PENERAPAN DEFENSE IN DEPTH PADA SISTEM INFORMASI Security Awareness
OVERVIEW
OVERVIEW DEFEND IN DEPTH Sebuah konsep dalam keamanan teknologi informasi yang melibatkan penggunaan beberapa lapisan keamanan untuk menjaga informasi agar tetap aman.
TUJUAN DEFEND IN DEPTH Untuk meningkatkan biaya dan usaha serangan terhadap sistem IT yang dimiliki sebuah organisasi, dengan : mendeteksi serangan, Melakukan respon terhadap sebuah serangan Menyediakan lapisan pertahanan Sehingga ketika sebuah bentuk serangan berhasil dilakukan tidak berarti serangan tersebut sukses secara menyeluruh.
ELEMEN DEFEND IN DEPTH People Berperan & bertanggungjawab terhadap keamanan informasi baik sbg pihak internal dan external Process Tindakan standar yang digunakan untuk memastikan keamanan informasi tetap terjaga Technology Solusi yang digunakan untuk pencapaian tujuan bisnis Governance Kerangka kerja pengelolaan yang menyediakan pengawasan & koordinasi dari people, proses dan teknologi
STRATEGI DEFEND IN DEPTH Diterapkan sesuai dengan hasil pengukuran resiko bisnis Gunakan pendekatan berlapis sehingga ketika sebuah sistem kontrol berhasil dilanggar tidak merusak secara keseluruhan Terapkan sistem kontrol untuk meningkatkan biaya dan upaya serangan Penerapan sistem kontrol terhadap pengguna, proses dan teknologi
PRINSIP-PRINSIP KEAMANAN INFORMASI Keamanan informasi berdampak pada seluruh organisasi Manajemen Resiko mendefinisikan persyaratan keamanan informasi
KOMPONEN-KOMPONEN RESIKO
PEMETAAN ENTITAS KEAMANAN INFORMASI
IDENTIFIKASI ASSET YANG PENTING (CRITICAL ASSET) Asset yang memiliki sangat menentukan keberhasilan dalam pencapaian misi dari sebuah organisasi. Sumber Daya Manusia Sumber Daya Hardware Sumber Daya Software Sumber Daya Data Sumber Daya Jaringan Produk Informasi
VULNERABILITAS Kerentanan yang dimiliki sistem dikarenakan tidak adanya atau lemahnya mekanisme pengamanan.
VULNERABILITAS Sumber Daya Manusia Lupa password Kurang peduli, Ketidaktahuan Pengguna Sumber Daya Hardware Kapasitas terbatas Konfigurasi yang salah Sumber Daya Software Bug OS dan aplikasi Konfigurasi/password default Konfigurasi yang salah Sumber Daya Jaringan Kapasitas terbatas Clear text
ANCAMAN (THREAT) Kejadian yang akan menyebabkan dampak yang tidak diharapkan terhadap organisasi jika kejadian tsb terjadi.
ANCAMAN TERHADAP SUMBER DAYA SISTEM INFORMASI Black/Gray Hacker Kompetitor (Competitive Inteligent) Staf Internal yang kecewa (Disgruntle employee) Spionase Cyber war Scanning FootPrinting Enumerasi
SERANGAN Internal Eksternal Malware / Virus Spyware, Trojan, Rootkit Snifing, session hijack Web Deface SQL Injection Social Engineering
ELEMEN SISTEM KEAMANAN INFORMASI Confidentiality Integrity Authenticity Non Repudiation Availability
SISTEM KONTROL Identifikasi Security Requirement Setiap aset memiliki tingkat kerahasiaan, keutuhan, dan ketersediaan yang berbeda yang harus: Didokumentasikan Dikomunikasikan
PERTIMBANGAN TERHADAP PENERAPAN SISTEM KONTROL Analisa Resiko proses identifikasi risiko keamanan, menentukan besarnya resiko, dan mengidentifikasi daerah-daerah yang membutuhkan perlindungan. Defense in Depth Penerapan sistem kontrol secara berlapis yang bermaksud meningkatkan biaya dan usaha serangan
ANALISA RESIKO Qualitative Risk Analysis Probability x Severity Risk Assessment Matrix Quantitative Risk Analysis Potential Financial Loss
QUALITATIVE RISK ANALYSIS
QUALITATIVE RISK ANALYSIS
QUANTITATIVE RISK ANALYSIS
RISK MANAGEMENT STRATEGIES
DEFENSE IN DEPTH
PENGAMANAN DATA
JENIS SERANGAN TERHADAP DATA Terhapusnya Data Manipulasi Data Pencurian Data Cracking password
VULNERABILITAS DATA Lemahnya validasi terhadap input Pemasangan hak akses yang kurang tepat Lemahnya password
PENGAMAN TERHADAP DATA Klasifikasi Data : Top Secret Secret Confidential Sensitive but unclassified Unclassified
PENGGUNAAN PASSWORD Jangan gunakan bagian dari username Jangan menggunakan kata yang terdapat di dalam kamus Jangan menggunakan kata yang berhubungan dengan sesuatu yang anda sukai Jangan menuliskan password anda pada kertas Jangan menyimpan password di komputer dalam bentuk plain text Jangan menggunakan opsi remember my password Jangan memberikan informasi password pada siapapun
PENGAMANAN TERHADAP DATA Sediakan backup data Backup data external Implementasi RAID (Redundant Array inexpensive Disk) Gunakan tool Perlindungan Data untuk mengenkripsi data rahasia. Folder Guard Truecrypt
PENGAMANAN DATA Membatasi dan membersihkan input data. Gunakan account yang membatasi hak akses ke dalam database. Gunakan jenis parameter SQL yang aman untuk akses data.
PENGAMANAN APLIKASI
JENIS SERANGAN TERHADAP APLIKASI SQL Injection Buffer overflow Web Deface Cross Site Scripting Cross Site Request Forgery
PENGAMANAN TERHADAP APLIKASI Menyediakan sistem otentikasi Memisahkan area publik dan area terbatas Gunakan kebijakan account lockout Masa berlaku password Disable account Penggunaan password yang kuat/ kompleks Enkripsi pengiriman password Melindungi otentikasi cookies
PENGAMANAN TERHADAP APLIKASI Menyediakan sistem Otorisasi Membatasi tingkatan hak akses pengguna ke resource disesuaikan dengan kebutuhan Melakukan validasi input Asumsikan masukan semua berbahaya. Jangan mengandalkan validasi sisi klien. Membatasi, menolak, dan membersihkan masukan Anda.
PENGAMANAN TERHADAP APLIKASI Pengelolaan Konfigurasi Mengamankan interface-interface administrasi. Mengamankan tempat penyimpanan konfigurasi. Memisahkan interface untuk administrasi. Gunakan hak akses paling terbatas pada service account
PENGAMANAN TERHADAP APLIKASI Menyediakan sistem log / audit Mengelola exception Tidak membocorkan informasi ke client Mencatat pesan kesalahan secara rinci Catch exceptions Install / update patch aplikasi
PENGAMANAN HOST
VULNERABILITAS HOST Informasi konfigurasi yang tersedia pada banner Bug pada OS Konfigurasi default Keterbatasan spesifikasi teknis perangkat host
JENIS SERANGAN TERHADAP HOST DoS (denial of service) Malware (Virus, worm, trojan, rootkit) Spam Dll
PENGAMANAN TERHADAP HOST Gunakan layanan banner dengan memberikan informasi yang bersifat generic Gunakan firewall untuk menutup layanan (port) yg tdk perlu dipublish Menyediakan Host IDS Lakukan update service pack/patch/hotfix Install dan update anti virus Install service yang diperlukan saja
PENGAMANAN TERHADAP HOST Menyediakan sistem log / audit Menyediakan backup host / device Hapus account yang tidak diperlukan Menyediakan sistem DRC (utk server Data center)
PENGAMANAN JARINGAN
VULNERABILITAS JARINGAN Lemahnya pengamanan fisik Kelemahan/keterbatasan yang dimiliki oleh perangkat jaringan Jalur komunikasi yang bersifat plain text
JENIS SERANGAN TERHADAP JARINGAN Worm Sniffing Session Hijack Poisoning Rogue Device DoS / DDoS
PENGAMANAN TERHADAP JARINGAN Install & update anti virus Install & update rule Network IDS / IPS Enkripsi jalur komunikasi menggunakan IPSec atau VPN Disable interface/port yang tidak digunakan Terapkan penggunaan password yang kompleks/kuat
PENGAMANAN TERHADAP JARINGAN Gunakan perangkat yang bersifat manageable Terapkan port security pada perangkat switch Terapkan dhcp snooping Terapkan ARP inspection & IP Source Guard Terapkan VLAN Lakukan pemisahan jaringan Antara wilayah client dan server Antar bagian Menyediakan dan melakukan sistem monitor dan audit jaringan
PENGAMANAN TERHADAP JARINGAN Minimalisasi kegiatan Remote access Gunakan protokol-protokol yang aman Non aktifkan SNMP jika tdk diperlukan, jika SNMP diaktifkan, gunakan SNMPv3 dan jangan menggunakan community string public atau private.
PENGAMANAN PERIMETER
JENIS SERANGAN PERIMETER DoS / DDoS Tunneling Spam Scanning
TOPOLOGI TEKNOLOGI INFORMASI
PENGAMANAN PADA AREA PERIMETER
PENGAMANAN PADA AREA PERIMETER Segmentasi jaringan Terapkan stateful inspection firewall Block layanan-layanan yang tidak diperlukan Gunakan perangkat yg bersifat UTM (Unified Threat Management) Implementasikan mekanisme filtering trafik Monitoring trafik antar segment yg berbeda Sediakan layanan VPN
PENGAMANAN PADA AREA PERIMETER Install & update SMTP Gateway (filtering email) Instalasi & update Patch Monitoring & update content filtering Aktifkan mekanisme logging & audit Terapkan mekanisme otentikasi dan otorisasi pada perangkat perimeter Monitoring bandwidth Block protocol ICMP
PENGAMANAN FISIK
PENGAMANAN FISIK Tempatkan Server di ruangan tersendiri Sediakan akses kontrol ke ruang server Tempatkan perangkat jaringan secara tertutup / terkunci Posisi monitor tidak ditempatkan secara terbuka
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI
VULNERABILITAS Manusia / Pengguna merupakan titik paling lemah dalam sebuah rantai pengamanan
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI Memberikan bimbingan untuk apa yang harus dilakukan untuk melindungi informasi bisnis informasi yang tersimpan di jaringan perusahaan. Menetapkan seperangkat aturan perilaku untuk semua pengguna. Memberikan otorisasi untuk personil keamanan informasi untuk melakukan berbagai tugas seperti pengamanan dan pemantauan Mendefinisikan konsekuensi dari pelanggaran terhadap kebijakan.
PENYEDIAAN KEBIJAKAN, SOP & KEPEDULIAN TERHADAP KEAMANAN INFORMASI Memberikan pelatihan bagi developer agar peduli terhadap keamanan informasi Memberikan pelatihan bagi user agar peduli terhadap keamanan informasi
CONTOH JENIS KEBIJAKAN
CONTOH PENERAPAN KEBIJAKAN Menerapkan kebijakan sistem secara terpusat (gpedit) Penggunaan password yang kuat / kompleks Tidak menggunakan free email untuk email penting Penyimpanan file penting di file server sendiri, jangan menyimpan file penting diserver publik (google doc, dropbox dsb)
No Patch dan upgrade sistem operasi 1 Buat dan menerapkan proses patch 2 Mengidentifikasi, menguji dan menginstall semua patch dan upgrade sistem operasi yang diperlukan Checklist Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan 3 Hapus atau Nonaktifkan layanan dan aplikasi yang tidak diperlukan 4 Gunakan host-host terpisah untuk server web, direktori dan layanan-layanan lain Konfigurasi mekanisme otentikasi user pada sistem operasi 5 Hapus atu non aktifkan account dan group-group yang tidak diperlukan 6 Buat account dan group pengguna untuk komputer komputer tertentu 7 Periksa kebijakan password organisasi dan mengatur password account dengan tepat 8 Konfigurasi komputer untuk terhindar dari penebakan password 9 Menginstall dan mengkonfigurasi mekanisme keamanan lain untuk memperkuat otentikasi Konfigurasi kontrol resource dengan tepat 10 Mengatur kontrol akses untuk file, direktori, perangat dan sumber daya lainnya 11 Batasi hak akses terhadap sistem yang terkait tool kepada administrator yang diberi wewenang Install dan konfigurasi kontrol keamanan tambahan 12 Pilih, install dan konfigurasi perangkat lunak tambahan untuk menyediakan kontrol-kontrol yang diperlukan 13 Uji keamanan dari sistem operasi 14 Uji sistem operasi secara periodik untuk mencari kelemahan
SARAN Secara berkala melakukan pengujian terhadap vulnerabilitas sistem / penetrasi testing
CONTOH KEGIATAN PENTEST TERHADAP WEB SERVER