Practical Approach of Information Security Protection

58
Pusat Kajian E-Govetnment – Universitas Gunadarma Security Approach 1 Koko Bachrudin, S.Kom., MMSI. Practical Approach of Information Security Protection

Transcript of Practical Approach of Information Security Protection

Page 1: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

1

Koko Bachrudin, S.Kom., MMSI.

Practical Approach of InformationSecurity Protection

Page 2: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

2

Tentang Saya

● System Administrator situs presidenri.go.id (2012-2014), wapresri.go.id (2008-2014)

● System Administrator portal kemenpora.go.id (2008 – Sekarang)

● CTO ddoeth.id● Instruktur pelatihan Digital Forensics (kominfo,

BPJS-TK)● Penilitian di bidang safety and security

Page 3: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

3

Unit Kompetensi

Kode Unit Judul Unit

J.62090.020 Menglola Log

J.62090.024 Melaksanakan Pencatatan Aset

J.62090.012 Mengaplikasikan Ketentuan/Persyaratan Keamanan Informasi

J.62090.032 Menerapkan Kontrol Akses Berdasarkan Konsep/metedologi yang telah diterapkan

J.62090.001 Menerapkan Prinsip Perlindungan Informasi

Page 4: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

4

“Only the Sith deal in absolutes”-Obi Wan Kenobi-

Page 5: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

5

Agenda

● Konsep Keamanan Informasi● Serangan terhadap Kemanan informasi● Bagaimana Bertahan● Perangkat Lunak yang dapat Digunakan● Contoh Penerapan

Page 6: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

6

Keamanan Informasi

Page 7: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

7

Burma, 2010

● DdoS Burma's main Internet provider● Menyerang Sistem Pemilu● 0.5 sampai 10-15 Gbit/s

Page 8: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

8

Estonia, 2007

● Menyerang hampir seluruh IT di Estonia● Menggunakan Botnet

Page 9: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

9

Fenomena Stuxnet

Page 10: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

10

Critical Information Infrastructure Protection

Page 11: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

11

Critical Information Infrastructure Protection

Page 12: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

12

Konsep keamanan Informasi

● Confidentiality (Kerahasiaan)● Integrity (Integritas)● Availability (ketersediaan)

Page 13: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

13

Evaluation Assurance Level (EAL)

● EAL 1: Functionally Tested● EAL 2: Structurally Tested● EAL 3: Methodically Tested and Checked● EAL 4: Methodically Designed, Tested and

Reviewed● EAL 5: Semiformally Designed and Tested● EAL 6: Semiformally Verified Design and Tested● EAL 7: Formally Verified Design and Tested

Page 14: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

14

EAL 1: Functionally Tested

● Sistem elektronik telah diuji dan berfungsi dengan baik

● Diterapkan pada kepercayaan terhadap sistem tinggi dan ancaman bukan menjadi masalah besar

Page 15: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

15

EAL 2: Structurally Tested

● Sistem Elektronik diuji pada level struktur● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat keamanan yang rendah

Page 16: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

16EAL 3: Methodically Tested and Checked● Diuji pada level metode pengembangan sistem

elektronik● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat keamanan yang rendah sampai sedang

Page 17: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

17EAL 4: Methodically Designed, Tested and Reviewed● Diuji pada level metode perancangan sistem

elektronik● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat keamanan sedang sampai tinggi● Tingakatan tertinggi secara ekonomi dapat

dilakukan

Page 18: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

18EAL 5: Semiformally Designed and Tested● Sistem Elektronis Diuji secara semi-formal● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat keamanan Tinggi dan independen

● Untuk menghindari sesuatu yang belum diketahui masalahnya

Page 19: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

19EAL 6: Semiformally Verified Design and Tested● Sistem Elektronis Diuji secara semi-formal dan

terverifikasi● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat Resiko yang Tinggi

Page 20: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

20EAL 7: Formally Verified Design and Tested● Sistem Elektronis Diuji secara formal Matematis

dan terverifikasi● Diterapkan dalam situasi dimana sistem harus

memiliki tigkat Resiko yang Tinggi dan memiliki nilai yang tinggi

Page 21: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

21

Ancaman Keamanan Informasi Yang Sering Timbul

Page 22: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

22

Confidentiality (Kerahasiaan)

● Packet Capturing● Password Attack● Port Scanning● Phishing● Social Enginering

Page 23: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

23

Integrity (Integritas)

● Man-in-the-middle attacks● Session hijacking attacks● Modified Document

Page 24: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

24

Availability (ketersediaan)

● DoS● Ddos● ICMP Flood● Electrical power attacks● Server Room Environment attacks● Bad Architecture and Configuration

Page 25: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

25

Vulnerability

● Kecacatan pada sistem elektronis● Disebakan oleh buruknya fase pengembangan

sistem elektronik, atau● Buruknya fase implementasi sistem elektronik● Melahirkan sebuah exploit● Contoh kasusu: Vulnerability pada BASH, SSLv2

(DROWN Attack), WPA2(KRACK)

Page 26: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

26

Rootkits

● Memberikan akses kepada user yang tidak berhak

● Mendapatkan akses administrator (root)● Sulit untuk terdeteksi● Contoh kasus: Sony BMG, Linux Rootkits,

Windows Rootkits● Tidak hanya digunakan untuk eskalasi akses,

namun digunakan untuk menjalankan program berbahaya

Page 27: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

27

Backdoors

● Sebuah proses yang berjalan untuk memfasilitasi user yang tidak berhak untuk mengakses sistem elektronis

● Ada setelah sistem berhasil di kuasai baik secara shell atau aplikasi

● Digunakan oleh user yang tidak berhak untuk mengakses resource yang ada pada komputer

Page 28: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

28

Employee Fraud

● Karyawan tidak di berikan kontrol akases yang baik

● Karyawan memanfaatkan previleges yang dimiliki untuk melakukan kejahatan

● Contoh: Flash Sale Tokopedia, Snowden

Page 29: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

29

Kecatatan Program

Ariane 5AF 296

AF 447qz8501

Page 30: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

30

Page 31: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

31

Kecacatan Program

● 64 bit floating point number problem

● Pitot tubes Problem ● Override Input● Hardware Design

Problems● Inaccurate tracking

calculation

● Ariane 5 Rocket● Air France 447● Air France 296● Air Asia qz8501● U.S. Patriot

Page 32: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

32

Bagaimana Bertahan??

Page 33: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

33

Secure Human Resource

● Okupasi Berbasiskan Standar Terkait● Metode seleksi karyawan dengan

memperhatikan integritas● Memastikan Terdapat Akses Kontrol yang jelas

pada setiap user untuk mengakses resource

Page 34: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

34

Secure Software Design

● Mencegah adanya – Vulnerabilities– Cacat– Kesalahan Logika, sejak awal perancangan program

● Sering digunakan pada:– Sistem kritis– Teknologi penerbangan

● Di evaluasi menggunakan EAL

Page 35: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

35

Secure Operating System

● Memiliki sertifikasi keamanan sistem operasi ● Berdasarkan pada Common Criteria dan FIPS

140-2● Beberapa sistem operasi yang memiliki

sertifikasi EAL4: Oracle Solaris, BAE STOP, RHEL5, RHEL6, SLES

● Windows 2000, 2003, 2008, XP

Page 36: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

36

Encryption

● Penggunaan teknologi/metode enkripsi standar yang telah teruji

● Enkripsi sangat bergantung pada kunci, jalur/data mungkin aman. Pertanyaan berikutnya adalah bagaimana menyimpan kunci??

Page 37: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

37

Firewall

Page 38: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

38

File Integrity Test

● Melukan test integritas kepada seluruh file penting

● Dapat mendeteksi perubahan yang terjadi pada file

● Memberikan informasi secara berkala, untuk ketepatan dalam melakukan aksi

Page 39: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

39

Akses Kontrol (AAA Framework)

● Authentication● Authorization● Audit

Authentication

Authorization

Credential

Perrmisson

Resource

Activity

1

2

3

4

Audit

Page 40: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

40

Authentication

● Indentifikasi user● Memeriksa “credential” user● Memeriksa kriteria user

Page 41: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

41

Authorization

● Proses menegakkan kebijakan:– Menentukan jenis atau kualitas kegiatan– Sumber daya, atau layanan yang diizinkan untuk

pengguna● Pengguna mendapatkan hak untuk melakukan

sesuatu

Page 42: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

42

Audit

● Memonitor:– Pengguna login (waktu, tanggal, dll)– Perilaku pengguna– Akses Terhadap source– Lama Akses

● Menentukan kapasitas kedepannya● Resolusi masalah

Page 43: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

43

Password Management

Page 44: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

44

Formal Verification

Page 45: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

45

Perangkat Lunak Yang Dapat Digunakan

Page 46: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

46

Intrusion Detection System

● Snort● OSSEC HIDS● Fail2ban

Page 47: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

47

Konfigurasi yang baik

● Menempatkan semua konfigurasi sesuai dengan spesifikasinya (Isi variabel, lokasi, dll)

● Meastikan sistem tidak error ketika terjadi update atau upgrade

● Konfigurasi memiliki integrity check yang baik, dan harus diketahui ketika terjadi perubahan

Page 48: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

48

Application Firewall

● Mencegah serangan terhadap sistem elektronik

● Melindungi di level aplikasi

● CheckPoint● SonicWall● Barracuda Network● Fortinet● AppArmor● ModSecurity

Page 49: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

49

Hexatier

● Database Firewall● Prevent SQL Injection● Databace Activity Monitoring● Realtime Alerts● Support: Mariadb, MySQL, SQL-Server, Amazon

Aurora

Page 50: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

50

Static Analyzer

● Code Dx● Microfocus● Coverity ● Gamma

Page 51: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

51

Enterprise Operating System

● Redhat Enterprise Linux 5 dan 6● Suse Linux Enterprise Server ● Oracle Solaris ● Windows Server

Page 52: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

52

SPIN and UPAAL

● Formal Verification● Model Checking● Digunakan oleh banyak badan:

– flood control barrier rotterdam– NASA: Mars Science Laboratory, Deep Space 1,

Cassini, the Mars Exploration Rovers, Deep Impact, etc.

– Toyota Investigation● Source: http://spinroot.com/spin/success.html

Page 53: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

53

Case

Page 54: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

54

Kemenpora.go.id

Apache +Mod_security

WebProgram

DatabaseFirewall

DatabaseSystem

App Armor

App Armor

App Armor

Suse Linux Server

LogMngmnt

Page 55: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

55

Presidenri.go.id (Era SBY)

NGINX WebProgram

DatabaseSystem

App Armor

App Armor

App ArmorStatic WEB

FullHTML

Static FileGenerator

Suse Linux Server

LogMngmnt

Page 56: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

56

Indeks Keluarga Sehat

AplikasiFront End

InputIKS

MessageBroker

Cluster Big DataDatabase

Hitung IKS

FrontEndPelaporanNilai IKS

On MemoryDatabase

DatabaseViasualisasi

Akuisisi Penyimpanan Analisis danPemrosesan

Visualisasi

Page 57: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

57

Komunikasi Antar Agen (SPIN)

Page 58: Practical Approach of Information Security Protection

Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach

58


The REA Approach

The REA Approach

SISTEM APPROACH

SISTEM APPROACH

Comparative Industry Approach

Comparative Industry Approach

Hand Protection

Hand Protection

17. Respiratory Protection

17. Respiratory Protection

Makalah K3 Fall Protection

Makalah K3 Fall Protection

Mouth Protection FKG

Mouth Protection FKG

Business Plan (Practical)

Business Plan (Practical)

Skema Sertifikasi Practical Office Advanced

Skema Sertifikasi Practical Office Advanced

Bass Expander & Speaker Protection

Bass Expander & Speaker Protection

Pulp Protection Pulp Capping

Pulp Protection Pulp Capping

HUMAN RESOURCES MANAGEMENT PRACTICAL BEHAVIOR BASED INTERVIEWforummanajemen.com/silabus/Practical-Behavior-Based-Interview.pdf · Kinerja karyawan memiliki dampak langsung terhadap

HUMAN RESOURCES MANAGEMENT PRACTICAL BEHAVIOR BASED INTERVIEWforummanajemen.com/silabus/Practical-Behavior-Based-Interview.pdf · Kinerja karyawan memiliki dampak langsung terhadap

Practical Sadhana

Practical Sadhana

Demystifying Outcomes Assessment for International Educators: A Practical Approach

Demystifying Outcomes Assessment for International Educators: A Practical Approach

External Lightning Protection

External Lightning Protection

File Permission & File Protection

File Permission & File Protection

Jurnal Cathodic Protection

Jurnal Cathodic Protection

AIA Critical Protection

AIA Critical Protection

Community Services Approach

Community Services Approach

Stator earth fault protection

Stator earth fault protection