Skip to content

Instantly share code, notes, and snippets.

@KennFatt

KennFatt/iss_recap.md

Last active May 17, 2021 07:36
Show Gist options
  • Save KennFatt/eafa1d330a29fc423c846fc84e3204ab to your computer and use it in GitHub Desktop.
Save KennFatt/eafa1d330a29fc423c846fc84e3204ab to your computer and use it in GitHub Desktop.
Download ZIP
πŸ” Recap: Information System Security Module
Raw
iss_recap.md

πŸ” Recap: Information System Security Module

Pertanyaan meliputi materi yang telah dipelajari dari module ISS Bab 1 dan 2.

⚠️ Disclaimer

Pertanyaan dan informasi yang saya sampaikan hanya berdasarkan module dan beberapa elaborasi pribadi. Untuk memastikan kebenaran mohon baca module dan re-search kembali. Original content: KennFatt's Gist

πŸ”— Quick Navigation:

  1. Introduction
  2. Principle and Concept of ISS Management

Introduction

Memahami hal-hal yang menggangu proses komputasi. Seperti ancaman akan kehilangan, kerusakan, manipulasi, atau apapun itu yang berkaitan dengan data atau informasi.

Objective(s)
Memahami kebijakan dan prosedur untuk melindungi aset (data, informatsi, etc).
Mengetahui berbagai attribute dari berbagai ancaman.
Mengetahui perbedaan rekayasa sosial atau phising.
Identifikasi jenis malware.

1. Apa itu keamanan?

Keamanan adalah cara seseorang yang memahami strategi penyerangan dan pertahanan.

2. Bagaimana menjadi orang yang mengerti keamanan?

  • Dapat membandingkan dan membedakan jenis serangan
  • Mengerti awal dibuatnya suatu system
  • Mengetahui istilah dan gagasan mengenai keamanan yang digunakan

3. Apa itu keamanan informasi?

Kemanan yang mengacu pada perlindungan informasi atau sumber daya yang tersedia dari akses yang tidak sah.

4. Mengapa informasi perlu sistem keamanan?

  • Mempertahankan sistem untuk berjalan seperti seharusnya tanpa ada gangguan
  • Menghindari pencurian atau kebocoran suatu informasi
  • Menghindari kerusakan atau hilangnya suatu informasi

5. Sebutkan 3 tujuan utama keamanan informasi!

  1. Prevention: mencegah hak atau akses yang tidak sah
  2. Detection: pemeriksaan pada setiap komponen suatu sistem
  3. Recovery: upaya jika terjadi penyerangan

6. Apa itu Triad CIA?

Model yang dirancang untuk memandu kebijakan yang terkait dengan keamanan informasi.

7. Sebutkan 3 attribute Triad CIA!

  1. Confident: informasi hanya boleh diketahui oleh orang-orang tertentu
  2. Integrity: manipulasi (save, transfer, modify) dilakukan secara sah dan valid
  3. Availability: informasi dapat diakses dan manipulasi dengan mereka yang berwenang

8. Apa itu kebijakan keamanan?

Pernyataan resmi yang mendefinisikan bagaimana keamanan akan diterapkan dan disepakati dalam suatu organisasi.

Dalam kata lain, cara suatu organisasi melindungi kerahasiaan (Confident), integritas (Integrity), dan ketersediaan (Availability) suatu data dan sumber daya yang sensitif.

9. Siapa saja yang bertanggung jawab atas kebijakan keamanan?

  • Internal: departemen dari suatu organisasi yang diperuntukan khusus mengawasi dan menjalankan kebijakan keamanan
  • Manager: bertanggung jawab dengan domainnya sendiri (i.e. gedung, akuntansi, TI)
  • Staff Teknis: menerapkan, memelihara, dan memantau kebijakan (i.e. Petugas Keamanan Sistem Informasi, CyberSecurity Analyst)
  • Staff Non-teknis: menjalani kebijakan yang telah ditentukan
  • External: pengguna atau pihak ke tiga yang berkaitan langsung dengan organisasi

10. Jelaskan perbedaan Kerentanan, Ancaman, dan Risiko!

  • Kerentanan: kelemahan yang bisa dipicu secara tidak sengaja atau dieksploitasi sehingga menyebabkan pelanggaran keamanan
  • Ancaman: sesuatu atau seseorang yang menyalahgunakan kerentanan untuk melanggar keamanan
  • Risiko: kemungkinan dan dampak dari pelaku ancaman terhadap kerentanan

11. Apa faktor yang menjadikan suatu kerentanan menjadi ancaman?

Kerentanan bisa menjadi ancaman ketika ada pelaku yang memiliki niat dan motivasi yang buruk terhadap suatu organisasi.

Pelaku mungkin saja memiliki rasa keserakahan, keingintahuan, atau semacam keluhan yang berupaya untuk merusak dan mengganggu sistem atau mencuri sesuatu.

12. Apa yang dimaksud dengan istilah Hacker atau Attacker?

Hacker atau Attacker merupakan individu (atau kelompok) yang memiliki keterampilan untuk mendapatkan akses ke sistem komputer melalui cara yang tidak sah atau tidak disetujui.

Hacker sendiri dapat dibedakan menjadi 2, hal ini hanya membedakan motivasi atau niat dari si pelaku.

  • Black Hat/Cracker: jahat
  • White Hat: tidak berbahaya

13. Siapa saja yang menjadi ancaman orang dalam?

Beberapa individu seperti Anggota, Mantan Anggota, atau siapapun yang pernah atau sedang menjalankan hubungan dengan organisasi dan memiliki informasi-informasi penting terkait kemanan.

14. Mengapa orang dalam menjadi ancaman?

Tidak semua orang dalam menjadi pelaku sebuah ancaman, kuncinya adalah memahami motivasi dan niat dari pelaku.

Computer Emergency Response Team (CERT) dari University of Carnegie Mellon mengidentifikasi motive orang dalam antara lain:

  • Sabotase
  • Keuntungan finansial
  • Keuntungan bisnis

15. Bagaimana mengatasi ancaman orang dalam?

Kontrol teknis cenderung tidak mampu mencegah ancaman orang dalam, karena orang dalam lebih mungkin untuk melabuhinya.

Namun, organisasi dapat menerapkan monitoring (logging and audit) untuk melihat segala kejadian yang terjadi pada sistem.

16. Sebutkan tahap-tahap melakukan serangan ancaman!

  1. Perencanaan: menentukan metode apa yang tepat untuk menyerang
  2. Pengintaian: melakukan pemindaian pada suatu sistem sampai menemukan "lubang" informasi yang menjadi potensi penyerangan
  3. Eksploitasi: melakukan ekploitasi terhadap titik kerentanan yang telah ditemukan
  4. Panggilan balik: membuat jaringan rahasia dan mengirim perintah secara remote ke titik kerentanan
  5. Pengunduhan alat: meng-install alat pada titik kerentanan untuk melakukan penyerangan
  6. Penyebaran lateral: setelah suatu titik kerentanan dikuasai, maka lakukan pemindaian secara lebih besar untuk mendapatkan hak atau titik lainnya yang berpotensi sebagai penyerangan
  7. Penyerangan: semua bergantung dengan aktor, motive atau tindakan apa yang ingin dilakukan. Misal menyalin informasi atau pencurian data
  8. Mundur: keluar dari sistem dan menutup/menghapus semua jejak agar tidak diketahui

17. Apa tujuan penyerangan dengan cara Social Engineering?

Memperoleh informasi tentang jaringan dan sistem keamanan dengan berkompromi dengan korban. Atau membuat korban mengungkapkan informasi rahasia.

18. Sebutkan jenis-jenis Social Engineering attack!

  • Impersonation: berpura-pura dan meyakinkan korban untuk mengungkapkan informasi rahasia
  • Family/Relative: membujuk korban untuk melakukan hal-hal yang dinginkan oleh pelaku dengan berpura-pura sebagai keluarga atau kerabat
  • Fakta Survei/Sosial: menelusuri fakta tentang korban dan membuktikannya agar mendapat rasa "percaya" untuk mengelabuhi
  • Otoritas dan Intimidasi: mengaku sebagai seseorang yang bertanggung jawab atas suatu layanan
  • Scarcity dan Urgency: meyakinkan korban dengan waktu yang terbatas atau hanya beberapa orang saja yang menerima layanan
  • Phising: memanfaatkan social engineering dengan spoofing. Menipu korban dengan membuat situs palsu yang serupa
  • Pharming: mengarahkan korban dari situs yang sah ke situs yang jahat

19. Bagaimana cara mencegah Social Engineering attack?

Melakukan pelatihan SDM pada setiap element dalam organisasi.

20. Jelaskan pengertian dan tujuan Malicious Code!

Malicious Code merupakan perangkat lunak yang tidak diinginkan atau tidak sah yang berada pada suatu sistem dengan tujuan mengganggu operasi atau mengalihkan sumber daya sistem untuk manfaat tertentu.

21. Sebutkan jenis-jenis malware!

  • Virus
    • Tujuan:
      • menghambat proses komputasi
      • merusak file atau bahkan keseluruhan sistem
      • melakukan interaksi yang tidak diinginkan dan tanpa disadari
    • Bentuk:
      • Program yang dirancang untuk ditiru dan disebarkan komputer ke komputer dan dengan "menginfeksi" program lain yang sedang berjalan
    • Contoh / Target:
      • Boot sector virus: hidup pada sektor boot dan sistem
      • Program virus: hidup pada program seperti MS Word, Browsers, etc
      • Script virus: hidup pada dokumen seperti PDF
  • Worm
    • Tujuan:
      • Mengambil sumber daya korban
      • Melakukan serangan Denial of Service (DoS)
      • Pemasangan backdoor
    • Bentuk
      • Seperti Virus dan umumnya mengandalkan jaringan komputer untuk melakukan replikasi dan penyebaran. Worm dapat mereplikasi tanpa harus bergantung dengan program lain
    • Contoh / Target:
      • Server database
      • Web browser
  • Trojan
    • Tujuan:
      • Menyebabkan kerusakan pada sistem
      • Menjadikan korban (inang) sebagai sumber daya untuk penyerangan ke komputer lain
      • Mengendalikan sebuah sistem
    • Bentuk:
      • Tersembunyi di dalam paket aplikasi sehingga sulit untuk dianggap berbahaya oleh pengguna atau antivirus
    • Contoh:
      • Terpasang pada program-program bajakan
      • Screensaver atau utilitas desktop
  • Spyware
    • Tujuan:
      • Memantau aktivitas korban
      • Mengirim informasi-informasi korban
    • Bentuk:
      • Tersembunyi di dalam paket aplikasi (seperti trojan)
    • Contoh:
      • Keylogger
      • Screen recorder
      • Hijacked DNS request
  • Adware
    • Tujuan:
      • Melakukan pemantauan aktivitas korban (sama seperti Spyware)
      • Melakukan pencurian informasi (i.e. cookie stealing, cache/local storage exploitation, etc.)
    • Bentuk:
      • Ter-embedded pada situs website yang tidak terpercaya
    • Contoh:
      • Iklan pada situs film bajakan
      • Iklan yang muncul pada startpage browser (belum membuka situs manapun)
  • Rootkit
    • Tujuan:
      • Mengubah file sistem dan antarmuka program
      • Merusak sistem bahkan kerusakan hardware
        • Jika rootkit sudah hidup pada tingkat kernel dan mengeksploitasi secara langsung terhadap hardware melalui driver program
    • Bentuk:
      • Terintegrasi dengan program bawaan sistem sehingga sangat sulit untuk dideteksi dan dihapus
    • Contoh:
      • Malicious shell script
      • taskmanager, ps, top, netstat
  • Ransomware
    • Tujuan:
      • Memeras uang dari korban
    • Bentuk:
      • Melakukan enkripsi data pada komputer korban dan hanya dapat dikembalikan dengan kunci yang dipegang oleh pelaku
    • Contoh:
      • Terenkripsinya seluruh file dan data pada komputer sehingga kita tidak dapat membuka dan membaca informasi dari file tersebut

Back to top

Principle and Concept of Information System Security Management

Objective(s)
Memahami prinsip manajemen keamanan.
Mengatahui konsep serta mekanisme perlindungan keamanan.
Melakukan manajemen perubahan.
Melakukan klasifikasi data.

1. Apa itu prinsip manajemen keamanan?

Proses mendefinisikan parameter dasar yang diperlukan untuk mengamankan suatu lingkungan kerja. Parameter tersebut dijadikan sebagai acuan untuk disain, implementasi, dan administrasi suatu sistem.

2. Apa tujuan utama prinsip manajemen keamanan?

Manajemen keamanan dialamatkan pada 3 prinsip Confidentiality, Integrity, dan Availability (CIA).

Tujuan utama prinsip keamanan adalah untuk melakukan evaluasi setiap ancaman yang merujuk pada salah satu dari 3 prinsip tersebut.

3. Mengapa merujuk pada CIA?

3 Prinsip keamanan (CIA) menjadikan tujuan akhir dan kebutuhan keamanan suatu organisasi.

4. Elaborasi setiap properti dari CIA!

  • Confidentiality
    • Tujuan / Gagasan:
      • Melindungi akses informasi dari pihak yang tidak berhak
      • Menjaga rahasia perusahaan atau organisasi dari pihak lain yang mengininkan informasi yang bersifat sensitif
    • Upaya perwujudan:
      • Identifikasi
      • Otentikasi
    • Jenis upaya penyerangan:
      • Hacker / Masquarader: orang atau kelompok yang memiliki keterampilan untuk mewujudkan motive jahat
      • LAN (spoofing): pencurian informasi melalui media physical
      • Trojan: program yang berjalan pada tingkat sistem dan melakukan penyalinan data dan memindahkan ke tempat yang dapat diakses tanpa otoritas
        • Misal trojan dapat memindahkan informasi dari file system dan expose ke www pada Apache Web Server directory agar dapat diakses melalui web.
  • Integrity
    • Tujuan / Gagasan:
      • Melindungi informasi dari segala perubahan
      • Mencegah terjadinya kejahatan dan kesalahan
    • Upaya perwujudan:
      • Identifikasi
      • Otentikasi
      • Access Control
    • Jenis upaya penyerangan:
      • Pemalsuan data
  • Availability
    • Tujuan / Gagasan:
      • Memastikan pengguna dapat mengakses informasi ketika diperlukan
    • Upaya perwujudan:
      • Backup system
      • Distributed services (physically or logically)
      • Firewall
      • Regular system check up
    • Jenis upaya penyerangan:
      • DoS
      • Disaster (kerusakan fisik)

5. Sebutkan konsep keamanan informasi!

  • Privacy
    • Gagasan:
      • Memastikan informasi yang bersifat rahasia tidak dapat diakses oleh pihak yang tidak berwenang.
    • Cara:
      • Suatu layanan harus didesain untuk menjaga masing-masing data sesuai dengan peruntukannya
  • Identification
    • Gagasan:
      • Mengenali subject dan dapat diberikan pertanggungjawaban
    • Cara:
      • Pemberian ID number yang unique
      • Penerapan sistem dengan username
  • Authentication
    • Gagasan:
      • Validasi suatu klaim terhadap identitas.
      • Apa benar identitas tersebut adalah pemilik asli? Tidak palsu atau tidak jelas keberadaannya.
    • Cara:
      • Setiap identitas harus memiliki password dan hanya mereka yang tahu
  • Authorization
    • Gagasan:
      • Memastikan subject memiliki hak dan wewenang atas segala tindakannya dalam pertukaran informasi
    • Cara:
      • Identification and Authentication
  • Auditing
    • Gagasan:
      • Melakukan perekaman untuk setiap kejadian yang berkaitan dengan informasi
      • Jadi kita bisa tahu siapa yang melakukan A dan kapan itu terjadi
    • Cara:
      • Monitoring system and Logger
  • Accountability
    • Gagasan:
      • Memastikan setiap pengguna dapat dipertanggung jawabkan terhadap pertukaran informasi
    • Cara:
      • Email / Phone Number verification
      • Biometric or Personal Identification (misal KTP, KK, Passport, etc.)
  • Non-repudiation
    • Gagasan:
      • Mencegah subject untuk berbohong atas fakta atau tindakan yang telah ia lakukan
    • Cara:
      • Mewujudkan konsep-konsep yang telah disebutkan sebelumnya (Identification, Auth, Audit)

6. Sebutkan 6 cara untuk mewujudkan keamanan informasi!

  1. Layering
    • Pertahanan keaman secara bertingkat untuk mencegah segala ancaman yang terjadi
    • Serial Layering: linear
    • Parallel Layering: once for all
  2. Abstraction
    • Mengelompokkan suatu komponen / object ke dalam group, class, atau role dengan hak akses masing-masing
  3. Data Hiding
    • Menyembunyikan informasi dari pengguna sehingga informasi tidak dapat diperoleh oleh pihak yang tidak berhak
  4. Process Isolation
    • Menjalankan setiap proses pada ruang lingkup yang berbeda sehingga proses satu dengan lainnya tidak dapat melakukan tindakan yang tidak diinginkan (pencurian informasi)
  5. Hardware Segmentation
    • Sama seperti Process Isolation, akan tetapi diterapkan pada tingkat Hardware
  6. Encryption
    • Mengubah informasi ke dalam wujud lain dan hanya bisa dikembalikan ke wujud asli menggunakan kunci
    • Dengan begini, pihak yang tidak memiliki kunci tidak dapat melihat informasi tersebut

7. Jelaskan cara meminimalisir perubahan kebijakan!

Melakukan perubahan struktur atau kebijakan adalah hal yang lazim dilakukan pada setiap organisasi. Namun, perubahan ini tak jarang mempengaruhi kebijakan keamanan informasi.

Jika terjadi suatu perubahan kebijakan, mohon untuk memperhatikan hal berikut terhadap keamanan informasi:

  1. Perubahan harus diawasi
  2. Perubahan harus dapat dikembalikan (revert/rollback)
  3. Perubahan dapat dianalisis (untuk dibandingkan dengan kebijakan sebelumnya)
  4. Perubahan harus diinformasikan kepada seluruh elemen yang bertanggungjawab atas keamanan informasi

Melakukan Testing secara terstruktur diperlukan untuk memastikan perubahan sesuai dengan apa yang diharapkan.

8. Mengapa perlu melakukan klasifikasi data?

Melakukan klasifikasi data dapat dilakukan secara ekonomis, efektif, dan efisien.

Dengan melakukan klasifikasi data, kita dapat:

  1. Identifikasi aset yang penting
  2. Menentukan cara perlindungan pada data
  3. Menetapkan kebijakan dan peraturan terhadap keamanan informasi
  4. Menemukan parameter dan acuan untuk mendisain suatu sistem keamanan informasi

9. Sebutkan 4 jenis klasifikasi data pada sektor komersial!

  1. Confidential: informasi sangat rahasia dan sangat membahayakan organisasi
  2. Private: informasi untuk setiap departement atau individu, membahayakan perorangan atau kelompok tertentu
  3. Sensitive: informasi yang tidak seharusnya orang luar tahu, tapi jika ter-expose tidak begitu menjadi masalah
  4. Public: informasi yang memang diperuntukan akses publik

Back to top

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment