Incident Response & Forensik Digital

📋 Daftar Isi

Pengenalan Incident Response
Incident Response Lifecycle
Detection & Analysis
Containment & Eradication
Forensik Digital
Quiz Pemahaman

1. Pengenalan Incident Response

Incident Response (IR) adalah pendekatan sistematis untuk menangani dan mengelola kejadian keamanan siber (security incident) — mulai dari serangan malware, data breach, DDoS, insider threat, hingga ransomware. Tujuan utamanya adalah meminimalkan dampak insiden, memulihkan operasional secepat mungkin, dan mempelajari pelajaran untuk mencegah kejadian serupa di masa depan.

Setiap organisasi — dari startup kecil hingga korporasi besar — membutuhkan Incident Response Plan (IRP). Tanpa rencana yang terstruktur, respons terhadap insiden akan kacau, membuang waktu berharga, dan memperparah kerusakan. Menurut riset IBM, organisasi dengan IR plan yang teruji menghemat rata-rata $2.66 juta per breach dibanding yang tidak punya.

Apa yang Termasuk Security Incident?

Jenis Insiden	Deskripsi	Tingkat Keparahan
Data Breach	Data sensitif (PII, financial, kesehatan) diakses atau dicuri pihak tidak berwenang	🔴 Kritis
Ransomware	Data dienkripsi oleh penyerang dan diminta tebusan	🔴 Kritis
DDoS Attack	Layanan menjadi tidak tersedia karena serangan flood	🟠 Tinggi
Malware Infection	Sistem terinfeksi virus, trojan, worm, atau rootkit	🟠 Tinggi
Unauthorized Access	Pihak tidak berwenang berhasil masuk ke sistem	🟠 Tinggi
Phishing Success	Karyawan mengklik link phising atau memberikan kredensial	🟡 Sedang
Insider Threat	Karyawan atau kontraktor menyalahgunakan akses	🟠 Tinggi
Policy Violation	Pelanggaran kebijakan keamanan yang tidak langsung berdampak	🟢 Rendah

Incident Response Team (CSIRT)

Peran	Tanggung Jawab	Skills yang Dibutuhkan
IR Manager / Lead	Koordinasi tim, komunikasi stakeholder, pengambilan keputusan	Leadership, komunikasi, manajemen krisis
Security Analyst	Analisis log, SIEM, identifikasi anomali	SIEM, networking, OS internals
Forensic Analyst	Investigasi bukti digital, chain of custody	Disk forensics, memory analysis, malware analysis
Threat Hunter	Proaktif mencari indikator kompromi (IOC)	MITRE ATT&CK, threat intelligence
Legal / Compliance	Kewajiban hukum, notifikasi breach, GDPR/PODK	Regulasi, privacy law, documentation
Communications	Press release, komunikasi eksternal	PR, crisis communication

Diagram: Situasi Insiden Keamanan

┌───────────────────────────────────────────────────────┐
│            SECURITY INCIDENT SCENARIOS                │
│                                                       │
│  ┌─────────────┐  ┌─────────────┐  ┌──────────────┐ │
│  │  Ransomware │  │ Data Breach │  │   DDoS       │ │
│  │  ████████   │  │  ████████   │  │  ████████    │ │
│  │  Data       │  │  PII/PCI    │  │  Service     │ │
│  │  Encrypted  │  │  Leaked     │  │  Down        │ │
│  └──────┬──────┘  └──────┬──────┘  └──────┬───────┘ │
│         │                │                │          │
│         ▼                ▼                ▼          │
│  ┌──────────────────────────────────────────────┐    │
│  │           INCIDENT RESPONSE TEAM             │    │
│  │  Detect → Analyze → Contain → Eradicate      │    │
│  │              → Recover → Lessons Learned      │    │
│  └──────────────────────────────────────────────┘    │
└───────────────────────────────────────────────────────┘

2. Incident Response Lifecycle (NIST SP 800-61)

Framework incident response yang paling banyak digunakan adalah NIST SP 800-61 (Computer Security Incident Handling Guide). Framework ini mendefinisikan 4 fase utama yang membentuk siklus berkelanjutan:

4 Fase Incident Response

Fase	Aktivitas Utama	Durasi Khas	Tujuan
1. Preparation	Setup tools, training tim, buat IR plan	Continuous	Siap menghadapi insiden sebelum terjadi
2. Detection & Analysis	Monitoring, alert triage, analisis	Menit - Jam	Deteksi insiden dan tentukan ruang lingkup
3. Containment, Eradication & Recovery	Isolasi, hapus ancaman, pulihkan sistem	Jam - Hari	Hentikan kerusakan dan kembalikan operasional
4. Post-Incident Activity	Lessons learned, laporan, perbaikan	Minggu	Belajar dan tingkatkan kesiapan

Preparation — Kesiapan Sebelum Insiden

Text — Incident Response Checklist

INCIDENT RESPONSE PREPARATION CHECKLIST
========================================

Dokumen & Rencana:
  ☐ Incident Response Plan (IRP) — didokumentasikan dan di-review tahunan
  ☐ Contact list — nomor telepon semua anggota IR team 24/7
  ☐ Escalation matrix — siapa yang dihubungi berdasarkan severity
  ☐ Communication templates — email/notifikasi untuk berbagai scenario
  ☐ Legal/regulatory requirements — GDPR, UU ITE, PODK, PCI-DSS

Tools & Infrastructure:
  ☐ SIEM terkonfigurasi (Splunk, ELK, Wazuh)
  ☐ EDR solution (CrowdStrike, SentinelOne, Defender ATP)
  ☐ Forensic toolkit (Autopsy, Volatility, FTK, CAINE)
  ☐ Network monitoring (Wireshark, Zeek/Bro, NetFlow)
  ☐ Backup system — tested & verified (3-2-1 rule)
  ☐ Isolated forensic workstation
  ☐ Write-blockers untuk disk imaging
  ☐ Secure communication channel (encrypted chat, out-of-band)

Tim & Training:
  ☐ IR team terbentuk dengan peran jelas
  ☐ Tabletop exercise — simulasi insiden tanpa eksekusi teknis
  ☐ Red team/blue team exercise
  ☐ Training forensik untuk analyst
  ☐ Runbook untuk scenario umum (ransomware, data breach, DDoS)

Infrastructure Resilience:
  ☐ Network segmentation — isolasi segment kritis
  ☐ Redundant systems — failover untuk critical services
  ☐ Immutable backups — backup yang tidak bisa dihapus/dimodifikasi
  ☐ Out-of-band management — akses ke infrastruktur di luar jaringan utama

💡 Tips Preparation

Latih IR plan secara berkala — minimal 2x setahun dengan tabletop exercise
Pastikan ada out-of-band communication — jika sistem utama dikompromikan, tim masih bisa berkomunikasi
Simpan salinan IR plan di beberapa lokasi offline — paper copy di brankas, USB di lokasi terpisah
Bangun relationship dengan LE (law enforcement), CERT, dan vendor security sebelum insiden terjadi

3. Detection & Analysis

Fase Detection & Analysis adalah ketika tim IR mengidentifikasi bahwa insiden keamanan sedang terjadi atau sudah terjadi. Tantangan terbesar di fase ini adalah signal-to-noise ratio — membedakan insiden yang nyata dari false positive yang sangat banyak. Rata-rata SOC (Security Operations Center) menerima ribuan alert per hari, tetapi hanya sebagian kecil yang benar-benar insiden.

Sumber Deteksi

Sumber	Tools/Platform	Contoh Alert
SIEM	Splunk, Elastic SIEM, Wazuh, QRadar	Multiple failed logins, data exfiltration pattern
EDR	CrowdStrike, SentinelOne, Carbon Black	Suspicious process execution, fileless malware
NDR	Darktrace, Vectra, Zeek	Lateral movement, C2 beaconing, unusual DNS
User Reports	Help desk, email phishing report button	Phishing email, suspicious pop-ups
Threat Intel	MISP, OTX, VirusTotal	Known IOC match, compromised credentials
External	Law enforcement, vendor advisory, media	Zero-day notification, data leak on dark web

Log Analysis & SIEM Query

Splunk SPL — Contoh SIEM Detection Queries

# =============================================
# SIEM DETECTION QUERIES — Contoh Splunk SPL
# =============================================

# 1. Brute Force Detection — Multiple failed logins followed by success
index=windows sourcetype=WinEventLog:Security EventCode=4625
| stats count as failed_count by src_ip, user
| where failed_count >= 10
| join type=left src_ip
  [search index=windows sourcetype=WinEventLog:Security EventCode=4624
   | stats latest(_time) as success_time by src_ip, user]
| where isnotnull(success_time)
| table src_ip, user, failed_count, success_time
# ALERT: Brute force succeeded! Investigate immediately.

# 2. Lateral Movement — SMB/RDP connections to multiple hosts
index=network sourcetype=firewall
  (dest_port=445 OR dest_port=3389 OR dest_port=5985)
| stats dc(dest_ip) as unique_hosts, values(dest_ip) as targets by src_ip
| where unique_hosts >= 5
| table src_ip, unique_hosts, targets
# ALERT: Possible lateral movement from src_ip!

# 3. Data Exfiltration — Large outbound data transfer
index=network sourcetype=firewall action=allowed direction=outbound
| stats sum(bytes_out) as total_bytes by src_ip, dest_ip
| where total_bytes > 1073741824  # > 1 GB
| eval gb=round(total_bytes/1073741824, 2)
| table src_ip, dest_ip, gb
# ALERT: Large data transfer — possible exfiltration!

# 4. PowerShell Empire / Cobalt Strike Beacon
index=windows sourcetype=WinEventLog:Security EventCode=4104
| search ScriptBlockText IN ("*Invoke-Mimikatz*", "*Invoke-WebRequest*",
  "*DownloadString*", "*EncodedCommand*", "*bypass*")
| table _time, Computer, ScriptBlockText, UserName
# ALERT: Malicious PowerShell execution detected!

# 5. Credential Dumping — LSASS access
index=windows sourcetype=Sysmon EventCode=10
  TargetImage="*\\lsass.exe"
| table _time, SourceImage, TargetImage, GrantedAccess, Computer
# ALERT: Possible credential dumping attempt!

Incident Classification & Triage

Text — Incident Triage Flowchart

INCIDENT TRIAGE DECISION FLOW
==============================

Alert masuk dari SIEM/EDR/User Report
         │
         ▼
   ┌─────────────┐     ┌─────────────────┐
   │ False       │ YES │ Log & tune      │
   │ Positive?   ├────▶│ alert rule       │
   └──────┬──────┘     └─────────────────┘
          │ NO
          ▼
   ┌─────────────┐
   │ Apakah ada  │     ┌─────────────────┐
   │ indikasi    │ NO  │ Monitor &       │
   │ kompromi?   ├────▶│ document        │
   └──────┬──────┘     └─────────────────┘
          │ YES
          ▼
   ┌────────────────────────────────────────┐
   │ CLASSIFY SEVERITY                      │
   │                                        │
   │ P1 - CRITICAL (Immediate response)     │
   │   • Active data exfiltration           │
   │   • Ransomware spreading               │
   │   • Domain admin compromised           │
   │                                        │
   │ P2 - HIGH (Response < 1 jam)          │
   │   • Malware on critical server         │
   │   • Unauthorized admin access          │
   │   • Confirmed phishing with credential │
   │                                        │
   │ P3 - MEDIUM (Response < 4 jam)        │
   │   • Suspicious activity confirmed      │
   │   • Policy violation with risk         │
   │                                        │
   │ P4 - LOW (Response < 24 jam)          │
   │   • Reconnaissance detected            │
   │   • Minor policy violation             │
   └────────────────────────────────────────┘
         │
         ▼
   Escalate sesuai severity → Activate IR team

4. Containment, Eradication & Recovery

Setelah insiden terkonfirmasi dan diklasifikasikan, langkah selanjutnya adalah menghentikan penyebaran (containment), menghilangkan ancaman (eradication), dan memulihkan operasional (recovery). Kecepatan di fase ini sangat krusial — setiap menit keterlambatan bisa berarti kerusakan yang lebih besar.

Containment Strategy

Strategi	Aksi	Kapan Digunakan	Risiko
Network Isolation	Putus target dari jaringan (VLAN, firewall rule)	Malware active, lateral movement	Operasional terganggu
Account Disable	Disable/reset akun yang dikompromikan	Compromised credentials	User tidak bisa bekerja
DNS Sinkhole	Redirect C2 domain ke sinkhole server	Malware C2 communication	Minimal
Full Shutdown	Matikan sistem yang terinfeksi	Ransomware spreading cepat	Data di RAM hilang
Monitor & Watch	Biarkan attacker aktif, pantau pergerakannya	Butuh intel tentang attacker	Attacker sadar dipantau

Ransomware Response Playbook

Text — Ransomware Incident Response Playbook

RANSOMWARE INCIDENT RESPONSE PLAYBOOK
=======================================

PHASE 1: DETECTION & TRIAGE (0-30 menit)
─────────────────────────────────────────
1. CONFIRM ransomware indicator:
   - Encrypted files with unusual extensions (.locked, .crypt, .ryuk)
   - Ransom note (README.txt, HOW_TO_DECRYPT.html)
   - EDR/AV alerts for known ransomware behavior
   - Users reporting inability to access files

2. CLASSIFY severity: P1 - CRITICAL
   - Activate IR team immediately
   - Notify CISO/management

PHASE 2: CONTAINMENT (30 min - 2 jam)
─────────────────────────────────────
3. ISOLATE infected systems:
   - Network disconnect (pull cable / disable switchport / VLAN quarantine)
   - JANGAN matikan sistem! (RAM bisa berisi encryption keys)
   - Block C2 IPs/domains di firewall
   - Disable compromised accounts
   - Reset AD krbtgt password (jika domain compromised)

4. IDENTIFY scope:
   - Berapa banyak sistem terinfeksi?
   - Apakah backup juga terinfeksi?
   - Data apa yang terdampak?

PHASE 3: ERADICATION (2 jam - beberapa hari)
────────────────────────────────────────────
5. IDENTIFY ransomware variant:
   - Upload sample ke ID Ransomware (id-ransomware.malwarehunterteam.com)
   - Cek apakah ada decryptor gratis di nomoreransom.org
   - Analisis malware sample di sandbox

6. PRESERVE evidence:
   - Forensic disk image dari infected systems
   - Memory dump dari sistem yang masih hidup
   - Collect semua log (SIEM, firewall, proxy, DNS)
   - Screenshot ransom note

7. CLEAN & REBUILD:
   - Format dan reinstall OS dari clean media
   - Restore data dari clean backup (verifikasi backup tidak terinfeksi!)
   - Patch semua vulnerability yang dieksploitasi
   - Implement additional security controls

PHASE 4: RECOVERY (beberapa hari - minggu)
─────────────────────────────────────────
8. RESTORE operations:
   - Prioritas: critical systems first
   - Verifikasi data integrity setelah restore
   - Monitor ketat untuk re-infection
   - Gradual reconnection ke network

PHASE 5: POST-INCIDENT
─────────────────────
9. LESSONS LEARNED:
   - Root cause analysis: Bagaimana attacker masuk?
   - Gap analysis: Mengapa tidak terdeteksi lebih awal?
   - Improvement: Kontrol keamanan baru yang perlu ditambahkan
   - Report: Buat laporan IR untuk manajemen

KEPUTUSAN: BAYAR TEBUSAN ATAU TIDAK?
  ❌ FBI dan kebanyakan ahli menyarankan JANGAN membayar
  ❌ Tidak ada jaminan data akan dipulihkan
  ❌ Membayar mendanai operasi kriminal
  ❌ Beberapa negara melarang pembayaran (sanctions)
  ✅ Fokus pada recovery dari backup dan eradication

5. Forensik Digital

Forensik Digital adalah proses pengumpulan, preservasi, analisis, dan presentasi bukti digital secara sistematis dan forensik-sound (tidak merusak bukti). Tujuannya adalah mengetahui apa yang terjadi (what), kapan terjadi (when), bagaimana terjadi (how), siapa pelakunya (who), dan apa dampaknya (impact). Hasil forensik juga bisa digunakan sebagai bukti di pengadilan.

Cabang Forensik Digital

Cabang	Target	Tools	Yang Dicari
Disk Forensics	Hard drive, SSD, USB	Autopsy, FTK, EnCase	File terhapus, log, browser history, registry
Memory Forensics	RAM (volatile data)	Volatility, Rekall	Running processes, network connections, injected code
Network Forensics	Packet capture (PCAP)	Wireshark, Zeek, NetworkMiner	Exfiltrated data, C2 traffic, lateral movement
Mobile Forensics	Smartphone, tablet	Cellebrite, Magnet AXIOM	Messages, call logs, app data, location
Cloud Forensics	Cloud infrastructure	CSP audit logs, Custodian	API calls, access logs, configuration changes
Log Forensics	System/application logs	SIEM, grep, ELK	Timeline, IOCs, attacker activity

Disk Forensics — Membuat Forensic Image

Bash — Forensic Disk Imaging

# =============================================
# DISK FORENSICS — Evidence Collection
# =============================================

# ATURAN EMAS: JANGAN PERNAH bekerja langsung pada original evidence!
# Selalu buat forensic copy (bit-for-bit image)

# 1. Menggunakan dd — membuat raw disk image
# Pastikan target disk terpasang sebagai READ-ONLY (write blocker)
sudo dd if=/dev/sdb of=/forensics/evidence/disk_image.dd bs=4M status=progress

# 2. Menggunakan dc3dd (forensic-aware dd)
# dc3dd otomatis hash setiap byte yang dibaca
sudo dc3dd if=/dev/sdb of=/forensics/evidence/disk_image.dd \
  hof=/forensics/evidence/disk_image.sha256 log=/forensics/evidence/dc3dd.log

# 3. Menggunakan FTK Imager (Linux CLI)
# Membuat E01 format (EnCase Evidence File) — format standar forensik
sudo ewfmount /dev/sdb /mnt/ewf/

# 4. Verifikasi integritas — hash harus sama sebelum dan sesudah imaging
# Hash original disk
sudo sha256sum /dev/sdb
# Hash image file
sha256sum /forensics/evidence/disk_image.dd
# Kedua hash HARUS IDENTIK!

# 5. Menggunakan Autopsy (GUI-based forensics)
# Install: sudo apt install autopsy
# Buka browser: http://localhost:9999/autopsy
# Buat new case → Add disk image → Analisis

# 6. File Recovery — mencari file yang dihapus
# Menggunakan foremost
foremost -t all -i disk_image.dd -o /forensics/evidence/recovered_files/

# Menggunakan photorec (bagus untuk recovery foto/dokumen)
photorec disk_image.dd

# 7. Timeline Analysis
# Membuat timeline dari semua aktivitas di disk
fls -r -m / /dev/sdb > bodyfile.txt
mactime -b bodyfile.txt -d > timeline.csv
# Hasil: timestamp semua file creation, modification, access, deletion

Memory Forensics dengan Volatility

Bash — Memory Forensics

# =============================================
# MEMORY FORENSICS — Volatility 3
# =============================================

# Collect memory dump (harus dilakukan SEBELUM shutdown!)
# Linux:
sudo lime-readmem /dev/mem -o /forensics/evidence/memory.lime

# Windows (dengan WinPmem):
winpmem_mini_x64.exe /forensics/evidence/memory.raw

# Volatility 3 — Analisis memory dump
# Install: pip install volatility3

# 1. Identifikasi OS dari memory dump
vol -f memory.raw windows.info

# 2. List semua running processes
vol -f memory.raw windows.pslist
vol -f memory.raw windows.pstree   # Dengan parent-child relationship

# 3. Deteksi process injection
vol -f memory.raw windows.malfind
# Mencari memory section yang executable tapi bukan bagian dari PE yang sah

# 4. List network connections
vol -f memory.raw windows.netscan
# Hasil: semua koneksi network aktif saat memory di-dump

# 5. Dump process memory (untuk analisis malware)
vol -f memory.raw windows.memmap --pid 1234 --dump

# 6. Extract hashes dari memory (credential dumping)
vol -f memory.raw windows.hashdump

# 7. List DLL yang dimuat
vol -f memory.raw windows.dlllist --pid 1234

# 8. Cek command history
vol -f memory.raw windows.cmdline
# Semua perintah yang dijalankan di sistem

# 9. Scan untuk malware signatures
vol -f memory.raw windows.vadyarascan --yara-file malware_rules.yar

Chain of Custody

Text — Chain of Custody Form

CHAIN OF CUSTODY FORM
=====================

Evidence ID      : IR-2026-0042-001
Description      : Dell Latitude 5520 Laptop - Server Admin
Serial Number    : 5XK9M23
Collection Date  : 2026-07-15 14:30 WIB
Collected By     : Ahmad Forensic, CHFI
Location Found   : Server Room, Rack A3, Shelf 2

Initial Condition:
  - Laptop dalam keadaan ON (screen locked)
  - Power adapter tercolok
  - USB drive SanDisk 32GB tercolok di port USB kanan

Evidence Handling:
┌──────────────┬──────────────────┬───────────┬────────────┬──────────────┐
│ Date/Time    │ Action           │ By        │ To         │ Condition    │
├──────────────┼──────────────────┼───────────┼────────────┼──────────────┤
│ 07-15 14:30  │ Collected        │ Ahmad     │ Evidence   │ Sealed       │
│              │ Memory dumped    │           │ Locker #3  │              │
│ 07-15 14:45  │ Disk imaged      │ Ahmad     │ Lab        │ Imaging OK   │
│ 07-15 16:00  │ Transferred      │ Ahmad     │ Budi       │ Sealed bag   │
│ 07-16 09:00  │ Analysis started │ Budi      │ -          │ Lab access   │
└──────────────┴──────────────────┴───────────┴────────────┴──────────────┘

Hashes:
  Disk Image SHA-256: a1b2c3d4e5f6...
  Memory Dump SHA-256: f6e5d4c3b2a1...
  USB Drive SHA-256: 1a2b3c4d5e6f...

Notes:
  - Sistem tidak dimatikan untuk preservasi memory
  - Write blocker digunakan untuk disk imaging
  - Semua proses didokumentasikan dengan foto/video

⚠️ Prinsip Utama Forensik Digital

Act, Don't React — Ikuti prosedur, jangan panik
Never work on original evidence — Selalu buat forensic copy
Preserve volatile data first — RAM hilang saat dimatikan
Document everything — Setiap langkah harus tercatat
Maintain chain of custody — Siapa, kapan, apa yang dilakukan
Use write blockers — Cegah perubahan pada evidence
Hash everything — Bukti integritas dengan SHA-256

6. Quiz: Uji Pemahamanmu!

Setelah membaca tutorial di atas, jawablah 5 pertanyaan berikut untuk menguji pemahamanmu tentang Incident Response & Forensik Digital:

Pertanyaan 1: Berapa fase utama dalam NIST Incident Response Lifecycle?

a) 2 fase

b) 3 fase

c) 4 fase

d) 6 fase

Pertanyaan 2: Mengapa kita TIDAK boleh mematikan sistem yang terinfeksi ransomware sebelum melakukan forensic collection?

a) Karena ransomware akan otomatis terhapus saat dimatikan

b) Karena RAM berisi bukti volatile yang hilang saat dimatikan (encryption keys, running processes)

c) Karena sistem tidak bisa dinyalakan kembali

d) Karena ransomware akan menyebar ke sistem lain saat dimatikan

Pertanyaan 3: Tool apa yang digunakan untuk analisis memory forensics?

a) Nmap

b) Wireshark

c) Volatility

d) sqlmap

Pertanyaan 4: Apa yang dimaksud dengan "Chain of Custody" dalam forensik digital?

a) Rantai serangan dari attacker

b) Dokumentasi siapa yang memiliki akses ke evidence, kapan, dan apa yang dilakukan

c) Urutan exploit yang digunakan attacker

d) Hierarki tim incident response

Pertanyaan 5: Apa yang harus dilakukan PERTAMA kali saat menemukan indikasi ransomware?

a) Langsung bayar tebusan

b) Matikan semua komputer di jaringan

c) Isolasi sistem yang terinfeksi dari jaringan dan aktifkan IR plan

d) Hapus semua file yang terenkripsi