Saya lanjutkan pembahasan mengenai penanganan insinden, pada tulisan sebelumnya telah dibahas tahapan persiapan dan identifikasi insiden. Tahap berikutnya adalah incident handling. Tahap Insiden handling merupakan tahapan diamana kita akan menangani insiden. Pada tulisan ini saya akan fokus pada insiden penyerangan malware. Pada kasus penyerangan malware, bila tingkat infeksi malware sudah parah maka terkadang diperlukan proses membangun ulang sistem. Proses membangun ulang sistem ini tidak selalu melakukan instalasi ulang. Kita dapat melakukan recovery dari file backup yang adl. Tapi pada beberapa kasus infeksi, malware dapat kita hilangkan tanpa harus melakukan instalasi ulang sistem. Ketika melakukan instalasi ulang sistem harus dipastikan harddisk maupun media yang digunakan telah bersih dari malware. Contohnya pada kasus rootkit, ketika sistem diinstal ulang, ternyata rootkit tetap ada dan tidak hilang.
Setelah kita sistem dinyatakan bersih dari malware, langkah berikutnya yang harus dilakukan adalah melakukan sistem vulnerability analysis. Atau melakukan analisa celah keamanan sistem. Ini untuk mencegah infeksi berikutnya. Bila sistem telah dianalisa vulnerabilitynya, baru dilakukan tahapan recovery. Pada tahapan ini komputer yang telah dibersihkan kembali dipasang pada jaringan, dan dilakukan monitoring untuk mengetahui apakah masih ada infeksi malware. Proses monitoring biasanya dilakukan dengan menganalisa file log firewall dan IDS. Pada proses recovery harus dipastikan petugas yang terlibat memiliki otoritas yang jelas terhadap sistem. Kemudian dilakukan juga pengujian sistem oleh admin dan user.
Tahap terakhir adalah lesson learned. Pada tahap ini dilakukan analisa menyeluruh terhadap insiden yang telah terjadi. Disini dipelajari penyebab insiden, kemudian dibuat rekomendasi perbaikan sistem maupun SOP untuk mencegah terjadinya insiden yang sama. Selanjutnya dibuat laporan insiden yang akan dilaporkan ke pihak manajemen. Pada tulisan berikutnya akan saya ceritakan contoh kasus penanganan insiden malware.
Referensi
http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103