9

BAB II

TINJAUAN REFERENSI

2.1 Teori Pada sub-bab ini akan dijelaskan mengenai landasan teori yang dipakai untuk

mendukung penelitian yang penulis lakukan.

2.1.1 Cyber Security Cyber security merupakan suatu kumpulan alat, konsep keamanan,

jaminan dan teknologi yang dapat digunakan untuk melindungi lingkungan

siber, organisasi, serta aset pengguna. Cyber security sangat dibutuhkan pada

zaman sekarang ini untuk memastikan keamanan properti organisasi dan aset

pengguna terjaga (Rossouw von Solms, Johan van Niekerk, 2013). Seiring

dengan berkembanganya zaman, teknologi informasi pada dunia ini semakin

berkembang pesat dan membawa banyak perubahan dalam kehidupan

manusia. Tetapi dengan semakin cepat berkembangnya teknologi informasi

semakin cepat juga berkembangnya serangan-serangan siber yang dapat

mengancam suatu teknologi informasi. Serangan-serangan siber tersebut

bukan cuman bisa mengancam teknologi informasi secara pribadi, tetapi

sistem pertahanan milik pemerintahan juga dapat terancam jika pertahanan

sistem milik pemerintah kurang memadai. Serangan yang dilakukan antar

negara dinamakan cyber warfare dan dapat berdampak pada cyber violence.

Cyber warfare bisa diartikan sebagai suatu seni atau ilmu tentang

pertempuran tanpa adanya pertempuran, mengalahkan lawan tanpa

menumpahkan darah mereka (Carr, 2012). Cyber warfare biasanya terjadi

ketika suatu negara memiliki niat jahat terhadap negara lain, tujuannya

adalah untuk mencuri data negara lain yang bersifat rahasia dan untuk

melumpuhkan sistem yang dimiliki oleh negara musuh. Negara-negara yang

terlibat cyber warfare kerugian yang ditimbulkan bisa setara dengan

kerugian yang ditimbulkan oleh perang konvensional. Kerugian yang

ditimbulkan oleh perang konvensional bisa dilihat dalam bentuk kehancuran

bangunan beserta korban-korban perang yang berjatuhan, sedangkan

10

kerugian yang ditimbulkan akibat cyber warfare lebih sulit diamati. Cyber

violence bisa didefinisikan sebagai sesuatu yang agresif, tindakan yang

dilakukan oleh kelompok atau individu tertentu dengan menggunakan

kontak yang berbentuk elektronik, secara beruang kali terhadap korban

(Patrick Burton, Tariro Mutongwizo, 2009). Jika teknologi informasi milik

pemerintahan terancam serangan siber dapat mempengaruhi kedaulatan

Negara Kesatuan Republik Indonesia (NKRI). Serangan siber ada berbagai

macam diantaranya Malware, Phishing, Denial of Service (DoS), SQL

Injection, Man in the Middle, Cross-Site Scripting (XSS), dan Botnet.

Berikut penjelasan secara detail tentang macam-macam serangan siber:

1. Malware

Menurut (Retno Adenansi, Lia A. Novarina, 2017), Malware

merupakan suatu software yang dibuat untuk tujuan tertentu dengan

mencari celah keamanan sistem. Malware dapat mengakibatkan dampak

buruk bagi komputer maupun penggunanya karena penyerang dapat

mencuri informasi ataupun data pribadi seseorang. Tujuan malware

diciptakan oleh penyerang untuk merusak atau membobol suatu sistem

operasi melalui script rahasia atau dapat dikatakan disisipkan oleh

penyerang secara tersembunyi. Adapun jenis-jenis malware diantaranya:

a. Virus

Menurut (NA’AM, 2012), Virus merupakan perangkat lunak

berbahaya yang biasanya disimpan didalam suatu dokumen atau file

yang mendukung makro untuk mengeksekusi kode dan bisa

menyebar melalui host ke host. Setelah diunduh, virus tidak bisa

aktif sampai file dibuka atau digunakan. Virus dirancang untuk

mengganggu sistem operasi komputer. Akibatnya, virus bisa

menyebabkan kerusakan yang signifikan dan dapat menyebabkan

kehilangan data.

b. Worm

Menurut (Rastri Prathivi, Vensy Vydia, 2017), Worm

merupakan program yang bisa menggandakan dirinya secara

11

berulang-ulang, misalnya di memori atau jaringan, menghabiskan

sumber daya dan mungkin dapat mematikan komputer atau jaringan.

Sebuah worm dapat menggandakan dirinya dengan memanfaatkan

jaringan LAN/WAN/internet tanpa perlu campur tangan dari user

itu sendiri. Worm tidak seperti virus komputer biasa, yang

menggandakan dirinya dengan menyisipkan program dirinya pada

program yang ada dalam komputer tersebut, tapi worm

memanfaatkan celah keamanan yang memang terbuka atau lebih

dikenal dengan sebutan vulnerability. Beberapa worm juga

menghabiskan bandwith yang tersedia.

c. Trojan Horse

Menurut (Basofi Adi Wicaksono, Iwan Kurniawan, Rita

Rijayanti, 2017), Trojan Horse merupakan program yang sangat

cepat menyelinap ke dalam email seseorang. Ketika Trojan Horse

berhasil masuk ke dalam sistem maka program tersebut

memberikan akses kepada pengguna secara keseluruhan untuk

mengakses sistem yang sudah terinfeksi. Tujuan dibuatnya Trojan

Horse adalah untuk mendapatkan akses ke file sistem orang lain.

Dengan menggunakan Trojan Horse penyerang mampu mencuri file

dan password, serta mampu merusak file tersebut, memonitor

kegiatan korban, melakukan download file korban, dapat

menonaktifkan perangkat tertentu, merubah nama file, melakukan

force shutdown atau reboot, menonaktifkan Antivirus dan jaringan

keamanan komputer, serta menggunakan komputer korban sebagai

zombie.

d. Spyware

Menurut (Hermawan, 2016), Spyware merupakan script

komputer yang dibuat untuk mematai-matai program komputer

korban. Pada awal dibuat, virus spyware digunakan untuk memata-

matai profil pengguna komputer dan dapat menampilkan iklan yang

sesuai dengan minat pengguna sehingga setiap iklan yang

12

ditampilkan dapat menarik perhatian pengguna. Bila korban sudah

terinfeksi virus spyware semua rahasia pengguna dapat diketahui

oleh penyerang karena segala aktivitas sudah berhasil dipantau.

e. Adware

Menurut (Ianir Ideses, Assaf Neuberger, 2014), Adware

adalah aplikasi yang isinya iklan, iklan tersebut digunakan

pengembang untuk mendapatkan keuntungan. Pada adware, iklan

muncul setiap saat ketika user membuka perangkat. Adware akan

mencuri data pengguna sehingga menyebabkan kerugian, data yang

dicuri kemudian dikirim ke server jarak jauh yang nantinya akan

dijadikan penargetan iklan, dengan menampilkan iklan secara

agresif via screen hijacking, dengan menampilkan iklan-iklan pada

notifikasi area yang menjadi target sistem yang tinggi. Dan pada

kasus besar, adware dapat membajak perangkat speaker. Ketika

sistem sudah terjangkit adware, sulit untuk dilacak keberadaannya.

f. Ransomware

Menurut (Savita Mohurle, Manisha Patil, 2017), Ransomware

adalah salah satu jenis perangkat lunak berbahaya yang dirancang

untuk memblokir akses ke sistem komputer hingga membayar uang

sesuai keinginan penyerang. Berikut adalah beberapa tindakan

pencegahan untuk menghindari Ransomware:

a. Antivirus harus dilakukan update secara berkala.

b. Pesan spam atau spam chat tidak boleh dibuka atau dibalas.

c. Melakukan backup data, supaya cadangan data dapat diperbarui

secara berkala.

d. Personalisasi pengaturan anti-spam dengan cara yang benar.

e. Memperhatikan agar sistem operasi, Antivirus, browser, Adobe

Flash Player, Java, dan perangkat lunak lainnya up-to-date.

f. Pastikan Windows Firewall tetap dalam keadaan aktif.

g. Tingkatkan keamanaan komponen pada Mircorosft Office

(Word, Excel, PowerPoint, Access, dll).

13

h. Saring exe dalam email.

i. Gunakan sistem pemulihan untuk kembali ke kondisi known-clean.

j. Jangan klik tautan yang berbahasa didalam email.

k. Matikan koneksi nirkabel yang tidak digunakan, seperti

Bluetooth atau port inframerah.

l. Menggunakan jaringan Wi-Fi umum dengan bijak.

m. Jangan mengunjungi situs web yang tidak aman dan tidak dapat

diandalkan.

Serangan Ransomware yang paling terkenal yang pernah

terjadi adalah serangan Ransomware WannaCry pada tahun 2017.

Pada bulan Mei 2017, serangan WannaCry berhasil menginfeksi

tiga ratus ribu lebih komputer Windows pada lebih dari serratus

lima puluh negara. WannaCry membawa dua komponen untuk

menyerang sistem komputer, yang pertama membawa EternalBlue

untuk melakukan eksploitasi kerentanan Windows, kemudian

menyebar menggunakan protokol Server Message Block (SMB),

yang kedua membawa komponen untuk mengenkripsi WannaCry

Ransomware (Qian Chen, Robert A. Bridges, 2017).

g. Backdoor

Menurut (Wan, 2012), Backdoor adalah perangkat lunak yang

memungkinkan kita untuk mengakses sistem komputer dengan

melakukan bypass prosedur otentikasi normal. Ada dua jenis

backdoor tergantung dari bagaimana cara kerjanya dan cara

menyebarnya. Jenis pertama berfungsi seperti Trojan Horse,

Mereka dimasukkan secara manual ke bagian lain dari perangkat

lunak, kemudian dieksekusi melalui perangkat lunak host mereka

dan disebarkan oleh host perangkat lunak yang sedang dilakukan

proses instalasi. Jenis kedua bekerja seperti layaknya worm

dikarenakan mereka dieksekusi sebagai bagian dari proses boot

yang kemudian disebar melalui worm. Istilah ratware muncul untuk

14

menggambarkan malware backdoor yang telah mengubah komptuer

menjadi zombie untuk melakukan spam.

2. Phishing

Menurut (Rachmawati, 2014), Phising adalah kejahatan

penipuan elektronik yang bertujuan untuk mendapatkan informasi demi

keuntungan penjahat. Proses phising dapat meliputi informasi penting

seperti username, password, informasi kartu kredit dan infromasi

penting lainnya. Metode phising dapat menggunakan email clickbait,

website phising yang menyerupai website kredibel. Ancaman yang

terinfeksi oleh phising sebagai berikut:

a. Manipulasi Link

Manipulasi Link merupakan suatu teknik phising yang sering

digunakan oleh para hacker. Teknik yang digunakan oleh hacker

adalah memanipulasi alamat dari suatu institusi yang asli. Biasanya

URL yang memliki ejaannya yang keliru atau penggunan

subdomain yang menjadi sasaran utama, contohnya

www.microsoft.com menjadi www.micosoft.com,

www.mircosoft.com atau www.verify.microsoft.com.

b. Filter Evasion

Filter evasion merupakan teknik yang digunakan oleh hacker

untuk mengecoh pengguna dengan menggunakan gambar (bukan

teks) sehingga pengguna menyerahkan informasi pribadinya. Inilah

kenapa Gmail atau Yahoo sering mematikan gambar secara default

untuk email yang masuk.

Email phising dapat dibuat supaya tampak lebih asli ketika digunakan

untuk mengecoh pengguna, para phisher/scammer akan meletakkan:

a. Sebuah link yang telah dihubungkan ke halaman web yang sah,

tetapi sebenarnya membawa anda ke halaman web yang terkena

phising.

b. Atau pop-up yang tampak persis seperti halaman resmi.

15

Phiser biasanya menggunakan beberapa teknik dalam memancing

korban, antara lain:

a. Email spoofing

b. Pengiriman berbasis web

c. Pesan instan (chatting)

d. Trojan hosts

e. Manipulasi tautan (link)

f. Malware phising

3. Denial of Services

Menurut (Siregar, 2013), Denial of Services (DoS) merupakan

serangan yang dilakukan oleh hacker dengan membajiri server

menggunakan alur lalu lintas data yang sangat tinggi, atau melakukan

request data yang banyak dan bersamaaan ke sebuah server sehingga

server tidak lagi dapat memberikan layanan dan menjadi crash. Cara

kerja serangan DoS adalah hacker mengirimkan suatu request dalam

jumlah yang sangat besar dalam waktu bersamaan yang membuat server

menjadi kelebihan beban sehingga tidak bisa melayani layanan user.

Terdapat juga teknik dalam melakukan serangan DoS. Melakukan

serangan DoS bukanlah suatu hal yang sulit. Berikut teknik dalam

melakukan serangan DoS:

a. Mematikan server dengan teknik one shot one kill, unuk membuat

server menjadi crash, hang, reboot.

b. Memberikan request yang banyak ke server. Bisa dengan tidak

melakukan bug/vulnerability atau dengan mengexploitasi

bug/vulnerability, yaitu mengirim banyak specially crafted request,

atau normal request, yaitu mengirim banyak request yang bersifat

normal seperti pengguna biasa.

DoS mempunyai berbagai macam tipe serangan, berikut

merupakan tipe-tipe serangan dari DoS:

a. SYN Flooding

16

Serangan SYN Flooding bisa dilakukan ketika dua komputer

sudah melakukan sambungan komunikasi. Serangan SYN Flooding

menggunakan syn ask (Atau reply dari pada syn packet),

sebelumnya syn packet sudah dimodifikasi oleh si penyerang. Syn

ask yang dikirim oleh penyerang dalam jumlah yang besar sehingga

komputer target akan mengalami hang karena kelebihan beban.

b. Pentium FOOF Bug

Pentium FOOF Bug merupakan serangan yang menyerang

prosesor Pentium yang menyebabkan sistem menjadi crash

kemudian melakukan reboot. Jenis operasi sistem tidak dapat

mempengaruhi serangan ini, serangan ini hanya dapat dilakukan

terhadap sistem yang memakai prosesor Pentium.

c. Ping Flooding

Ping Flooding merupakan brute force denial of service

sederhana. Jika attacker menyerang dengan bandwith yang lebih

besar dari korban, ketika mesin korban tidak mampu menangani,

maka mesin tidak dapat mengirimkan paket data ke jaringan. Hal ini

dikarenakan mesin korban telah dibanjiri oleh paket-paket ICMP.

Disaat server yang tidak memiliki proteksi kemudian menerima

paket yang melebihi batasan yang telah ditentukan dalam protokol

IP, server tersebut akan crash, hang, atau melakukan reboot

sehingga layanan menjadi terganggu. Ping Flooding sangat mudah

dilakukan, penyerang hanya perlu mengetahui alamat IP dari

komputer yang akan diserang dan identitas penyerang susah

terdeteksi dikarenakan paket serangan Ping Flooding mudah

dilakukan rekayasa.

d. Menggantung Socket

Serangan ini dilakukan penyerang dengan cara melakukan

koneksi kemudian didiamkan, pada saat server Apache merespon

maka akan menunggu selama waktu yang telah ditentukan (Direktif

Time Out). Jika serangan itu dilakukan secara simultan dengan

17

angka yang cukup banyak maka server akan dipaksa mencapai

batasan maksimal MaxClients. Dampak yang terjadi, client yang

mencoba mengakses server Apache akan tertunda. Selain itu, jika

back log TCP terlampaui, setiap koneksi ke dalam server akan

terjadi penolakan.

e. Serangan Input Flooding

Jika server tidak melakukan verifikasi batasan input, ketika

input yang dilakukan penyerang telah melebihi batasan maksimal

maka sistem tersebut akan dibanjiri oleh buffer dan akan

menyebabkan program dihentikan secara paksa.

f. LAND Attack

Hacker menyerang server dengan mengirimkan paket TCP

SYN palsu. Dengan kata lain, source dan destination address dari

paket yang dikirim, dibuat seakan-akan berasal dari server asli.

Akibatnya server yang menjadi korban akan bingung. Apabila

seerangan ditujukan pada sistem Windows 95, sistem yang tidak

memiliki proteksi akan menjadi hang kadang-kadang dapat terjadi

blue screen.

g. Smurf Attack

Smurf Attack biasanya menggunakan ICMP sebagai target.

Penyerang akan melakukan echo request yang sering digunakan

pada saat broadcast address dalam sebuah network. Pada saat

melakukan broadcast semua jaringan yang ada didalam akan ikut

menjawab. Sehingga jika terdapat banyak host didalam jaringan

teresbut, akan terjadi traffic ICMP echo response yang berlebihan

maka server akan terjadi hang. Selain itu, penyerang biasanya akan

menyamarkan identitasnya dengan cara menggunakan alamat IP

orang lain.

Untuk melakukan serangan DoS, terdapat beberapa tools. Berikut

merupakan tools untuk melakukan serangan DoS:

a. KOD

18

KOD atau Kiss of Death merupakan tool yang digunakan

untuk menyerang Microsoft Windows pada port 139. KOD akan

mengakibatkan komputer menjadi hang atau blue screen of death.

b. NetCat

NetCat merupakan tool yang digunakan untuk menjalankan

remote command. Dengan membentuk koneksi TCP atau UDP ke

suatu port NetCat akan bertindak sebagai utilitas inetd yang ganas.

c. NesTea

NesTea digunakan untuk membekukan Linux versi Kernel 2.0

ke bawah dan Windows versi pertama. Pengembangan versi dari

NesTea disebut NesTea2.

4. SQL Injection

Menurut (Clarke-Salt, 2009), Structural Query Language (SQL)

Injection adalah suatu kegiatan ketika seseorang memberikan

kesempatan kepada penyerang untuk mempengaruhi kueri SQL dimana

aplikasi terhubung ke dalam back-end database. Ketika diberikan

kesempatan untuk mempengaruhi isi database, maka penyerang mampu

mengubah syntax dan kapabilitas dari SQL itu sendiri, sehingga dapat

mempengaruhi fleksibilitas dari fungsi database itu sendiri. SQL

Injection tidak sepenuhnya mempengaruhi web applications. Setiap

kode yang menerima inputan dari sumber yang tidak dipercaya dan

ketika inputan tersebut digunakan untuk membentuk dynamic SQL bisa

berbahaya. Pada masa dulu, SQL Injection biasanya digunakan pada

basis data disisi server, namun dengan adanya spesifikasi HTML5 saat

ini, penyerang dapat mengeksekusi JavaScript atau kode lain secara

bersamaan untuk berinteraksi dengan basis data klien sehingga dapat

mekalukan pencurian data. Sama halnya dengan mobile applications

aplikasi jahat atau script client dapat dimanfaatkan dengan cara yang

sama.

5. Cross-Site Scripting (XSS)

19

Cross-site Scripting adalah suatu kerentanan dimana penyerang

menyuntikkan script ke halaman web yang tidak di lindungi oleh

pengguna. Begitu komputer pengguna terinfeksi, penyerang dapat

menjalankan berbagai eksploitasi untuk mengendalikan komputer yang

terinfeksi, mengirimkan malware, atau bahkan mendapatkan akses ke

jaringan dan perangkat yang terpasang (Justice, 2014).

6. Botnet

Menurut (Retno Adenansi, Lia A. Novarina, 2017), Botnet

merupakan serangan yang dilakukan oleh penyerang dengan membuka

akses ke suatu sistem yang sudah terinfeksi oleh botnet, sehingga

penyerang dapat memberikan intruksi ke server yang diserang kemudian

server akan mengikuti intruksi yang diberikan oleh penyerang alias

diambil alih oleh penyerang.

2.1.2 Brute Force Menurut (Gunawan, 2016), Brute force adalah algoritma yang

memecahkan masalah dengan sangat sederhana. Brute force bekerja dengan

cara mencoba seluruh kemungkinan yang user berikan dalam suatu interval

tertentu. Algoritma ini adalah algoritma yang paling sederhana karena hanya

melakukan trial and error yang dapat dikerjakan dengan cepat tergantung

resources yang disediakan.

2.1.3 Intrusion Detection System (IDS) Menurut (Jabez J, B. Muthukumar, 2015), IDS adalah sebuah aplikasi

perangkat lunak atau alat yang digunakan untuk memonitor sistem atau

aktivitas yang diluar dugaan dan dapat memberikan informasi berupa

laporan kepada sistem manajemen. Ketika suatu anomali telah terdeteksi dan

tidak dapat dilakukan pencegahan, maka disaat itu akan digunakan Intrusion

Detection Prevention System (IDPS) yang bukan hanya ditujukan untuk

mendeteksi tetapi juga dapat mencegah anomali yang terdeteksi.

2.1.4 Network-Based Intrusion Detection System (NIDS) Menurut (Quamar Niyaz, Weiqing Sun, Ahmad Y javaid, and Mansoor

Alam, 2016), NIDS merupakan alat yang sangat penting dalam bagian

administrator sistem jaringan dimana NIDS dapat mendeteksi berbagai

20

pelanggaran keamanan didalam jaringan suatu organisasi. NIDS memonitor

dan menganalisa lalu lintas jaringan yang masuk dan keluar dari perangkat

jaringan organisasi dan akan mengirimkan alert atau alarm jika ada terjadi

penyerangan atau gangguan. NIDS dapat dikategorikan berdasarkan metode

deteksi intrusi yaitu NIDS berbasis signature atau SNIDS dan NIDS berbasis

anomali atau ADNIDS.

NIDS dapat memantau adanya anomali dijaringan dan mampu

mendeteksi seluruh host yang berada didalam satu jaringan. Seluruh lalu

lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari

apakah ada percobaan penyerangan atau serangan ke dalam sistem jaringan

(Gondohanindijo, 2011).

2.1.5 Host-Based Intrusion Detection System (HIDS) Menurut (A lfian Firdaus, Haruno Sajati, Yuliani Indrianingsih, 2013),

HIDS dapat diartikan sebagai suatu sistem yang mempunyai fungsi untuk

mendeteksi aktivitas yang mencurigakan dalam sebuah jaringan yang

menuju suatu sistem komputer, HIDS mampu melakukan pendeteksian

dengan cara memantau traffic yang keluar masuk baik dari sistem maupun

jaringan ataupun melakukan pendeteksian berdasarkan perbandingan pola

pada traffic normal sehingga ketika ada traffic yang mencurigakan maka

HIDS akan melakukan perbandingan dalam jaringan komputer. Komponen-

komponen dari HIDS sebagai berikut:

a. IDS Rule

IDS rule merupakan library database yang menyimpan kategori-

kategori serangan. IDS rule harus dilakukan update secara rutin karena

ketika ada jenis serangan baru, maka HIDS dapat mendeteksinya.

b. IDS Engine

IDS engine merupakan suatu program yang berfungsi untuk

membaca paket-paket data yang masuk kedalam sistem komputer

dengan membandingkan dengan rule IDS.

c. IDS Alert

21

IDS alert dapat diartikan sebagai catatan serangan pada deteksi

penyusupan, jika IDS engine menemukan paket data yang lewat sebagai

suatu serangan, maka IDS engine akan mengirimkan alert yang berupa

log file. Untuk kebutuhan analisa, log file tersebut dapat disimpan dalam

database, Basic Analysis and Security Engine (BASE) merupakan

contoh engine yang berfunsgi untuk mengolah, menyimpan dan mencari

database dari alert network security yang dibangkitkan oleh perangkat

lunak IDS.

2.1.6 CIA Menurut (Sneha Vasant Thakare, Deipali V. Gore, 2014) CIA, kata

dari C merupakan confidentiality yang berarti tingkat kerahasiaan pada

setiap level akses data dan mencegah akses file yang tidak sah, I merupakan

integrity yang berdasarkan pada seberapa banyak akurasi yang disediakan,

modifikasi yang diperlukan ketika ada file yang tidak sah serta keandalan

dari informasi, kemudian A merupakan availability yang berarti aksesbilitas

dari suatu file.

2.1.7 Testing Menurut (Srinivas Nidhra. Jagruthi Dondeti, 2012), Secara tradisional

teknik testing pada perangkat lunak dapat diklasifikasikan secara luas ke

dalam dua jenis, yaitu black box testing dan white box testing. Black box

testing atau yang biasanya disebut functional testing, teknik testing

functional merancang kasus testing berdasarkan informasi dari spesifikasi.

Dengan black box testing, tester perangkat lunak tidak boleh memiliki akses

ke sumber internal kode itu sendiri. Black box testing tidak berkaitan dengan

mekanisme internal suatu system, hanya berfokus pada output yang

dihasilkan terhadap input yang dieksekusi. Sedangkan white box testing

sering disebut sebagai structural testing atau glass box testing, teknik

structural testing merancang kasus testing berdasarkan informasi yang

berasal dari kode sumber. Orang yang melakukan white box testing

mengetahui seperti apa kode tersebut dan kemudian menulis testcases

dengan mengeksekusi metode dengan parameter tertentu. White box testing

berkaitan dengan mekanisme internal suatu sistem, berfokus pada control

22

flow atau data flow dari suatu program. Testing kedua antara black box

testing dengan white box testing sering dianggap sesuai satu sama lain.

Banyak penelitian mengatakan bahwa, teknik untuk menguji perangkat lunak

yang tepat, sangat penting untuk mencakup tindakan spesifikasi kode.

Testing perangkat lunak mencakup area yang luas terutama terdiri dari area

teknis dan non-teknis, seperti spesifikasi kebutuhan, pemeliharaan, proses,

desain dan implementasi, dan masalah manajemen dalam rekayasa perangkat

lunak.

2.1.8 ELK Stack 2.1.8.1 Elasticsearch

Menurut (Clinton Gormley & Zachary Tong, 2015),

Elasticsearch adalah sebuah mesin pencari dan analisis yang

terdistribusi secara real-time. Elasticsearch dapat mempermudah

pencarian data dalam kecepatan dan skala yang belum pernah dicapai

sebelumnya. Digunakan dalam pencarian full-text, pencarian

terstruktur, analisis, dan pencarian kombinasi dari ketiganya.

Elasticsearch sudah banyak digunakan oleh mega-corporations

seperti:

a. Wikipedia, menggunakan Elasticsearch untuk menyediakan

pencarian full-text dengan highlighted search snippets, search-

as-you-type dan did-you-mean suggestions.

b. The Guardian, menggunakan Elasticsearch untuk mengkombinasi

logs dari pengunjung dengan social-network data dengan

menyediakan feedback secara real-time kepada editor tentang

respon publik kepada artikel baru.

c. GitHub, menggunakan Elasticsearch untuk melakukan query 130

miliar baris koding.

Akan tetapi Elasticsearch bukan hanya digunakan oleh berbagai

mega-corporations, Elasticsearch telah membantu beberapa startups

berupa Datadog dan Klout dalam membangun ide prototype dan

mengubah mereka menjadi solusi terukur. Elasticsearch dapat

23

berjalan didalam laptop, atau skala ke ratusan server dan petabyte

data.

Elasticsearch merupakan sebuah mesin pencari open-source

yang dibangun diatas Apache Lucene, sebuah full-text search-engine

library. Sampai hari ini Lucene merupakan sebuah search-engine

library yang paling maju, memliki performa yang tinggi dan memliki

fitur yang lengkap. Akan tetapi Lucene hanya sebagai library. Untuk

lebih meningkatkan kinerja, harus menggunakan Java dan Integrase

Lucene langsung dengan aplikasi yang dijalankan. Untuk

mempelajari Lucene minimal harus memiliki informasi yang cukup,

karena Lucene sangatlah kompleks.

Elasticsearch ditulis dalam bahasa Java dan menggunakan

Lucene sebagai indexing dan searching. Akan tetapi, Elasticsearch

bukan hanya sekedar melakukan pencarian full-text, fungsi lain dari

Elaticsearch dapat dideskripsikan berikut:

a. Sebuah alat untuk melakukan store dokumen secara real-time

yang dimana setiap field telah dilakukan proses indexing

sehingga dapat mudah dicari.

b. Sebuah mesin pencari yang telah terdistribusi sehingga dapat

mencari data secara real-time.

c. Elastisearch mampu untuk melakukan scaling terhadap ratusan

server dan data dalam jumlah petabyte baik yang terstruktur

maupun yang tidak terstruktur.

2.1.8.2 Logstash Menurut (Turnbull, 2015) Logstash merupakan sebuah tool

open source yang menyediakan framework untuk mengoleksi,

sentralisasi, penguraian, penyimpanan dan pencarian log. Logstash

dikembangkan oleh pengembang dari Amerika yang bernama Jordan

Sissel. Logstash dikenal sangat mudah untuk digunakan, memiliki

performa yang tinggi, sangat scalable dan mudah diperluas. Log

24

tersebut dapat di teruskan dan dipusatkan agar tetap terjaga dengan

menggunakan Filebeat. Logstash mempunyai threefold design:

a. Log Input

Logstash mempunyai beragam mekanisme input, Logstash

dapat menerima input dari TCP/UDP, files, Syslog, Microsoft

Windows Event Logs, STDIN dan dari source lain. Elasticsearch

juga menyediakan tools input bernama Beats, Beats dapat

membantu dalam mengumpulkan log data dari sumber yang

berbeda.

b. Log Filtering

Ketika log tersebut memasuki Logtash Server, disana

terdapat banyak koleksi filter yang dapat digunakan untuk

memodifikasi, memanipulasi, dan mentransformasi data. Supaya

log tersebut mempunyai konteks tersendiri maka harus diekstrak

terlebih dahulu supaya informasi didalam log tersebut dapat

muncul. Logstash membuat proses ekstrak data menjadi lebih

mudah.

c. Log Output

Ketika proses pengeluaran data Logstash mendukung

tujuan dari output yang sangat luas, termasuk TCP/UDP, email,

files, HTTP, Nagios dan berbagai macam jaringan yang luas,

serta online service. Logstash bisa diintegrasikan dengan metrics

engines, alerting tools, graphing suites, storage destinations atau

membangun integrasi dilingkungan anda. Sehingga, data tersebut

pada akhirnya akan di-store ke Elasticsearch, dimana data

tersebut bisa dikueri dan dikelola.

2.1.8.3 Kibana Menurut (Gupta, 2015), Kibana merupakan tools bagian dari

ELK Stack, yang berisi Elasticsearch, Logstash, dan Kibana. Kibana

dibangun oleh Elastic. Kibana adalah platform visualisasi yang

dibangun diatas Elasticsearch dan untuk menigkatkan fungsionalitas

25

Elasticsearch. Kibana berfungsi sebagai lapisan teratas dari

Elasticsearch, Kibana menyediakan visualisasi data apik, baik yang

terstruktur maupun tidak terstruktur. Kibana merupakan produk

analisis open-source yang digunakan untuk mencari, melihat, dan

menganalisis data. Kibana menyediakan berbagai jenis visualisasi

untuk menvisualisasikan data dalam bentuk tabel, grafik, peta,

histogram, dan sebagainya. Kibana juga menyediakan antarmuka

berbasis web yang dapat dengan mudah menangani data yang besar.

Membantu membuat dasbor yang mudah dibikin dan membantu kueri

data secara real-time. Dasbor hanyalah antarmuka untuk

menvisualisasikan dokumen JSON. Ketiga hal tersebut digunakan

untuk menyimpan, mengolah, dan mengekspor. Sangat mudah diatur

dan digunakan, sehingga dalam memproses data tanpa harus

menggunakan koding.

2.1.9 Wazuh Wazuh merupakan platform gratis dan open source yang digunakan

untuk mendeteksi ancaman, melakukan monitoring, respon insiden, dan

kepatuhan terhadap ancaman. Wazuh bisa digunakan untuk memonitor

endpoints, layanan cloud, dan containers. Dan untuk mengumpulkan dan

menganalisis data dari sumber luar. Kemampuan yang disediakan oleh

Wazuh sebagai berikut:

a. Security Analytics

Wazuh dapat digunakan untuk mengoleksi, mengumpulkan,

melakukan indexing, dan melakukan analisis terhadap keamanan data,

sehingga dapat membantu organisasi untuk mendeteksi intrusi, ancaman

serta anomali. Dikarenakan ancaman keamanan dunia maya menjadi

lebih canggih, maka pemantauan dan analisis keamanan yang real-time

sangat diperlukan untuk mendeteksi dan melakukan perbaikan terhadap

ancaman tersebut. Agen merupakan light-weight agent yang dapat

dengan cepat melakukan pemantauan dan respons, sementara komponen

26

server dapat memberikan keamanan dan melakukan analisis data secara

maksimal.

b. Intrusion Detection

Agen Wazuh yang terpasang pada sistem dapat melakukan

pemantauan untuk mencari malware, rootkit, dan anomali yang

mencurigakan. Agen Wazuh dapat mendeteksi file yang tersembunyi,

proses yang terselubung atau jaringan yang tidak terdaftar, serta

inkonsistensi dalam respon panggilan sistem.

Selain agen, komponen server menggunakan signature-based

approach atau pendekatan berbasis tanda tangan untuk mendeteksi

intrusi, menggunakan regular expression engine untuk melakukan

analisis terhadap data log yang telah dikumpulkan dan mencari indikator

kompromi.

c. Log Data Analysis

Wazuh Agen melakukan analisis dan penyimpanan data dengan

cara membaca sistem operasi dan log aplikasi, dan kemudian

meneruskannya ke manajer pusat.

Peraturan Wazuh dapat membantu anda untuk waspada terhadap

aplikasi atau sistem yang mengalami error, misconfigurations,

attempted dan/atau aktivitas jahat, pelanggaran kebijakan dan berbagai

masalah keamanan dan operasional lainnya.

d. File Integrity Monitoring

Wazuh melakukan proses pemantauan terhadap sistem file,

mengidentifikasi perubahan konten, izin, kepemilikan, dan atribut file.

Selain itu, mengidentifikasi pengguna dan aplikasi yang digunakan

untuk membuat atau memodifikasi file.

Kemampuan untuk melakukan pemantauan terhadap integritas file

dapat digunakan dengan menggunakan kombinasi threat intelligence

untuk melakukan identifikasi ancaman atau hosts yang terkompromi.

Selain itu, untuk melakukan pemantauan diperlukan juga beberapa

standar kepatuhan peraturan seperti PCI DSS.

27

e. Vulnerability Detection

Wazuh Agen melakukan penarikan data terhadap inventaris

perangkat lunak dan kemudian mengirimkan informasi tersebut ke

server dimana berkorelasi dengan basis data Common Vulnerabilitites

and Exposure (CVE) yang telah diperbarui, untuk mengidentifikasi

perangkat lunak yang rentan.

Automated vulnerability assessment membantu anda menemukan

titik lemah dalam aset penting yang kemudian mengambil tindakan

korektif sebelum penyerang mengeskploitasi sehingga data rahasia tetap

aman dari tindakan sabotase dan pencurian.

f. Configuration Assessment

Wazuh memonitor sistem dan konfigurasi pengaturan aplikasi

untuk memastikan sesuai dengan kebijakan keamanan, standar, dan/atau

hardening guides. Agen melakukan pemindaian secara berlaka untuk

mendeteksi aplikasi yang rentan, tidak terjaga keamanannya, atau tidak

terkonfigurasi dengan aman.

Selain itu, dapat menyesuaikan konfigurasi pemeriksaan,

penyesuaiannya agar selaras dengan organisasi anda. Peringatan

diharapkan dapat memberikan rekomendasi konfigurasi, referensi, dan

pemetaan yang lebih baik dengan kepatuhan terhadap peraturan.

g. Incident Response

Wazuh menyediakan out-of-the-box yang aktif dalam memberikan

respon untuk melakukan berbagai tindakan balasan dalam mengatasi

ancaman yang aktif, seperti memblokir akses ke dalam sistem ketika

kriteria ancaman telah terpenuhi.

Selain itu, Wazuh dapat digunakan untuk menjalankan perintah

atau permintaan sistem dari jarak jauh, mengidentifkasi indikator

kompromi (IOC) dan membantu melakukan live forensics atau incident

response tasks.

h. Regulatory Compliance

28

Wazuh menyediakan beberapa control keamanan yang diperlukan

untuk memenuhi standar dan peraturan industri. Fitur-fitur ini,

dikombinasikan dengan sklabilitas dan dukungan multi-platform untuk

membantu organisasi memenuhi persyaratan kepatuhan teknis.

Wazuh banyak digunakan oleh perusahaan pemrosesan

pembayaran dan lembaga keuangan untuk memenuhi persayaratan PCI

DSS (Payment Card Industry Data Security Standard). Web User

Interface menyediakan laporan dan dashboard yang dapat membantu

dalam menyediakan antarmuka serta regulasi lainnya (misalnya GPG13

atau GDPR).

i. Cloud Security Monitoring

Wazuh dapat membantu memantau infrastruktur cloud di level

API, menggunakan modul integrasi yang mampu menarik data

keamanan dari penyedia cloud terkenal, seperti Amazon AWS, Azure

ataupun Google Cloud. Selain itu, Wazuh memberikan aturan untuk

melakukan penilaian terhadap lingkungan cloud anda, sehingga dapat

dengan mudah menemukan kelemahan. Selain itu, agen yang ringan

serta multi-platform yang disediakan oleh Wazuh biasanya digunakan

untuk memantau lingkungan cloud pada tingkat instance.

j. Containers Security

Wazuh memberikan visibilitas keamanan ke host dan wadah

Docker anda, memantau perilaku dan mendeteksi ancaman, kerentanan,

serta anomali. Agen Wazuh memiliki integrasi dengan Docker Engine

yang memungkinkan pengguna untuk melakukan pemantauan dalam

bentuk gambar, volume, jaringan, serta untuk menjalankan Containers.

Wazuh terus mengumpulkan dan menganalisis informasi yang

terperinci. Misalnya, memberikan peringatan ketika Containers berjalan

dalam privileged mode, vulnerable applications, a shell running in a

container, changes to persistent volume or images, dan kemungkinan

ancaman yang lain (Wazuh, 2019).

29

2.1.10 MITRE ATT&CK MITRE ATT&CK adalah basis pengetahuan yang dapat diakses secara

global mengenai taktik dan teknik musuh berdasarkan pengamatan dari

dunia nyata. Basis pengetahuan ATT&CK digunakan sebagai bahan dasar

untuk pengembangan model dan metode produk serta layanan keamanan

siber.

Dengan diciptanya ATT&CK, MITRE memenuhi misinya dalam

memecahkan masalah untuk dunia yang lebih aman dengan menyatukan

masyarakat untuk mengembangkan keamanan siber yang lebih efektif.

ATT&CK terbuka dan tersedia untuk semua orang atau organisasi tanpa

memungut biaya sedikitpun (The MITRE, 2019).

Berikut merupakan landasan yang ada pada MITRE ATT&CK:

1. Initial Access

1. Drive-by Compromise

2. Exploit Public-Facing Application

3. External Remote Services

4. Hardware Additions

5. Replication Through Removable Media

6. Spearphishing Attachment

7. Spearphishing Link

8. Spearphishing via Service

9. Supply Chain Compromise

10. Trusted Relationship

11. Valid Accounts

2. Execution

1. AppleScript

2. CMSTP

3. Command-Line Interface

4. Compiled HTML File

5. Component Object Model and Distributed COM

6. Control Panel Items

7. Dynamic Data Exchange

30

8. Execution through API

9. Execution through Module Load

10. Exploitation for Client Execution

11. Graphical User Interface

12. InstallUtil

13. Launchctl

14. Local Job Scheduling

15. LSASS Driver

16. Mshta

17. PowerShell

18. Regsvcs/Regasm

19. Regsvr32

20. Rundl32

21. Scheduled Task

22. Scripting

23. Service Execution

24. Signed Binary Proxy Execution

25. Signed Script Proxy Execution

26. Source

27. Space after Filename

28. Third-party Software

29. Trap

30. Tusted Developer Utilities

31. User Execution

32. Windows Management Intrumentation

33. Windows Remote Management

34. XSL Script Processing

3. Persistence

1. .bash_profile and .bashrc

2. Accessibility Features

3. Account Manipulation

31

4. AppCert DLLs

5. Applnit DLLs

6. Application Shimming

7. Authentication Package

8. BITS Jobs

9. Bootkit

10. Browser Extensions

11. Change Default File Association

12. Component Firmware

13. Component Object Model Hijacking

14. Create Account

15. DLL Search Order Hijacking

16. Dylib Hijacking

17. Emond

18. External Remote Services

19. File System Permissions Weakness

20. Hidden Files and Directories

21. Hooking

22. Hypervisor

23. Image File Execution Options Injection

24. Kernel Modules and Extensions

25. Launch Agent

26. Launch Daemon

27. Launchctl

28. LC_LOAD_DYLIB Addition

29. Local Job Scheduling

30. Login Item

31. Login Scripts

32. LSASS Driver

33. Modify Existing Service

34. Netsh Helper DLL

32

35. New Service

36. Office Application Startup

37. Path Interception

38. Plist Modification

39. Port Knocking

40. Port Monitors

41. PowerShell Profile

42. Rc.common

43. Re-opened Applications

44. Redundant Access

45. Registry Run Keys / Startup Folder

46. Scheduled Task

47. Screensaver

48. Security Support Provider

49. Server Software Component

50. Service Registry Permissions Weakness

51. Setuid and Setgid

52. Shortcut Modification

53. SIP and Trust Provider Hijacking

54. Startup Items

55. System Firmware

56. Systemd Service

57. Time Providers

58. Trap

59. Valid Accounts

60. Web Shell

61. Windows Management Instrumentation Event Subscription

62. Winlogon Helper DLL

4. Privilege Escalation

1. Access Token Manipulation

2. Accessibility Features

33

3. AppCert DLLs

4. Applnit DLLs

5. Application Shimming

6. Bypass User Acoount Control

7. DLL Search Order Hijacking

8. Dylib Hijacking

9. Elevated Execution with Prompt

10. Emond

11. Exploitation for Privilege Escalation

12. Extra Window Memory Injection

13. File System Permissions Weakness

14. Hooking

15. Image File Execution Options Injection

16. Launch Daemon

17. New Service

18. Parent PID Spoofing

19. Path Interception

20. Plist Modification

21. Port Monitors

22. PowerShell Profile

23. Process Injection

24. Scheduled Task

25. Service Registry Permissions Weakness

26. Setuid and Setgid

27. SID-History Injection

28. Startup Items

29. Sudo

30. Sudo Caching

31. Valid Accounts

32. Web Shell

5. Defense Evasion

34

1. Access Token Manipulation

2. Binary Padding

3. BITS Jobs

4. Bypass User Account Control

5. Clear Command History

6. CMSTP

7. Code Signing

8. Compile After Delivery

9. Compiled HTML File

10. Component Firmware

11. Component Object Model Hijacking

12. Connection Proxy

13. Control Panel Items

14. DCShadow

15. Deobfuscate/Decode Files or Information

16. Disabling Security Tools

17. DLL Search Order Hijacking

18. DLL Side-Loading

19. Execution Guardrails

20. Exploitation for Defense Evasion

21. Extra Window Memory Injection

22. File and Directory Permissions Modification

23. File Deletion

24. File System Logical Offsets

25. Gtekeeper Bypass

26. Group Policy Modification

27. Hidden Files and Directories

28. Hidden Users

29. Hidden Window

30. HISTCONTROL

31. Image File Execution Options Injection

35

32. Indicator Blocking

33. Indicator Removal from Tools

34. Indicator Removal on Host

35. Indirect Command Execution

36. Install Command Execution

37. Install Root Certificate

38. InstallUtil

39. Launchctl

40. LC_MAIN Hijacking

41. Masquerading

42. Modify Registry

43. Mshta

44. Network Share Connection Removal

45. NTFS File Attributes

46. Obfuscated Files or Information

47. Parent PID Spoofing

48. Plist Modification

49. Port Knocking

50. Process Doppleganging

51. Process Hollowing

52. Process Injection

53. Redundant Access

54. Regsvcs/Regasm

55. Regsvr32

56. Rootkit

57. Rundll32

58. Scripting

59. Signed Binary Proxy Execution

60. Signed Script Proxy Execution

61. SIP and Trush Provider Hijacking

62. Software Packing

36

63. Space after Filename

64. Template Injection

65. Timestomp

66. Trusted Developer Utilities

67. Valid Accounts

68. Virtualiation/Sandbox Evasion

69. Web Service

70. XSL Script Processing

6. Credential Access

1. Account Manipulation

2. Bash History

3. Brute Force

4. Credential Dumping

5. Credentialls from Web Browsers

6. Credentials in Files

7. Credentials in Registry

8. Exploitation for Credential Access

9. Force Authentication

10. Hooking

11. Input Capture

12. Input Prompt

13. Kerberoasting

14. Keychain

15. LLMNR/NBTNS Poisoning and Relay

16. Network Sniffing

17. Password Filter DLL

18. Private Keys

19. Securityd Memory

20. Steal Web Session Cookie

21. Two-Factor Authentication Interception

7. Discovery

37

1. Account Discovery

2. Application Window Discovery

3. Browser Bookmark Discovery

4. Domain Trust Discovery

5. File and Directory Discovery

6. Network Service Scanning

7. Network Share Discovery

8. Password Policy Discovery

9. Peripheral Device Discovery

10. Permission Groups Discovery

11. Process Discovery

12. Query Registry

13. Remote System Discovery

14. Security Software Discovery

15. Software Discovery

16. System Information Discovery

17. System Network Configuration Discovery

18. System Network Connections Discovery

19. System Owner/User Discovery

20. System Service Discovery

21. System Time Discovery

22. Virtualization/Sandbox Evasion

8. Lateral Movement

1. AppleScript

2. Application Deployment Software

3. Component Object Model and Distributed COM

4. Exploitation of Remote Services

5. Internal Spearphishing

6. Logon Scripts

7. Pass the Hash

8. Pass the Ticket

38

9. Remote Desktop Protocol

10. Remote File Copy

11. Remote Services

12. Replication Through Removable Media

13. Shared Webroot

14. SSH Hijacking

15. Taint Shared Content

16. Third-party Software

17. Windows Admin Shares

18. Windows Remote Management

9. Collection

1. Audio Capture

2. Automated Collection

3. Clipboard Data

4. Data from Information Repositories

5. Data from Local System

6. Data from Network Shared Drive

7. Data from Removable Media

8. Data Staged

9. Email Collection

10. Input Capture

11. Man in the Browser

12. Screen Capture

13. Video Capture

10. Command and Control

1. Commonly Used Port

2. Communication Through Removable Media

3. Connection Proxy

4. Custom Command and Control Protocol

5. Custom Cryptographic Protocol

6. Data Encoding

39

7. Data Obfuscation

8. Domain Fronting

9. Domain Generation Algorithms

10. Fallback Channels

11. Multi-hop Proxy

12. Multi-Stage Channels

13. Multiband Communication

14. Multilayer Encryption

15. Port Knocking

16. Remote Access Tools

17. Remote File Copy

18. Standard Application Layer Protocol

19. Standard Cryptographic Protocol

20. Standard Non-Application Layer Protocol

21. Uncommonly Used Port

22. Web Service

11. Exfiltration

1. Automated Exfiltration

2. Data Compressed

3. Data Encrypted

4. Data Transfer Size Limits

5. Exfiltration Over Alternative Protocol

6. Exfiltration Over Command and Control Channel

7. Exfiltration Over Other Network Medium

8. Exfiltration Over Physical Medium

9. Scheduled Transfer

12. Impact

1. Account Access Removal

2. Data Destruction

3. Data Encrypted for Impact

4. Defacement

40

5. Disk Content Wipe

6. Disk Structure Wipe

7. Endpoint Denial of Service

8. Firmware Corruption

9. Inhibit System Recovery

10. Network Denial of Service

11. Resource Hijacking

12. Runtime Data Manipulation

13. Service Stop

14. Stored Data Manipulation

15. System Shutdown/Reboot

16. Transmitted Data Manipulation

2.1.11 Center of Internet Security Menurut (CIS, 2020), Center of Internet Security atau CIS merupakan

suatu organisasi yang berbasis community-driven yang dimana para

sukarelawan praktisi keamanan IT di seluruh dunia terus mengembangkan

dan memperbaiki CIS Tools. CIS Tools merupakan alat, keanggotaan, dan

layanan untuk membantu organisasi diseluruh dunia supaya lebih aman dan

tetap aman. CIS Tools terdiri dari:

a. CIS Controls

b. CIS Benchmarks

c. MS-ISAC

d. CIS-CATLite

e. CIS RAM

f. CIS CSAT

g. CIS CyberMarket

h. CIS Hardened Images

i. CIS Services

j. CIS SecureSuite

k. CIS-CATPro

41

Pada CIS Controls terdapat 20 kontrol yang masing-masing terbagi kedalam

3 kelompok yakni: Basic CIS Controls, Foundational CIS Controls, dan

Organizational CIS Controls.

a. Basic CIS Controls:

1. Inventory and Control of Hardware Assets

Melakukan kontrol terhadap aset-aset yang berupa

hardware dalam sebuah jaringan untuk mengetahui semua aset

yang dimiliki dan mencegah adanya akses yang tidak diizinnkan.

2. Inventory and Control of Software Assets

Melakukan kontrol terhadap aset-aset yang berupa

software dalam sebuah jaringan untuk memastikan hanya

software terdaftar yang berjalan, serta mencegah software lain

melakkukan akses yang tidak diizinkan.

3. Continuous Vulnerability Management

Melakukan kontrol terhadap kerentanan secara berkala

agar alat yang dipakai dapat selalu diperbaharui sesuai dengan

keadaan yang ada pada organisasi.

4. Controlled Use of Administrative Privileges

Setiap orang dalam organisasi harus memiliki akun yang

bukan administrator untuk melakukan pekerjaannya. Akun

administrator hanya digunakan untuk kegiatan kegiatan yang

memang diharuskan menggunakan akun administrator. Hal ini

dilakukan untuk mencegah penyerang mendapatkan akses

administrator jika salah satu akun anggota organisasi diketahui

oleh penyerang.

5. Secure Configuration for Hardware and Software on Mobile

Devices, Laptops, Workstations and Servers

Melakukan kontrol konfigurasi yang aman pada hardware

dan software yang ada pada device, karena device tersebut tidak

aman dengan sendirinya.

6. Maintenance, Monitoring and Analysis of Audit Logs

42

Mengumpulkan logs lalu melakukan analisa terhadap logs

tersebut agar dapat membantu mengetahui jenis serangan dan

respon apa yang dibutuhkan.

b. Foundational CIS Controls:

7. Email and Web Browser Protections

Melakukan kontrol jumlah terhadap aplikasi browser dan

email pada organisasi dan pastikan semuanya pada kondisi

pembaruan terbaru.

8. Malware Defense

Malware adalah aspek integral dan berbahaya dari

ancaman internet, karena dirancang untuk menyerang sistem,

perangkat, dan data organisasi. Malware bergerak cepat, cepat

berubah, dan masuk melalui sejumlah titik seperti perangkat

endpoint, lampiran email, halaman web, dan lain-lain. Risiko

terkena malware dapat dikurangi dengan cara memanfaatkan

perangkat lunak anti-malware yang dikelola secara terpusat

untuk terus melakukan monitoring dan mempertahankan setiap

workstation dan server organisasi.

9. Limitation and Control of Network Ports, Protocols and Services

Mengelola (melacak/mengontrol/mengoreksi) penggunaan

operasional port, protocol, dan layanan yang sedang berlangsung

pada perangkat jaringan untuk meminimalkan jendela kerentanan

yang tersedia untuk penyerang.

10. Data Recovery Capabilities

Melakukan kontrol terhadap data yang harus dilakukan

recovery jika terjadi data lost dengan cara melakukan backup

berkala pada data yang dianggap penting.

11. Secure Configuration for Network Devices, such as Firewalls,

Routers and Switches

Melakukan kontrol terhadap konfigurasi network devices

agar sesuai dengan standar yang di tetapkan organisasi dan selalu

43

waspada terhadap adanya penyimpangan, karena attacker dapat

memanfaatkan kesalahan konfigurasi untuk mendapatkan akses.

12. Boudnary Defense

Mendeteksi/mencegah/mengoreksi aliran informasi yang

mentransfer jaringan dari tingkat kepercayaan yang berbeda

dengan berfokus pada data yang dapat merusak keamanan.

13. Data Protection

Melakukan kontrol terhadap data yang sifatnya penting dan

rahasia dengan cara melakukan enkripsi atau melakukan

pengecekan integritas.

14. Controlled Access Based on the Need to Know

Proses dan alat yang digunakan untuk

melacak/mengontrol/mencegah/memperbaiki akses aman ke

asset penting (misalnya informasi, sumber daya dan sistem)

sesuai dengan penentuan formal yang orang, komputer, dan

aplikasi memiliki kebutuhan dan hak untuk mengakses asset

penting ini berdasarkan klasifikasi yang disetujui.

15. Wireless Access Control

Proses dan alat yang digunakan untuk

melacak/mengontrol/mencegah/memperbaiki keamanan

penggunaan jaringan area local nirkabel (WLAN), titik akses,

dan sistem nirkabel klien.

16. Account Monitoring and Control

Melakukan Kontrol terhadap akun-akun yang berhubungan

langsung dengan proses bisnis, akun yang tidak di kelola dengan

baik akan menjadi jalan masuk yang mudah untuk penyerang.

c. Organizational CIS Controls:

17. Implement a Security Awareness and Training Program

Untuk semua peran fungsional dalam organisasi

(memprioritaskan mereka yang kritis terhadap bisnis dan

keamanannya), identifikasi pengetahuan, keterampilan, dan

44

kemampuan khusus yang diperlukan untuk mendukung

pertahanan perusahaan; mengembangkan dan melaksanakan

rencana terpadu untuk menilai, mengidentifikasi kesenjangan,

dan memulihkan melalui kebijakan, perencanaan organisasi,

pelatihan, dan program kesadaran.

18. Application Software Security

Mengelola siklus hidup keamanan semua perangkat lunak

yang dikembangkan dan diakuisisi secara internal untuk

mencegah, mendeteksi, dan memperbaiki kelemahan keamanan.

19. Incident Response and Management

Melindungi informasi organisasi, serta reputasinya, dengan

mengembangkan dan mengimplementasikan infrastruktur

respons insiden (misalnya, rencana, peran yang ditentukan,

pelatihan, komunikasi, pengawasan manajemen) untuk lebih

cepat menemukan serangan dan kemudian secara efektif

mengatasi kerusakan, memusnahkan kehadiran penyerang, dan

memulihkan integritas jaringan dan sistem.

20. Penetration Tests and Red Team Exercices.

Melakukan pentest untuk mengetahui vulnerability yang

ada pada sistem dan melatih team pentest dalam melakukan

pekerjaannya.

2.1.12 Nginx

Menurut (Bichuan Liu, Qi Niu, Qiuxuan Wu, 2012), Nginx adalah

sebuah HTTP dengan kinerja yang tinggi dan reverse proxy server, dalam

hal koneksi, memori, CPU dan sumber daya sistem lainnya sangat rendah

konsumsi, dan mempunyai operasi yang stabil. Oleh karena itu, web load

balance dan desain optimisasi dibawah lingkungan yang mempunyai

konkurensi yang tinggi menggunakan Nginx merupakan pilihan yang

signifikan.

45

2.1.13 Kali Linux Kali Linux adalah distribusi open-source baru yang memfasilitasi

testing penetrasi. Kali Linux berjalan di Debian dan sesuai dengan FHS

(Filesystem Hierarchy Standard). Repositori perangkat lunak yang

ditingkatkan dan telah disinkronkan dengan repository Debian sehingga

lebih mudah untuk diperbarui, menerapkan patch-es dan menambahkan fitur

baru. Kali Linux mudah disesuaikan sehingga hanya berisi paket dan fitur

yang diperlukan. Lingkungan desktop juga dapat disesuaikan dengan

menggunakan GNOME (default), KDE (Lingkungan Desktop K), LXDE

(Lingkungan Dekstop X11 Ringan), atau apapun yang diinginkan (Tiwary,

2013).

Menurut (Ben Wilson, Carsten Boeving, Jim O'Gorman, Joe

O'Gorman, Raphael Hertzog, Steeve Klimaszewski, 2020), Kali Linux

merupakan proyek sumber tebuka yang dikelola dan didanai oleh Offensive

Secrurity, penyedia pelatihan keamanan informasi kelas dunia dan layanan

testing penetrasi. Selain Kali Linux, offensive Security juga memelihara

Exploit Database dan kursus online gratis.

2.1.14 Metode Evaluasi: Wawancara Menurut (Harahap, 2019), Wawancara merupakan suatu teknik Tanya

jawab antara reporter dan informan guna memperoleh informasi dari pihak

yang dituju. Orang yang melakukan wawancara disebut pewawancara,

sedangkan orang yang diwawancarai dinamai wawancara atau interviewer.

Tujuan dari wawancara adalah mengumpulkan informasi dari seorang

informan, infomrasi yang didapat harus lengkap, adil dan akurat. Kegiatan

wawancara dikatakan baik ketika pewawancara membuat pertanyaan yang

menarik bukan pertayaan umum, sehingga informan dapat menjawab

pertanyaan yang diberikan secara akurat.

2.1.15 Kamus Data Menurut (Wibowo, 2014), Kamus data merupakan suatu data elemen

yang menjelaskan tentang input, output, dan komponen data store dari suatu

sistem dengan tujuan agar user dan analis lebih mudah untuk memahami

46

sistem tersebut. Kamus data sangat membantu analis dalam mendefenisikan

data suatu sistem yang mengalir, sehingga definisi data dari suatu sistem

dapat dilakukan dengan lengkap dan terstruktur. Pada tahapan analisa,

kamus data dibuat untuk menggambarkan komunikasi anatara user dan

analis sistem tentang data yang mengalir, yaitu tentang data yang

dimasukkan ke sistem dan informasi yang dibutuhkan oleh user. Sedangkan

pada tahapan perancangan sistem, kamus data dapat digunakan untuk

merancang input dan database dari suatu sistem.

2.1.16 OSSEC OSSEC adalah HIDS open source yang dapat melakukan log analisis,

integrity checking, Windows registry monitoring, rootkit detection, real-time

alerting danactive response. OSSEC dapat berjalan pada Linux, OpenBSD,

FreeBSD, Mac OS X, Solaris, Windows dan lain-lain (Scott R. Shinn, Dan

Parriott, Dominik Lisiak, 2020).

47

48