PENERAPAN DEFENSE IN DEPTH PADA SISTEM INFORMASI Security Awareness
OVERVIEW
OVERVIEW DEFEND IN DEPTH • Sebuah konsep dalam keamanan teknologi informasi yang melibatkan penggunaan beberapa lapisan keamanan untuk menjaga informasi agar tetap aman.
TUJUAN DEFEND IN DEPTH • Untuk meningkatkan biaya dan usaha serangan terhadap sistem IT yang dimiliki sebuah organisasi, dengan :
• mendeteksi serangan, • Melakukan respon terhadap sebuah serangan • Menyediakan lapisan pertahanan Sehingga ketika sebuah bentuk serangan berhasil dilakukan tidak berarti serangan tersebut sukses secara menyeluruh.
ELEMEN DEFEND IN DEPTH •
People
• •
Process •
•
Tindakan standar yang digunakan untuk memastikan keamanan informasi tetap terjaga
Technology •
•
Berperan & bertanggungjawab terhadap keamanan informasi baik sbg pihak internal dan external
Solusi yang digunakan untuk pencapaian tujuan bisnis
Governance •
Kerangka kerja pengelolaan yang menyediakan pengawasan & koordinasi dari people, proses dan teknologi
STRATEGI DEFEND IN DEPTH • Diterapkan sesuai dengan hasil pengukuran resiko bisnis • Gunakan pendekatan berlapis sehingga ketika sebuah sistem kontrol berhasil dilanggar tidak merusak secara keseluruhan
• Terapkan sistem kontrol untuk meningkatkan biaya dan upaya serangan • Penerapan sistem kontrol terhadap pengguna, proses dan teknologi
PRINSIP-PRINSIP KEAMANAN INFORMASI
• Keamanan informasi berdampak pada seluruh organisasi
• Manajemen Resiko mendefinisikan persyaratan keamanan informasi
KOMPONEN-KOMPONEN RESIKO
PEMETAAN ENTITAS KEAMANAN INFORMASI
IDENTIFIKASI ASSET YANG PENTING (CRITICAL ASSET) • Asset yang memiliki sangat menentukan keberhasilan dalam pencapaian misi dari sebuah organisasi.
• • • • • •
Sumber Daya Manusia Sumber Daya Hardware Sumber Daya Software Sumber Daya Data Sumber Daya Jaringan Produk Informasi
VULNERABILITAS • Kerentanan yang dimiliki sistem dikarenakan tidak adanya atau lemahnya mekanisme pengamanan.
VULNERABILITAS •
•
•
•
Sumber Daya Manusia
•
Lupa password
•
Kurang peduli, Ketidaktahuan Pengguna
Sumber Daya Hardware •
Kapasitas terbatas
•
Konfigurasi yang salah
Sumber Daya Software
•
Bug OS dan aplikasi
•
Konfigurasi/password default
•
Konfigurasi yang salah
Sumber Daya Jaringan •
Kapasitas terbatas
•
Clear text
ANCAMAN (THREAT) • Kejadian yang akan menyebabkan dampak yang tidak diharapkan terhadap organisasi jika kejadian tsb terjadi.
ANCAMAN TERHADAP SUMBER DAYA SISTEM INFORMASI • Black/Gray Hacker • Kompetitor (Competitive Inteligent) • Staf Internal yang kecewa (Disgruntle employee) • Spionase • Cyber war • Scanning • FootPrinting • Enumerasi
SERANGAN • Internal • Eksternal
• Malware / Virus • Spyware, Trojan, Rootkit • Snifing, session hijack • Web Deface • SQL Injection • Social Engineering
ELEMEN SISTEM KEAMANAN INFORMASI • Confidentiality • Integrity
• Authenticity • Non Repudiation • Availability
SISTEM KONTROL • Identifikasi Security Requirement Setiap aset memiliki tingkat kerahasiaan, keutuhan, dan ketersediaan yang berbeda yang harus:
• Didokumentasikan • Dikomunikasikan
PERTIMBANGAN TERHADAP PENERAPAN SISTEM KONTROL • Analisa Resiko • proses identifikasi risiko keamanan, menentukan besarnya resiko, dan mengidentifikasi daerah-daerah yang membutuhkan perlindungan. • Defense in Depth • Penerapan sistem kontrol secara berlapis yang bermaksud meningkatkan biaya dan usaha serangan
ANALISA RESIKO • Qualitative Risk Analysis • Probability x Severity
• Risk Assessment Matrix • Quantitative Risk Analysis
• Potential Financial Loss
QUALITATIVE RISK ANALYSIS
QUALITATIVE RISK ANALYSIS
QUANTITATIVE RISK ANALYSIS
RISK MANAGEMENT STRATEGIES
DEFENSE IN DEPTH
PENGAMANAN DATA
JENIS SERANGAN TERHADAP DATA • Terhapusnya Data • Manipulasi Data • Pencurian Data
• Cracking password
VULNERABILITAS DATA • Lemahnya validasi terhadap input • Pemasangan hak akses yang kurang tepat • Lemahnya password
PENGAMAN TERHADAP DATA • Klasifikasi Data : • Top Secret
• Secret • Confidential • Sensitive but unclassified • Unclassified
PENGGUNAAN PASSWORD • Jangan gunakan bagian dari username
• Jangan menggunakan kata yang terdapat di dalam kamus • Jangan menggunakan kata yang berhubungan dengan sesuatu yang anda sukai • Jangan menuliskan password anda pada kertas • Jangan menyimpan password di komputer dalam bentuk plain text • Jangan menggunakan opsi “remember my password” • Jangan memberikan informasi password pada siapapun
PENGAMANAN TERHADAP DATA • Sediakan backup data • Backup data external
• Implementasi RAID (Redundant Array inexpensive Disk) • Gunakan tool Perlindungan Data untuk mengenkripsi data rahasia. • Folder Guard • Truecrypt
PENGAMANAN DATA
• Membatasi dan membersihkan input data. • Gunakan account yang membatasi hak akses ke dalam database. • Gunakan jenis parameter SQL yang aman untuk akses data.
PENGAMANAN APLIKASI
JENIS SERANGAN TERHADAP APLIKASI • SQL Injection • Buffer overflow
• Web Deface • Cross Site Scripting • Cross Site Request Forgery
PENGAMANAN TERHADAP APLIKASI •
Menyediakan sistem otentikasi
• Memisahkan area publik dan area terbatas • Gunakan kebijakan account lockout • Masa berlaku password • Disable account • Penggunaan password yang kuat/ kompleks • Enkripsi pengiriman password • Melindungi otentikasi cookies
PENGAMANAN TERHADAP APLIKASI • Menyediakan sistem Otorisasi • Membatasi tingkatan hak akses pengguna ke resource disesuaikan dengan kebutuhan
• Melakukan validasi input • Asumsikan masukan semua berbahaya. • Jangan mengandalkan validasi sisi klien. • Membatasi, menolak, dan membersihkan masukan Anda.
PENGAMANAN TERHADAP APLIKASI • Pengelolaan Konfigurasi • Mengamankan interface-interface administrasi. • Mengamankan tempat penyimpanan konfigurasi. • Memisahkan interface untuk administrasi. • Gunakan hak akses paling terbatas pada service account
PENGAMANAN TERHADAP APLIKASI • Menyediakan sistem log / audit • Mengelola exception • Tidak membocorkan informasi ke client
• Mencatat pesan kesalahan secara rinci • Catch exceptions • Install / update patch aplikasi
PENGAMANAN HOST
VULNERABILITAS HOST • Informasi konfigurasi yang tersedia pada banner • Bug pada OS • Konfigurasi default • Keterbatasan spesifikasi teknis perangkat host
JENIS SERANGAN TERHADAP HOST • DoS (denial of service) • Malware (Virus, worm, trojan, rootkit)
• Spam • Dll
PENGAMANAN TERHADAP HOST • Gunakan layanan banner dengan memberikan informasi yang bersifat generic
• Gunakan firewall untuk menutup layanan (port) yg tdk perlu dipublish • Menyediakan Host IDS • Lakukan update service pack/patch/hotfix • Install dan update anti virus • Install service yang diperlukan saja
„
PENGAMANAN TERHADAP HOST • Menyediakan sistem log / audit
• Menyediakan backup host / device • Hapus account yang tidak diperlukan • Menyediakan sistem DRC (utk server Data center)
PENGAMANAN JARINGAN
VULNERABILITAS JARINGAN • Lemahnya pengamanan fisik • Kelemahan/keterbatasan yang dimiliki oleh perangkat jaringan • Jalur komunikasi yang bersifat plain text
JENIS SERANGAN TERHADAP JARINGAN • Worm • Sniffing
• Session Hijack • Poisoning • Rogue Device • DoS / DDoS
PENGAMANAN TERHADAP JARINGAN • Install & update anti virus • Install & update rule Network IDS / IPS • Enkripsi jalur komunikasi menggunakan IPSec atau VPN • Disable interface/port yang tidak digunakan • Terapkan penggunaan password yang kompleks/kuat
PENGAMANAN TERHADAP JARINGAN • Gunakan perangkat yang bersifat manageable • Terapkan port security pada perangkat switch • Terapkan dhcp snooping • Terapkan ARP inspection & IP Source Guard • Terapkan VLAN • Lakukan pemisahan jaringan • Antara wilayah client dan server • Antar bagian • Menyediakan dan melakukan sistem monitor dan audit jaringan
PENGAMANAN TERHADAP JARINGAN • Minimalisasi kegiatan Remote access • Gunakan protokol-protokol yang aman
• Non aktifkan SNMP jika tdk diperlukan, jika SNMP diaktifkan, gunakan SNMPv3 dan jangan menggunakan community string public atau private.
PENGAMANAN PERIMETER
JENIS SERANGAN PERIMETER • DoS / DDoS • Tunneling
• Spam • Scanning
TOPOLOGI TEKNOLOGI INFORMASI
PENGAMANAN PADA AREA PERIMETER
PENGAMANAN PADA AREA PERIMETER • Segmentasi jaringan • Terapkan stateful inspection firewall
• Block layanan-layanan yang tidak diperlukan • Gunakan perangkat yg bersifat UTM (Unified Threat Management) • Implementasikan mekanisme filtering trafik • Monitoring trafik antar segment yg berbeda • Sediakan layanan VPN
PENGAMANAN PADA AREA PERIMETER • Install & update SMTP Gateway (filtering email) • Instalasi & update Patch
• Monitoring & update content filtering • Aktifkan mekanisme logging & audit • Terapkan mekanisme otentikasi dan otorisasi pada perangkat perimeter • Monitoring bandwidth • Block protocol ICMP
PENGAMANAN FISIK
PENGAMANAN FISIK • Tempatkan Server di ruangan tersendiri • Sediakan akses kontrol ke ruang server • Tempatkan perangkat jaringan secara tertutup / terkunci • Posisi monitor tidak ditempatkan secara terbuka
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI
VULNERABILITAS • Manusia / Pengguna merupakan titik paling lemah dalam sebuah rantai pengamanan
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI • Memberikan bimbingan untuk apa yang harus dilakukan untuk melindungi informasi bisnis informasi yang tersimpan di jaringan perusahaan.
• Menetapkan seperangkat aturan perilaku untuk semua pengguna. • Memberikan otorisasi untuk personil keamanan informasi untuk melakukan berbagai tugas seperti pengamanan dan pemantauan • Mendefinisikan konsekuensi dari pelanggaran terhadap kebijakan.
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI • Memberikan pelatihan bagi developer agar peduli terhadap keamanan informasi • Memberikan pelatihan bagi user agar peduli terhadap keamanan informasi
CONTOH JENIS KEBIJAKAN
CONTOH PENERAPAN KEBIJAKAN • Menerapkan kebijakan sistem secara terpusat (gpedit) • Penggunaan password yang kuat / kompleks
• Tidak menggunakan free email untuk email penting • Penyimpanan file penting di file server sendiri, jangan menyimpan file penting diserver publik (google doc, dropbox dsb)
No
Checklist
1
Patch dan upgrade sistem operasi Buat dan menerapkan proses patch
2
Mengidentifikasi, menguji dan menginstall semua patch dan upgrade sistem operasi yang diperlukan
3
Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan
4
Gunakan host-host terpisah untuk server web, direktori dan layanan-layanan lain Konfigurasi mekanisme otentikasi user pada sistem operasi
5
Hapus atu non aktifkan account dan group-group yang tidak diperlukan
6
Buat account dan group pengguna untuk komputer komputer tertentu
7 8
Periksa kebijakan password organisasi dan mengatur password account dengan tepat Konfigurasi komputer untuk terhindar dari penebakan password
9
Menginstall dan mengkonfigurasi mekanisme keamanan lain untuk memperkuat otentikasi Konfigurasi kontrol resource dengan tepat
10
Mengatur kontrol akses untuk file, direktori, perangat dan sumber daya lainnya
11
Batasi hak akses terhadap sistem yang terkait tool kepada administrator yang diberi wewenang Install dan konfigurasi kontrol keamanan tambahan
12 13 14
Pilih, install dan konfigurasi perangkat lunak tambahan untuk menyediakan kontrol-kontrol yang diperlukan Uji keamanan dari sistem operasi Uji sistem operasi secara periodik untuk mencari kelemahan
SARAN
• Secara berkala melakukan pengujian terhadap vulnerabilitas sistem / penetrasi testing
CONTOH KEGIATAN PENTEST TERHADAP WEB SERVER
