PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI
Zaenal Arifin
AGENDA • Overview
• Entitas Keamanan Informasi • Penerapan Defense in Depth
INDONESIA PERINGKAT 2 SERANGAN CYBER TERBESAR DI DUNIA
TOP TEN TARGETED PORT
PEMETAAN ENTITAS KEAMANAN INFORMASI
IDENTIFIKASI ASSET YANG PENTING (CRITICAL ASSET) • Asset yang memiliki sangat menentukan keberhasilan dalam pencapaian misi dari sebuah organisasi.
• • • • • •
Sumber Daya Manusia Sumber Daya Hardware Sumber Daya Software Sumber Daya Data Sumber Daya Jaringan Produk Informasi
VULNERABILITAS •
•
•
•
Sumber Daya Manusia
•
Lupa password
•
Kurang peduli, Ketidaktahuan Pengguna
Sumber Daya Hardware •
Kapasitas terbatas
•
Konfigurasi yang salah
Sumber Daya Software
•
Bug OS dan aplikasi
•
Konfigurasi/password default
•
Konfigurasi yang salah
Sumber Daya Jaringan •
Kapasitas terbatas
•
Clear text
ANCAMAN TERHADAP SUMBER DAYA SISTEM INFORMASI • Black/Gray Hacker • Kompetitor (Competitive Inteligent) • Staf Internal yang kecewa (Disgruntle employee) • Spionase • Cyber war • Scanning • FootPrinting • Enumerasi
SERANGAN • Internal • Eksternal
• Malware / Virus • Spyware, Trojan, Rootkit • Snifing, session hijack • Web Deface • SQL Injection • Social Engineering
ELEMEN SISTEM KEAMANAN INFORMASI • Confidentiality • Integrity
• Authenticity • Non Repudiation • Availability
SISTEM KONTROL • Identifikasi Security Requirement Setiap aset memiliki tingkat kerahasiaan, keutuhan, dan ketersediaan yang berbeda yang harus:
• Didokumentasikan • Dikomunikasikan
DEFENSE IN DEPTH •
Sebuah konsep dalam keamanan teknologi informasi yang melibatkan penggunaan beberapa lapisan keamanan untuk menjaga informasi agar tetap aman
PENGAMANAN TERHADAP DATA Sediakan backup data • Backup data external
• Implementasi RAID (Redundant Array inexpensive Disk)
Gunakan tool Perlindungan Data untuk mengenkripsi data rahasia. • Folder Guard • Truecrypt
PENGAMANAN DATA • Membatasi dan membersihkan input data. • Gunakan account yang membatasi hak akses ke dalam database. • Gunakan jenis sintaks/parameter SQL yang aman untuk akses data.
PENGAMANAN TERHADAP APLIKASI • Menyediakan sistem otentikasi • Menyediakan sistem Otorisasi
• Melakukan validasi input • Pengelolaan Konfigurasi yang baik • Menyediakan sistem log / audit • Mengelola exception • Install / update patch aplikasi
PENGAMANAN TERHADAP HOST • Gunakan layanan banner dengan memberikan informasi yang bersifat generic
• Gunakan firewall untuk menutup layanan (port) yg tdk perlu dipublish • Menyediakan Host IDS • Lakukan update service pack/patch/hotfix • Install dan update anti virus • Install service yang diperlukan saja
PENGAMANAN TERHADAP HOST • Menyediakan sistem log / audit • Menyediakan backup host / device • Hapus account yang tidak diperlukan
• Menyediakan sistem DRC (utk server Data center)
PENGAMANAN TERHADAP JARINGAN • Install & update anti virus • Install & update rule Network IDS / IPS
• Enkripsi jalur komunikasi menggunakan IPSec atau VPN • Disable interface/port yang tidak digunakan • Terapkan penggunaan password yang kompleks/kuat
PENGAMANAN TERHADAP JARINGAN • Gunakan perangkat yang bersifat manageable • Terapkan port security pada perangkat switch • Terapkan dhcp snooping • Terapkan ARP inspection & IP Source Guard • Terapkan VLAN • Lakukan pemisahan jaringan • Antara wilayah client dan server • Antar bagian • Menyediakan dan melakukan sistem monitor dan audit jaringan
PENGAMANAN TERHADAP JARINGAN • Minimalisasi kegiatan Remote access • Gunakan protokol-protokol yang aman
• Non aktifkan SNMP jika tdk diperlukan, jika SNMP diaktifkan, gunakan SNMPv3 dan jangan menggunakan community string public atau private.
TOPOLOGI TEKNOLOGI INFORMASI
PENGAMANAN PADA AREA PERIMETER
PENGAMANAN FISIK • Tempatkan Server di ruangan tersendiri • Sediakan akses kontrol ke ruang server • Tempatkan perangkat jaringan secara tertutup / terkunci • Posisi monitor tidak ditempatkan secara terbuka
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI • Menetapkan seperangkat kebijakan perilaku untuk semua pengguna. • Memberikan otorisasi untuk personil keamanan informasi untuk melakukan berbagai tugas seperti pengamanan dan pemantauan
• Mendefinisikan konsekuensi dari pelanggaran terhadap kebijakan.
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI
• Memberikan pelatihan bagi developer agar peduli terhadap keamanan informasi • Memberikan pelatihan bagi user agar peduli terhadap keamanan informasi
SARAN TAMBAHAN
• Secara berkala melakukan pengujian terhadap vulnerabilitas sistem / penetrasi testing
• Kerjasama dengan lembaga terkait seperti : • Gov CSIRT
[email protected]