Strategi Mitigasi #14 – Non‐persistent virtualised sandboxed trusted operating environment

Mitigasi

Implementasi dari aplikasi firewall berbasis perangakt lunak, menghalau keluarnya lalulintas dalam jaringan yang tidak dibuat oleh daftar putih aplikasi  dan menolak lalu lintas jaringan secara default.

Dasar Pemikiran

Menghalau keluarnya lalulintas pada jaringan yang tidak dibuat oleh daftar putih aplikasi agar dapat mencegah musuh dunia maya untuk merambat sepanjang jaringan organisasi sebagai bagian dari bagian kedua dari intrusi dunia maya.

Panduan Implementasi

Titik akhir perlindungan atau perangkat lunak anti-perangkat perusak dari vendor termasuk aplikasi yang berfungsi sebagai firewall berbasis perangakat lunak.

Informasi lebih lanjut

ISM controls: 0380, 0941, 1017.

Strategi Mitigasi #35 – Menangkap Lalulintas Jaringan

Mitigasi

Menangkap lalulintas data pada jaringan yang menuju aset internal seperti workstation dan server yang penting, begitu juga lalulintas yang beredar didalam batas-batas jaringan internal serta melakukan analisa terhadap data tersebut setelah terjadinya insiden intrusi.

 

Dasar Pemikiran

Menangkap lalulintas data pada jaringan dapat membantu organisasi untuk menentukan teknik yang digunakan oleh penyerang dan memeriksa tingkat kerusakan yang disebabkan oleh intrusi cyber. Analisa setelah intrusi yang telah berhasil dilakukan oleh penyerang membantu memastikan bahwa insiden telah diatasi.

 

Panduan Implementasi

Fokus pada penangkapan data pada lalulintas dari workstation dan server pada jaringan internal yang menyimpan atau mengakses informasi sensitif. Bila memungkinkan juga menangkap lalulintas data didalam batas jaringan internal, dengan catatan bahwa kegunaan penangkapan data ini akan percuma apabila data yang terkirim dalam bentuk terenkripsi dan dikirim kepada komputer yang tidak dianggap sebagai ancaman. Pastikan bahwa pengguna menyadari bahwa lalulintas data pada jaringan organisasi dimonitor untuk kepentingan keamanan.

Ketika sebuah intrusi cyber terjadi, simpanlah sebuah salinan dari lalulintas data untuk beberapa hari setelah intrusi teratasi, karena penyerang berkemungkinan akan kembali menyerang tidak lama berselang setelah serangan awal.

Metadata yang berhubungan dengan koneksi jaringan dapat membantu proses pencatatan log dan menggunakan ruang yang lebih sedikit pada media penyimpanan dibanding paket jaringan.

Strategi Mitigasi #30 – Perangkat Lunak Antivirus berbasis signature.

Mitigasi

Menggunakan perangkat lunak antivirus berbasis signature yang bersandar pada keterbaruan data signature untuk mengidentifikasi malware. Gunakan antivirus gateway dan desktop dari vendor yang berbeda.

 

Dasar Pemikirian

Perangkat lunak antivirus membantu mencegah, mendeteksi dan menghapus malware yang meliputi virus, worms, trojans, spyware dan adware. Bagaimanapun juga perangkat lunak antivirus berbasis signature adalah pendekatan reaktif yang masih memiliki kekurangan dalam melindungi terhadap malware yang belum diketahui oleh vendor antivirus.

 

Panduan Implementasi
Memindai berkas pada saat berkas tersebut diakses dan memindai seluruh berkas berdasarkan jadwal tertentu.

Strategi Mitigasi #29 – Inspeksi workstationakan berkas-berkas Microsoft Office

Mitigasi

Melakukan inspeksi terhadap workstation yang memiliki berkas-berkas Microsoft Office untuk kemungkinan terdapatnya infeksi perangkat lunak jahat.

 

Dasar Pemikiran

Inspeksi dan validasi berkas-berkas Microsoft Office dapat membantu dalam mengidentifikasi isi yang telah dimodifikasi, sehingga secara potensial dapat memblokir program-program jahat.

 

Panduan Implementasi
Inspeksi dan validasi berkas-berkas Microsoft Office dapat dilakukan dengan menggunakan aplikasi Microsoft Office File Validation10 atau Protected View11 feature12.

Strategi Mitigasi #28 – Edukasi Pengguna

Mitigasi

Mengedukasi pengguna, khususnya pengguna yang berkemungkinan besar menjadi sasaran, mengenai ancaman dari Internet seperti cara mengidentifikasi surel yang dibuat dengan teknik social engineering untuk spear phising atau surel duplikat yang tidak diharapkan, serta melaporkannya kepada tim keamanan TI. Pengguna juga harus melaporkan panggilan telepon yang mencurigakan seperti panggilan telepon dari orang yang tidak dikenal namun berusaha mengorek informasi mengenai infrastuktur TI organisasi. Edukasi ini harus berpusat pada mempengaruhi perilaku pengguna.

 

Dasar Pemikiran

Mengedukasi pengguna dapat memperkuat strategi mitigasi teknis. Pengguna dapat mengetahui dan melaporkan perilaku yang membahayakan seperti email yangmencurigakan, sebuah dokumen kosong atau dokumen dengan isi yang tidak relevan yang dilampirkan pada sebuah surel. Hal ini dapat membantu dalam mendeteksi spear phishing emails sebagai sebuah cara untuk mengintrusi. Namun untuk dapat mencegah dan mendeteksi sebuah intrusi cyber, mengimplementasi sebuah mitigasi teknis (seperti application whitelisting yang dikonfiguarsi untuk mencatat dan melaporkan pelanggaran) lebih diutamakan dibanding bersandar hanya pada edukasi pengguna.

Membiarkan pengguna dalam posisi untuk mengambil sebuah keputusan yang berkaitan dengan keamanan dan berharap mereka cukup teredukasi untuk mengambil keputusan yang tepat akan berakhir dengan kemungkinan beberapa pengguna akan mengambil keputusan yang salah dan berakhir pada kompromi keamanan.

LSN menyadari bahwa beberapa surel spear phishing menggunakan teknik pembuatan yang cerdas sehingga usaha mengedukasi pengguna sebesar apapun tidak akan mampu mencegah atau mendeteksinya. Edukasi pengguna juga tidak akan mampu mencegah pengguna untuk mengakses sebuah situs web resmi yang sudah terkompromi dan mengunduh sebuah malware secara diam-diam. Dengan mengakses situs seperti tersebut dapat mengkompromi komputer pengguna tanpa adanya indikasi yang dapat dideteksi oleh pengguna

 

Panduan Implementasi

Mengedukasi pengguna bertujuan untuk :

  • Dapat menghindari pemilihan kata sandi yang lemah
  • Menggunakan katasandi secara berulang pada komputer yang sama
  • Menggunakan katasandi yang sama pada berbagai perangkat
  • Secara tidak perlu mengekspos alamat surel dan informasi pribadi
  • Mengakses situs web yang tidak terkait dengan pekerjaan
  • Menggunakan perangkat USB atau perangkat IT lainnya yang tidak disediakan oleh organisasi.

Mengedukasi pengguna dalam mengapa mematuhi kebijakan TI dapat membantu mereka dalam melindungi dan menangani informasi sensitif yang telah dipercayakan kepada mereka. Berbagilah dengan pengguna dengan anekdot rincian mengenai kejadian intrusi yang pernah terjadi terhadap organisasi yang pernah terjadi dengan menekankan pada dampak dari intrusi tersebut terhadap organisasi dan pengguna. Edukasi seperti ini dapat mengurangi tingkat penolakan pengguna terhadap implementasi dari strategi mitigasi. Sebagai contoh, pengguna menjadi tidak menolak ketika dibatasi ketika mereka mengerti mengapa strategi tersebut diperlukan.

Edukasi pengguna perlu disesuaikan dengan uraian jabatan dari pengguna. Tambahan edukasi khusus dibutuhkan untuk pengguna dengan jabatan tertentu, contohnya :

  • Edukasi pengembang perangkat lunak internal untuk menulis kode sumber aman
  • Edukasi penguji perangkat lunak internal dalam mencari celah keamanan yang umum pada perangkat lunak untuk dicari
  • Edukasi staf yang memiliki peranan teknis (seperti system administrator, network administrators, enterprise architects, IT project engineeres dan system integrators) mengenai kemanan TI dan juga mengenai teknik serangan siber.
  • Edukasi representatif bisnis senior mengenai bahayanya menyelesaikan proyek secara terburu-buru tanpa adanya security design dan pengujian keamanan, dan juga resiko dari mengedepankan business functionality diatas keamanan bukannya mengintegrasi business functionality dan security functionality.
  • Edukasi staf help desk untuk memiliki tingkat kecurigaan yang cukup, contohnya ketika menangani permintaan lupa kata sandi dari seorang user yang tidak dapat mengungkapkan identitas mereka secara baik dan lengkap. Keinginan psikologis untuk membantu mereka tidak boleh membuat mereka melupakan kebijakan bisnis, prosedur ataupun nalar.

Keberhasilan dalam edukasi pengguna harus dapat diukur dengan bukti bahwa edukasi ini berkontribusi terhadap :

  • Berkurangnya frekuensi serta dampak dari serangan yang berhasil, termasuk serangan yang berasal dari uji phishing dan uji penetrasi, yang melibatkan pengguna secara langsung dalam ujicoba dalam skenario dunia nyata.
  • Bertambahnya proporsi laporan dari pengguna mengenai surel yang berisi spear phishing maupun aktifitas lain yang mencurigakan.

Manajemen Log Pada OpenBSD #2

Log Aplikasi

Aplikasi Alamat Berkas Konfigurasi Log Alamat Berkas Log
MySql /etc/my.cnf /var/mysql/namahost.err
Apache /var/www/conf/httpd.conf /var/www/logs/access_log/var/www/logs/error_log
WordPress

Contoh log MySQL

Screen Shot 2015-05-08 at 5.39.30 PM

Contoh log Apache Access

Screen Shot 2015-05-08 at 5.46.52 PM

Contoh log Apache Error

Screen Shot 2015-05-08 at 5.49.25 PM

Log Pengguna WordPress

Logging di wordpress dapat menggunakan wp2syslog. panduan untuk installasi adalah:

1. Copy file zip wp2syslog kedalam folder wordpress/wp-content/

2. Login kedalam akun wordpress

3. Cari plugin dibagian kiri

4. lalu klik “add new” pilih “upload”

5. arahkan dimana letak file zip wp2syslog seperti /var/wp2syslog.zip lalu pilih install.

6. Setelah di install pilik activate plugin.

Plugin berhasil di installScreen Shot 2015-05-06 at 12.48.07 PM

Remote Log

Hal yang pertama dilakukan adalah install rsyslog, karena bukan bawaan resmi, maka rsyslog harus di install antara server dan klien, untuk kali ini server dan klien sama-sama menggunakan sistem operasi OpenBSD. berikut langkahnya:

pada layar sistem operasi ketik:Screen Shot 2015-05-08 at 6.26.24 PM

Pengaturan Server

untuk mengkonfigurasi rsyslog, saat installasi package rsyslog menyimpan rsyslog.conf di alamat /etc/rsyslog.conf, berikut isi file rsyslog:

Screen Shot 2015-05-08 at 7.43.09 PM

setelah itu konfigurasi server  agar dapat menerima berkas log, yang digunakan adalah TCP port 514. setelah semua selesai di konfigurasi, start rsyslog:

/etc/rc.d/rsyslogd start

Manajemen Client

untuk saat ini server telah berhasil di setting untuk menerima log dari client, sekarang setting bagaimana client dapat mengirim log kepada server. ubah bagian remote logging dengan:

*.* @IPAddress:514

contoh sebagai berikutScreen Shot 2015-05-08 at 7.48.43 PM

kemudian simpan berkas konfigurasi, lalu start rsyslog pada client dengan perintah sama yaitu:

/etc/rc.d/rsyslogd start

untuk saat ini client bisa menyimpan log di server.