Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis Tahun 2022 (CIRCIA), yang disahkan pada Maret 2022, mewajibkan Cybersecurity and Infrastructure Security Agency (CISA) untuk mengembangkan dan menerapkan peraturan yang mewajibkan penyedia infrastruktur kritis tertentu melaporkan insiden siber yang termasuk dalam kategori “covered” kepada CISA dalam waktu 72 jam setelah insiden terjadi. Contoh insiden yang termasuk kategori ini mencakup pelanggaran terhadap jaringan entitas terkait atau gangguan terhadap kemampuan entitas untuk melaksanakan operasi. Entitas terkait juga harus melaporkan pembayaran ransomware kepada CISA dalam waktu 24 jam, kecuali jika pembayaran tersebut terkait dengan sebuah insiden, maka aturan 72 jam berlaku.
Tujuan dari persyaratan pelaporan ini adalah untuk memungkinkan CISA memberikan bantuan cepat kepada korban serangan siber, menganalisis tren, dan berbagi intelijen dengan para pembela jaringan.
Saat ini, CISA sedang meninjau masukan publik terkait aturan yang diusulkan selama periode komentar publik yang berakhir pada 3 Juli 2024. Aturan final diharapkan akan diterbitkan paling lambat musim gugur 2025. Meskipun terpilihnya Donald Trump untuk masa jabatan kedua sebagai Presiden Amerika Serikat telah menimbulkan pertanyaan tentang masa depan CISA dan CIRCIA, ExtraHop memberikan ikhtisar berikut tentang isi CIRCIA saat ini.
Apa Itu Entitas yang Termasuk dalam CIRCIA?
CIRCIA berlaku untuk entitas di 16 sektor infrastruktur kritis. Entitas yang memenuhi satu atau lebih kriteria yang diusulkan dianggap sebagai entitas yang termasuk (covered entities), terlepas dari industri tempat entitas tersebut mengidentifikasi dirinya. Usaha kecil, sebagaimana didefinisikan oleh Small Business Administration, dikecualikan dari persyaratan pelaporan.
Sejumlah besar perusahaan yang memproduksi perangkat keras dan perangkat lunak IT akan diwajibkan untuk melapor berdasarkan kriteria untuk sektor IT, terlepas dari ukuran perusahaan tersebut. Perusahaan perangkat keras dan perangkat lunak IT yang bekerja dengan pemerintah Federal juga diwajibkan melapor, demikian pula perusahaan yang produk atau layanannya bergantung pada atau mengontrol akses istimewa (privileged access), digunakan dalam teknologi operasional (operational technology atau OT), atau terkait dengan layanan nama domain (domain name services).
Apa Itu Insiden Siber yang Termasuk dalam CIRCIA?
Entitas yang termasuk dalam cakupan CIRCIA wajib melaporkan setiap “insiden siber signifikan” yang mereka alami. CISA mendefinisikan insiden siber signifikan sebagai insiden yang menyebabkan salah satu dampak berikut:
- Kehilangan substansial pada kerahasiaan, integritas, atau ketersediaan sistem informasi atau jaringan entitas yang tercakup.
- Dampak serius pada keselamatan dan ketahanan sistem atau proses operasional entitas yang tercakup.
- Gangguan pada kemampuan entitas yang tercakup untuk menjalankan operasi bisnis atau industri, atau untuk memberikan barang atau jasa.
- Akses tidak sah ke sistem informasi atau jaringan entitas yang tercakup, atau informasi nonpublik yang terdapat di dalamnya, yang difasilitasi atau disebabkan oleh:
- Kompromi penyedia layanan cloud, penyedia layanan terkelola (managed service provider), atau penyedia hosting data pihak ketiga lainnya.
- Kompromi rantai pasokan.
Selain itu, entitas yang tercakup juga wajib melaporkan setiap pembayaran ransomware, yang mencakup transfer uang, properti, atau aset (termasuk mata uang virtual seperti Bitcoin) yang diberikan sehubungan dengan serangan ransomware.
Apa yang Harus Termuat dalam Laporan CIRCIA?
Laporan insiden siber yang tercakup harus memuat informasi spesifik tentang insiden tersebut, sejauh informasi tersebut relevan dan tersedia. Hal ini bertujuan agar CISA dapat menggunakan informasi tersebut untuk memberikan bantuan kepada entitas yang terdampak serta membantu organisasi lain mencegah insiden serupa. Informasi yang harus dimuat meliputi:
- Identitas pelaku (jika diketahui).
- Deskripsi insiden, termasuk dampaknya, kerentanan yang dieksploitasi, indikator kompromi (indicators of compromise), taktik, teknik, dan prosedur (TTPs) yang digunakan, dan sebagainya.
- Kegiatan mitigasi dan respons yang dilakukan oleh entitas yang tercakup.
Laporan terkait pembayaran ransomware harus mencakup detail permintaan tebusan, termasuk instruksi dan jumlah yang diminta.
Karena informasi baru sering muncul seiring berlangsungnya investigasi, CISA menyediakan mekanisme untuk memperbarui laporan melalui laporan tambahan. Laporan tambahan ini dapat mencakup informasi baru atau berbeda yang signifikan, pemberitahuan tentang pembayaran tebusan yang dilakukan setelah laporan awal diajukan, atau pemberitahuan bahwa insiden siber yang tercakup telah selesai.
Entitas yang tercakup juga diwajibkan untuk menyimpan data dan catatan tertentu terkait insiden tersebut selama minimal dua tahun sejak tanggal laporan terbaru diajukan. Penyimpanan data harus dimulai sejak tanggal entitas tersebut secara wajar meyakini bahwa insiden yang tercakup terjadi, atau sejak tanggal pembayaran tebusan dilakukan, tergantung mana yang lebih dahulu.
Bagaimana RevealX Membantu Organisasi Memenuhi Persyaratan Pelaporan CIRCIA
Untuk memenuhi persyaratan ketat kewajiban pelaporan CISA, organisasi harus dengan cepat menyelidiki insiden untuk menentukan apakah insiden tersebut tergolong substansial sebelum tenggat waktu yang ditentukan. RevealX menyediakan informasi kaya tentang aliran lalu lintas jaringan, perangkat, muatan paket, dan banyak lagi, yang memungkinkan organisasi memahami cakupan, dampak, dan potensi substansialitas suatu insiden dengan cepat.
Dengan menggabungkan full packet capture (PCAP) dan analisis dengan kemampuan dekripsi SSL dan TLS 1.3, RevealX memberikan fakta mendasar tentang apa yang terjadi di jaringan, perangkat apa yang saling berkomunikasi, data apa yang sedang ditransmisikan, dan lainnya. Dekripsi sangat penting bagi tim keamanan karena pelaku ancaman sering menggunakan saluran terenkripsi untuk menghindari deteksi, dan mereka sering mengenkripsi data sebelum mengekfiltrasinya selama serangan ransomware. RevealX memungkinkan tim keamanan melihat apakah data atau lalu lintas terenkripsi mengandung informasi pribadi yang dapat diidentifikasi (personally identifiable information) atau data sensitif lainnya yang dapat memengaruhi substansialitas suatu insiden.
Solusi network detection and response (NDR) lainnya yang tidak menangkap paket secara penuh, hanya menggunakan data NetFlow, atau tidak mendekripsi lalu lintas, tidak dapat memberikan tingkat data yang terperinci dan akurat seperti yang diberikan RevealX. Analisis header paket dan metadata lainnya dari sensor NetFlow hanya dapat mengonfirmasi terjadinya serangan, tetapi tidak dapat mengungkap rantai serangan, TTP (taktik, teknik, dan prosedur) yang digunakan pelaku ancaman, apa yang dikompromikan, dan apakah pelanggaran tersebut bersifat substansial.
RevealX memanfaatkan real-time stream processing dan pembelajaran mesin berskala cloud untuk menyediakan kemampuan deteksi dan investigasi penting dengan kecepatan dan skala yang tak tertandingi. Analisis PCAP penuh dan dekripsi yang sebelumnya sulit dijangkau oleh banyak organisasi kini menjadi sangat efisien dan dapat diakses berkat arsitektur dan kemampuan teknis RevealX. Hal ini menjadikannya solusi ideal bagi organisasi dari berbagai ukuran yang perlu mematuhi CIRCIA dan persyaratan pelaporan insiden siber lainnya.
Hubungi Extrahop Indonesia untuk POC, dan mengetahui lebih lanjut terkait teknis dan penawarannya.