Practical Approach of Information Security Protection
Transcript of Practical Approach of Information Security Protection
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
1
Koko Bachrudin, S.Kom., MMSI.
Practical Approach of InformationSecurity Protection
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
2
Tentang Saya
● System Administrator situs presidenri.go.id (2012-2014), wapresri.go.id (2008-2014)
● System Administrator portal kemenpora.go.id (2008 – Sekarang)
● CTO ddoeth.id● Instruktur pelatihan Digital Forensics (kominfo,
BPJS-TK)● Penilitian di bidang safety and security
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
3
Unit Kompetensi
Kode Unit Judul Unit
J.62090.020 Menglola Log
J.62090.024 Melaksanakan Pencatatan Aset
J.62090.012 Mengaplikasikan Ketentuan/Persyaratan Keamanan Informasi
J.62090.032 Menerapkan Kontrol Akses Berdasarkan Konsep/metedologi yang telah diterapkan
J.62090.001 Menerapkan Prinsip Perlindungan Informasi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
4
“Only the Sith deal in absolutes”-Obi Wan Kenobi-
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
5
Agenda
● Konsep Keamanan Informasi● Serangan terhadap Kemanan informasi● Bagaimana Bertahan● Perangkat Lunak yang dapat Digunakan● Contoh Penerapan
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
6
Keamanan Informasi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
7
Burma, 2010
● DdoS Burma's main Internet provider● Menyerang Sistem Pemilu● 0.5 sampai 10-15 Gbit/s
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
8
Estonia, 2007
● Menyerang hampir seluruh IT di Estonia● Menggunakan Botnet
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
9
Fenomena Stuxnet
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
10
Critical Information Infrastructure Protection
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
11
Critical Information Infrastructure Protection
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
12
Konsep keamanan Informasi
● Confidentiality (Kerahasiaan)● Integrity (Integritas)● Availability (ketersediaan)
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
13
Evaluation Assurance Level (EAL)
● EAL 1: Functionally Tested● EAL 2: Structurally Tested● EAL 3: Methodically Tested and Checked● EAL 4: Methodically Designed, Tested and
Reviewed● EAL 5: Semiformally Designed and Tested● EAL 6: Semiformally Verified Design and Tested● EAL 7: Formally Verified Design and Tested
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
14
EAL 1: Functionally Tested
● Sistem elektronik telah diuji dan berfungsi dengan baik
● Diterapkan pada kepercayaan terhadap sistem tinggi dan ancaman bukan menjadi masalah besar
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
15
EAL 2: Structurally Tested
● Sistem Elektronik diuji pada level struktur● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat keamanan yang rendah
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
16EAL 3: Methodically Tested and Checked● Diuji pada level metode pengembangan sistem
elektronik● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat keamanan yang rendah sampai sedang
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
17EAL 4: Methodically Designed, Tested and Reviewed● Diuji pada level metode perancangan sistem
elektronik● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat keamanan sedang sampai tinggi● Tingakatan tertinggi secara ekonomi dapat
dilakukan
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
18EAL 5: Semiformally Designed and Tested● Sistem Elektronis Diuji secara semi-formal● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat keamanan Tinggi dan independen
● Untuk menghindari sesuatu yang belum diketahui masalahnya
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
19EAL 6: Semiformally Verified Design and Tested● Sistem Elektronis Diuji secara semi-formal dan
terverifikasi● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat Resiko yang Tinggi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
20EAL 7: Formally Verified Design and Tested● Sistem Elektronis Diuji secara formal Matematis
dan terverifikasi● Diterapkan dalam situasi dimana sistem harus
memiliki tigkat Resiko yang Tinggi dan memiliki nilai yang tinggi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
21
Ancaman Keamanan Informasi Yang Sering Timbul
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
22
Confidentiality (Kerahasiaan)
● Packet Capturing● Password Attack● Port Scanning● Phishing● Social Enginering
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
23
Integrity (Integritas)
● Man-in-the-middle attacks● Session hijacking attacks● Modified Document
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
24
Availability (ketersediaan)
● DoS● Ddos● ICMP Flood● Electrical power attacks● Server Room Environment attacks● Bad Architecture and Configuration
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
25
Vulnerability
● Kecacatan pada sistem elektronis● Disebakan oleh buruknya fase pengembangan
sistem elektronik, atau● Buruknya fase implementasi sistem elektronik● Melahirkan sebuah exploit● Contoh kasusu: Vulnerability pada BASH, SSLv2
(DROWN Attack), WPA2(KRACK)
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
26
Rootkits
● Memberikan akses kepada user yang tidak berhak
● Mendapatkan akses administrator (root)● Sulit untuk terdeteksi● Contoh kasus: Sony BMG, Linux Rootkits,
Windows Rootkits● Tidak hanya digunakan untuk eskalasi akses,
namun digunakan untuk menjalankan program berbahaya
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
27
Backdoors
● Sebuah proses yang berjalan untuk memfasilitasi user yang tidak berhak untuk mengakses sistem elektronis
● Ada setelah sistem berhasil di kuasai baik secara shell atau aplikasi
● Digunakan oleh user yang tidak berhak untuk mengakses resource yang ada pada komputer
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
28
Employee Fraud
● Karyawan tidak di berikan kontrol akases yang baik
● Karyawan memanfaatkan previleges yang dimiliki untuk melakukan kejahatan
● Contoh: Flash Sale Tokopedia, Snowden
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
29
Kecatatan Program
Ariane 5AF 296
AF 447qz8501
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
30
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
31
Kecacatan Program
● 64 bit floating point number problem
● Pitot tubes Problem ● Override Input● Hardware Design
Problems● Inaccurate tracking
calculation
● Ariane 5 Rocket● Air France 447● Air France 296● Air Asia qz8501● U.S. Patriot
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
32
Bagaimana Bertahan??
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
33
Secure Human Resource
● Okupasi Berbasiskan Standar Terkait● Metode seleksi karyawan dengan
memperhatikan integritas● Memastikan Terdapat Akses Kontrol yang jelas
pada setiap user untuk mengakses resource
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
34
Secure Software Design
● Mencegah adanya – Vulnerabilities– Cacat– Kesalahan Logika, sejak awal perancangan program
● Sering digunakan pada:– Sistem kritis– Teknologi penerbangan
● Di evaluasi menggunakan EAL
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
35
Secure Operating System
● Memiliki sertifikasi keamanan sistem operasi ● Berdasarkan pada Common Criteria dan FIPS
140-2● Beberapa sistem operasi yang memiliki
sertifikasi EAL4: Oracle Solaris, BAE STOP, RHEL5, RHEL6, SLES
● Windows 2000, 2003, 2008, XP
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
36
Encryption
● Penggunaan teknologi/metode enkripsi standar yang telah teruji
● Enkripsi sangat bergantung pada kunci, jalur/data mungkin aman. Pertanyaan berikutnya adalah bagaimana menyimpan kunci??
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
37
Firewall
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
38
File Integrity Test
● Melukan test integritas kepada seluruh file penting
● Dapat mendeteksi perubahan yang terjadi pada file
● Memberikan informasi secara berkala, untuk ketepatan dalam melakukan aksi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
39
Akses Kontrol (AAA Framework)
● Authentication● Authorization● Audit
Authentication
Authorization
Credential
Perrmisson
Resource
Activity
1
2
3
4
Audit
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
40
Authentication
● Indentifikasi user● Memeriksa “credential” user● Memeriksa kriteria user
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
41
Authorization
● Proses menegakkan kebijakan:– Menentukan jenis atau kualitas kegiatan– Sumber daya, atau layanan yang diizinkan untuk
pengguna● Pengguna mendapatkan hak untuk melakukan
sesuatu
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
42
Audit
● Memonitor:– Pengguna login (waktu, tanggal, dll)– Perilaku pengguna– Akses Terhadap source– Lama Akses
● Menentukan kapasitas kedepannya● Resolusi masalah
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
43
Password Management
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
44
Formal Verification
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
45
Perangkat Lunak Yang Dapat Digunakan
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
46
Intrusion Detection System
● Snort● OSSEC HIDS● Fail2ban
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
47
Konfigurasi yang baik
● Menempatkan semua konfigurasi sesuai dengan spesifikasinya (Isi variabel, lokasi, dll)
● Meastikan sistem tidak error ketika terjadi update atau upgrade
● Konfigurasi memiliki integrity check yang baik, dan harus diketahui ketika terjadi perubahan
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
48
Application Firewall
● Mencegah serangan terhadap sistem elektronik
● Melindungi di level aplikasi
● CheckPoint● SonicWall● Barracuda Network● Fortinet● AppArmor● ModSecurity
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
49
Hexatier
● Database Firewall● Prevent SQL Injection● Databace Activity Monitoring● Realtime Alerts● Support: Mariadb, MySQL, SQL-Server, Amazon
Aurora
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
50
Static Analyzer
● Code Dx● Microfocus● Coverity ● Gamma
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
51
Enterprise Operating System
● Redhat Enterprise Linux 5 dan 6● Suse Linux Enterprise Server ● Oracle Solaris ● Windows Server
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
52
SPIN and UPAAL
● Formal Verification● Model Checking● Digunakan oleh banyak badan:
– flood control barrier rotterdam– NASA: Mars Science Laboratory, Deep Space 1,
Cassini, the Mars Exploration Rovers, Deep Impact, etc.
– Toyota Investigation● Source: http://spinroot.com/spin/success.html
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
53
Case
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
54
Kemenpora.go.id
Apache +Mod_security
WebProgram
DatabaseFirewall
DatabaseSystem
App Armor
App Armor
App Armor
Suse Linux Server
LogMngmnt
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
55
Presidenri.go.id (Era SBY)
NGINX WebProgram
DatabaseSystem
App Armor
App Armor
App ArmorStatic WEB
FullHTML
Static FileGenerator
Suse Linux Server
LogMngmnt
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
56
Indeks Keluarga Sehat
AplikasiFront End
InputIKS
MessageBroker
Cluster Big DataDatabase
Hitung IKS
FrontEndPelaporanNilai IKS
On MemoryDatabase
DatabaseViasualisasi
Akuisisi Penyimpanan Analisis danPemrosesan
Visualisasi
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
57
Komunikasi Antar Agen (SPIN)
Pusat Kajian E-Govetnment – Universitas GunadarmaSecurity Approach
58