Senin, 07 Oktober 2013

Penanganan insiden forensik dan freezing the scene

.    2.        Prosedur Penanganan Insiden
Respon awal pada penanganan insiden bisa sangat mempengaruhi analisis laboratorium. Orang-orang tidak berkepentingan tidak seharusnya dibiarkan di sekitar tempat kejadian perkara. Perlu adanya dokumentasi mengenai perlindungan barang bukti, analisis dan laporan penemuan. Suatu kebijakan dan prosedur penanganan insiden sangat penting untuk setiap organisasi. Hal-hal yang harus diingat adalah :
·         Bagaimana untuk mengamankan atau menjaga barang bukti, baik dengan membuat copy image dan mengunci yang asli, sampai kedatangan ahli forensik
·         Di mana atau bagaimana untuk mencari barang bukti, baik itu di drive lokal, backup sistem, komputer atau laptop
·         Daftar yang harus dipersiapkan untuk laporan menyeluruh
·         Daftar orang untuk keperluan pelaporan, pada suatu situasi tertentu
·         Daftar software yang disarankan digunakan secara internal oleh penyelidik
·         Daftar ahli yang disarankan untuk konsultasi


      Tiap organisasi harus memiliki suatu tim penanganan insiden. Tim harus menulis prosedur penanganan insiden. Prosedur sederhana untuk mengamankan suatu insiden komputer :
1.      Amankan lingkungan
2.      Shutting down komputer
3.      Label barang bukti
4.      Dokumentasikan barang bukti
5.      Transportasikan barang bukti
6.      Dokumentasi rangkaian penyimpanan

                        Fase merespon insiden:
1.      Fase 1: Persiapan (42 tindakan)
2.      Fase 2: Identifikasi (6 tindakan)
3.      Fase 3: Pengisian(17 tindakan)
4.      Fase 4:  Pembasmian (10 tindakan)
5.      Fase 5: Pemulihan (6 tindakan)
6.      Fase 6: Tindak lanjut (9 tindakan)


3.    Emergency Action Card
Salah satu bagian dari dokumen yang bisa dipergunakan perusahaan yang belum siap menghadapi insiden adalah Emergency Action Card, berupa sepuluh langkah berikut:
1.    Tetap tenang sehingga menghindari kesalahan fatal
2.    Buatlah catatan yang baik dan relevan: siapa, apa, bagaimana, kapan, di mana, mengapa
3.    Beritahu orang yang tepat dan carilah pertolongan, mulai dari koordinator keamanan dan manajer
4.   Tetapkan kebijakan orang-orang terpercaya yang boleh tahu
5. Gunakan jalur komunikasi terpisah dari sistem yang mengalami compromise
6.     Isolasi masalah sehingga tidak bertambah buruk
7.     Buat backup sistem
8.     Temukan sumber masalah
9.     Kembali ke pekerjaan semula setelah backup terjamin, dan lakukan restore sistem
10.  Belajar dari pengalaman










Tidak ada komentar:

Posting Komentar