Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Aktivitas pascainsiden
Lanskap ancaman terus berubah dan penting agar organisasi Anda memiliki kemampuan yang juga dinamis untuk melindungi lingkungan Anda secara efektif. Kunci untuk perbaikan berkelanjutan adalah mengulangi hasil insiden dan simulasi Anda untuk meningkatkan kemampuan Anda untuk secara efektif mendeteksi, merespons, dan menyelidiki kemungkinan insiden keamanan, mengurangi kemungkinan kerentanan Anda, waktu untuk merespons, dan kembali ke operasi yang aman. Mekanisme berikut dapat membantu Anda memverifikasi bahwa organisasi Anda tetap siap dengan kemampuan dan pengetahuan terbaru untuk merespons secara efektif, apa pun situasinya.
# Menetapkan kerangka kerja untuk belajar dari insiden
Menerapkan kerangka kerja dan metodologi *pembelajaran* tidak hanya akan membantu meningkatkan kemampuan respons insiden, tetapi juga membantu mencegah insiden terulang kembali. Dengan belajar dari setiap kejadian, Anda dapat membantu menghindari terulangnya kesalahan, eksposur, atau kesalahan konfigurasi, yang tidak hanya meningkatkan postur keamanan Anda, tetapi juga meminimalkan waktu yang terbuang untuk situasi yang dapat dicegah.
Penting untuk menerapkan kerangka kerja pembelajaran dan meraih poin-poin berikut di tingkatan tinggi:
+ Kapan pembelajaran diadakan?
+ Apa saja yang terlibat dalam proses pembelajaran tersebut?
+ Bagaimana pembelajaran dilakukan?
+ Siapa yang terlibat dalam proses tersebut dan bagaimana caranya?
+ Bagaimana cara mengenali area yang perlu ditingkatkan?
+ Bagaimana Anda memastikan perbaikan dilacak dan diimplementasikan secara efektif?
Selain dari hasil tingkat tinggi yang tercantum di atas, penting untuk memastikan bahwa Anda mengajukan pertanyaan yang tepat untuk mendapatkan nilai terbaik (informasi yang mengarah pada peningkatan yang dapat ditindaklanjuti) dari proses tersebut. Pertimbangkan pertanyaan-pertanyaan ini untuk membantu Anda memulai dalam mendorong diskusi pembelajaran Anda:
+ Apa insiden yang terjadi?
+ Kapan insiden tersebut pertama kali diidentifikasi?
+ Bagaimana insiden tersebut diidentifikasi?
+ Sistem apa yang memunculkan peringatan tentang aktivitas tersebut?
+ Sistem, layanan, dan data apa yang terlibat?
+ Secara khusus, apa yang terjadi?
+ Apa yang berjalan dengan baik?
+ Apa yang tidak berjalan dengan baik?
+ Proses atau prosedur mana yang gagal atau tidak dapat diskalakan untuk merespons insiden tersebut?
+ Apa yang dapat ditingkatkan dalam bidang berikut:
+ **Orang**
+ Apakah orang-orang yang perlu dihubungi benar-benar tersedia dan apakah daftar kontak sudah aktual?
+ Apakah orang-orang tidak mendapatkan pelatihan atau tidak memiliki kemampuan yang diperlukan untuk merespons dan menyelidiki insiden tersebut secara efektif?
+ Apakah sumber daya yang sesuai siap dan tersedia?
+ **Proses**
+ Apakah proses dan prosedur diikuti?
+ Apakah proses dan prosedur didokumentasikan dan tersedia untuk (jenis) insiden ini?
+ Apakah proses dan prosedur yang diperlukan tidak ada?
+ Apakah responden dapat memperoleh akses tepat waktu ke informasi yang diperlukan untuk merespons masalah ini?
+ **Teknologi**
+ Apakah sistem peringatan yang ada mampu mengidentifikasi dan memperingatkan tentang aktivitas tersebut secara efektif?
+ Apakah peringatan yang ada perlu ditingkatkan atau apakah peringatan baru perlu dibangun untuk (jenis) insiden ini?
+ Apakah alat yang ada membuat penyelidikan (pencarian/analisis) insiden tersebut dapat dilakukan secara efektif?
+ Apa yang dapat dilakukan untuk membantu mengidentifikasi (jenis) insiden ini lebih cepat?
+ Apa yang dapat dilakukan untuk membantu mencegah (jenis) insiden ini terjadi lagi?
+ Siapa yang bertanggung jawab atas rencana peningkatan dan bagaimana cara untuk menguji apakah rencana tersebut telah diimplementasikan?
+ Apa timeline untuk monitoring/preventative kontrol/proses tambahan yang akan diimplementasikan dan diuji?
Daftar ini tidak mencakup semua; hal ini dimaksudkan untuk berfungsi sebagai titik awal guna mengidentifikasi kebutuhan organisasi dan bisnis dan bagaimana Anda dapat menganalisisnya agar dapat belajar secara efektif dari insiden dan terus meningkatkan postur keamanan Anda. Yang paling penting adalah memulai dengan memasukkan pembelajaran yang diambil sebagai bagian standar dari proses respons insiden, dokumentasi, dan ekspektasi di seluruh pemangku kepentingan.
# Menetapkan metrik keberhasilan
Metrik diperlukan untuk mengukur, menilai, dan meningkatkan kemampuan respons insiden Anda secara efektif. Tanpa metrik, Anda tidak memiliki referensi untuk mengukur secara akurat atau bahkan mengidentifikasi seberapa baik (atau buruk) performa organisasi Anda. Ada beberapa metrik umum untuk respons insiden yang merupakan titik awal yang baik bagi organisasi yang ingin menetapkan ekspektasi serta referensi untuk berupaya mewujudkan keunggulan operasional.
# Waktu rata-rata untuk mendeteksi
*Waktu rata-rata untuk mendeteksi* adalah waktu rata-rata yang diperlukan untuk menemukan kemungkinan insiden keamanan. Secara khusus, ini adalah waktu antara terjadinya indikator penyusupan pertama dan identifikasi atau peringatan awal.
Anda dapat menggunakan metrik ini untuk melacak seberapa efektif performa sistem deteksi dan peringatan Anda. Mekanisme deteksi dan peringatan yang efektif adalah kunci untuk memverifikasi bahwa kemungkinan insiden keamanan tidak berlangsung lama di lingkungan Anda.
Makin tinggi waktu rata-rata deteksi, makin besar kebutuhan untuk membangun peringatan dan mekanisme tambahan atau yang lebih efektif untuk mengidentifikasi dan menemukan kemungkinan insiden keamanan. Makin rendah waktu rata-rata deteksi, makin baik fungsi mekanisme deteksi dan peringatan Anda.
# Waktu rata-rata untuk mengakui
*Waktu rata-rata untuk mengakui* adalah waktu rata-rata yang diperlukan untuk mengakui dan memprioritaskan kemungkinan insiden keamanan. Secara khusus, ini adalah waktu antara pembuatan peringatan dan anggota SOC Anda atau staf respons insiden mengidentifikasi dan memprioritaskan peringatan untuk diproses.
Anda dapat menggunakan metrik ini untuk melacak seberapa baik tim Anda memproses dan memprioritaskan peringatan. Jika tim Anda tidak dapat mengidentifikasi dan memprioritaskan peringatan secara efektif, respons akan tertunda dan menjadi tidak efektif.
Makin tinggi waktu rata-rata untuk mengakui, makin besar kebutuhan untuk memverifikasi bahwa tim Anda memiliki sumber daya yang memadai dan terlatih untuk dengan cepat mengetahui dan memprioritaskan kemungkinan insiden keamanan untuk direspons. Makin rendah waktu rata-rata untuk mengakui, makin baik tim Anda dalam merespons peringatan keamanan, yang menunjukkan bahwa mereka melakukan persiapan secara efektif dan mampu menentukan prioritas dengan baik.
# Waktu rata-rata untuk merespons
Waktu rata-rata untuk merespons adalah waktu rata-rata yang diperlukan untuk memulai respons awal terhadap kemungkinan insiden keamanan. Secara khusus, ini adalah waktu antara peringatan awal atau penemuan kemungkinan insiden keamanan dan tindakan pertama yang diambil untuk merespons. Ini mirip dengan waktu rata-rata untuk mengakui, tetapi ini merupakan pengukuran tindakan responsif tertentu (misalnya, memperoleh data sistem, menahan sistem), bukan pengenalan atau pengakuan sederhana atas situasinya.
Anda dapat menggunakan metrik ini untuk melacak kesiapan Anda dalam merespons insiden keamanan. Seperti disebutkan, persiapan adalah kunci untuk respons yang efektif. Lihat bagian [Persiapan](preparation.md) dari dokumen ini.
Makin tinggi waktu rata-rata untuk merespons, makin besar kebutuhan untuk memverifikasi bahwa tim Anda dilatih dengan baik tentang cara merespons sehingga proses respons didokumentasikan dan digunakan secara efektif. Makin rendah waktu rata-rata untuk merespons, makin baik tim Anda dalam mengidentifikasi respons yang tepat terhadap peringatan yang teridentifikasi dan melakukan tindakan responsif yang diperlukan untuk memulai pengembalian ke operasi yang aman.
# Waktu rata-rata untuk menahan
*Waktu rata-rata untuk menahan* adalah waktu rata-rata yang diperlukan untuk menahan kemungkinan insiden keamanan. Secara khusus, ini adalah waktu antara peringatan awal atau penemuan kemungkinan insiden keamanan dan penyelesaian tindakan responsif yang secara efektif mencegah penyerang atau sistem yang dikompromikan dari melakukan kerusakan lebih lanjut.
Anda dapat menggunakan metrik ini untuk melacak seberapa baik tim Anda dapat memitigasi atau menahan kemungkinan insiden keamanan. Ketidakmampuan untuk menahan kemungkinan insiden keamanan secara cepat dan efektif akan meningkatkan dampak, cakupan, dan eksposur dari kemungkinan penyusupan lebih lanjut.
Makin tinggi waktu rata-rata untuk menahan, makin besar kebutuhan untuk membangun pengetahuan dan kemampuan agar dapat mengurangi dan menahan insiden keamanan yang Anda alami dengan cepat dan efektif. Makin rendah waktu rata-rata untuk menahan, makin baik tim Anda dalam memahami dan menggunakan langkah-langkah yang diperlukan untuk memitigasi dan menahan ancaman yang teridentifikasi guna mengurangi dampak, cakupan, dan risiko terhadap bisnis.
# Waktu rata-rata untuk pulih
*Waktu rata-rata untuk memulihkan* adalah waktu rata-rata yang diperlukan untuk sepenuhnya kembali ke operasi yang aman dari kemungkinan insiden keamanan. Secara khusus, ini adalah waktu antara peringatan awal atau penemuan kemungkinan insiden keamanan dan ketika bisnis kembali beroperasi secara normal dan aman tanpa terpengaruh oleh insiden tersebut.
Anda dapat menggunakan metrik ini untuk melacak seberapa efektif tim Anda dalam mengembalikan sistem, akun, dan lingkungan ke operasi yang aman setelah insiden keamanan terjadi. Ketidakmampuan untuk kembali ke operasi yang aman dengan cepat atau efektif tidak hanya dapat berdampak pada keamanan, tetapi juga dapat meningkatkan dampak dan biaya bagi bisnis dan operasinya.
Semakin tinggi waktu rata-rata untuk pulih, semakin besar kebutuhan untuk mempersiapkan tim dan lingkungan Anda untuk memiliki mekanisme yang sesuai (misalnya, proses failover dan CI/CD saluran pipa untuk menerapkan kembali sistem bersih yang aman) untuk meminimalkan dampak insiden keamanan terhadap operasi dan bisnis. Makin rendah waktu rata-rata untuk pulih, makin efektif tim Anda dalam meminimalkan dampak insiden keamanan pada operasi dan bisnis Anda.
# Waktu tinggal penyerang
*Waktu tinggal penyerang adalah waktu* rata-rata bahwa pengguna yang tidak sah memiliki akses ke sistem atau lingkungan. Hal ini mirip dengan waktu rata-rata untuk menahan, tetapi kerangka waktu ini dimulai dengan waktu awal penyerang memperoleh akses ke sistem atau lingkungan, yang mungkin lebih awal dari peringatan atau penemuan awal.
Anda dapat menggunakan metrik ini untuk melacak seberapa baik sistem dan mekanisme Anda bekerja sama untuk mengurangi jumlah waktu, akses, dan kesempatan yang dimiliki penyerang atau ancaman untuk memengaruhi lingkungan Anda. Mengurangi waktu tinggal penyerang harus menjadi prioritas utama bagi tim dan bisnis Anda.
Makin tinggi waktu tinggal penyerang, makin besar kebutuhan untuk mengidentifikasi bagian mana dari proses respons insiden yang perlu ditingkatkan untuk memastikan kemampuan tim Anda dalam meminimalkan dampak dan cakupan ancaman atau serangan di lingkungan Anda. Makin rendah waktu tinggal penyerang, makin baik tim Anda meminimalkan waktu dan peluang yang dimiliki ancaman atau penyerang dalam lingkungan Anda, yang pada akhirnya mengurangi risiko dan dampak terhadap operasi dan bisnis Anda.
# Ringkasan metrik
Membuat dan melacak metrik untuk respons insiden memungkinkan Anda mengukur, menilai, dan meningkatkan kemampuan respons insiden secara efektif. Untuk mencapai hal ini, ada sejumlah metrik respons insiden umum yang disorot di bagian ini. Tabel 5 merangkum metrik-metrik ini.
*Tabel 5 – Metrik respons insiden*
| Metrik | Deskripsi |
| --- | --- |
| Waktu rata-rata untuk mendeteksi | Waktu rata-rata yang diperlukan untuk menemukan kemungkinan insiden keamanan |
| Waktu rata-rata untuk mengakui | Waktu rata-rata yang diperlukan untuk mengakui (dan memprioritaskan) kemungkinan insiden keamanan |
| Waktu rata-rata untuk merespons | Waktu rata-rata yang diperlukan untuk memulai respons awal terhadap kemungkinan insiden keamanan |
| Waktu rata-rata untuk menahan | Waktu rata-rata yang diperlukan untuk menahan kemungkinan insiden keamanan |
| Waktu rata-rata untuk pulih | Waktu rata-rata yang diperlukan untuk sepenuhnya kembali ke operasi yang aman dari kemungkinan insiden keamanan |
| Waktu tinggal penyerang | Waktu rata-rata pengguna yang tidak sah memiliki akses ke sistem atau lingkungan |
# Gunakan indikator kompromi () IOCs
*Indikator kompromi* (IOC) adalah artefak yang diamati di dalam atau pada jaringan, sistem, atau lingkungan yang dapat (dengan tingkat kepercayaan tinggi) mengidentifikasi aktivitas berbahaya atau insiden keamanan. IOCs dapat ada dalam berbagai bentuk, termasuk alamat IP, domain, artefak tingkat jaringan seperti bendera atau muatan TCP, artefak sistem atau tingkat host seperti executable, nama file dan hash, entri file log, atau entri registri, dan banyak lagi. IOC juga dapat berupa kombinasi item atau aktivitas, seperti keberadaan item atau artefak tertentu pada sistem (file tertentu atau set file dan item registri), tindakan yang dilakukan dalam urutan tertentu (masuk ke sistem dari IP tertentu diikuti oleh perintah anomali tertentu), atau aktivitas jaringan (lalu lintas masuk atau keluar anomali ke atau dari domain tertentu) yang dapat menunjukkan ancaman, serangan, atau metodologi penyerang tertentu.
Saat Anda bekerja untuk meningkatkan program respons insiden secara berulang, Anda harus menerapkan kerangka kerja untuk mengumpulkan, mengelola, dan memanfaatkan IOCs sebagai mekanisme untuk terus membangun dan meningkatkan deteksi dan peringatan serta meningkatkan kecepatan dan kemanjuran investigasi. Anda dapat mulai dengan memasukkan pengumpulan dan pengelolaan IOCs ke dalam fase analisis dan investigasi dari proses respons insiden Anda. Dengan secara proaktif mengidentifikasi, mengumpulkan, dan menyimpan IOCs sebagai bagian standar dari proses Anda, Anda dapat membangun repositori data (sebagai bagian dari program intelijen ancaman yang lebih komprehensif) yang pada gilirannya dapat digunakan untuk meningkatkan deteksi dan peringatan yang ada, membangun deteksi dan peringatan tambahan, mengidentifikasi di mana dan kapan artefak terlihat sebelumnya, membangun dan mereferensikan dokumentasi tentang bagaimana investigasi sebelumnya dilakukan yang melibatkan pencocokan, dan banyak lagi. IOCs
# Pendidikan dan pelatihan berkelanjutan
Pendidikan dan pelatihan merupakan upaya yang terus berkembang dan berkelanjutan yang harus diupayakan dan dipertahankan. Ada berbagai mekanisme untuk memverifikasi bahwa tim Anda menjaga kewaspadaan, pengetahuan, dan kemampuan yang sejalan dengan perkembangan teknologi serta lanskap ancaman.
Salah satu mekanismenya adalah menggunakan pendidikan berkelanjutan sebagai bagian standar dari tujuan dan operasi tim Anda. Seperti yang disebutkan di bagian Persiapan, staf dan pemangku kepentingan respons insiden Anda harus dilatih secara efektif dalam mendeteksi, menanggapi, dan menyelidiki insiden di dalamnya. AWS Namun, pendidikan bukanlah upaya yang “sekali jadi”. Pendidikan harus terus dijalankan untuk memverifikasi bahwa tim Anda dapat mengikuti kemajuan teknologi terbaru, informasi terbaru, dan peningkatan yang dapat dimanfaatkan untuk meningkatkan efektivitas dan efisiensi respons, serta penambahan atau pembaruan pada data yang dapat dimanfaatkan untuk meningkatkan penyelidikan dan analisis.
Mekanisme lain adalah memverifikasi bahwa simulasi dilakukan secara teratur (misalnya, setiap triwulan) dan berfokus pada hasil spesifik untuk bisnis. Lihat bagian [Menjalankan simulasi reguler](run-regular-simulations.md) dari dokumen ini.
Meskipun menjalankan latihan meja awal adalah cara terbaik untuk menghasilkan dasar awal untuk perbaikan, pengujian berkelanjutan adalah kunci untuk perbaikan berkelanjutan dan mempertahankan refleksi yang up-to-date akurat dari keadaan operasi saat ini. Menguji situasi keamanan terbaru dan paling kritis dan kemampuan respons yang paling penting atau terbaru, dan memasukkan pelajaran yang dipetik kembali ke dalam pendidikan, operasi, dan processes/procedures akan memverifikasi bahwa Anda dapat terus meningkatkan proses dan program respons Anda secara keseluruhan.