Haruskah saya membayar uang tebusan jika saya terkena ransomware?

Hampir tidak pernah menjadi pilihan pertama. Pulihkan dari cadangan offline, konsultasikan dengan spesialis, periksa dekripsi yang tersedia. Pembayaran mendanai penyerang dan menandakan Anda sebagai target pembayaran; beberapa yurisdiksi juga membatasi pembayaran kepada kelompok yang terkena sanksi. Lihat artikel ransomware kami untuk detailnya.

Berapa lama waktu yang biasanya dibutuhkan organisasi untuk mendeteksi pelanggaran?

Waktu rata-rata antara intrusi dan deteksi adalah sekitar 80 hari pada tahun 2024-2025, turun dari 200+ hari pada satu dekade lalu – peningkatan yang signifikan namun masih sangat lama. Banyak insiden terdeteksi oleh pihak ketiga (penegak hukum, peneliti keamanan, laporan pelanggan) dibandingkan pemantauan internal.

Apakah saya memerlukan rencana respons insiden tertulis?

Untuk organisasi mana pun yang memiliki karyawan, pelanggan, atau data sensitif, ya. Bahkan dokumen satu halaman dengan kontak tim, nomor vendor, dan otoritas pengambilan keputusan tidak ada yang mengalahkan rencana. Tindakan menuliskannya memunculkan celah yang mungkin Anda temukan dalam kejadian sebenarnya.

Apa itu latihan di atas meja?

Panduan respons insiden berdasarkan skenario — biasanya 1-2 jam, dengan tim sebenarnya. Seseorang membaca sebuah skenario; peserta menjelaskan apa yang akan mereka lakukan; kesenjangan dan ambiguitas muncul. Cara termurah untuk menemukan kelemahan IR sebelum diuji secara nyata.

Bisakah usaha kecil mampu memberikan respons terhadap insiden?

Ya melalui pengaturan gaya punggawa dengan perusahaan IR (biaya tahunan yang relatif rendah untuk hak menelepon ketika terjadi sesuatu). Asuransi dunia maya sering kali mencakup layanan IR. Biaya yang harus ditanggung jika terjadi insiden yang tidak direncanakan tanpa dukungan IR biasanya lebih besar daripada biaya yang harus dibayar.

Penjelasan Respons Insiden: Apa yang Harus Dilakukan Saat Anda Diretas

Hampir setiap organisasi pada akhirnya akan dikompromikan. Perbedaan antara insiden terkendali dan pelanggaran bencana sebagian besar terletak pada apa yang terjadi dalam beberapa jam pertama setelah deteksi. Kerangka kerja terstruktur untuk menanganinya – respons terhadap insiden – telah disempurnakan selama beberapa dekade, dan dasar-dasarnya mulai dari perusahaan hingga individu.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Incident respon (IR) adalah proses terstruktur untuk menangani insiden keamanan mulai dari deteksi hingga pemulihan. Disiplin ini muncul dari pola tanggap darurat dan telah dikodifikasikan dalam standar seperti NIST SP 800-61 dan SANS PICERL. Fase-fasenya dapat diprediksi; kesulitannya adalah eksekusi di bawah tekanan.

Enam fase

Persiapan. Bangun tim, alat, dan runbook sebelum sesuatu terjadi. Kebanyakan organisasi yang kurang siap tidak menyadari bahwa mereka kurang siap sampai mereka berada di tengah-tengah suatu insiden.
Identification. Mendeteksi ada sesuatu yang salah. Seringkali merupakan fase tersulit — sebagian besar pelanggaran tidak terdeteksi selama berbulan-bulan.
Containment. Membatasi kerusakan. Hentikan penyerang agar tidak menyebar lebih jauh. Penahanan jangka pendek (isolasi sistem yang terkena dampak) dan penahanan jangka panjang (pembangunan kembali yang bersih sebelum menghubungkan kembali).
Eradication. Hapus keberadaan penyerang — malware, mekanisme persistensi, kredensial yang disusupi. Di sinilah jawabannya adalah membangun kembali, bukan membersihkan.
Recovery. Mengembalikan sistem ke pengoperasian normal. Pantau dengan cermat kemungkinan munculnya kembali ancaman tersebut.
Pelajaran yang didapat. Dokumentasikan apa yang terjadi, apa yang berhasil, apa yang tidak berhasil, dan apa yang harus diubah. Fase ini dilewati karena tekanan tenggat waktu; melakukan hal ini akan membuat insiden di masa depan tidak terlalu buruk.

Jam pertama

Ketika Anda mencurigai suatu insiden, jam pertama sangatlah penting:

Verifikasi bahwa peringatan itu nyata. Positif palsu menyia-nyiakan sumber daya; mengambil tindakan saat peringatan salah baca dapat memperburuk keadaan.
Aktifkan tim IR. Jika Anda tidak memilikinya, pimpinan TI Anda, perusahaan IR eksternal, dan penasihat semuanya harus segera dihubungi.
Simpan bukti. Jangan menghapus sistem sebelum snapshot forensik. Disk snapshot, memori, status log.
Berkomunikasi dengan disiplin. Jangan berbicara melalui email atau obrolan yang mungkin dibaca oleh penyerang. Gunakan saluran out-of-band sampai Anda memastikan apa yang bersih.
Jangan merusak sesuatu lebih cepat dari yang Anda pahami. Menarik kabel jaringan menghentikan penyerang tetapi juga menghentikan penyelidikan Anda jika Anda tidak menangkap status terlebih dahulu.

Penahanan pola

Isolasi jaringan dari host yang disusupi — nonaktifkan port switch mereka, pindahkan ke VLAN karantina, matikan sesi VPN mereka.
Rotasi kredensial untuk akun mana pun yang mungkin telah terekspos. Khususnya akun layanan.
Nonaktifkan vektor persistensi — tugas terjadwal, layanan, autorun, akun pintu belakang — tetapi hanya setelah Anda mendokumentasikannya, karena sering kali vektor tersebut merupakan satu-satunya catatan tentang apa yang dilakukan penyerang.
Memblokir tujuan perintah dan kontrol di firewall dan DNS layer.
Memaksa autentikasi ulang di semua akun; mencabut sesi dan token aktif.

Bantuan eksternal

Insiden di atas tingkat malware komoditas biasanya memerlukan bantuan spesialis:

IR firma (CrowdStrike, Mandiant, Volexity, NCC Group, Coalition Incident Response) — pengikut berbayar atau keterlibatan per jam. Alat khusus dan pengenalan pola dari banyak insiden sebelumnya.
Counsel — untuk kewajiban pemberitahuan pelanggaran, keterlibatan peraturan, pertimbangan pembayaran tebusan.
Pembawa asuransi — jika Anda memiliki asuransi dunia maya, segera beri tahu; mereka sering kali telah menyetujui daftar vendor dan prosedur kebijakan.
Penegakan hukum — FBI untuk ransomware AS (terutama dengan pertimbangan pembayaran), polisi setempat, CERT nasional. Mereka mungkin tidak menyelesaikan insiden Anda, namun mengumpulkan intelijen ancaman.
ISACs dan CERTs — komunitas berbagi informasi spesifik sektor. Cara cepat untuk mengetahui apakah organisasi lain melihat kampanye yang sama.

Komunikasi selama insiden

Beberapa keputusan dengan risiko tertinggi adalah mengenai komunikasi:

Komunikasi internal. Dasar yang perlu diketahui hingga penahanan, kemudian lebih luas. Hindari saluran publik tempat penyerang dapat mendengarkan.
Pemberitahuan pelanggan. Seringkali diwajibkan secara hukum dalam jangka waktu tertentu (72 jam berdasarkan GDPR). Disusun dengan hati-hati — cukup samar-samar agar akurat saat penyelidikan berlanjut, cukup spesifik agar berguna.Pemberitahuan
Regulator. Khusus sektor (SEC untuk pelanggaran material, HIPAA untuk perawatan kesehatan, AG negara bagian di sebagian besar negara bagian AS).
Pernyataan publik. Jika insiden tersebut diketahui atau akan diketahui publik, maka waktu dan kerangkanya menjadi penting. Jangan mengatakan lebih dari yang Anda tahu; jangan katakan kurang dari yang jujur.

Pemulihan dan pembangunan kembali

Untuk insiden serius, aturannya adalah membangun kembali, bukan membersihkan. Penyerang meninggalkan mekanisme persistensi di tempat yang sulit ditemukan — kunci registri, tugas terjadwal dengan akun yang tidak biasa, DLL yang dimodifikasi, biner pintu belakang dengan stempel waktu yang cocok dengan file yang sah. Mencoba membersihkan host yang sangat terkompromi jarang berhasil. Bangun kembali dari media yang dikenal baik dan pulihkan data setelah pemindaian.

Urutan pembangunan kembali juga penting: infrastruktur identitas terlebih dahulu (sehingga kredensial dapat dipercaya), kemudian sistem produksi, lalu perangkat pengguna. Memulai ulang laptop pengguna ke Direktori Aktif yang mungkin masih disusupi akan memberi penyerang pijakan baru.

Untuk individu: IR

yang diperkecilJika akun pribadi Anda disusupi:

Gunakan perangkat yang dikenal bersih — sebaiknya mesin baru — untuk melakukan sisanya. Jangan perbaiki apa pun dari laptop yang berpotensi disusupi.
Reset kata sandi email utama dan 2FA Anda dari perangkat yang bersih. Email mengontrol segalanya.
Reset bank dan broker dari sana.
Lihat aturan penerusan email — penyerang sering kali menambahkan penerusan untuk mencatat penyetelan ulang kata sandi setelah Anda mengubah kata sandi.
Tinjau aplikasi yang terhubung dan pemberian OAuth; mencabut yang tidak dikenal.
Jalankan pemindaian malware lengkap pada perangkat asli; jika ada yang salah, hapus dan instal ulang.
Pantau laporan keuangan untuk beberapa bulan ke depan — penipuan setelah pencurian kredensial sering terjadi beberapa minggu kemudian.

Pelajaran yang didapat

Fase yang dilewati. Tinjauan pasca-insiden harus menjawab:

Bagaimana penyerang bisa masuk?
Kontrol detektif apa yang gagal?
Kontrol detektif apa yang menangkapnya (pada akhirnya)?
Kontrol preventif apa yang akan menghentikannya?
Apa langkah selanjutnya untuk menerapkannya? tempat?

Ulasan yang jujur lebih berharga daripada tanggapan itu sendiri. Insiden berulang di organisasi yang sama biasanya mencerminkan pembelajaran yang tidak didapat.

Pertanyaan yang sering diajukan

Haruskah saya membayar uang tebusan jika saya terkena ransomware?: Hampir tidak pernah menjadi pilihan pertama. Pulihkan dari cadangan offline, konsultasikan dengan spesialis, periksa dekripsi yang tersedia. Pembayaran mendanai penyerang dan menandakan Anda sebagai target pembayaran; beberapa yurisdiksi juga membatasi pembayaran kepada kelompok yang terkena sanksi. Lihat artikel <a href="/learning/ransomware">ransomware kami</a> untuk detailnya.
Berapa lama waktu yang biasanya dibutuhkan organisasi untuk mendeteksi pelanggaran?: Waktu rata-rata antara intrusi dan deteksi adalah sekitar 80 hari pada tahun 2024-2025, turun dari 200+ hari pada satu dekade lalu – peningkatan yang signifikan namun masih sangat lama. Banyak insiden terdeteksi oleh pihak ketiga (penegak hukum, peneliti keamanan, laporan pelanggan) dibandingkan pemantauan internal.
Apakah saya memerlukan rencana respons insiden tertulis?: Untuk organisasi mana pun yang memiliki karyawan, pelanggan, atau data sensitif, ya. Bahkan dokumen satu halaman dengan kontak tim, nomor vendor, dan otoritas pengambilan keputusan tidak ada yang mengalahkan rencana. Tindakan menuliskannya memunculkan celah yang mungkin Anda temukan dalam kejadian sebenarnya.
Apa itu latihan di atas meja?: Panduan respons insiden berdasarkan skenario — biasanya 1-2 jam, dengan tim sebenarnya. Seseorang membaca sebuah skenario; peserta menjelaskan apa yang akan mereka lakukan; kesenjangan dan ambiguitas muncul. Cara termurah untuk menemukan kelemahan IR sebelum diuji secara nyata.
Bisakah usaha kecil mampu memberikan respons terhadap insiden?: Ya melalui pengaturan gaya punggawa dengan perusahaan IR (biaya tahunan yang relatif rendah untuk hak menelepon ketika terjadi sesuatu). Asuransi dunia maya sering kali mencakup layanan IR. Biaya yang harus ditanggung jika terjadi insiden yang tidak direncanakan tanpa dukungan IR biasanya lebih besar daripada biaya yang harus dibayar.