Sistem pengamanan aplikasi layanan publik fileOutline Hosting Sederhana ... Minimalkan Software...
Transcript of Sistem pengamanan aplikasi layanan publik fileOutline Hosting Sederhana ... Minimalkan Software...
Sistem pengamanan aplikasi layanan publik
Onno W. PurboXECUREIT
[email protected]@onnowpurbo
Dari hacking, virus & fraud
Sistem pengamanan aplikasi layanan publik
Outline
● Hosting Sederhana● Hosting Kompleks● Hardening Server● Admin Data Entry● Bagaimana Kalau ada Incident?● Intro – Information Security Management
System
Hosting Sederhana
Hosting Sederhana
● Ada Firewall● Network Intrusion Detection System (NIDS)● Host Intrusion Detection System (HIDS)● Web Application Firewall (WAF)● Ada perusahaan Hosting yang tanggung jawab
● Apakah cukup?
Secure Hosting
Secure Hosting
Secure Hosting
● Split Web Server, Middleware Server, Database Server via Firewall● iptables Firewall● Snort (NIDS)● Tripwire (HIDS)● Apache modsecurity (WAF)● Audit Source Code● Ada perusahaan Secure Hosting yang tanggung jawab
● Apakah cukup?
Contoh Hardening Server
● Keamanan Fisik Server● Enkripsi semua komunikasi data, matikan semua
FTP, Telnet, dan Rlogin / Rsh.● Minimalkan Software Aplikasi untuk Minimalisasi
Kelemahan● Satu layanan jaringan per sistem atau per VM
Instance● Menjaga Kernel Linux dan Software Tetap Up to Date
Contoh Hardening Server
● User Account dan Kebijakan Password Kuat● Umur Password● Pembatasan Penggunaan Password Lama● Kunci Account User setelah beberapa kali gagal Login● Verifikasi tidak ada Account dengan password kosong?● Pastikan tidak ada Account Non-Root yang mempunyai UID 0
● Disable Login sebagai root● Disable Layanan Yang Tidak Perlu
● Mencari Port Network yang Aktif
Contoh Hardening Server
● Hapus X Windows● Pengaturan Iptables dan TCPWrappers
● Linux Kernel /etc/sysctl.conf Hardening● Pisahkan Partisi Disk
● Kuota disk
● Matikan IPv6● Matikan Binari dengan SUID dan SGID Yang Tidak
Diinginkan● File yang World-Writable● File Noowner
Contoh Hardening Server
● Gunakan Layanan Authentikasi Terpusat● Kerberos
● Logging dan Auditing● Monitor Message Log yang mencurigakan menggunakan Logwatch / Logcheck● System Accounting menggunakan auditd
● Secure OpenSSH Server● Instalasi dan Penggunaan Intrusion Detection System● Protecting Files, Directories and Email
● Mengamankan Email Server● Mailscanner untuk virus & spam● Gunakan Enkripsi seperti GnuPG
● Kebijakan Backup Data Server
Workstation Entry Data
● Apakah pakai Windows?● Apakah hanya digunakan untuk data entry saja?● Apakah hanya browse ke situs yang di approved saja?● Apakah USB bisa digunakan? Apakah semua USB bisa
dimasukan dengan mudah?● Apakah hanya orang tertentu yang bisa pakai?● Bagaimana password login-nya?● Bagaimana akses ke file server / file sharing / printer
sharing?
Setelah Hardening
● Bagaimana kalau ada tanda2 serangan?● Apakah kita tahu, asset kita yang mana saja?● Apakah kita tahu, mana yang penting? Mana
yang tidak penting?● Apakah kita tahu, mana yang critical? Mana
yang tidak critical?● Apakah ada Disaster Recovery Center?
Dimana?
Intro Information Security Management System
● ISO 27000 Series● ISO 31000 Series● NIST SP 800 (SP = Special Publications)
Information Security Components
PeoplePeople
ProcessProcess
TechnologyTechnology PhysicalPhysical
do
indirectly(helped by)
directly
depends on
Information Security Aspects
AvailabilityInformasiInformasi
● Integrity– Closely related with proof, non-
repudiation,identification, authentication.
– Information has been changed only by authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Alteration / Corruption / Modification
● Confidentiality– Information has been access only by
authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Disclosure
● Availability– Closely related with capacity and
performance.– Information is available when needed for
authorized subject throughauthorized process usingauthorized technology fromauthorized physical condition.
– Threat: Destruction / Interruption / Removal
Integrated Information SecurityImplementation Level and Flow
Tingkat 3b :Entitas Akhir
Tingkat 3a :Infrastruktur
Tingkat 2 :Arsitektur
Tingkat 1 :Kebijakan
Tingkat 0 :Organisasi
Komitmen Manajemen
Spesifikasi KebutuhanKeamanan
Pengembangan, Implementasi dan Operasi
Hukum,Regulasi& Mgmt
Risiko Bisnis
Kepa
tuha
n &
Tang
gung
Jaw
ab
DefinisiKebutuhan
Kontrol
Kese
suai
an
Pem
aksa
an
Orang: Integritas dan KompetensiAdministratif: Prosedur Non-Teknis dan TeknisTeknologi: Rancangan, Kapasitas dan FungsiFisik: Arsitektur, Kapasitas dan Fungsi
Information Security Risk Concept Flow
AssetsAssets
RisksRisks
VulnerabilitiesVulnerabilities& Exposure& Exposure
ControlsControls
OwnerOwner
ThreatThreatAgentsAgents
ThreatsThreats
define value of
wish to minimize
to reduce
may pose
may bereduced by
impose
may be aware of
give rise to
wish to abuse and/or may damage of
increase
exploit
to
leadingto
Information Security Components and Controls
Vulnerability / Exposures / Threat Agents
ControlComponents
People PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Process PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Technology PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Physical PeopleAdministrative (Policies & Procedures)TechnologyPhysical
Information SecurityControls Relationship Diagram
NIST 800 30
Information Security Risk Treatment
Incident Check List
SOC
Plan – Detect – Responds - Learn
Terima Kasih