut (sebaiknya dimasukkan dalam Contact List untuk kemudahan) :

[email protected]

- T E R B A T A S -

Diskusiseputarkasusskenarioyangdiangkat(tanya-jawab)

11.30WIB

Ujikomunikasi(email) 13.00WIB

Diskusiseputarkasusskenarioyangdiangkat(lanjutan) 13.30WIB

PelaksanaankegiatanASEAN-JapanCyberExercise 14.00WIB

Page 22: ASEAN-JAPAN ONLINE CYBER EXERCISE kegiatan : • Table Top Exercise – Paper-driven exercise with injects scripted by exercise planners and ... • Hybrid - Paper injects with some

SEKIAN