IT GOVERNANCE NEWSLETTER
IT NEWS IT REPORT
ISSUE 2014 ISSUE1 -11MEI - Februari - 2015
IT CLIP
Kenapa Penetration Testing Penting Untuk Dilakukan?
Apa Itu Penetration Testing ?
DNS Nasional: Blokir-blokiran Jadi Lebih Transparan
page 8
page 4
page 16
KEEPING YOU UP-TO-DATE WITH THE LATEST NEWS FROM THE IT GOVERNANCE
IT EDITORIAL
IT HOT EVENT Tunggu apa lagi, mari cek sistem IT perusahaan anda dengan Penetration Test..
Halo IT Professional.. Bagaimana kabar anda di bulan februari ini? Semoga anda sehatsehat yah dengan kondisi cuaca yang musim penghujan seperti saat ini. 2015 tahun yang baru 1setengah bulan dilewati, siapa sangka ancaman hacker, berbagai macam virus yang menyusup sudah selesai di tahun 2014? Semakin canggih teknologi, semakin canggih juga virus dan hacker menyusup ke sistem anda. bukan hanya di pc anda saja, Bagaimana jika sistem dalam perusahaan terkena juga dampaknya? Dalam IT ada istilah Penetration Testing, hal ini bisa menjadi salah satu dari beberapa cara pertahanan sistem anda maupun sitem IT dalam perusahaan anda. Dengan melakukan Penetration Testing anda dapat melihat apakah terdapat celah dalam perusahaan anda. Sehingga anda dapat memperbaiki itu sebelum orang luar yang sengaja “ menyusup” mengetahuinya. Apakah Penetration Testing dilakukan 1 tahun sekali cukup? Itu tidak menjamin, namun semakin sering “dicek” semakin kita mengetahui bahwa “body” sistem kita aman. mungkin bisa dikatakan 1 tahun 4 kali atw 3 kali cukup. Semua dapat anda ihat dari kebutuhan keamanan sistem perusahaan anda.
TIM IT EDITORIAL
Warm regards, Anastasia Ambarsari Bussiness Manager ITGID
Editor In Chief Anastasia P.Ambarsari Melanie Koernia Editoral Staff Happy Editorial Marya Ulfah Creative Marya Ulfah Information www.itgid.org
Jakarta : Ged. Permata Kuningan Kawasan Bisnis Epicentrum Jakarta Selatan 12980 P : 021-29069519 F : 021-83708681 Surabaya : Wisma SIER Lt.2 dan Lt.4 Jl.Rungkut Industri Raya 10 Surabaya P : 031-8431224 F: 031-8419187
CLIP EVENT ITITHOT
mar HOt training CGEIT Exam Preparation 3-5 CISSP Exam Preparation 23-27 Lead Auditor ISO 27001 (IRCA) 16-20 Lead Auditor ISO 22301 (IRCA) 23-27 Lead Implementer Based on ISO 22301 10-12
apr HOt training CISM Exam Preparation 13-17 Lead Implementer ISO 27000 7-9 Lead Implementer ISO 2000 6-8 COBIT 5 6-8 IT Audit 13-16
Untuk Informasi dan Pendaftaran Hubungi : Sdri.Happy 08118455731 /
[email protected] Sdri.Dewi 082111008925 /
[email protected]
IT REPORT
APA ITU PENETRATION TESTING ?
IT REPORT Penetration Testing (disingkat pentest) adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya. Kenapa Penetration Testing diperlukan ? Nah kenapa kegiatan pentest diperlukan ? Perusahaan-perusahaan besar yang menyimpan data-data sensitif (seperti Bank) tentu tidak ingin jaringannya dibobol oleh orang tidak bertanggung jawab yang kemudian bisa mengambil alih kontrol jaringan dan menimbulkan kerugian yang sangat besar.
1 . Pre-engagement Interactions Tahap dimana seorang pentester menjelaskan kegiatan pentest yang akan dilakukan kepada client (perusahaan). Disini seorang pentester harus bisa menjelaskan kegiatan-kegiatan yang akan dilakukan dan tujuan akhir yang akan dicapai. 2 . Intelligence Gathering Tahap dimana seorang pentester berusaha mengumpulkan sebanyak mungkin informasi mengenai perusahaan target yang bisa didapatkan dengan berbagai metode dan berbagai media. Hal yang perlu dijadikan dasar dalam pengumpulan informasi adalah : karakteristik sistem jaringan, cara kerja sistem jaringan, dan metode serangan yang bisa digunakan.
Oleh karena alasan itu perusahaan menginvestasikan dana untuk memperkuat sistem jaringannya. Salah satu metode paling efektif adalah melakukan pentest. Dengan melakukan pentest, celah-celah keamanan yang ada dapat diketahui dan dengan demikian dapat diperbaiki secepatnya. Seorang pentester mensimulasikan serangan yang dapat dilakukan, menjelaskan resiko yang bisa terjadi, dan melakukan perbaikan sistem tanpa merusak infrastruktur jaringan perusahaan tersebut. Tahapan Penetration Testing Penetration Testing memiliki standar (PTES) yang digunakan sebagai acuan dalam pelaksanaanya yang dibagi ke dalam beberapa tahap :
“ kenapa kegiatan pentest diperlukan ? Perusahaanperusahaan besar yang menyimpan data-data sensitif (seperti Bank) tentu tidak ingin jaringannya dibobol oleh orang tidak bertanggung jawab yang kemudian bisa mengambil alih kontrol jaringan dan menimbulkan kerugian yang sangat besar. “
IT REPORT 3. Threat Modeling Tahap dimana seorang pentester mencari celah keamanan (vulnerabilities) berdasarkan informasi yang berhasil dikumpulkan pada tahap sebelumnya.
Melakukan serangan secara membabi-buta dan berharap sukses bukanlah metode yang produktif. Seorang pentester profesional selalu menyempurnakan analisisnya terlebih dahulu sebelum melakukan serangan yang efektif. 6 . Post Exploitation
Pada tahap ini seorang pentester tidak hanya mencari celah keamanan, tetapi juga menentukan celah yang paling efektif untuk digunakan. 4. Vulnerability Analysis Tahap dimana seorang pentester mengkombinasikan informasi mengenai celah keamanan yang ada dengan metode serangan yang bisa dilakukan untuk melakukan serangan yang paling efektif.
Tahap dimana seorang pentester berhasil masuk ke dalam sistem jaringan target dan kemudian melakukan analisis infrastruktur yang ada. Pada tahap ini seorang pentester mempelajari bagian-bagian di dalam sistem dan menentukan bagian yang paling critical bagi target (perusahaan). Disini seorang pentester harus bisa menghubungkan semua bagianbagian sistem yang ada untuk menjelaskan dampak serangan / kerugian yang paling besar yang bisa terjadi pada target (perusahaan).
5. Exploitation Tahap dimana seorang pentester melakukan serangan pada target. Walaupun demikian tahap ini kebanyakan dilakukan dengan metode brute force tanpa memiliki unsur presisi. Seorang pentester profesional hanya akan melakukan exploitation ketika dia sudah mengetahui secara pasti apakah serangan yang dilakukan akan berhasil atau tidak. Namun tentu saja ada kemungkinan tidak terduga dalam sistem keamanan target. Walaupun begitu, sebelum melakukan serangan, pentester harus tahu kalau target mempunyai celah keamanan yang bisa digunakan.
“ Tahap dimana seorang pentester mengkombinasikan informasi mengenai celah keamanan yang ada dengan metode serangan yang bisa dilakukan untuk melakukan serangan yang paling efektif. “ - Vulnerabillity Analysis -
IT REPORT 7 . Reporting Reporting adalah bagian paling penting dalam kegiatan pentest. Seorang pentester menggunakan report (laporan) untuk menjelaskan pada perusahaan mengenai pentesting yang dilakukan seperti : apa yang dilakukan, bagaimana cara melakukannya, resiko yang bisa terjadi dan yang paling utama adalah cara untuk memperbaiki sistemnya.
Saat jumlah waktu dalam kegiatan pentest dibatasi, akan lebih efektif menggunakan tipe overt. b . Covert Penetration Testing Pada covert pentest, seorang pentester melakukan kegiatan pentest tanpa sepengetahuan perusahaan. Artinya tes ini digunakan untuk menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya.
Tipe- Tipe Penetration Testing : Ada dua jenis tipe pentest, yaitu : overt dan covert. Overt pentest dilakukan dengan sepengetahuan perusahaan. Covert pentest dilakukan tanpa sepengetahuan perusahaan. Kedua tipe pentest ini memiliki kelebihan dan kelemahan satu sama lain. a. Overt Penetration Testing Pada overt pentest, seorang pentester bekerja bersama dengan tim IT perusahaan untuk mencari sebanyak mungkin celah keamanan yang ada. Salah satu kelebihannya adalah pentester mengetahui informasi sistem jaringan yang ada secara detail dan dapat melakukan serangan tanpa khawatir akan di-blok. Salah satu kelemahannya adalah tidak bisa menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya.
Covert test membutuhkan waktu yang lebih lama dan skill yang lebih besar daripada overt test. Kebanyakan pentester profesional lebih merekomendasikan covert test daripada overt test karena benarbenar mensimulasikan serangan yang bisa terjadi. Pada covert test, seorang pentester tidak akan berusaha mencari sebanyak mungkin celah keamanan, tetapi hanya akan mencari jalan termudah untuk masuk ke dalam sistem, tanpa terdeteksi. Nah kira-kira seperti itulah kegiatan pentesting. Dengan semakin berkembangnya teknologi, unsur keamanan menjadi poin penting yang harus diperhatikan. Semakin sensitif data yang dimiliki perusahaan, maka akan semakin kuat juga sistem keamanan yang harus digunakan. Jika ada yang berminat untuk menjadi seorang pentester, maka kemampuan teknis networking dan programming, sangatlah diperlukan. Selain itu kita harus mempunyai analisis yang kuat untuk bisa mencari kelemahan sistem. Mungkin terlihat sangat sulit untuk menjadi seorang pentester, tetapi seperti quote terkenal : “no pain no gain” :)
IT NEWS
HEARTBLEED Kenapa Penetration Testing Penting Untuk Dilakukan ?
IT NEWS Secara umum, proses penetration testing system banyak disamakan oleh para junior system administrator dengan proses vulnerability system assessment. Kesalahan mindset tersebut menjadi suatu kesalahan fatal dalam pengelolaan keamanan sistem komputer.
(kesalahan penerapan algoritma keamanan komputer/rule hak akses) dan bagaimana mempermudah system administrator dalam mengelola management log jika terjadi insiden penyerangan pada sistem (dalam hal ini erat kaitannya dengan digital forensic).
Vulnerability system assessment merupakan sebuah prosedur scanning terhadap vulnerabilities yang terdapat pada sistem dan melalukan filtering terhadap kelemahan tersebut untuk menghindari aksi eksploitasi oleh hacker.
Merujuk pada paper OSSTMM (December 13, 2006), dijabarkan mengenai teori pengimplementasian sistem keamanan komputer yang dinilai cukup aman untuk meminimalisir tingkat kecelahan keamanan terhadap server.
Hal ini jelas hampir mirip dengan pengertian harfiah dari penetration testing yang mana proses pencarian terhadap vulnerabilities (kelemahan) dan melakukan eksploitasi terhadap sistem tersebut hingga tester mengetahui titik lemah sebenarnya dari sistem tersebut.
Beberapa metode keamanan komputer yang dapat implementasikan pada sistem antara lain :
Alasan umum tentang mengapa system administrator WAJIB melakukan penetration testing terhadap systemnya sendiri antara lain untuk menemukan titik kelemahan dan vulnerabilities system sebelum titik kelemahan tersebut dieksploitasi oleh hacker. Memberikan gambaran bahwa manajemen terhadap system keamanan komputer merupakan sebuah hal keharusan yang harus dilakukan. Menguji coba terhadap mekanisme firewall/alur keamanan sistem dan meng-evaluasi apakah sistem yang digunakan sudah memenuhi standar keamanan sistem komputer (walaupun sampai saat ini saya sendiri tidak mengetahui tolak ukur sebenarnya apa yang dikatakan sistem yang aman), melakukan tracing terhadap kesalahan internal
Internet Gateway and Service – Jangan pernah menggunakan remote akses yang tidak terenkripsi – Jangan pernah menggunakan remote akses yang tidak terautentifikasi – Lakukan pembatasan akses yang diperboleh baik itu diijinkan ataupun ditolak secara spesifik – Lakukan monitoring secara berkala dan lakukan pencatatan log – Desentralisasi – Batasi antara koneksi sistem yang tidak terpercaya – Lakukan proses “penyeleksian” terhadap inputan yang diterima server dan lakukan validasi terlebih dahulu – Lakukan installasi program yang sesuai dengan kebutuhan – Selalu usahakan server berada pada status “invisible” User – Desentralisasi autorisasi – Hak akses terhadap sistem hanya dapat dilakukan pada jaringan internal – Membatasi informasi yang diberikan kepada user mengenai teknologi infrastruktur dan Informasi Server Secara umum, tidak ada aturan baku yang benar-benar mengatur tentang proses penetrasi terhadap server.
IT NEWS Tingkat keberhasilan proses Penetration Testing terhadap server sendiri ditentukan dari tingkat kekreativitasan tester untuk berpikir mencari jalan terbaik dan terefektif untuk memperoleh hasil seakurat mungkin terhadap kelemahan server. Penetration Testing sangat berharga karena beberapa alasan: ? Menentukan kelayakan set tertentu dari vektor serangan ? Mengidentifikasi berisiko tinggi kerentanan yang dihasilkan dari
kombinasi rendah-risiko kerentanan dieksploitasi dalam urutan tertentu ? Mengidentifikasi kerentanan yang mungkin sulit atau tidak mungkin untuk mendeteksi dengan jaringan otomatis atau aplikasi perangkat lunak kerentanan pemindaian ? Menilai besarnya potensi bisnis dan dampak operasional serangan sukses ? Pengujian kemampuan pembela jaringan untuk berhasil mendeteksi dan merespon serangan ? Memberikan bukti untuk mendukung peningkatan investasi dalam aparat keamanan dan teknologi. Penetration Testing adalah komponen penuh audit keamanan . Sebagai contoh, Industri Kartu Pembayaran Standar Keamanan Data (PCI DSS), dan standar keamanan dan audit, membutuhkan pengujian penetrasi baik tahunan dan berkelanjutan (setelah perubahan sistem) . Kotak hitam vs kotak putih Uji Penetration Testing dapat dilakukan dalam beberapa cara. Perbedaan yang paling umum adalah jumlah pengetahuan tentang rincian pelaksanaan sistem sedang diuji yang tersedia untuk penguji. pengujian kotak hitam tidak menganggap pengetahuan sebelumnya
Para penguji harus terlebih dahulu menentukan lokasi dan luasnya sistem sebelum memulai analisis mereka. Di ujung lain dari spektrum, pengujian kotak putih memberikan penguji dengan pengetahuan lengkap tentang infrastruktur yang akan diuji, sering termasuk diagram jaringan, source code, dan informasi pengalamatan IP. Ada juga beberapa variasi di antara, sering dikenal sebagai tes kotak abu-abu. Uji Penetration Testing juga dapat digambarkan sebagai “pengungkapan penuh” (kotak putih), “pengungkapan parsial” (abuabu box), atau “buta” (kotak hitam) tes berdasarkan jumlah informasi yang diberikan kepada pihak pengujian. Manfaat relatif dari pendekatan ini diperdebatkan. Pengujian kotak hitam mensimulasikan serangan dari seseorang yang belum terbiasa dengan sistem. Pengujian kotak putih mensimulasikan apa yang mungkin terjadi selama “pekerjaan orang dalam” atau setelah “kebocoran” informasi sensitif, di mana penyerang memiliki akses ke kode sumber, layout jaringan, dan mungkin bahkan beberapa password. Layanan yang ditawarkan oleh perusahaan pengujian penetrasi span kisaran yang sama, dari hasil scan sederhana dari sebuah organisasi alamat IP ruang untuk port terbuka dan spanduk identifikasi audit penuh kode sumber untuk aplikasi. Dasar Pemikiran Sebuah Penetration Testing harus dilakukan pada setiap sistem komputer yang akan digunakan dalam lingkungan yang tidak bersahabat, khususnya
IT NEWS Ini memberikan tingkat jaminan praktis bahwa setiap pengguna jahattidak akan mampu menembus sistem. Kotak hitam pengujian Penetration Testing berguna dalam kasuskasus di mana tester mengasumsikan peran seorang hacker luar dan mencoba untuk menyusup ke sistem tanpa pengetahuan yang memadai tentang hal itu. Resiko Pengujian Penetration Testing dapat menjadi teknik yang sangat berharga untuk setiap program keamanan informasi organisasi. Dasar kotak pengujian Penetration Testing putih sering dilakukan sebagai proses murah sepenuhnya otomatis.
Namun, kotak hitam pengujian Penetration Testing adalah kegiatan padat karya dan membutuhkan keahlian untuk meminimalkan risiko ke sistem target. Minimal, hal itu mungkin memperlambat respon jaringan organisasi waktu karena pemindaian jaringan dan pemindaian kerentanan. Selain itu, ada kemungkinan bahwa sistem dapat rusak dalam proses pengujian Penetration Testing dan dapat diberikan bisa dioperasi, meskipun manfaat organisasi dalam mengetahui bahwa sistem bisa saja diberikan bisa dioperasi oleh penyusup. Meskipun risiko ini diminimalisir dengan menggunakan penguji penetrasi yang berpengalaman, tidak pernah dapat sepenuhnya dihilangkan. Metodologi Penetration Testing Keamanan Open Source Pengujian manual Metodologi adalah metodologi peer-review untuk melakukan tes keamanan dan metrik. \
“ Kotak hitam pengujian Penetration Testing berguna dalam kasus-kasus di mana tester mengasumsikan peran seorang hacker luar dan mencoba untuk menyusup ke sistem tanpa pengetahuan yang memadai tentang hal itu. “
Uji kasus OSSTMM dibagi menjadi lima saluran yang secara kolektif tes: informasi dan data kontrol, tingkat kesadaran personil keamanan, penipuan dan rekayasa sosial tingkat kontrol, komputer dan jaringan telekomunikasi , perangkat nirkabel, perangkat mobile, keamanan fisik kontrol akses, proses keamanan, dan lokasi fisik seperti bangunan, batas-batas, dan pangkalan militer. OSSTMM berfokus pada rincian teknis dari apa yang item harus diuji, apa yang harus dilakukan sebelum, selama, dan setelah tes keamanan, dan bagaimana mengukur hasil.
IT NEWS OSSTMM juga dikenal dengan Aturan keterlibatan yang menentukan untuk kedua tester dan klien bagaimana tes perlu untuk benar menjalankan mulai dari menyangkal iklan palsu dari penguji untuk bagaimana klien dapat mengharapkan untuk menerima laporan tersebut. Tes baru untuk praktik terbaik internasional, hukum, regulasi, dan masalah etika secara teratur ditambahkan dan diperbaharui. Sistem Informasi Keamanan Penilaian Framework (ISSAF) adalah peer review kerangka kerja terstruktur dari Grup Sistem Keamanan Informasi Terbuka yang mengkategorikan informasi penilaian sistem keamanan ke berbagai domain dan rincian kriteria spesifik evaluasi atau pengujian untuk masing-masing domain.
Hal ini bertujuan untuk memberikan masukan lapangan pada penilaian keamanan yang mencerminkan skenario kehidupan nyata. The ISSAF terutama harus digunakan untuk memenuhi keamanan organisasi persyaratan penilaian dan tambahan dapat digunakan sebagai referensi untuk memenuhi kebutuhan informasi keamanan lainnya. Ini mencakup segi penting dari proses keamanan, dan penilaian mereka dan pengerasan untuk mendapatkan gambaran yang lengkap dari kerentanan yang mungkin ada. ISSAF, bagaimanapun, masih dalam masa pertumbuhan. Standar dan sertifikasi Proses melakukan tes Penetration Testing dapat mengungkapkan informasi sensitif mengenai organisasi.
“ Sistem Informasi Keamanan Penilaian Framework (ISSAF) adalah peer review kerangka kerja terstruktur dari Grup Sistem Keamanan Informasi Terbuka yang mengkategorikan informasi penilaian sistem keamanan ke berbagai domain dan rincian kriteria spesifik evaluasi atau pengujian untuk masing-masing domain. “
Ini adalah alasan inilah perusahaan keamanan kebanyakan berhatihati untuk menunjukkan bahwa mereka tidak mempekerjakan mantan black hat hacker dan bahwa semua karyawan mematuhi kode etik yang ketat. Ada sertifikasi profesional dan pemerintah beberapa yang menunjukkan perusahaan kepercayaan dan kesesuaian dengan praktik industri terbaik. Skema Tiger adalah bukan untuk skema bagi yang menawarkan tiga sertifikasi: Keamanan Tester Associate (AST), Anggota Tim Keamanan Berkualitas (QSTM) dan Tester Keamanan Senior (SST).
IT NEWS The SST secara teknis setara dengan LIHAT Team Leader dan QSTM secara teknis setara dengan sertifikasi Team LIHAT Anggota. Skema Tiger mengesahkan individu, bukan perusahaan.
Keamanan Serangan menawarkan sertifikasi Ethical Hacking ( Serangan Keamanan Certified Professional ) – pelatihan spin off dari distribusi Pengujian Penetrasi BackTrack.
Skema Tiger juga menawarkan sertifikasi untuk praktisi komputer forensik yang berkaitan dengan Kesiapan Forensik, Tema Manajemen Kejahatan, Praktisi Forensik dan Analis Lunak Berbahaya.
The OSCP adalah kehidupan nyata penetrasi sertifikasi pengujian, membutuhkan pemegang untuk berhasil menyerang dan menembus mesin hidup berbagai lingkungan laboratorium yang aman.
Skema Tiger adalah skema-satunya di Inggris yang memiliki semua ketetapan yang terakreditasi dan kualitas diaudit oleh University of Glamorgan .
Setelah menyelesaikan kursus siswa menjadi layak untuk mengambil tantangan sertifikasi, yang harus diselesaikan dalam waktu dua puluh empat jam. Dokumentasi harus mencakup prosedur yang digunakan dan bukti penetrasi sukses termasuk file penanda khusus.
The Assurance Informasi Sertifikasi Review Board (IACRB) mengelola sertifikasi penetrasi pengujian dikenal sebagai Tester Penetrasi Bersertifikat (CPT). CPT mensyaratkan bahwa calon ujian lulus ujian pilihan ganda tradisional, serta lulus ujian praktis yang membutuhkan kandidat untuk melakukan tes penetrasi terhadap server dalam lingkungan mesin virtual. SANS menyediakan berbagai arena keamanan komputer pelatihan yang mengarah ke sejumlah kualifikasi SANS. Pada tahun 1999, SANS Giac didirikan, Sertifikasi Informasi Global Assurance, yang menurut SANS telah dilakukan oleh lebih dari 20.000 anggota sampai saat ini. Tiga dari sertifikasi Giac adalah penetrasi pengujian khusus: Tester Bersertifikat Penetrasi Giac (GPEN) sertifikasi; Aplikasi Web Penetrasi Tester Giac (GWAPT) sertifikasi, dan Peneliti Exploit Giac dan Penetrasi Tester Lanjutan (GXPN) sertifikasi
Didukung pemerintah pengujian juga ada di AS dengan standar seperti NSA Metodologi Evaluasi Infrastruktur (IEM). Dewan Penguji Terdaftar Keamanan Etis (CREST) ?menyediakan tiga sertifikasi: Tester CREST Terdaftar dan dua CREST kualifikasi Tester Bersertifikat, satu untuk infrastruktur dan satu untuk pengujian aplikasi. International Council of E-Commerce konsultan menyatakan individu dalam keterampilan keamanan e-bisnis dan berbagai informasi. Ini termasuk Hacker Bersertifikat Etis saja, Komputer Hacking Program Forensik Penyidik, program Penetrasi Tester Berlisensi dan berbagai program lainnya, yang tersedia secara luas di seluruh dunia. Organisasi melakukan vulnerability assessment dan penetration test untuk menguji seberapa baik sistem keamanan informasi TI yang dimilikinya, sebagai tindakan preventif tentunya untuk: ? mengetahui kelemahan sistem TI, ? mengetahui risiko yang mungkin ditimbulkan akibat adanya kelemahan tersebut dan mengetahui tindakan apa yang perlu dilakukan untuk menutup kelemahan tersebut.
IT NEWS ? mengetahui tindakan apa yang perlu dilakukan untuk menutup
kelemahan tersebut.
“If you are not doing penetration testing and application scanning, then you are behind the curve. ……you need to understand where your weak points are before you can effectively defend yourself.” - Chenxi Wang, Ph.D., Forrester Research Vice President and Principal Analyst, March 9, 2011
Apabila kerentanan ini tidak ditindaklanjuti sesuai rekomendasi yang diberikan tentunya berpotensi untuk dieksploitasi oleh pihak-pihak yang tidak bertanggung jawab yang pada akhirnya dapat berujung pada kerugian bisnis yang nyata seperti: hilangnya informasi, bocornya informasi yang bersifat rahasia, ? manipulasi data (misalnya pembuatan transaksi palsu, pembuatan akun palsu, perubahan data, dll.) ? tidak tersedianya informasi pada saat diperlukan (misalnya karena terjadi downtime) ? runtuhnya kepercayaan publik atau klinet anda terhadap organisasi yang bisa saja berakibat ditutupnya organisasi tersebut. ? dan lain-lain. ?
?
Pelaksanaan secara legal dan aman Tidak seperti serangan dari hacker, layanan vulnerability assessment dan penetration test harus dilakukan secara legal (resmi, sesuai kontrak penugasan) dan aman (tidak mengganggu aktifitas bisnis yang sedang berlangsung). Apakah Vulnerability Assessment? Vulnerability assessment sesuai namanya adalah assessment untuk mengetahui vulnerability (kerentanan) yang dimiliki oleh sistem TI organisasi. Layanan vulnerability assessment menghasilkan daftar kerentanan/kelemahan sistem TI dan rekomendasi tindakan yang diperlukan untuk menutup kerentanan tersebut.
Dengan melakukan vulnerability assessment dan penetration test maka kita dapat : Mengetahui profil dan tingkat keamanan informasi yang dimiliki oleh sistem TI kita.
?
Mengetahui titik-titik kelemahan keamanan sistem TI kita sehingga kita memahami apa yang seharusnya dilakukan untuk memperbaiki titik-titik kelemahan tersebut.
?
IT NEWS Memenuhi (compliance) peraturan dan regulasi seperti PBI ? (Peraturan Bank Indonesia), peraturan OJK, ISO 27001, dan lainlain.yang berlaku. ? Mendapatkan gambaran yang jelas dan nyata mengapa sebuah
program peningkatan keamanan informasi perlu segera dilakukan karena hasil dari penetration test akan menunjukkan dengan jelas dampak/risiko dari kelemahan sistem TI yang ditemukan bila tidak diperbaiki. Ini dapat menjadi bahan yang penting untuk membuat business case program peningkatan keamanan informasi untuk disampaikan ke pihak manajemen.
“ Layanan vulnerability assessment menghasilkan daftar kerentanan/kelemahan sistem TI dan rekomendasi tindakan yang diperlukan untuk menutup kerentanan tersebut. “
Melihat pekerjaan saat ini, dengan lalu-lalang data di “awan” maka tidak ada alasan lagi untuk anda dan perusahaan mengabaikan Penetration Testing. Penetration Testing bukan dilakukan sekali, namun ada tahapan untuk kembali dicek agar hasil yang didapat juga semakin maksimal.
IT CLIP
DNS Nasional: Blokir-blokiran Jadi Lebih Transparan
“Masyarakat melaporkan ke Kominfo, terus kita verifikasi dengan Trust+ Positif. Selanjutnya kita minta ke ISP (penyedia jasa internet) untuk memblokir. Ini dari sisi kecepatan sangat lambat. Saya mau ubah pola blokir ini,” katanya. Usulan dari Chief RA adalah akan membentuk panel yang berisi perwakilan masyarakat disesuaikan dengan isu yang bersentuhan. Misalnya, isu perlindungan anak, panel akan berisi perwakilan masyarakat yang aktif selama ini di Komisi Perlindungan Anak. “Kita juga akan implementasikan yang namanya DNS Nasional tiga bulan lagi. Ini akan bagus untuk database dan kecepatan, selain DNS yang sudah ada sekarang," katanya.
Menkominfo Rudiantara berjanji akan lebih transparan dalam upaya memblokir konten internet yang bertentangan dengan suku, agama, ras, dan antargolongan (SARA), termasuk pornografi dan judi online setelah adanya DNS Nasional.
Domain Name System (DNS) adalah sebuah sistem yang menyimpan informasi tentang nama host ataupun nama domain dalam bentuk basis data tersebar di dalam jaringan komputer. DNS yang menerjemahkan nama situs web menjadi alamat internet (IP).
“Dalam hal blokir konten di dunia maya, kita ingin lebih transparan dan mengajak partisipasi aktif masyarakat," kata menteri yang akrab disapa Chief RA itu kepada media di rumah dinasnya.
Nantinya, kalau ada request dari IP yang asalnya dari Indonesia akan dikirimkan ke DNS Nasional ini, lalu difilter untuk melihat adanya konten pornografi atau tidak. Jika dari permintaan itu ada konten porno, maka akan diblokir.
"Saya selalu mengingatkan teman-teman di Kementerian Kominfo, kita ini bukan manusia super yang bisa menentukan sepihak konten mana layak atau tidak,” paparnya lebih lanjut. Selama ini dalam memblokir konten yang berbau SARA dan pornografi, kata menteri, pihaknya masih menggunakan daftar alamat situs bermuatan negatif yang disusun oleh Ditjen Kominfo dalam database
Diharapkan adanya DNS Nasional ini nantinya, tak hanya membatasi akses ke konten yang merusak moral bangsa, namun juga bisa ikut menekan peredaran malware yang telah memenuhi 30% dari trafik internet di Indonesia. Source : http://inet.detik.com/
IT CLIP Di perusahaan lamanya, Fey bertanggung jawab sebagai Chief Technology Officer yang mengelola integrasi McAfee dengan Intel Security. Ia juga mengawasi pembentukan sebuah data exchange layer bernama Threat Intelligence Exchange untuk menjembatani komunikasi antara jaringan dan endpoint dari sebuah platform. Melihat pengalamannya, Blue Coat berharap bahwa Fey dapat melakukan hal yang sama dengan produk dan solusi yang berada di bawah naungan Blue Coat. Tidak hanya itu, perusahaan juga memberikan isyarat bahwa mereka akan terus mengakuisisi perusahaan-perusahaan lain untuk semakin melengkapi jajaran produk dan solusi mereka.
Blue Coat Menjadi Vendor Keamanan Paling Diperhitungkan pada Tahun 2015 Situs web CRN memilih Blue Coat sebagai pemuncak dalam 10 besar vendor keamanan yang paling layak diperhitungkan pada tahun 2015.Daftar yang dirilis pada akhir Januari lalu dan memperhitungkan portofolio dan strategi produk yang dikembangkan, tanpa melupakan faktor kepemimpinan dan sumber daya manusia yang paling bermutu. Blue Coat memenuhi kriteria-kriteria tersebut setelah melalui penilaian CRN. Salah satu bukti keseriusan mereka dalam mengembangkan diri pada tahun 2015 adalah keputusan untuk merekrut Michael Fey dari Intel Security, pada Desember 2014 silam. Di Blue Coat, Fey didapuk sebagai President dan Chief Operating Officer yang melapor kepada Greg Clark (CEO, Blue Coat).
Menurut para analis di industri, kekurangan Blue Coat adalah tidak memiliki komponen endpoint. Namun di sisi lain, selain memiliki solusi Web Security, Blue Coat juga memiliki solusi SSL VPN dan perangkat pengelolaan ancamancyber terpadu (unified threat management) sebagai penawaran intinya. Untuk semakin memperkuat penawaran mereka dalam bidang keamanan, Blue Coat mengakuisisi Solera Networks, sebuah perusahaan penyedia perangkat network packet-recording yang memiliki kemampuan setara dengan RSA NetWitness dan menjadi perangkat favorit bagi para peneliti forensik jaringan. Blue Coat juga mengakuisisi Norman Shark untuk bisa menganalisis file-file yang mencurigakan. Saat ini, para analis di industri keamanan sedang memperhatikan dengan seksama apakah Michael Fey dapat menghubungkan berbagai komponen keamanan yang dimiliki Blue Coat sehingga menjadi satu kesatuan yang terintegrasi. Source : www.infokomputer.com
IT CLIP
Microsoft sendiri telah mengumumkan bahwa WIndows 10 akan menjadi upgrade gratis bagi pengguna Windows 7, WIndows 8.1, dan Windows Phone. Namun, upgrade gratis tersebut menurut Microsoft hanya berlaku selama satu tahun saja. Artinya, pengguna bisa jadi diharuskan untuk mendaftar atau berlangganan setelah tahun pertama itu. Atau jika pengguna mengupgrade di luar tahun pertama tersebut, mereka harus membayar sejumlah uang. OS Chief di Microsoft, Terry Myerson dalam sebuah event yang diselenggarakan Microsoft juga pernah berkata, “Dengan Windows 10, kami membuat Windows lebih seperti sebuah layanan.”
Windows 10 Mau Dibikin Berlangganan? Microsoft telah mendaftarkan paten merek dagang “Windows 365? pada akhir Januari lalu. Nama tersebut mirip dengan Office 365, layanan aplikasi Office berlangganan milik Microsoft. Disinyalir, Microsoft bakal menerapkan model langganan yang sama untuk sistem operasi terbarunya nanti, Windows 10. Dikutip dari Digital Trends, Rabu (11/2/2015), alih-alih meminta bayaran yang besar satu kali di muka, Microsoft bisa saja menawarkan Windows 10 ke pengguna baru dengan langganan per tahun.
Apakah yang dimaksud oleh Myerson itu Microsoft akan menerapkan sistem berlangganan? Hanya waktu yang bisa menjawab. Yang pasti, Microsoft tidak akan menjual lisensi Windows 10 dengan cara tradisional seperti sebelumnya. Kemungkinan lain, merek dagang yang patennya didaftarkan Microsoft tersebut adalah sebagai upaya defensif perusahaan agar tidak digunakan oleh pihak lain. Source : http://tekno.kompas.com/
Proxsis Consulting Group
ABOUT US
PROXSIS SUSTAINABILITY SYNERGY SOLUSI SYNERGY ANSSURANCE PROXSIS SOLUSI INDONESIA SAFETY CENTER - ISC INDONESIA ENVIROMENT AND ENERGY MANAGEMENT - IEC INDONESIA FOOD AND FORESTY - IFAF
Consulting Group
PROXSIS STRATEGIC & IT
PROXSIS IT PROXSIS STRATEGIC IT GOVERNENT INDONESIA - ITGID SMART SOLUSI ASIA - SSA INDONESIA BANKING & FINANCE - IBF INDONESIA PRODUCTIVITY & QUALITY INSURANCE - IPQI PROJECT MANAGEMENT ALLIANCE - PMA
Professionals Development Center ISC - INDONESIA SAFETY CENTER IPQI - INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE ITG.ID - IT GOVERNANCE INDONESIA IBF - INDONESIA BANKING & FINANCE
IT GOVERNANCE INDONESIA INDONESIA BANKING & FINANCE - BUSINESS CONTINUITY MANAGEMENT - PERSONAL EXAM PREPARATION - IT GOVERNANCE & MANAGEMENT - IT SECURITY - QUALITY MANAGEMENT SYSTEM - IT RISK MANAGEMENT - GREEN IT
- Risk Management LSPP LV 1 - Risk Management LSPP LV 2 - Risk Management BSMR LV 1 - Risk Management BSMR LV 2 - Indonesia Banking & Finance - Indonesia Tax
INDONESIA SAFETY CENTER - ADVANCE & CERTIFIED SAFETY - AK3 - HSE & SAFETY MANAGEMENT - ISO - HEALTH & INDUSTRIAL HYGINE
INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE - ADVANCE QUALITY - BUSINESS PROCESS MGT. - FOOD AND AGRO - ENVIRO AND ENERGY
IT GOVERNANCE INDONESIA Permata Kuningan lt. 17 Kawasan Bisnis Epicentrum HR. Rasuna Said Jl. Kuningan Mulia Kav.9C Telp: 021 29069519 Fax: 021 8370 8681