PENERAPAN DEFENSE IN DEPTH PADA SISTEM INFORMASI. Security Awareness

Transkripsi

1 PENERAPAN DEFENSE IN DEPTH PADA SISTEM INFORMASI Security Awareness

2 OVERVIEW

3 OVERVIEW DEFEND IN DEPTH Sebuah konsep dalam keamanan teknologi informasi yang melibatkan penggunaan beberapa lapisan keamanan untuk menjaga informasi agar tetap aman.

4 TUJUAN DEFEND IN DEPTH Untuk meningkatkan biaya dan usaha serangan terhadap sistem IT yang dimiliki sebuah organisasi, dengan : mendeteksi serangan, Melakukan respon terhadap sebuah serangan Menyediakan lapisan pertahanan Sehingga ketika sebuah bentuk serangan berhasil dilakukan tidak berarti serangan tersebut sukses secara menyeluruh.

5 ELEMEN DEFEND IN DEPTH People Berperan & bertanggungjawab terhadap keamanan informasi baik sbg pihak internal dan external Process Tindakan standar yang digunakan untuk memastikan keamanan informasi tetap terjaga Technology Solusi yang digunakan untuk pencapaian tujuan bisnis Governance Kerangka kerja pengelolaan yang menyediakan pengawasan & koordinasi dari people, proses dan teknologi

6 STRATEGI DEFEND IN DEPTH Diterapkan sesuai dengan hasil pengukuran resiko bisnis Gunakan pendekatan berlapis sehingga ketika sebuah sistem kontrol berhasil dilanggar tidak merusak secara keseluruhan Terapkan sistem kontrol untuk meningkatkan biaya dan upaya serangan Penerapan sistem kontrol terhadap pengguna, proses dan teknologi

7 PRINSIP-PRINSIP KEAMANAN INFORMASI Keamanan informasi berdampak pada seluruh organisasi Manajemen Resiko mendefinisikan persyaratan keamanan informasi

8 KOMPONEN-KOMPONEN RESIKO

9 PEMETAAN ENTITAS KEAMANAN INFORMASI

10

11

12

13

14

15

16 IDENTIFIKASI ASSET YANG PENTING (CRITICAL ASSET) Asset yang memiliki sangat menentukan keberhasilan dalam pencapaian misi dari sebuah organisasi. Sumber Daya Manusia Sumber Daya Hardware Sumber Daya Software Sumber Daya Data Sumber Daya Jaringan Produk Informasi

17 VULNERABILITAS Kerentanan yang dimiliki sistem dikarenakan tidak adanya atau lemahnya mekanisme pengamanan.

18 VULNERABILITAS Sumber Daya Manusia Lupa password Kurang peduli, Ketidaktahuan Pengguna Sumber Daya Hardware Kapasitas terbatas Konfigurasi yang salah Sumber Daya Software Bug OS dan aplikasi Konfigurasi/password default Konfigurasi yang salah Sumber Daya Jaringan Kapasitas terbatas Clear text

19 ANCAMAN (THREAT) Kejadian yang akan menyebabkan dampak yang tidak diharapkan terhadap organisasi jika kejadian tsb terjadi.

20 ANCAMAN TERHADAP SUMBER DAYA SISTEM INFORMASI Black/Gray Hacker Kompetitor (Competitive Inteligent) Staf Internal yang kecewa (Disgruntle employee) Spionase Cyber war Scanning FootPrinting Enumerasi

21 SERANGAN Internal Eksternal Malware / Virus Spyware, Trojan, Rootkit Snifing, session hijack Web Deface SQL Injection Social Engineering

22 ELEMEN SISTEM KEAMANAN INFORMASI Confidentiality Integrity Authenticity Non Repudiation Availability

23 SISTEM KONTROL Identifikasi Security Requirement Setiap aset memiliki tingkat kerahasiaan, keutuhan, dan ketersediaan yang berbeda yang harus: Didokumentasikan Dikomunikasikan

24 PERTIMBANGAN TERHADAP PENERAPAN SISTEM KONTROL Analisa Resiko proses identifikasi risiko keamanan, menentukan besarnya resiko, dan mengidentifikasi daerah-daerah yang membutuhkan perlindungan. Defense in Depth Penerapan sistem kontrol secara berlapis yang bermaksud meningkatkan biaya dan usaha serangan

25 ANALISA RESIKO Qualitative Risk Analysis Probability x Severity Risk Assessment Matrix Quantitative Risk Analysis Potential Financial Loss

26 QUALITATIVE RISK ANALYSIS

27 QUALITATIVE RISK ANALYSIS

28 QUANTITATIVE RISK ANALYSIS

29 RISK MANAGEMENT STRATEGIES

30 DEFENSE IN DEPTH

31 PENGAMANAN DATA

32 JENIS SERANGAN TERHADAP DATA Terhapusnya Data Manipulasi Data Pencurian Data Cracking password

33 VULNERABILITAS DATA Lemahnya validasi terhadap input Pemasangan hak akses yang kurang tepat Lemahnya password

34 PENGAMAN TERHADAP DATA Klasifikasi Data : Top Secret Secret Confidential Sensitive but unclassified Unclassified

35 PENGGUNAAN PASSWORD Jangan gunakan bagian dari username Jangan menggunakan kata yang terdapat di dalam kamus Jangan menggunakan kata yang berhubungan dengan sesuatu yang anda sukai Jangan menuliskan password anda pada kertas Jangan menyimpan password di komputer dalam bentuk plain text Jangan menggunakan opsi remember my password Jangan memberikan informasi password pada siapapun

36 PENGAMANAN TERHADAP DATA Sediakan backup data Backup data external Implementasi RAID (Redundant Array inexpensive Disk) Gunakan tool Perlindungan Data untuk mengenkripsi data rahasia. Folder Guard Truecrypt

37 PENGAMANAN DATA Membatasi dan membersihkan input data. Gunakan account yang membatasi hak akses ke dalam database. Gunakan jenis parameter SQL yang aman untuk akses data.

38

39 PENGAMANAN APLIKASI

40 JENIS SERANGAN TERHADAP APLIKASI SQL Injection Buffer overflow Web Deface Cross Site Scripting Cross Site Request Forgery

41 PENGAMANAN TERHADAP APLIKASI Menyediakan sistem otentikasi Memisahkan area publik dan area terbatas Gunakan kebijakan account lockout Masa berlaku password Disable account Penggunaan password yang kuat/ kompleks Enkripsi pengiriman password Melindungi otentikasi cookies

42 PENGAMANAN TERHADAP APLIKASI Menyediakan sistem Otorisasi Membatasi tingkatan hak akses pengguna ke resource disesuaikan dengan kebutuhan Melakukan validasi input Asumsikan masukan semua berbahaya. Jangan mengandalkan validasi sisi klien. Membatasi, menolak, dan membersihkan masukan Anda.

43 PENGAMANAN TERHADAP APLIKASI Pengelolaan Konfigurasi Mengamankan interface-interface administrasi. Mengamankan tempat penyimpanan konfigurasi. Memisahkan interface untuk administrasi. Gunakan hak akses paling terbatas pada service account

44 PENGAMANAN TERHADAP APLIKASI Menyediakan sistem log / audit Mengelola exception Tidak membocorkan informasi ke client Mencatat pesan kesalahan secara rinci Catch exceptions Install / update patch aplikasi

45 PENGAMANAN HOST

46 VULNERABILITAS HOST Informasi konfigurasi yang tersedia pada banner Bug pada OS Konfigurasi default Keterbatasan spesifikasi teknis perangkat host

47 JENIS SERANGAN TERHADAP HOST DoS (denial of service) Malware (Virus, worm, trojan, rootkit) Spam Dll

48 PENGAMANAN TERHADAP HOST Gunakan layanan banner dengan memberikan informasi yang bersifat generic Gunakan firewall untuk menutup layanan (port) yg tdk perlu dipublish Menyediakan Host IDS Lakukan update service pack/patch/hotfix Install dan update anti virus Install service yang diperlukan saja

49

50 PENGAMANAN TERHADAP HOST Menyediakan sistem log / audit Menyediakan backup host / device Hapus account yang tidak diperlukan Menyediakan sistem DRC (utk server Data center)

51 PENGAMANAN JARINGAN

52 VULNERABILITAS JARINGAN Lemahnya pengamanan fisik Kelemahan/keterbatasan yang dimiliki oleh perangkat jaringan Jalur komunikasi yang bersifat plain text

53 JENIS SERANGAN TERHADAP JARINGAN Worm Sniffing Session Hijack Poisoning Rogue Device DoS / DDoS

54 PENGAMANAN TERHADAP JARINGAN Install & update anti virus Install & update rule Network IDS / IPS Enkripsi jalur komunikasi menggunakan IPSec atau VPN Disable interface/port yang tidak digunakan Terapkan penggunaan password yang kompleks/kuat

55 PENGAMANAN TERHADAP JARINGAN Gunakan perangkat yang bersifat manageable Terapkan port security pada perangkat switch Terapkan dhcp snooping Terapkan ARP inspection & IP Source Guard Terapkan VLAN Lakukan pemisahan jaringan Antara wilayah client dan server Antar bagian Menyediakan dan melakukan sistem monitor dan audit jaringan

56 PENGAMANAN TERHADAP JARINGAN Minimalisasi kegiatan Remote access Gunakan protokol-protokol yang aman Non aktifkan SNMP jika tdk diperlukan, jika SNMP diaktifkan, gunakan SNMPv3 dan jangan menggunakan community string public atau private.

57 PENGAMANAN PERIMETER

58 JENIS SERANGAN PERIMETER DoS / DDoS Tunneling Spam Scanning

59 TOPOLOGI TEKNOLOGI INFORMASI

60 PENGAMANAN PADA AREA PERIMETER

61 PENGAMANAN PADA AREA PERIMETER Segmentasi jaringan Terapkan stateful inspection firewall Block layanan-layanan yang tidak diperlukan Gunakan perangkat yg bersifat UTM (Unified Threat Management) Implementasikan mekanisme filtering trafik Monitoring trafik antar segment yg berbeda Sediakan layanan VPN

62 PENGAMANAN PADA AREA PERIMETER Install & update SMTP Gateway (filtering ) Instalasi & update Patch Monitoring & update content filtering Aktifkan mekanisme logging & audit Terapkan mekanisme otentikasi dan otorisasi pada perangkat perimeter Monitoring bandwidth Block protocol ICMP

63 PENGAMANAN FISIK

64 PENGAMANAN FISIK Tempatkan Server di ruangan tersendiri Sediakan akses kontrol ke ruang server Tempatkan perangkat jaringan secara tertutup / terkunci Posisi monitor tidak ditempatkan secara terbuka

65 PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI

66 VULNERABILITAS Manusia / Pengguna merupakan titik paling lemah dalam sebuah rantai pengamanan

67 PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI Memberikan bimbingan untuk apa yang harus dilakukan untuk melindungi informasi bisnis informasi yang tersimpan di jaringan perusahaan. Menetapkan seperangkat aturan perilaku untuk semua pengguna. Memberikan otorisasi untuk personil keamanan informasi untuk melakukan berbagai tugas seperti pengamanan dan pemantauan Mendefinisikan konsekuensi dari pelanggaran terhadap kebijakan.

68 PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI Memberikan pelatihan bagi developer agar peduli terhadap keamanan informasi Memberikan pelatihan bagi user agar peduli terhadap keamanan informasi

69 CONTOH JENIS KEBIJAKAN

70 CONTOH PENERAPAN KEBIJAKAN Menerapkan kebijakan sistem secara terpusat (gpedit) Penggunaan password yang kuat / kompleks Tidak menggunakan free untuk penting Penyimpanan file penting di file server sendiri, jangan menyimpan file penting diserver publik (google doc, dropbox dsb)

71 No Patch dan upgrade sistem operasi 1 Buat dan menerapkan proses patch 2 Mengidentifikasi, menguji dan menginstall semua patch dan upgrade sistem operasi yang diperlukan Checklist Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan 3 Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan 4 Gunakan host-host terpisah untuk server web, direktori dan layanan-layanan lain Konfigurasi mekanisme otentikasi user pada sistem operasi 5 Hapus atu non aktifkan account dan group-group yang tidak diperlukan 6 Buat account dan group pengguna untuk komputer komputer tertentu 7 Periksa kebijakan password organisasi dan mengatur password account dengan tepat 8 Konfigurasi komputer untuk terhindar dari penebakan password 9 Menginstall dan mengkonfigurasi mekanisme keamanan lain untuk memperkuat otentikasi Konfigurasi kontrol resource dengan tepat 10 Mengatur kontrol akses untuk file, direktori, perangat dan sumber daya lainnya 11 Batasi hak akses terhadap sistem yang terkait tool kepada administrator yang diberi wewenang Install dan konfigurasi kontrol keamanan tambahan 12 Pilih, install dan konfigurasi perangkat lunak tambahan untuk menyediakan kontrol-kontrol yang diperlukan 13 Uji keamanan dari sistem operasi 14 Uji sistem operasi secara periodik untuk mencari kelemahan

72 SARAN Secara berkala melakukan pengujian terhadap vulnerabilitas sistem / penetrasi testing

73 CONTOH KEGIATAN PENTEST TERHADAP WEB SERVER

74