Worm Infection Response

Admin

Worm Infection Response

Panduan untuk menangani information system worm infections.

ABSTRACT

Incident Response Methodology ini adalah cheat sheet yang ditujukan bagi incident handlers yang melakukan investigasi pada masalah keamanan tertentu.

Siapa yang harus menggunakan lembar IRM?

  • Administrator
  • Security Operation Center
  • CISO dan wakilnya
  • CERT (Computer Emergency Response Team)
Ingat: Jika Anda menghadapi insiden, ikuti IRM, buat catatan, dan jangan panik. Segera hubungi CERT Anda jika diperlukan.

Incident Handling Steps

6 langkah yang ditentukan untuk menangani security incidents:

  • Preparation: bersiap untuk menangani insiden.
  • Identification: mendeteksi insiden.
  • Containment: membatasi dampak insiden.
  • Remediation: menghilangkan ancaman.
  • Recovery: pulih ke tahap normal.
  • Aftermath: menyusun dan meningkatkan proses.

IRM menyediakan informasi mendetail untuk setiap langkah.

1 Preparation
  • Tentukan aktor (actors), untuk setiap entitas, yang akan terlibat ke dalam crisis cell. Aktor-aktor ini harus didokumentasikan dalam daftar kontak yang selalu diperbarui secara permanen.
  • Pastikan alat analisis (analysis tools) sudah siap, berfungsi (Antivirus, IDS, log analysers), tidak terkompromi (not compromised), dan selalu diperbarui.
  • Pastikan Anda memiliki peta arsitektur (architecture map) dari jaringan Anda.
  • Pastikan inventaris aset (inventory of the assets) yang diperbarui sudah tersedia.
  • Lakukan pengawasan keamanan secara berkelanjutan (continuous security watch) dan beri tahu orang-orang yang bertanggung jawab atas keamanan mengenai tren ancaman terbaru.
2 Identification

Detect the infection

Informasi yang datang dari beberapa sumber harus dikumpulkan dan dianalisis:

  • Antivirus logs,
  • Intrusion Detection Systems,
  • Upaya koneksi yang mencurigakan pada servers,
  • Jumlah akun terkunci yang tinggi,
  • Lalu lintas jaringan yang mencurigakan (suspicious network traffic),
  • Upaya koneksi yang mencurigakan pada firewalls,
  • Peningkatan panggilan dukungan (support calls) yang tinggi,
  • Beban tinggi atau sistem membeku (system freeze),
  • Volume email terkirim yang tinggi.

Jika satu atau beberapa gejala ini telah terlihat, aktor yang ditentukan dalam langkah "preparation" akan saling menghubungi dan jika diperlukan, membuat crisis cell.

Identify the infection

Analisis gejala-gejala tersebut untuk mengidentifikasi worm, vektor penyebarannya (propagation vectors), dan langkah penanggulangannya (countermeasures).

Petunjuk (leads) dapat ditemukan dari:

  • Buletin CERT;
  • Kontak dukungan eksternal (antivirus companies, dll.);
  • Situs web keamanan (Secunia, SecurityFocus, dll.)
Beri tahu Chief Information Security Officer (CISO). Hubungi CERT Anda jika diperlukan.

Assess the perimeter of the infection

Tentukan batas-batas infeksi (misal: infeksi global, terbatas pada anak perusahaan, dll.). Jika memungkinkan, identifikasi dampak bisnis (business impact) dari infeksi tersebut.

3 Containment

Tindakan berikut harus dilakukan dan dipantau oleh crisis management cell:

  1. Putus area yang terinfeksi dari Internet.
  2. Isolasi area yang terinfeksi. Putuskan sambungannya dari jaringan mana pun.
  3. Jika lalu lintas bisnis yang penting (business-critical traffic) tidak dapat diputuskan, izinkan setelah memastikan bahwa lalu lintas tersebut tidak dapat menjadi vektor infeksi atau temukan teknik pengalihan yang telah divalidasi (validated circumvention techniques).
  4. Netralisasi vektor penyebaran (propagation vectors). Vektor penyebaran bisa berupa apa saja, mulai dari lalu lintas jaringan hingga celah perangkat lunak (software flaw). Langkah penanggulangan yang relevan harus diterapkan (patch, pemblokiran lalu lintas, menonaktifkan perangkat, dll.). Sebagai contoh, teknik berikut dapat digunakan:
    • Alat penyebaran patch (patch deployment tools) (WSUS),
    • Windows GPO,
    • Aturan firewall,
    • Prosedur operasional.

Ulangi langkah 2 hingga 4 pada setiap sub-area dari wilayah yang terinfeksi sampai worm berhenti menyebar. Jika memungkinkan, pantau infeksi menggunakan alat analisis (antivirus console, server logs, panggilan dukungan).

Penyebaran worm harus dipantau.

Mobile devices

Pastikan tidak ada laptop, PDA, atau penyimpanan seluler (mobile storage) yang dapat digunakan sebagai vektor penyebaran oleh worm. Jika memungkinkan, blokir semua koneksi mereka.

Minta pengguna akhir (end-users) untuk mengikuti arahan dengan tepat.

4 Remediation

Tujuan dari fase ini adalah memastikan worm benar-benar hilang dari seluruh sistem yang terinfeksi sebelum area tersebut dikembalikan ke kondisi operasional normal.

  • Lakukan pembersihan (disinfection) pada setiap host yang terinfeksi menggunakan alat antivirus/anti-malware yang sudah diperbarui dengan signature terbaru, atau lakukan rebuild sistem dari image bersih (clean image) jika tingkat kompromi tidak dapat dipastikan sepenuhnya.
  • Terapkan patch keamanan yang menutup celah (vulnerability) yang dieksploitasi oleh worm sebagai vektor penyebaran.
  • Perkuat konfigurasi sistem (hardening): nonaktifkan service yang tidak diperlukan, perketat aturan firewall, dan terapkan kontrol akses sesuai prinsip least privilege.
  • Verifikasi setiap sub-area yang sebelumnya terinfeksi untuk memastikan tidak ada sisa artefak worm (file, registry key, scheduled task, service, dll.).
  • Dokumentasikan setiap tindakan remediasi yang dilakukan, termasuk sistem mana saja yang sudah dinyatakan bersih.
5 Recovery

Fase ini bertujuan untuk mengembalikan sistem dan layanan ke kondisi operasional normal secara bertahap dan terkendali.

  • Sambungkan kembali area yang telah dinyatakan bersih ke jaringan secara bertahap (per sub-area), bukan sekaligus, untuk meminimalkan risiko reinfeksi.
  • Pantau secara intensif (close monitoring) lalu lintas jaringan, log antivirus, dan indikator lain selama periode pemulihan untuk mendeteksi tanda-tanda infeksi ulang sedini mungkin.
  • Jika diperlukan, lakukan restore data dari backup yang bersih dan tervalidasi (bukan backup yang diambil setelah masa infeksi).
  • Informasikan kepada pengguna dan pemangku kepentingan terkait bahwa layanan kembali normal, beserta arahan tambahan jika ada (misal: wajib update antivirus, perubahan password, dll.).
  • Pertahankan status kesiagaan (heightened monitoring) untuk beberapa waktu setelah recovery sebagai langkah antisipasi.
Lakukan reconnect secara bertahap per sub-area, jangan sekaligus seluruh jaringan — ini meminimalkan risiko reinfeksi massal jika ada sisa worm yang belum terdeteksi.
6 Aftermath

Fase terakhir ini bertujuan untuk mendokumentasikan insiden secara menyeluruh dan meningkatkan kesiapan organisasi di masa depan.

  • Susun laporan insiden (incident report) yang mencakup kronologi, akar masalah (root cause), dampak bisnis, serta tindakan yang telah diambil di setiap fase.
  • Lakukan post-incident review atau lessons learned meeting bersama seluruh aktor yang terlibat dalam crisis cell untuk mengevaluasi efektivitas respons.
  • Perbarui dokumen pendukung yang relevan: daftar kontak, peta arsitektur, inventaris aset, dan prosedur IRM itu sendiri berdasarkan temuan dari insiden ini.
  • Identifikasi celah proses atau teknis yang berkontribusi terhadap insiden, lalu rencanakan perbaikan jangka panjang (misal: kebijakan patching, segmentasi jaringan, kesadaran pengguna).
  • Arsipkan seluruh bukti, log, dan catatan investigasi sesuai kebijakan retensi organisasi untuk keperluan audit atau referensi di masa depan.

Bagikan ke aplikasi lainnya
Copy Post Link