Keamanan Sistem Informasi
assalamualaikum wr wb
Pada kesempatan kali ini saya mencoba menjelaskan tentang security dan Think Like a Hacker , Bagian dari security membahas beberapa prinsip-prinsip dasar keamanan
informasi seperti CIA dan AAA, beberapa dasar ancaman, dan berbagai cara untuk mengurangi ancaman
tersebut. dan Think Like a Hacker:
“Untuk mengetahui Musuh Anda, Anda harus menjadi Musuh anda sendiri ”(Sun Tzu).
1.
Security
101
Hal pertama yang
kita harus tau adalah bahwa tidak ada yang benar-benar aman.
Selalu ada jalan
atau melalui tindakan pencegahan keamanan yang kita membangun.
The CIA of
Computer Security
Orang IT selalu berusaha
untuk mematuhi tiga prinsip inti Security yaitu : confidentiality, integrity, and availability. Secara kolektif, ketiganya adalah dikenal sebagai triad CIA seperti
yang diilustrasikan pada Gambar di bawah ini.
Dengan menggunakan konsep confidentiality, integrity,
and availability dapat mengamankan perangkat keras, perangkat lunak, dan
komunikasi.
Mari kita bahas masing-masing tiga item dari triad CIA
di sedikit lebih mendalam.
■ Confidentiality:
Konsep ini mencegah pengungkapan informasi untuk orang yang tidak berhak. Ini di
tandai dengan Social Security numbers (atau
identifikasi khusus negara lainnya), informasi SIM, rekening bank dan password,
dan sebagainya.
■ Integrity: Ini berarti bahwa data belum dirusak. Otorisasi diperlukan
sebelum data dapat diubah dengan cara apapun; hal ini dilakukan untuk
melindungi keaslian data .
■ Availability:
berarti data dapat diperoleh dari bagaimana informasi disimpan, diakses,
atau dilindungi. Ini juga berarti bahwa data selalu harus tersedia dari
serangan berbahaya yang mungkin dilakukan di atasnya.
Ketiga prinsip harus diterapkan setiap kali berurusan
dengan keamanan
hardware, software, atau komunikasi. akronim lain
untuk itu adalah AAA of computer security: authentication, authorization, and
accounting.
■ Authentication:
Ketika identitas seseorang di buat dengan bukti yang tersedia dan dikonfirmasi oleh
sistem. Biasanya, ini memerlukan identitas digital dari beberapa macam,username
/ password, atau skema otentikasi lainnya.
■ Authorization:
Bila pengguna diberikan akses ke data tertentu Otorisasi terjadi setelah otentikasi dan dapat
ditentukan dalam beberapa cara, termasuk perizinan, daftar kontrol akses, waktu
hari pembatasan, dan login lain dan pembatasan fisik.
■ Accounting: pelacakan data, penggunaan komputer, dan sumber daya
jaringan. Seringkali itu berarti logging, audit, dan pemantauan data dan sumber
daya. Accounting menjadi lebih
penting dalam jaringan yang aman. Konsep AAA ini juga harus diterapkan untuk
setiap rencana keamanan Anda.
Dasar-dasar Keamanan Informasi
keamanan informasi adalah tindakan melindungi data dan
sistem informasi dari akses yang tidak sah, melanggar hukum modifikasi dan
gangguan, pengungkapan, korupsi, dan kehancuran.
jenis dasar ancaman yang harus anda sadari jika menjadi administrator
keamanan yang efektif.
■ Malicious
software: Dikenal sebagai malware, ini termasuk virus komputer,worm, trojan
horse, spyware, rootkits, adware, dan jenis-jenis yang tidak diinginkan perangkat
lunak.
■ Unauthorized
access: Akses ke sumber daya komputer dan data tanpa persetujuan dari
pemilik. Ini mungkin termasuk mendekati sistem, masuk tanpa izin,
berkomunikasi,menyimpan dan mengambil data, menyadap data, atau metode lainyang
akan mengganggu kerja normal komputer. Akses ke data harus dikendalikan untuk
memastikan privasi.
■ System
failure: Komputer crash atau
kegagalan aplikasi individu. Ini bisa
terjadi karena beberapa alasan, termasuk kesalahan
pengguna, aktivitas berbahaya, atau kegagalan perangkat keras.
■Social
engineering: Tindakan
memanipulasi pengguna untuk mengungkapkan rahasia informasi atau melakukan
tindakan lain merugikan pengguna. Hampir semua orang mendapat e-mail saat ini
dari entitas yang tidak diketahui membuat klaim palsu atau meminta untuk informasi
pribadi (atau uang), ini adalah salah satu contoh dari rekayasa sosial.
Secara umum, administrator keamanan harus membuat
rencana keamanan proaktif yang biasanya dimulai dengan pelaksanaan kontrol
keamanan.
Saat membuat rencana keamanan, beberapa ahli
profesional TI membagi rencana ke dalam tiga kategori pengendalian sebagai
berikut:
1. Physical:
Hal-hal seperti sistem alarm, kamera pengintai, kunci, kartu ID,
penjaga keamanan, dan sebagainya.
2. Technical:
Produk seperti smart card, daftar kontrol akses (ACL), enkripsi, dan otentikasi
jaringan.
3. Administrative:
Berbagai kebijakan dan prosedur, pelatihan kesadaran keamanan,
perencanaan kontingensi, dan disaster recovery plans (DRPs).
Administratif
Kontrol juga bisa dipecah menjadi dua subbagian:
kontrol prosedural
dan hukum / kontrol regulasi. kontrol keamanan
informasi ini digunakan untuk melindungi kerahasiaan, integritas, dan
ketersediaan, atau “CIA” data. Lebih khusus, beberapa cara untuk mencegah dan
membantu memulihkan dari ancaman sebelumnya
■ User awareness:
pelatihan karyawan dan pendidikan, mudah diakses dan kebijakan dimengerti, kesadaran
keamanan e-mail, dan sumber daya online keamanan semua bantuan untuk memberikan
kesadaran pengguna. Metode ini dapat membantu untuk melindungi dari semua
ancaman disebutkan sebelumnya.
■ Authentication
: Memverifikasi identitas seseorang dan membantu melindungi terhadap akses yang
tidak sah . Otentikasi adalah tindakan
pencegahan yang dapat dipecah ke dalam lima kategori:
- beberapa pengguna tahu; misalnya, password atau PIN
- beberapa pengguna memiliki; misalnya, kartu pintar
atau keamanan lainnya
token
- beberapa pengguna adalah; misalnya, pembacaan
biometrik sidik jari
atau pemindaian retina
- beberapa pengguna melakukan; misalnya, pengenalan
suara atau ditulis
tanda tangan
- Di suatu tempat pengguna adalah; misalnya, individu
GPS-dilacak, atau ketika suatu sistem dikonfirmasi melalui lokasi geografis
■ Anti-malware
software: anti-malware melindungi komputer dari berbagai
bentuk malware dan, jika perlu, mendeteksi dan
menghapus mereka. jenis termasuk antivirus dan perangkat lunak anti-spyware.
contoh terkenal termasuk program dari Symantec dan McAfee, serta Microsoft
Windows Defender. Sekarang,
■ Data backups:
Backup tidak akan menghentikan kerusakan data, tetapi mereka dapat memungkinkan
Anda memulihkan data setelah serangan atau kompromi lainnya, atau kegagalan
sistem. Dari program-program seperti Windows Backup dan Restore dan Bacula
untuk tingkat perusahaan
program-program seperti IBM Tivoli dan Backup Exec
Symantec, backup data merupakan bagian penting dari keamanan
■ Encryption:
Tindakan mengubah informasi menggunakan algoritma (dikenal sebagai cipher)
untuk membuat informasi terbaca bagi siapa saja kecuali pengguna yang memiliki
“key” yang tepat. Contoh ini termasuk halaman web dienkripsi dengan HTTP
secure (HTTPS), dan e-mail terenkripsi dengan aman /
serbaguna Internet
Mail Extensions (S / MIME) atau Pretty Good Privacy
(PGP).
■ Data
removal : Proper data removal yang jauh melampaui penghapusan file atau
format media digital. Masalah dengan penghapusan file / format adalah data remanence,
Atau residu, tertinggal, dengan penciptaan kembali file dapat dicapai dengan
beberapa orang dengan peralatan canggih.
2. Think Like a Hacker
Untuk berpikir seperti seorang hacker, Anda harus
memahami hacker. Seorang hacker yang baik memahami pikiran seorang
administrator keamanan,membuat komputer
dan jaringan keamanan proposisi sulit. Tapi sebaliknya seorang keamanan cerdas
menyadari hacker dan metode mereka.
Tidak semua hacker
berbahaya. Ada beberapa jenis hacker.:
■ White hats : Orang-orang
ini nonmalicious; misalnya, orang IT yang
upaya untuk “hack” ke dalam sistem komputer sebelum
ditayangkan untuk menguji sistem. Umumnya, orang yang mencoba hack memiliki
perjanjian kontraktual dengan pemilik sumber daya yang akan hacked.
■ Black
hats: Ini adalah orang jahat yang mencoba untuk masuk ke computer dan
jaringan komputer tanpa otorisasi. Black hats adalah orang-orang yang mencoba pencurian
identitas, pembajakan, penipuan kartu kredit, dan sebagainya.
■ Gray
hats: Mereka adalah individu yang tidak memiliki afiliasi dengan perusahaan
tetapi risiko melanggar hukum dengan mencoba untuk hack sistem dan kemudian
memberitahu administrator dari sistem yang mereka berhasil melakukannya-hanya
untuk membiarkan mereka tahu. beberapa Gray
hats menawarkan untuk memperbaiki kerentanan keamanan untuk dihargai,
tetapi jenis ini juga dikenal sebagai green hats atau mercenaries.
■ Blue
hats: ini adalah individu yang diminta untuk mencoba untuk kembali ke Sistem
oleh sebuah organisasi, tetapi organisasi tidak mempekerjakan mereka. Itu organisasi
bergantung pada fakta bahwa orang hanya menikmati hacking ke sistem. Biasanya,
jenis skenario terjadi ketika pengujian sistem.
■Elite:
Elite hacker adalah orang-orang yang pertama kali mengetahui tentang
kerentanan. Hanya1 dari diperkirakan 10.000 hacker memakai Elite hat-dan saya
mengatakan bahwa kiasan.
Disebutkan sebelumnya bahwa tidak ada sistem yang
benar-benar aman.
Hacker tahu dan akan mengandalkan itu.
3. PERTANYAAN
1. Dalam keamanan informasi, apa tiga tujuan
utama?
B. Integritas
D. kerahasiaan
F. Tersedianya
2. Untuk
melindungi terhadap serangan berbahaya, Anda harus berpikir seperti?
A. hacker
3. Tom
mengirimkan banyak e-mail yang berisi informasi aman kepada perusahaan lain.
Apa konsep harus dilaksanakan untuk membuktikan bahwa Tom memang mengirim
e-mail?
B. Non-repudiation
4. Manakah dari
berikut ini yang termasuk A di CIA ketika datang ke IT Security?.
C. Availability
5. Manakah dari
berikut ini risiko terbesar ketika
datang ke penyimpanan removable?
C. Kerahasiaan
data
6. Ketika datang ke IT Security, apa itu I di
CIA?
D. Integrity
7. Anda sedang
mengembangkan sebuah rencana keamanan untuk organisasi Anda. Manakah dari
berikut ini contoh dari kontrol fisik?
C. ID Card
8. Seorang
pengguna menerima e-mail tetapi perangkat lunak klien e-mail mengatakan bahwa tanda
tangan digital tidak valid dan pengirim e-mail tidak dapat diverifikasi. Calon
penerima prihatin mana dari konsep berikut yang termasuk ?
B. Integritas
9. Cloud environments sering menggunakan perangkat keras fisik yang sama
(seperti hard drive) untuk beberapa pelanggan. Hard drive ini digunakan dan
digunakan kembali bila pelanggan mesin virtual yang dibuat dan dihapus dari
waktu ke waktu. Apa Kekhawatiran security dalam memunculkan implikasi tersebut?
C. Data
confidentiality
10.
Kapan sistem benar-benar aman?
D. Tidak pernah