DFIR: INTRODUCTION

LEVEL : NEWBIE

introduction
attacking
defending

Kebocoran data dan incident bisa terjadi walau tim security udah berusaha banget buat ngehindarin di seluruh dunia. Cara yang paling bijak di skenario kaya gini itu nyiapin diri buat waktu di mana incident bakal terjadi biar kita ga kecolongan. Makanya, Digital Forensics and Incident Response (DFIR) udah jadi subjek penting di Defensive Security. Di materi ini, kita bakal ngebahas beberapa konsep dasar DFIR dan ngenalin materi yang bakal ngembangin pengetahuan kita tentang DFIR. Materi ini bakal ngebahas topik-topik ini:

TUJUAN PEMBELAJARAN

  • Pengenalan DFIR
  • Beberapa konsep dasar yang dipake di bidang DFIR
  • Proses Incident Response yang dipake di industri
  • Beberapa tools yang dipake buat DFIR

DFIR itu apaan sih?

Kaya yang udah gua bilang tadi, DFIR itu singkatan dari Digital Forensics and Incident Response. Bidang materi ini nyakup pengumpulan barang bukti forensik dari perangkat digital mirip komputer, perangkat media, dan smartphone buat nyelidikin insiden. Bidang materi ini ngebantu para Profesional Keamanan buat ngenalin jejak kaki yang ditinggalin penyerang pas insiden keamanan terjadi, pake jejak itu buat nentuin seberapa parah kerusakan di suatu lingkungan, terus balikin lagi lingkungan itu ke kondisi sebelum insiden terjadi.

Kenapa DFIR itu dibutuhin?

DFIR ngebantu profesional keamanan dalam banyak hal, beberapa di antaranya kaya di bawah ini:

  • Nemuin bukti aktivitas penyerang di jaringan dan nyari tau mana alarm palsu sama insiden beneran.
  • Bener-bener ngilangin penyerang, jadi jejak mereka di jaringan ga ada lagi.
  • Ngenalin seberapa luas dan kapan terjadinya pelanggaran. Ini ngebantu buat komunikasi sama pihak-pihak terkait.
  • Nyari tau celah keamanan yang nyebabin pelanggaran. Apa aja yang perlu diubah buat ngehindarin pelanggaran di masa depan?
  • Ngertiin kelakuan penyerang buat ngeblokir upaya intrusi lebih lanjut dari penyerang secara duluan.
  • Ngebagi informasi soal penyerang sama komunitas.

Siapa sih yang ngelakuin DFIR?

Kaya namanya, DFIR butuh keahlian di bidang Digital Forensics dan Incident Response. Dibagi dua bidang kaya gini, skill yang dibutuhin buat jadi profesional DFIR itu kaya gini:

  • Digital Forensics: Profesional di bidang materi ini jago banget ngenalin artefak forensik atau bukti aktivitas manusia di perangkat digital.
  • Incident Response: Orang-orang yang nanganin Incident Response itu jago di bidang cybersecurity dan manfaatin informasi forensik buat ngenalin aktivitas yang penting dari sudut pandang keamanan.

Profesional DFIR tau soal Digital Forensics dan cybersecurity, terus ngegabungin dua bidang materi ini buat mencapai tujuan mereka. Domain Digital Forensics dan Incident Response sering digabungin soalnya emang saling pake banget. Incident Response manfaatin pengetahuan yang didapetin dari Digital Forensics. Sama kaya gitu, Digital Forensics ngambil tujuan dan ruang lingkupnya dari proses Incident Response, dan proses IR itu yang nentuin seberapa luas investigasi forensiknya.

Sekarang kita udah kenalan sama DFIR dan kenapa itu dibutuhin, yuk sekarang kita belajar beberapa konsep dasar soal DFIR di bagian ini.

Artefak

Artefak itu potongan bukti yang nunjukin aktivitas yang dilakuin di sistem. Pas ngelakuin DFIR, artefak dikumpulin buat ngedukung hipotesis atau klaim soal aktivitas penyerang. Contohnya, kalo kita mau ngeklaim penyerang pake kunci registri Windows buat ngejaga persistensi di sistem, kita bisa pake kunci registri itu buat ngedukung klaim kita. Nah, kunci registri yang disebutin tadi itu yang bakal dianggap artefak. Jadi, ngumpulin artefak itu bagian penting banget dari proses DFIR. Artefak bisa dikumpulin dari sistem file Endpoint atau Server, memori, atau aktivitas jaringan. Biasanya, lingkungan perusahaan itu isinya kebanyakan Sistem Operasi Windows sama Linux.

Buat belajar lebih banyak soal artefak forensik di Sistem Operasi ini, lu bisa langsung ke materi Windows Forensics 1, Windows Forensics 2, atau materi Linux Forensics. Sistem Windows itu biasanya dipake buat endpoint sama server, mirip Active Directory Domain Controller atau server email MS Exchange. Perusahaan-perusahaan biasanya pake sistem Linux buat server yang ngehosting beberapa layanan, contohnya server web atau server database.

Preservasi Bukti: Pas ngelakuin DFIR, kita harus ngejaga integritas bukti yang lagi kita kumpulin. Makanya, ada beberapa praktik terbaik yang udah ditetapin di industri. Kita harus inget kalo analisis forensik itu pasti nyemarin bukti. Jadi, bukti itu pertama dikumpulin terus dilindungin dari penulisan. Abis itu, salinan dari bukti yang udah dilindungin dari penulisan itu yang dipake buat analisis. Proses ini mastiin bukti asli kita ga kecemar dan tetep aman pas dianalisis. Kalo salinan yang lagi diselidikin rusak, kita bisa balik lagi dan bikin salinan baru dari bukti yang udah kita preservasi.

Rantai Penahanan (Chain of Custody)

Aspek penting lain dari ngejaga integritas bukti itu rantai penahanan. Pas bukti dikumpulin, harus dipastiin bukti itu disimpen di tempat yang aman. Orang yang ga ada hubungannya sama investigasi ga boleh megang bukti itu, soalnya itu bakal nyemarin rantai penahanan bukti. Rantai penahanan yang kecemar bisa ngebuat pertanyaan soal integritas data dan ngelemahin kasus yang lagi dibangun gara-gara nambahin variabel ga jelas yang ga bisa dipecahin. Contohnya, misal image hard drive, pas lagi dipindahin dari orang yang ngambil image ke orang yang bakal ngelakuin analisis, malah jatoh ke tangan orang yang ga punya kualifikasi buat nanganin bukti kaya gitu. Nah, dalam kasus itu, kita ga bisa yakin apa dia nanganin bukti itu dengan bener dan ga nyemarin bukti itu sama aktivitas dia.

Urutan Volatilitas:

Bukti digital itu seringnya volatile, alias bisa ilang selamanya kalo ga ditangkep tepat waktu. Contohnya, data di memori sistem komputer (RAM) bakal ilang pas komputer dimatiin, soalnya RAM nyimpen data cuma selama listriknya nyala. Beberapa sumber itu lebih volatile dibanding yang lain. Contohnya, hard drive itu penyimpanan persisten dan tetep nyimpen data walaupun listriknya mati. Makanya, hard drive itu kurang volatile dibanding RAM. Pas ngelakuin DFIR, penting banget buat ngerti urutan volatilitas dari sumber bukti yang beda-beda biar bisa ditangkep dan dipreservasi dengan bener. Di contoh di atas, kita perlu preservasi RAM dulu sebelum preservasi hard drive, soalnya kita bisa aja kehilangan data di RAM kalo kita ga prioritaskan itu.

Bikin Timeline

Begitu kita udah ngumpulin artefak dan ngejaga integritasnya, kita perlu nyajiin itu dengan cara yang gampang dimengerti biar informasi yang ada di dalamnya bisa kepake banget. Timeline kejadian perlu dibikin buat analisis yang efisien dan akurat. Timeline kejadian ini naron semua aktivitas dalam urutan waktu. Aktivitas ini namanya bikin timeline. Bikin timeline ngasih perspektif ke investigasi dan ngebantu nyatuin informasi dari berbagai sumber buat bikin cerita soal gimana kejadiannya.

Industri keamanan udah bikin banyak banget tools keren buat ngebantu proses DFIR. Tools-tools ini ngebantu ngirit waktu berharga dan ningkatin kemampuan profesional keamanan. Yuk, kita belajar beberapa tools di sini. Lu bisa cek materi-materi soal tools ini di learning path ini buat belajar lebih lanjut.

Eric Zimmerman

Eric Zimmerman itu peneliti keamanan yang udah nulis beberapa tools buat ngebantu ngelakuin analisis forensik di platform Windows. Tools-tools ini ngebantu analisis registri, sistem file, timeline, dan banyak analisis lainnya. Buat belajar lebih banyak soal tools ini, lu bisa cek materi Windows Forensics 1 dan Windows Forensics 2, di mana tools-tools ini dibahas terkait artefak-artefak beda yang ditemuin di Sistem Operasi Windows.

KAPE

Kroll Artifact Parser and Extractor (KAPE) itu tools bermanfaat lain dari Eric Zimmerman. Tools ini otomatis ngumpulin dan nge-parse artefak forensik dan bisa ngebantu bikin timeline kejadian. Lu bisa cek materi KAPE buat belajar lebih banyak soal KAPE.

Autopsy

Autopsy itu platform forensik open-source yang ngebantu nganalisis data dari media digital kaya perangkat seluler, hard drive, dan removable drive. Berbagai plugin buat Autopsy ngecepetin proses forensik dan ngekstrak serta nyajiin informasi berharga dari sumber data mentah. Materi Autopsy di learning path ini bisa ngebantu kalo lu mau belajar lebih banyak soal itu.

Volatility

Volatility itu tools yang ngebantu ngelakuin analisis memori buat memory capture dari Sistem Operasi Windows dan Linux. Ini tools yang powerful yang bisa ngebantu ngekstrak informasi berharga dari memori mesin yang lagi diselidikin. Lu bisa belajar lebih banyak soal Volatility di materi Volatility.

Redline

Redline itu tools incident response yang dikembangin dan disebarin gratis sama FireEye. Tools ini bisa ngumpulin data forensik dari sistem dan ngebantu informasi forensik yang udah dikumpulin. Lu bisa belajar lebih banyak soal Redline di materi Redline.

Velociraptor

Velociraptor itu platform canggih buat monitoring endpoint, forensik, dan response. Ini open-source tapi powerful banget. LINUXENIC Corporation udah bikin materi Velociraptor buat lu belajar lebih banyak soal itu.

Walaupun semua tools ini ngebantu pas ngelakuin DFIR, penting banget buat ngerti proses yang diikutin buat nyapai tujuan kita. Bagian selanjutnya bakal fokus ke proses Incident Response dan gimana kita bisa manfaatin Digital Forensics dalam proses itu.

Dalam Operasi Keamanan, Digital Forensics itu paling sering dipake buat ngelakuin Incident Response. Kita bakal belajar proses Incident Response dan ngeliat gimana Digital Forensics ngebantu dalam proses IR di bagian ini. Beda-beda organisasi udah ngepublish metode standar buat ngelakuin Incident Response. NIST udah nentuin proses di panduan SP-800-61 Incident Handling mereka, yang langkah-langkahnya kaya gini:

  • Persiapan (Preparation)
  • Deteksi dan Analisis (Detection and Analysis)
  • Penahanan, Pemberantasan, dan Pemulihan (Containment, Eradication, and Recovery)
  • Aktivitas Pasca-insiden (Post-incident Activity)

Sama kaya gitu, SANS juga udah ngepublish buku panduan Incident Handler’s handbook. Buku panduan itu nentuin langkah-langkahnya kaya gini:

  • Persiapan (Preparation)
  • Identifikasi (Identification)
  • Penahanan (Containment)
  • Pemberantasan (Eradication)
  • Pemulihan (Recovery)
  • Pelajaran yang Didapet (Lessons Learned)

Langkah-langkah yang ditentuin sama SANS sering diringkas jadi akronim PICERL, biar gampang diinget. Kita bisa liat kalo langkah-langkah yang disebutin sama SANS dan NIST itu sama persis. Walaupun NIST ngegabungin Penahanan, Pemberantasan, dan Pemulihan, SANS misahin itu jadi langkah-langkah yang beda. Aktivitas pasca-insiden dan Pelajaran yang didapet bisa dibandingin, sementara Identifikasi dan Deteksi dan Analisis punya implikasi yang sama. Sekarang kita udah ngerti kalo dua proses itu mirip, yuk kita belajar dikit soal arti langkah-langkah yang beda itu. Kita jelasin langkah-langkah PICERL soalnya lebih gampang diinget pake akronimnya, tapi kaya yang udah dijelasin di atas, itu sama persis sama langkah-langkah yang ditentuin sama NIST.

  • Persiapan (Preparation): Sebelum insiden kejadian, persiapan perlu dilakuin biar semua orang siap kalo-kalo insiden kejadian. Persiapan nyakup punya orang-orang, proses, dan teknologi yang dibutuhin buat nyegah dan ngerespons insiden.
  • Identifikasi (Identification): Insiden itu dikenalin lewat beberapa indikator di fase identifikasi. Indikator-indikator ini terus dianalisis buat False Positive, didokumentasiin, dan dikomunikasiin ke pihak-pihak terkait.
  • Penahanan (Containment): Di fase ini, insiden ditahan, dan upaya dilakuin buat ngebatasin dampaknya. Mungkin ada perbaikan jangka pendek dan jangka panjang buat nahan ancaman, dasarnya dari analisis forensik insiden yang bakal jadi bagian dari fase ini.
  • Pemberantasan (Eradication): Selanjutnya, ancaman diberantas dari jaringan. Harus dipastiin analisis forensik yang bener udah dilakuin dan ancaman udah ditahan secara efektif sebelum pemberantasan. Contohnya, kalo titik masuk pelaku ancaman ke jaringan ga ditutup, ancaman ga bakal diberantas secara efektif, dan pelaku bisa dapet pijakan lagi.
  • Pemulihan (Recovery): Begitu ancaman diilangin dari jaringan, layanan-layanan yang sempet keganggu dibalikin lagi kaya semula sebelum insiden kejadian.
  • Pelajaran yang Didapet (Lessons Learned): Terakhir, review soal insiden dilakuin, insiden didokumentasiin, dan langkah-langkah diambil berdasarkan temuan dari insiden buat mastiin tim lebih siap buat waktu lain kalo insiden kejadian lagi.

Udah selesai semua buat materi ini. Yuk, kita inget lagi apa aja yang udah kita pelajarin di sini.

  • Kita udah belajar DFIR itu apaan dan dipake di mana.
  • Kita udah belajar kenapa kita perlu ngelakuin DFIR.
  • Kita udah belajar konsep-konsep dasar mirip rantai penahanan, preservasi bukti, dan urutan volatilitas.
  • Kita udah belajar soal beberapa tools yang dipake di industri mirip EZ tools, KAPE, Autopsy, dll.
  • Proses PICERL buat incident response
root@yournickname~: $ _
{fUn_w1th_cyb3r53cur1ty}
To top

Verify Your Identity

The verification code expires in -

Please enable one or more of the options below:

Try Another Verification Method