Manajemen Keamanan dan Analisis Risiko

Keamanan komputer (Computer security) merupakan prosedur keamanan informasi yang diterapkan kepada komputer dan jaringannya. Tujuan Keamanan Komputer yaitu membantu pengguna agar dapat mencegah terjadinya penipuan atau mendeteksi adanya usaha penipuan di sebuah sistem yang berbasis informasi. Hal ini dapat dicegah apabila kita memahami tentang Manajemen Keamanan dan Analisis Risiko.

Baca Juga: Model Bell–LaPadula dan model UNIX dalam Keamanan Komputer

Sebelum masuk ke dalam pembahasan mengenai Manajemen Keamanan dan Analisis Risiko, ada perlu mengetahui tentang apa yang perlu diamankan dan diamankan terhadap apa.

Apa yang perlu diamankan?

Keamanan komputer merupakan sebuah tindakan untuk mengamankan kinerja dan proses komputer. Selain itu, hal lain yang diamankan yakni berupa berkas dan sumber daya lainnya.

Diamankan terhadap apa?

Dalam kehidupan sehari-hari, hal ini berguna untuk menjaga sumber daya sistem supaya tidak digunakan, modifikasi, interupsi, dan diganggu oleh orang yang tidak memiliki hak akses (pihak tidak berwenang).

Contoh Kasus dalam Keamanan Komputer

Beberapa kasus yang pernah terjadi dalam keamanan komputer diantaranya:

Penipuan Orang dalam atau Insider Farud (1966)

Programmer menulis kode untuk bank yang mana membuat program tersebut mengabaikan cerukan (overdrafts) di rekeningnya. Kejadian ini ditemukan saat komputer rusak dan akun diproses secara manual. Hasilnya hukuman ditangguhkan (uang dilunasi). Kemudian dipecat, tetapi dipekerjakan kembali sebagai kontraktor.

Spionase – Penipuan Identitas (1971)

Skenario: pesaing A dan pesaing B dengan pelanggan biasa C. Melakukan komunikasi melalui telepon oleh nomor telepon rahasia (tidak terdaftar). Karyawan dari A mencari tahu tentang nomor rahasia C yang digunakan untuk menelepon B (ditampilkan di atas terminal). Menggunakan nomor ini untuk menelepon B dan berpura-pura menjadi C. Mencari filesystem, requests code untuk dikirim ke terminalnya dan juga punched cards untuk dikirim. Terungkap saat B bertanya kepada C mengenai kartu tersebut dan C tidak tahu apa-apa tentang itu. Diyakini sebagai kasus pertama di mana surat perintah digunakan untuk mencari memori komputer.

Password Sniffing (1978)

Seorang siswa menulis program untuk time-­sharing system dan meninggalkannya di dalam disk untuk pengguna yang ingin tahu. Saat program dieksekusi, maka program akan mengalami “crash” dan kemudian meminta nama pengguna dan kata sandi. Nama pengguna dan kata sandi tersebut kemudian dikumpulkan dan akan digunakan untuk menghapus file korban.

TCP Session Hijacking (1984)

Prediksi tantangan untuk mengirim pesan yang terlihat berasal dari host tepercaya.

Manajemen Keamanan - TCP Session Hijacking

Kegagalan layanan atau Denial of Service

TCP SYN flooding, yakni menghabiskan sumber daya responder dengan membuat permintaan koneksi TCP yang setengah terbuka (half-­open TCP connection requests).

Manajemen Keamanan - TCP SYN flooding

MyDoomworm, catatan insiden CERT (Computer Emergency Response Team) IN­-2004­-01. Tersebar melalui email dan jaringan p2p Kazaa. Pengguna email harus mengklik lampiran untuk mengaktifkan worm. MyDoom sangat berhasil dikarenakan lampiran tersebut terlihat seperti pesan kesalahan asli. Serangan Denial-of-Service (DoS) terdistribusi pada www.sco.com. Tanggal pemicu untuk berhenti untuk menyebar / DoS-attacking pada 12 Februari 2004.

Spam

Berupa email yang tidak diminta. Merupakan sebuah gangguan besar, tetapi pengiriman surat massal yang tidak diminta bukanlah masalah baru.

Ditangani melalui undang-undang: di Eropa berdasarkan EC Directive
2002/58 / EC, semakin meningkat juga di AS.
Tindakan teknis : filter spam, teka-teki visual (“catchhas”), dll.

Penipuan Telekomunikasi atau Telecomm Fraud

Ponsel generasi pertama: pengidentifikasi pengguna yang dikirim tanpa perlindungan. Mudah dicegat dan digunakan untuk melakukan panggilan yang dibebankan ke korban.

Penipuan PABX (private automatic branch exchange): merutekan panggilan melalui PABX perusahaan yang tidak dilindungi. Panggilan dibebankan kepada korban.

Penipuan SMS: Pesan SMS meminta penerima untuk memanggil kembali nomor yang secara otomatis dialihkan ke nomor 900 yang mahal.

Gim Komputer atau Computer Games

Dalam permainan komputer kompetitif, pemain bersaing untuk mendapatkan skor tertinggi. Dalam permainan komputer interaktif lainnya, pemain secara langsung bersaing satu sama lain. Jika pemain dapat menipu bot yang sedang berjalan (perangkat lunak yang mengotomatiskan respons pengguna) dan sejenisnya, insentifitas untuk bermain game akan berkurang. Oleh karena itu, pengembang yang ingin menjual game mereka tertarik untuk menghentikan penipu (cheaters).

Semua kasus di atas dapat dilihat sebagai masalah “keamanan”. Keamanan mencakup berbagai masalah. Daftar serangan lebih banyak daripada yang disebutkan di atas. Saat memikirkan keamanan, mulailah dari aplikasinya, bukan dari teknologinya. Serangan dapat mengeksploitasi titik lemah dari “model bisnis” daripada kekurangan teknis. Masalah keamanan jarang dapat diatasi, tetapi dapat dikelola.

Sistem mungkin gagal karena berbagai alasan seperti:

  • Reliability (Keandalan) yang berurusan dengan kegagalan yang tidak disengaja.
  • Usability (Kegunaan) untuk mengatasi masalah yang timbul dari kesalahan pengoperasian yang dilakukan oleh pengguna.
  • Keamanan berhubungan dengan kegagalan yang disengaja: ada pada tahap tertentu seseorang membuat keputusan untuk melakukan sesuatu yang tidak seharusnya dilakukannya.
  • Alasan: kejahatan, kedengkian, keingintahuan, kebodohan,…

Kebijakan keamanan

  • Pertanyaan: Apakah sistem ini aman?
  • Jawaban: Pertanyaan yang salah; harap lebih spesifik tentang persyaratan perlindungan Anda.
    • Lindungi PC dari serangan virus dan worm?
    • Tidak ada akses tidak sah ke LAN perusahaan?
    • Jaga kerahasiaan dokumen sensitif?
    • Verifikasi identitas mitra dalam transaksi bisnis?
  • Kebijakan keamanan merumuskan tujuan keamanan.

Jenis Kebijakan [Sterne]

  • Kebijakan keamanan organisasi : Hukum, aturan, dan praktik yang mengatur bagaimana organisasi mengelola dan melindungi sumber daya untuk mencapai tujuan kebijakan keamanannya.
    • Organisasi harus mematuhi peraturan yang diberikan
  • Kebijakan keamanan otomatis : Batasan dan properti yang menentukan bagaimana sistem komputasi mencegah pelanggaran kebijakan keamanan organisasi.
    • Spesifikasi teknis terperinci

Manajemen Keamanan

Perlindungan aset suatu organisasi merupakan tanggung jawab dari manajemen keamanan. Namun, tindakan pengamanan mungkin membatasi orang dalam pola kerja mereka, sehingga mungkin ada godaan untuk memamerkan aturan keamanan. Hal ini kemungkinan besar terjadi jika instruksi keamanan tidak datang dari otoritas yang lebih tinggi tetapi dari beberapa cabang organisasi lainnya.

Security Awareness

Agar Manajemen Keamanan efektif, kebijakan keamanan harus didukung oleh manajemen tertinggi, seperti mengeluarkan piagam keamanan. Yakni dokumen yang menjelaskan aturan umum.

Jangan perlakukan pengguna sebagai musuh: pengguna harus memahami bahwa mereka melindungi aset mereka sendiri.

Security awareness programs (Program kesadaran keamanan) harus menjadi bagian dari strategi keamanan umum.

Tidak setiap anggota dalam organisasi harus menjadi pakar keamanan, tetapi semua anggota harus mengetahui:

  • Mengapa keamanan penting bagi diri mereka sendiri dan bagi organisasi
  • Apa yang diharapkan dari setiap anggota
  • Kebiasaan baik mana yang harus mereka ikuti

Harga Keamanan

Harga yang dibayarkan untuk keamanan tidak boleh melebihi nilai aset yang ingin Anda lindungi. Untuk memutuskan apa yang akan dilindungi, anda harus melakukan beberapa jenis analisis risiko. Anda harus tahu aset anda. Anda harus memahami bagaimana aset Anda bisa rusak. Total biaya tindakan keamanan melampaui biaya “teknologi keamanan” (misalnya firewall atau sistem deteksi intrusi).

Aset

  • Perangkat keras: laptop, server, router, PDA, ponsel,smart cards, dll.
  • Perangkat lunak: aplikasi, sistem operasi, sistem basis data, kode sumber, kode objek, dll.
  • Data & informasi: data penting untuk menjalankan dan merencanakan bisnis Anda, rencana desain, konten digital, data tentang pelanggan.
  • Pendapatan dan jasa
  • Reputasi perusahaan, kepercayaan dan nama merek
  • Waktu karyawan

Kerusakan (Damage)

  • Pengungkapan informasi, spionase
  • Modifikasi data
  • Tidak dapat melakukan pekerjaan Anda karena sumber daya yang diperlukan tidak tersedia
  • Spoofing identitas (“pencurian” identitas)
  • Akses tidak sah ke layanan
  • Pendapatan hilang
  • Reputasi rusak
  • Pencurian peralatan

Standar Manajemen

Standar manajemen keamanan preskriptif yang menetapkan tindakan keamanan mana yang harus diambil dalam organisasi yang ada untuk cabang industri tertentu. Contoh tipikal adalah peraturan untuk sektor keuangan, atau peraturan untuk menangani materi rahasia di departemen pemerintah. Standar manajemen lainnya paling baik dijelaskan sebagai kode praktik terbaik untuk manajemen keamanan. Yang paling menonjol dari standar ini adalah ISO 17799. Ini bukan standar teknis untuk produk Manajemen Keamanan atau serangkaian kriteria evaluasi untuk produk atau sistem.

Regulasi

Data pribadi

  • Panduan OECD tentang Perlindungan Privasi dan Arus Lintas Batas Data Pribadi
  • Arahan Perlindungan Data UE
  • Arahan UE tentang privasi dan komunikasi elektronik California
  • SB1386

Kesehatan

  • HIPAA (AS)
  • Peraturan FDA untuk perusahaan farmasi

Sektor keuangan

  • Aturan untuk bank, asuransi, bursa saham,…
  • SarbanesOxley Act of 2002 on Accounting Information Systems (“SOX”)

dan banyak lagi

ISO 17799

  1. Menetapkan kebijakan keamanan organisasi
  2. Infrastruktur keamanan organisasi
  3. Klasifikasi dan pengendalian aset
  4. Keamanan fisik dan lingkungan
  5. Keamanan personel
  6. Manajemen komunikasi dan operasi
  7. Kontrol akses
  8. Pengembangan dan pemeliharaan sistem
  9. Perencanaan kelangsungan bisnis
  10. Kepatuhan
  • Mencapai kepatuhan dengan ISO 17799 sendiri bisa menjadi tugas yang cukup berat.
  • Keadaan organisasi Anda saat ini, standar, harus ditetapkan dan apa saja kekurangan yang teridentifikasi harus diatasi.
  • Alat perangkat lunak yang sebagian mengotomatiskan proses ini ada, membantu menerapkan praktik terbaik.
  • Compliance ≠ Security

Analisis Risiko dan Ancaman

Untuk meyakinkan manajer (atau pelanggan) tentang manfaat dari mekanisme keamanan baru, alangkah baiknya jika kita dapat mengukur keamanan sistem sebelum dan setelah memperkenalkan mekanisme tersebut. Sulit untuk membuat keputusan manajemen yang beralasan tanpa informasi kuantitatif seperti itu. Idealnya, suatu pengukuran memberikan hasil kuantitatif yang dapat dibandingkan dengan pengukuran lain, bukan sekadar pernyataan kualitatif tentang keamanan produk atau sistem yang dianalisis.

Banyak bidang teknik dan bisnis telah mengembangkan disiplin dan terminologi mereka sendiri untuk analisis risiko. Dalam keamanan TI, analisis risiko sedang diterapkan: Secara komprehensif untuk semua aset informasi suatu perusahaan, khusus untuk infrastruktur TI perusahaan, selama pengembangan produk atau sistem baru (misalnya dalam keamanan perangkat lunak). Secara informal, risiko adalah kemungkinan bahwa suatu insiden atau serangan dapat menyebabkan kerusakan pada perusahaan Anda.

Serangan

Serangan terhadap sistem TI adalah rangkaian tindakan, mengeksploitasi titik lemah dalam sistem hingga tujuan penyerang tercapai. Untuk menilai risiko yang ditimbulkan oleh suatu serangan, kita harus mengevaluasi jumlah kerusakan yang terjadi dan kemungkinan terjadinya serangan. Kemungkinan ini akan bergantung pada motivasi penyerang dan seberapa mudahnya melakukan serangan. Pada gilirannya, ini selanjutnya akan tergantung pada konfigurasi keamanan dari sistem yang diserang.

Analisis resiko

Untuk mengatur proses analisis risiko, kita akan melihat aset, kerentanan dan ancaman. Risiko adalah fungsi dari aset, kerentanan dan ancaman:

Risiko = Aset × Ancaman × Kerentanan

Selama analisis risiko, nilai ditetapkan ke aset, kerentanan, dan ancaman.

Kuantitatif atau Kualitatif?

Di analisis risiko kuantitatif , nilai diambil dari domain matematika seperti ruang probabilitas.

  • Misalnya, kami dapat menetapkan nilai moneter ke aset dan probabilitas untuk ancaman dan kemudian menghitung kerugian yang diharapkan.

Di analisis risiko kualitatif , nilai diambil dari domain yang tidak memiliki struktur matematika yang mendasarinya.

  • Risiko dihitung berdasarkan aturan yang mencakup saran gabungan dari pakar keamanan.

Aset

Pertama, aset harus diidentifikasi dan dinilai. Aset seperti perangkat keras dapat dinilai sesuai dengan biaya penggantian moneternya. Untuk aset lain seperti data & informasi lebih sulit.

Jika rencana bisnis Anda bocor ke persaingan atau data pribadi tentang pelanggan Anda bocor ke publik ada kerugian tidak langsung karena hilangnya peluang bisnis. Untuk peralatan yang hilang atau dicuri, Anda harus mempertimbangkan nilai data yang disimpan di dalamnya, dan nilai layanan yang menjalankannya.

Nilai aset sesuai dengan kepentingannya. Sebagai metrik yang baik untuk kepentingan, tanyakan pada diri Anda berapa lama bisnis Anda dapat bertahan ketika aset tertentu telah rusak: sehari, seminggu, sebulan?

Kerentanan

Kelemahan sistem yang dapat dieksploitasi secara tidak sengaja atau sengaja untuk merusak aset. Kerentanan khas dalam sistem TI adalah:

  • Akun dengan hak istimewa sistem di mana kata sandi default, seperti “MANAGER”, belum diubah.
  • Program dengan hak istimewa yang tidak perlu atau kekurangan yang diketahui.
  • Pengaturan kontrol akses yang lemah pada sumber daya, misalnya memiliki dunia memori kernel yang dapat ditulis.
  • Konfigurasi firewall yang lemah yang memungkinkan akses ke layanan yang rentan.

Pemindai kerentanan menyediakan cara sistematis dan otomatis untuk mengidentifikasi kerentanan. Sumber untuk pembaruan kerentanan: CERT , SANS, BugTraq, dll.

Peringkat Kerentanan

Nilai kerentanan menurut dampaknya (tingkat kekritisan):

  • Kerentanan yang memungkinkan penyerang mengambil alih akun sistem lebih penting daripada kerentanan yang memberikan akses ke akun pengguna yang tidak memiliki hak istimewa.
  • Kerentanan yang memungkinkan penyerang untuk sepenuhnya meniru pengguna lebih kritis daripada kerentanan di mana pengguna hanya dapat ditiru dalam satu layanan tertentu.

Beberapa pemindai kerentanan juga memberikan peringkat untuk kerentanan yang mereka deteksi.

Sistem Peringkat Tingkat Keparahan Microsoft

Kritis (Critical): eksploitasi dapat memungkinkan penyebaran worm Internet tanpa tindakan pengguna.
Penting (Important): eksploitasi dapat membahayakan kerahasiaan, integritas, atau ketersediaan data pengguna, atau integritas atau ketersediaan sumber daya pemrosesan.
Moderat (Moderate): eksploitasi berkurang ke tingkat yang signifikan, misalnya dengan konfigurasi default atau dengan audit.
Rendah (Low): eksploitasi sangat sulit, atau dampaknya minimal.

Ancaman

Ancaman adalah tindakan musuh yang mencoba mengeksploitasi kerentanan untuk merusak aset. Ada berbagai cara untuk mengidentifikasi ancaman seperti:

  • Mengkategorikan ancaman berdasarkan kerusakan yang dilakukan pada aset.
  • Mengidentifikasi sumber serangan. Akankah musuh menjadi anggota organisasi Anda atau orang luar, kontraktor atau mantan anggota? Apakah musuh memiliki akses langsung ke sistem Anda atau apakah serangan itu diluncurkan dari jarak jauh?

Attack Trees

Menganalisis bagaimana serangan dijalankan secara detail. Sebuah serangan dapat dimulai dengan langkah-langkah yang tidak berbahaya, mengumpulkan informasi yang diperlukan untuk melanjutkan untuk mendapatkan hak istimewa pada satu mesin, dari sana lompat ke mesin lain, hingga target akhir tercapai. Untuk mendapatkan gambaran yang lebih lengkap tentang potensi ancaman, attack trees bisa dibangun.

Analisis Risiko - Contoh Attack Tree

Peringkat Ancaman

Nilai ancaman sesuai dengan kemungkinannya. Kemungkinan ancaman bergantung pada:

  • kesulitan serangan,
  • motivasi penyerang,
  • jumlah penyerang potensial.

Skrip serangan (Attack scripts) mengotomatiskan serangan, membuatnya mudah untuk meluncurkan serangan. Mereka cenderung tersedia untuk kelompok penyerang yang lebih besar. Oleh karena itu, serangan seperti itu akan dinilai lebih mungkin daripada serangan buatan tangan individu.

Menghitung Resiko

Dalam analisis risiko kuantitatif, kerugian yang diharapkan dapat dihitung berdasarkan nilai moneter untuk aset dan probabilitas kemungkinan ancaman.

  • Keuntungan: kami menggunakan teori matematika mapan ( yakni teori probabilitas)
  • Kerugian bahwa peringkat yang bisa kita peroleh seringkali cukup tidak tepat dan
    berdasarkan tebakan.
  • Kualitas hasil yang kami peroleh tidak bisa lebih baik dari kualitas input
    yang diberikan.

Metode kuantitatif bekerja di beberapa bidang analisis risiko. Lebih sering kita hanya bisa memperoleh peringkat di mana tidak ada pembenaran untuk memiliki input ini diproses oleh kalkulus matematika yang mapan.

Dalam analisis risiko kualitatif, menilai:

  • aset dalam skala kritis
    – sangat penting – penting – tidak penting.
  • Kekritisan kerentanan dapat pada skala
    harus langsung diperbaiki – Harus segera diperbaiki – Harus diperbaiki – diperbaiki jika nyaman.
  • ancaman dalam skala
    sangat mungkin – mungkin – tidak mungkin – sangat tidak mungkin.

Untuk perincian penskalaan yang lebih baik, misalnya, Anda dapat menggunakan nilai
numerik dari 1 hingga 10. Skema apa pun yang digunakan, panduan harus diberikan tentang cara menetapkan peringkat. Pemetaan peringkat aset, kerentanan, dan ancaman, terhadap risiko sering kali diberikan oleh tabel yang dibuat untuk mencerminkan penilaian pakar keamanan.

Mitigasi Resiko

Analisis risiko menghasilkan daftar ancaman yang diprioritaskan, dengan tindakan
pencegahan yang direkomendasikan untuk mengurangi risiko. Alat analisis biasanya memiliki basis pengetahuan tentang tindakan penanggulangan ancaman yang dapat mereka identifikasi. Strategi mitigasi risiko secara umum:

  • Terima risiko (dan hiduplah dengannya)
  • Hindari risiko: hilangkan kerentanan yang menyebabkan risiko; jatuhkan fitur produk yang memiliki kerentanan.
  • Batasi risiko: gunakan kendali untuk mengurangi kemungkinan ancaman.
  • Risiko transfer: beli asuransi.

Perlindungan dasar

Mungkin tampak sepele benar bahwa seseorang harus terlebih dahulu melalui analisis risiko sebelum memutuskan tindakan keamanan mana yang akan diterapkan. Pendekatan ideal ini mungkin tidak berhasil karena dua alasan:

  • Melakukan analisis risiko untuk organisasi yang lebih besar akan memakan waktu, tetapi sistem TI di organisasi dan dunia sekitar akan terus berubah. Pada saat hasil analisis sudah siap, hasil tersebut sudah usang.
  • Biaya analisis risiko penuh mungkin sulit untuk dibenarkan oleh manajemen.

Organisasi dapat memilih perlindungan dasar sebagai alternatif. Pendekatan ini menganalisis persyaratan keamanan untuk kasus-kasus tertentu dan merekomendasikan langkah-langkah keamanan yang dianggap memadai.

  • Manual Perlindungan Baseline BSI

Kesimpulan

  • Manajemen keamanan menciptakan konteks di mana mekanisme keamanan individu beroperasi.
  • Tanpa manajemen keamanan yang baik, bahkan mekanisme keamanan yang kuat mungkin tidak akan efektif
  • Panduan penting: ISO 17799 dan BSI Baseline Protection Manual.
  • Analisis risiko memberikan informasi manajemen tentang risiko yang dihadapi organisasi dan tindakan pencegahan yang dapat diambil.
  • Panduan manajemen keamanan dan metode analisis risiko dapat dijelaskan sebagai akal sehat terorganisir.

Baca Juga: Dasar Keamanan Komputer Yang Perlu Kamu Tahu

Referensi

A.R.D. Norman: Computer Insecurity, Chapman & Hall, 1983
Dieter Gollmann. Computer Security Second Edition. http://www.wiley.com/go/gollmann

Tinggalkan komentar

error: Content is protected !!