Pernah melihat system yang berhasil di hack? Atau pernah di hack? ________________ Apa yang membuat mereka gagal menerapkan cyber security? ________________ Perlu diingat bahwa tidak ada system yang 100% AMAN Kepedulian SDM (Human awareness) Kebijakan Keamanan (Policy factors) Kesalahan konfigurasi (Hardware or software) Pengendali yang lemah (Poor control) Pengabaian (Ignorance) Tidak Update (Failure to stay up-to-date)
Memahami konsep Defense-in-Depth Pendekatan Layer Keamanan ini bertujuan: ▪ Menyulitkan penyerang masuk ke sistem ▪ Memudahkan kita mengidentifikasi penyerang Guards, locks, tracking devices Application hardening OS hardening, authentication, security update management, antivirus updates, auditing Network segments, NIDS Firewalls, boarder routers, VPNs with quarantine procedures Strong passwords, ACLs, backup and restore strategy Data Application Client Data Application Server FW Network Perimeter Physical Layer Policies & Procedures Security Onion Layers analogy Security Artichoke Leaves analogy Not every leaf needs to be removed in order to get at the heart of the artichoke. Application End User Network Physical Access Policy ”Defense In Depth adalah konsep yang digunakan dalam keamanan informasi di mana beberapa lapisan kontrol keamanan ditempatkan di seluruh sistem teknologi informasi”
3
4 COMPUTER NETWORK DEFENSE (CND)
TIPE ANCAMAN TERHADAP INFORMASI • Ancaman Availability • DoS Attack,Spamming • Network Fooding • Memotong Jalur • Ancaman Confidentiality • Yang tidak berhak mengetahui • Password sniffing • Ancaman Integrity • Dapat melakukan perubahan informasi • Virus, trojan • Ancaman Authentication • Dapat memalsukan informasi • spoofing
6
7
8
9
10
11
12
TANDA-TANDA SERANGAN • Precursor : Tanda-tanda bahwa akan muncul serangan dikemudian waktu •Indicator : Tanda –tanda bahwa serangan sudah atau sedang terjadi
CONTOH PRECURSOR 1. Entri pada log webserver menunjukan adanya aktivitas pemindaian/scanning 2. Terdapat informasi/ pengumuman terkait munculnya eksploit baru yang dapat menyerang kerentanan system yang dimiliki organisasi 3. Adanya pernyataan ancaman terhadap organisasi
CONTOH INDICATOR • Sensor NIDS mengeluarkan alerts saat ada upaya serangan terhadap database server • Software Antivirus mengeluarkan alerts Ketika mendeteksi bahwa host terinfeksi malware • System Administrator melihat ada file dengan karakter yang tidak umum • Log mencatat adanya upaya masuk yang gagal dari remote system
SUMBER PRECURSOR DAN INDICATOR 1. Logs 2. Alert 3. Publikasi 4. Manusia
Log Management PelatihanTeknis Keamanan Siber 14 Jam Pelajaran
LOGS • Log adalah catatan peristiwa/event yang terjadi dalam sistem dan jaringan. Log terdiri dari entri log; setiap entri berisi informasi yang terkait dengan peristiwa tertentu yang telah terjadi dalam sistem atau jaringan. • Sumber Log berasal dari : a) Security Software logs : Antimalware software, IDS/IPS, Remote Access Software, Web Proxies, Firewalls, Authentication Server, Router
b. Operation System Logs : System Event, Audit Record
20 1. Local Logon Attempt Failure • Event IDs 529, 530, 531, 532, 533, 534 & 537 2. Domain Logon Account Failures • Event IDs 675, 677 3. Account Misuse • Event IDs 530, 531, 532, 533 4. Account lockout • Event ID 539 5. Terminal Services • Event IDs 682, 683 6. Creation of a User Account • Event IDs 624, 626 Important Windows Events 7. User Account password Change 7. Event IDs 627, 628 8. User Account Status Change • Event IDs 626, 629, 630 9. Modification of Security Groups • Event IDs 632, 633, 636, 637 10.Modification of Security Log • Event IDs 612, 517 11.Policy Change • Event IDs 608, 609 12.Process Tracking • Event IDs 592, 593 (note due to volume of log entries only monitor process tracking during an Buka Event Viewer Windows investigation.
Contoh log entri pada webserver
Fungsi logging ditemukan di berbagai jenis sistem TI, baik di sistem operasi maupun tingkat aplikasi. Berbagai jenis peristiwa dapat direkam, seperti: • Perangkat start-up dan shutdown • Login dan logout pengguna • Proses mulai dan berhenti • Pemanfaatan sumber daya (misalnya prosesor, memori, ruang disk) • Kegagalan perangkat keras dan perangkat lunak • Perubahan konfigurasi • Modifikasi data sensitif, khususnya hak pengguna • Akses file
• Log dapat digunakan untuk berbagai tujuan, termasuk: 1. Memecahkan masalah sistem atau jaringan 2. Perencanaan kapasitas 3. Memenuhi persyaratan hukum atau peraturan 4. Memungkinkan audit dilakukan 5. Mendeteksi dan menyelidiki insiden keamanan informasi
• Audit Log harus dikonfigurasikan untuk mencatat aktivitas dan kejadian terkait keamanan informasi yang signifikan dalam sistem TIK. • Entri log harus berisi setidaknya informasi berikut untuk setiap peristiwa : 1. Identitas pengguna 2. Tanggal dan Waktu event 3. Identitas terminal (misalnya nama dan/atau alamat IP) 4. Informasi terkait event (pesan atau kode) 5. Indikasi keberhasilan atau kegagalan event.
RETENSI LOG • Log sistem adalah catatan organisasi yang penting dan harus dilindungi. • Persyaratan penyimpanan log yang terperinci harus didokumentasikan dalam Kebijakan Retensi Log. • Pemilik Sistem harus menentukan apakah log perlu disimpan untuk jangka waktu yang lebih lama, berdasarkan penilaian risiko yang mempertimbangkan audit, hukum dan peraturan, pembuktian atau persyaratan lainnya. • Periode penyimpanan untuk pencadangan juga harus dipertimbangkan sehubungan dengan Kebijakan Retensi Log, di mana file log dicadangkan. • Secara khusus, jika ada persyaratan untuk menghapus log setelah jangka waktu tertentu, cadangan juga harus dihapus.
PERLINDUNGAN LOG • Log, fasilitas logging, dan alat konfigurasi log harus dilindungi sehingga hanya administrator yang berwenang yang memiliki akses dan tidak ada pengguna akhir yang boleh menghapus atau mengubah log. • Jika fasilitas pengarsipan log yang terpisah digunakan, administrator untuk fasilitas ini harus berbeda dari administrator untuk sistem yang menghasilkan log untuk mencegah penyalahgunaan oleh administrator sistem. • Akses ke log harus diberikan berdasarkan prinsip need-to-know yang ketat.
• Fasilitas Logging harus dilindungi dari ancaman yang disengaja dan tidak disengaja, terutama: 1. File log sedang diedit atau dihapus untuk menyembunyikan penyalahgunaan 2. Perubahan pada pesan yang direkam 3. Batas file log terlampaui yang menyebabkan log dibuang, ditimpa, atau dihapus
• Untuk memfasilitasi penerapan kontrol ini, disarankan agar sistem pengarsipan log otomatis ditempatkan yang mengumpulkan entri log dari sistem yang relevan dan menyimpannya dengan aman di sistem pusat.
LOG MANAGEMENT Kegiatan untuk mengelola log sejak dari pembangkitan, pentransmisian, penyimpanan, penganalisaan, hingga proses penghapusan. Infrastruktur Log management umumnya dibagi dalam 3 tier: • Log Generation • Log Analysis and Storage • Log Monitoring
31 Yakin ingin memanagemen log? Atau abaikan saja log seperti biasanya ☺ Log Management digunakan untuk beberapa aktivistas berikut: 1. Sebagai bentuk control jika terjadi risiko/ancaman; 2. Analisis anomaly oleh incident handler; 3. Alat bantu forensic jika terjadi insiden; 4. Bentuk kepatuhan terhadap regulasi; 5. Bentuk kepatuhan terhadap audit sertifikasi; 6. Membantu trouble shooting IT Support and Network; 7. Performance management Log Management Regulasi: NIST 800-53 NIST-92 Log Management Guide COBIT ISO 17799 Perban BSSN SPBE UU ITE
33 Splunk> Contoh Perangkat Management Log
Firewall PelatihanTeknis Keamanan Siber 14 Jam Pelajaran
35
36 Apa itu Firewall? Adalah perangkat (Hardware/software) pemisah jaringan internal dengan jaringan eksternal yang dapat menentukan paket mana saja yang boleh dilewati dan yang harus di block. firewall Jaringan Privat Kantor Internet 192.168.10.0/24 Definisi konvensional: Firewall adalah sebuah partisi/pemisah yang terbuat dari bahan material tahan api. Didesain untuk mencegah penyebaran api dari satu bagian bangunan ke bangunan yang lainnya. Firewall
37
38
39
IDS/IPS PelatihanTeknis Keamanan Siber 14 Jam Pelajaran