Pertanyaan meliputi materi yang telah dipelajari dari module ISS Bab 1 dan 2.
Pertanyaan dan informasi yang saya sampaikan hanya berdasarkan module dan beberapa elaborasi pribadi. Untuk memastikan kebenaran mohon baca module dan re-search kembali. Original content: KennFatt's Gist
π Quick Navigation:
Memahami hal-hal yang menggangu proses komputasi. Seperti ancaman akan kehilangan, kerusakan, manipulasi, atau apapun itu yang berkaitan dengan data atau informasi.
| Objective(s) |
|---|
| Memahami kebijakan dan prosedur untuk melindungi aset (data, informatsi, etc). |
| Mengetahui berbagai attribute dari berbagai ancaman. |
| Mengetahui perbedaan rekayasa sosial atau phising. |
| Identifikasi jenis malware. |
Keamanan adalah cara seseorang yang memahami strategi penyerangan dan pertahanan.
- Dapat membandingkan dan membedakan jenis serangan
- Mengerti awal dibuatnya suatu system
- Mengetahui istilah dan gagasan mengenai keamanan yang digunakan
Kemanan yang mengacu pada perlindungan informasi atau sumber daya yang tersedia dari akses yang tidak sah.
- Mempertahankan sistem untuk berjalan seperti seharusnya tanpa ada gangguan
- Menghindari pencurian atau kebocoran suatu informasi
- Menghindari kerusakan atau hilangnya suatu informasi
- Prevention: mencegah hak atau akses yang tidak sah
- Detection: pemeriksaan pada setiap komponen suatu sistem
- Recovery: upaya jika terjadi penyerangan
Model yang dirancang untuk memandu kebijakan yang terkait dengan keamanan informasi.
- Confident: informasi hanya boleh diketahui oleh orang-orang tertentu
- Integrity: manipulasi (save, transfer, modify) dilakukan secara sah dan valid
- Availability: informasi dapat diakses dan manipulasi dengan mereka yang berwenang
Pernyataan resmi yang mendefinisikan bagaimana keamanan akan diterapkan dan disepakati dalam suatu organisasi.
Dalam kata lain, cara suatu organisasi melindungi kerahasiaan (Confident), integritas (Integrity), dan ketersediaan (Availability) suatu data dan sumber daya yang sensitif.
- Internal: departemen dari suatu organisasi yang diperuntukan khusus mengawasi dan menjalankan kebijakan keamanan
- Manager: bertanggung jawab dengan domainnya sendiri (i.e. gedung, akuntansi, TI)
- Staff Teknis: menerapkan, memelihara, dan memantau kebijakan (i.e. Petugas Keamanan Sistem Informasi, CyberSecurity Analyst)
- Staff Non-teknis: menjalani kebijakan yang telah ditentukan
- External: pengguna atau pihak ke tiga yang berkaitan langsung dengan organisasi
- Kerentanan: kelemahan yang bisa dipicu secara tidak sengaja atau dieksploitasi sehingga menyebabkan pelanggaran keamanan
- Ancaman: sesuatu atau seseorang yang menyalahgunakan kerentanan untuk melanggar keamanan
- Risiko: kemungkinan dan dampak dari pelaku ancaman terhadap kerentanan
Kerentanan bisa menjadi ancaman ketika ada pelaku yang memiliki niat dan motivasi yang buruk terhadap suatu organisasi.
Pelaku mungkin saja memiliki rasa keserakahan, keingintahuan, atau semacam keluhan yang berupaya untuk merusak dan mengganggu sistem atau mencuri sesuatu.
Hacker atau Attacker merupakan individu (atau kelompok) yang memiliki keterampilan untuk mendapatkan akses ke sistem komputer melalui cara yang tidak sah atau tidak disetujui.
Hacker sendiri dapat dibedakan menjadi 2, hal ini hanya membedakan motivasi atau niat dari si pelaku.
- Black Hat/Cracker: jahat
- White Hat: tidak berbahaya
Beberapa individu seperti Anggota, Mantan Anggota, atau siapapun yang pernah atau sedang menjalankan hubungan dengan organisasi dan memiliki informasi-informasi penting terkait kemanan.
Tidak semua orang dalam menjadi pelaku sebuah ancaman, kuncinya adalah memahami motivasi dan niat dari pelaku.
Computer Emergency Response Team (CERT) dari University of Carnegie Mellon mengidentifikasi motive orang dalam antara lain:
- Sabotase
- Keuntungan finansial
- Keuntungan bisnis
Kontrol teknis cenderung tidak mampu mencegah ancaman orang dalam, karena orang dalam lebih mungkin untuk melabuhinya.
Namun, organisasi dapat menerapkan monitoring (logging and audit) untuk melihat segala kejadian yang terjadi pada sistem.
- Perencanaan: menentukan metode apa yang tepat untuk menyerang
- Pengintaian: melakukan pemindaian pada suatu sistem sampai menemukan "lubang" informasi yang menjadi potensi penyerangan
- Eksploitasi: melakukan ekploitasi terhadap titik kerentanan yang telah ditemukan
- Panggilan balik: membuat jaringan rahasia dan mengirim perintah secara remote ke titik kerentanan
- Pengunduhan alat: meng-install alat pada titik kerentanan untuk melakukan penyerangan
- Penyebaran lateral: setelah suatu titik kerentanan dikuasai, maka lakukan pemindaian secara lebih besar untuk mendapatkan hak atau titik lainnya yang berpotensi sebagai penyerangan
- Penyerangan: semua bergantung dengan aktor, motive atau tindakan apa yang ingin dilakukan. Misal menyalin informasi atau pencurian data
- Mundur: keluar dari sistem dan menutup/menghapus semua jejak agar tidak diketahui
Memperoleh informasi tentang jaringan dan sistem keamanan dengan berkompromi dengan korban. Atau membuat korban mengungkapkan informasi rahasia.
- Impersonation: berpura-pura dan meyakinkan korban untuk mengungkapkan informasi rahasia
- Family/Relative: membujuk korban untuk melakukan hal-hal yang dinginkan oleh pelaku dengan berpura-pura sebagai keluarga atau kerabat
- Fakta Survei/Sosial: menelusuri fakta tentang korban dan membuktikannya agar mendapat rasa "percaya" untuk mengelabuhi
- Otoritas dan Intimidasi: mengaku sebagai seseorang yang bertanggung jawab atas suatu layanan
- Scarcity dan Urgency: meyakinkan korban dengan waktu yang terbatas atau hanya beberapa orang saja yang menerima layanan
- Phising: memanfaatkan social engineering dengan spoofing. Menipu korban dengan membuat situs palsu yang serupa
- Pharming: mengarahkan korban dari situs yang sah ke situs yang jahat
Melakukan pelatihan SDM pada setiap element dalam organisasi.
Malicious Code merupakan perangkat lunak yang tidak diinginkan atau tidak sah yang berada pada suatu sistem dengan tujuan mengganggu operasi atau mengalihkan sumber daya sistem untuk manfaat tertentu.
- Virus
- Tujuan:
- menghambat proses komputasi
- merusak file atau bahkan keseluruhan sistem
- melakukan interaksi yang tidak diinginkan dan tanpa disadari
- Bentuk:
- Program yang dirancang untuk ditiru dan disebarkan komputer ke komputer dan dengan "menginfeksi" program lain yang sedang berjalan
- Contoh / Target:
- Boot sector virus: hidup pada sektor boot dan sistem
- Program virus: hidup pada program seperti MS Word, Browsers, etc
- Script virus: hidup pada dokumen seperti PDF
- Tujuan:
- Worm
- Tujuan:
- Mengambil sumber daya korban
- Melakukan serangan Denial of Service (DoS)
- Pemasangan backdoor
- Bentuk
- Seperti Virus dan umumnya mengandalkan jaringan komputer untuk melakukan replikasi dan penyebaran. Worm dapat mereplikasi tanpa harus bergantung dengan program lain
- Contoh / Target:
- Server database
- Web browser
- Tujuan:
- Trojan
- Tujuan:
- Menyebabkan kerusakan pada sistem
- Menjadikan korban (inang) sebagai sumber daya untuk penyerangan ke komputer lain
- Mengendalikan sebuah sistem
- Bentuk:
- Tersembunyi di dalam paket aplikasi sehingga sulit untuk dianggap berbahaya oleh pengguna atau antivirus
- Contoh:
- Terpasang pada program-program bajakan
- Screensaver atau utilitas desktop
- Tujuan:
- Spyware
- Tujuan:
- Memantau aktivitas korban
- Mengirim informasi-informasi korban
- Bentuk:
- Tersembunyi di dalam paket aplikasi (seperti trojan)
- Contoh:
- Keylogger
- Screen recorder
- Hijacked DNS request
- Tujuan:
- Adware
- Tujuan:
- Melakukan pemantauan aktivitas korban (sama seperti Spyware)
- Melakukan pencurian informasi (i.e. cookie stealing, cache/local storage exploitation, etc.)
- Bentuk:
- Ter-embedded pada situs website yang tidak terpercaya
- Contoh:
- Iklan pada situs film bajakan
- Iklan yang muncul pada startpage browser (belum membuka situs manapun)
- Tujuan:
- Rootkit
- Tujuan:
- Mengubah file sistem dan antarmuka program
- Merusak sistem bahkan kerusakan hardware
- Jika rootkit sudah hidup pada tingkat kernel dan mengeksploitasi secara langsung terhadap hardware melalui driver program
- Bentuk:
- Terintegrasi dengan program bawaan sistem sehingga sangat sulit untuk dideteksi dan dihapus
- Contoh:
- Malicious shell script
- taskmanager, ps, top, netstat
- Tujuan:
- Ransomware
- Tujuan:
- Memeras uang dari korban
- Bentuk:
- Melakukan enkripsi data pada komputer korban dan hanya dapat dikembalikan dengan kunci yang dipegang oleh pelaku
- Contoh:
- Terenkripsinya seluruh file dan data pada komputer sehingga kita tidak dapat membuka dan membaca informasi dari file tersebut
- Tujuan:
| Objective(s) |
|---|
| Memahami prinsip manajemen keamanan. |
| Mengatahui konsep serta mekanisme perlindungan keamanan. |
| Melakukan manajemen perubahan. |
| Melakukan klasifikasi data. |
Proses mendefinisikan parameter dasar yang diperlukan untuk mengamankan suatu lingkungan kerja. Parameter tersebut dijadikan sebagai acuan untuk disain, implementasi, dan administrasi suatu sistem.
Manajemen keamanan dialamatkan pada 3 prinsip Confidentiality, Integrity, dan Availability (CIA).
Tujuan utama prinsip keamanan adalah untuk melakukan evaluasi setiap ancaman yang merujuk pada salah satu dari 3 prinsip tersebut.
3 Prinsip keamanan (CIA) menjadikan tujuan akhir dan kebutuhan keamanan suatu organisasi.
- Confidentiality
- Tujuan / Gagasan:
- Melindungi akses informasi dari pihak yang tidak berhak
- Menjaga rahasia perusahaan atau organisasi dari pihak lain yang mengininkan informasi yang bersifat sensitif
- Upaya perwujudan:
- Identifikasi
- Otentikasi
- Jenis upaya penyerangan:
- Hacker / Masquarader: orang atau kelompok yang memiliki keterampilan untuk mewujudkan motive jahat
- LAN (spoofing): pencurian informasi melalui media physical
- Trojan: program yang berjalan pada tingkat sistem dan melakukan penyalinan data dan memindahkan ke tempat yang dapat diakses tanpa otoritas
- Misal trojan dapat memindahkan informasi dari file system dan expose ke
wwwpada Apache Web Server directory agar dapat diakses melalui web.
- Misal trojan dapat memindahkan informasi dari file system dan expose ke
- Tujuan / Gagasan:
- Integrity
- Tujuan / Gagasan:
- Melindungi informasi dari segala perubahan
- Mencegah terjadinya kejahatan dan kesalahan
- Upaya perwujudan:
- Identifikasi
- Otentikasi
- Access Control
- Jenis upaya penyerangan:
- Pemalsuan data
- Tujuan / Gagasan:
- Availability
- Tujuan / Gagasan:
- Memastikan pengguna dapat mengakses informasi ketika diperlukan
- Upaya perwujudan:
- Backup system
- Distributed services (physically or logically)
- Firewall
- Regular system check up
- Jenis upaya penyerangan:
- DoS
- Disaster (kerusakan fisik)
- Tujuan / Gagasan:
- Privacy
- Gagasan:
- Memastikan informasi yang bersifat rahasia tidak dapat diakses oleh pihak yang tidak berwenang.
- Cara:
- Suatu layanan harus didesain untuk menjaga masing-masing data sesuai dengan peruntukannya
- Gagasan:
- Identification
- Gagasan:
- Mengenali subject dan dapat diberikan pertanggungjawaban
- Cara:
- Pemberian ID number yang unique
- Penerapan sistem dengan username
- Gagasan:
- Authentication
- Gagasan:
- Validasi suatu klaim terhadap identitas.
- Apa benar identitas tersebut adalah pemilik asli? Tidak palsu atau tidak jelas keberadaannya.
- Cara:
- Setiap identitas harus memiliki password dan hanya mereka yang tahu
- Gagasan:
- Authorization
- Gagasan:
- Memastikan subject memiliki hak dan wewenang atas segala tindakannya dalam pertukaran informasi
- Cara:
- Identification and Authentication
- Gagasan:
- Auditing
- Gagasan:
- Melakukan perekaman untuk setiap kejadian yang berkaitan dengan informasi
- Jadi kita bisa tahu siapa yang melakukan A dan kapan itu terjadi
- Cara:
- Monitoring system and Logger
- Gagasan:
- Accountability
- Gagasan:
- Memastikan setiap pengguna dapat dipertanggung jawabkan terhadap pertukaran informasi
- Cara:
- Email / Phone Number verification
- Biometric or Personal Identification (misal KTP, KK, Passport, etc.)
- Gagasan:
- Non-repudiation
- Gagasan:
- Mencegah subject untuk berbohong atas fakta atau tindakan yang telah ia lakukan
- Cara:
- Mewujudkan konsep-konsep yang telah disebutkan sebelumnya (Identification, Auth, Audit)
- Gagasan:
- Layering
- Pertahanan keaman secara bertingkat untuk mencegah segala ancaman yang terjadi
- Serial Layering: linear
- Parallel Layering: once for all
- Abstraction
- Mengelompokkan suatu komponen / object ke dalam group, class, atau role dengan hak akses masing-masing
- Data Hiding
- Menyembunyikan informasi dari pengguna sehingga informasi tidak dapat diperoleh oleh pihak yang tidak berhak
- Process Isolation
- Menjalankan setiap proses pada ruang lingkup yang berbeda sehingga proses satu dengan lainnya tidak dapat melakukan tindakan yang tidak diinginkan (pencurian informasi)
- Hardware Segmentation
- Sama seperti Process Isolation, akan tetapi diterapkan pada tingkat Hardware
- Encryption
- Mengubah informasi ke dalam wujud lain dan hanya bisa dikembalikan ke wujud asli menggunakan kunci
- Dengan begini, pihak yang tidak memiliki kunci tidak dapat melihat informasi tersebut
Melakukan perubahan struktur atau kebijakan adalah hal yang lazim dilakukan pada setiap organisasi. Namun, perubahan ini tak jarang mempengaruhi kebijakan keamanan informasi.
Jika terjadi suatu perubahan kebijakan, mohon untuk memperhatikan hal berikut terhadap keamanan informasi:
- Perubahan harus diawasi
- Perubahan harus dapat dikembalikan (revert/rollback)
- Perubahan dapat dianalisis (untuk dibandingkan dengan kebijakan sebelumnya)
- Perubahan harus diinformasikan kepada seluruh elemen yang bertanggungjawab atas keamanan informasi
Melakukan Testing secara terstruktur diperlukan untuk memastikan perubahan sesuai dengan apa yang diharapkan.
Melakukan klasifikasi data dapat dilakukan secara ekonomis, efektif, dan efisien.
Dengan melakukan klasifikasi data, kita dapat:
- Identifikasi aset yang penting
- Menentukan cara perlindungan pada data
- Menetapkan kebijakan dan peraturan terhadap keamanan informasi
- Menemukan parameter dan acuan untuk mendisain suatu sistem keamanan informasi
- Confidential: informasi sangat rahasia dan sangat membahayakan organisasi
- Private: informasi untuk setiap departement atau individu, membahayakan perorangan atau kelompok tertentu
- Sensitive: informasi yang tidak seharusnya orang luar tahu, tapi jika ter-expose tidak begitu menjadi masalah
- Public: informasi yang memang diperuntukan akses publik