Catatan Penting Materi Hari ke Empat TOT Foresec Sertified in Networking Security (FCNS)

Asset Owner dalam sebuah perusahaan dilihat dari aspek keamanan jaringan

Di hari ke empat acara TOT Foresec Sertified in Networking Security (FCNS) lebih fokus pada pembahasan Global tentang Asset Owner yang meliputi :

1. Risk Analysis
Risk Analysis dibuat berdasarkan kepentingan data melihat dari 2 sisi yaitu Quality ( berkaitan dengan jumlah/nilai rupiah) dan Quantity (berkaitan dengan jumlah/nilai rupiah).
Adapun untuk mengatasi/me-menej resiko (Risk Management) yang perlu dihitung adalah :
A. ALE = ARO x SLE
Annually Lost Expectation = Annual rate of Occurance x Single Lost Expextation
Kegagalan yang diperkirakan dalam 1 tahun = Rata-rata terjadi dalam 1 tahun x Kegagalan dalam 1 waktu.

CBA = (ALE Prior) – (ALE Post) – ACS
= ALE thn 2014 – ALE 2015 (per tahun) – ACS

B. Risk Mitigation (Risk Control Strategis):
1) Avoidance, seperti larangn, DO NOT ….
2) Transference, mengalihkan resiko ke pihak ke 3
3) Mitigation, Membuat peraturan, Panduan prosedure, Police, Perencanaan IRP, DRP, BCP
4) Accepteble, mau tidak mau harus diterima seperti kehilangan data, krismon dimana Nilai kontrol lebih tinggi daripada aset.

2. Control Factors
A. Manajerial
B. Operational
C. Technical
D. Administrative

A. Preventive, mengeksekusi misalnya karyawan yang telah keluar dari perusahaan tidak oleh datang lagi, ataupun memberikan mandatory vacatioon atau duty rotation.
B. Corrective, jika ada yang melanggar, dikenakanan sanksi.
C. Detective, Monitoring, mencegah seperti satpam, CCTV.

3. Mitigation Strategy

4. Recovery Strategy
Mencakup IRP, DRP (Hot, Warm anda Cold Site), BCP.

Catatan Penting Materi Hari Ke Tiga TOT Foresec Sertified in Networking Security (FCNS) bertempat di Multimatics Indonesia, jakarta

Foresec, Network Security, Keamanan jaringan, Praktisi IT, Konsultan IT, Multimatics Indonesia, Juni 2014.jpg 2

Hari ke tiga pelatihan Foresec Sertified in Networking Security (FCNS) tambah puyeeng aja nih, semakin banyak berinteraksi bahasa inggrisnya, jadi harus lebih fokus 🙂

OK, berikut ringkasan materi hari ke 3 di TOT Foresec Sertified in Networking Security (FCNS), Miltimatics, Jakarta.

Salah satu serangan pada jaringan yang sering dijumpai adalah TAILGATING, yakni mengekor. maksudnya yaitu penyusup mengikuti pengguna hak akses pada saat masuk ke sebuah sistem.
Serengan seperti ini dapat ditanggulani dengan menggunakan teknik MANTRAPS.

Dalam sebuah perusahaan, jika sebuah komputer ditarik dari seorang karyawan dan akan diberikan kepada karyawan lain, maka perusahaan harus benar-benar menghapus data yang ada pada HardDisk tersebut.
Adapun cara yang dapat dilakukan yaitu :
– Deggausing with Degausser, yakni menggunakan alat magnetik untuk mengubah alamat logika pada HDD menjadi 0, seperti reset factory.
– Menggunakan software yang menggunakan DoD 5220-22m Algorithm (US friendly) seperti Peter Gutmann Secure Deletion yang menghapus sebanyak 7 kali dari 1 menjadi 0, nol menjadi 1, yang terakhir dirubah menjadi 0 semua (zero flling). pada notebook mac, dapat menggunakan Secure Empty Trash.
– Menggunakan Full HD PGP Disk

Untuk mengetahui jumlah sub domain, dapat menggunakan fierce -dns domain.

Pada saat membuat dan mengiplementasikan Kebijakan keamanan (Create and Implement Security Policies) dapat dilakukan :
– Due Diligence, yakni saya tahu, yang artinya membuat rencana pengamanan sesuai pengetahuan ‘saya’.
– Due Care, yakni menginformasikan kepada perusahanan kemungkinan-kemungkinan yang mungkin terjadi, dan menyadarkan betapa pentingnya pengaturan keamanan (policy).

Ancaman terbaru dan terbesar Password : CloudCracker.com (USD 17)

Untuk mengatasi Dos dan DDos dapat menggunakan :
– Load Balancing, menggunakan Intrusion Prevention System (IPS), blacklisting IP attacker
– Cloudfare, berbayar 48 duolicate.

Perbedaan Dos dan DDoS : Dos adalah 1:1, DDos 1000:1

Teknik yang digunakan untuk melompat Subnet dinamakan sebagai ARP Poisioning (untuk mengatasi PvLAN)

RISK MANAGEMENT menggunakan standart ISO 31000
referensi dapat melihat Guidline Val IT FrameWork di isaca.org

Adapun RISK Control Strategis yaitu :
1. Avoidance, seperti larangn, DO NOT ….
2. Transference, mengalihkan resiko ke pihak ke 3
3. Mitigation, Membuat peraturan, Panduan prosedure, Police
4. Accepteble, mau tidak mau harus diterima seperti kehilangan data, krismon.

Monitoring dapat menggunakan :
– Tivoli IBM
– HPOv Solaris
– Nagios Dashboard, open source
– Open NMS
– MRTG (the Multi Router Traffic Grapher)
– SpiceWorks.com, SpiceWorks Inventory, SpiceWorks Hardware Inventory
– LAN Surveyor

Untuk Menghitung Cost Benefit Analysis dapat menggunakan rumus :
CBA = (ALE Prior) – (ALE Post) – ACS
= ALE thn 2014 – ALE 2015 (per tahun) – ACS

Catatan Penting Materi Hari Kedua TOT Foresec Sertified in Networking Security (FCNS)

Foresec, Network Security, Keamanan jaringan, Praktisi IT, Konsultan IT, Multimatics Indonesia, Juni 2014.jpg 2

Hari ke dua pelatihan Foresec Sertified in Networking Security  (FCNS) mendetail dari Management masuk ke dalam Network.

Dalam menentukan Planning and organzation, ada 3 hal yang wajib diperhatkan yaitu :
1. Strategy, yakni melakukan perencanaan untuk 1-5 tahun ke depan.
2. Tactical, yakni dari menghandle, Create, testing, gagal, cari tahu, tangani.
3. Operational.

Adapun Indikator Kunci dari sebuah Performa sistem (KPI – Key Performance Indicator) adalah incedent dan report.
Semakin turun laopran kecelakaan/kejadian yang tidak diinginkan pada sebuah system/jaringan, maka system tersebut dapat dikatakan sukses. Namun jika naik, maka dipastkan system tersebut adalah GAGAL.

Referensi utama untuk menstardarkan keamanan jaringan yaitu ISO 27001 toolkit yang dapat di dwonload di http://www.iso27001security.com

Risk Management mencakup 2 hal yaitu :
– Quantity, berkaitan dengan jumlah/nilai rupiah
– Quality, merujuk pada dampak yang diperoleh dengan tidak dapat mengukur pada nilai rupiah.

ALE = ARO x SLE

Annually Lost Expectation = Annual rate of Occurance x Single Lost Expextation

Kegagalan yang diperkirakan dalam 1 tahun = Rata-rata terjadi dalam 1 tahun x Kegagalan dalam 1 waktu.

Dari kondisi diatas, contohnya misalnya dalam 1 tahun, rata-rata listrik padam adalah 4 kali. dalam 1 kali, kira-kira 1 jam.
Dengan asumsi 1 kali padam 1 jam, kerugian yang dialami adalah 10 juta, maka diperkirakan kerugian dalam 1 tahun adalah 40 juta.
Strategi untuk mengatasi hal di atas adalah dengan menggunakan 1/4 dari nilai total yakni 1/4 dari 10 juta, kita gunakan sebagai alokasi untuk menabung, untuk sewa ataupun membeli genset dengan harapan dalam 4-5 tahun kita sudah dapat memiliki genset sendiri.

Tips dalam menyusun Plan
– beri waktu berlibur untuk refresh and recharge the energy (refreshed and energized)kepada semua orang yang terlibat.
– Gigih dalam memotivasi rekan dan diri sendiri.
– Buat proses berkelanjutan.
– Berikan Reward.

Implementasi Planning untuk InfoSec agar berhasil :
– Butom Up, dari CISO (Chief Information Strategy Officer) kepada CEO (Chief Executive Officer)
– Top Down, CEO memberi penekanan kepada semua bawahan.
– Delphy Method, memanggil expert untuk menentukan keputusan.

Ketika akan membuat prosedur keamanan (POLICY) dalam sebuah perusahaan, dapat menggunakan referensi dari http://www.sans.org/security-resources/policies

SecSDLC (System Development Life Cycle in Security)
– Investigation, identifikasi masalah yang akan dipecahkan dengan menentukan tujuan, kendala, ruang lingkup.
– Analysis, menghitung biaya dan manfaat.
– Local Design, managerial (untuk seluruh orang/karyawan), operasonal (what you do, apa yang akan anda lakukan), technical (bersifat teknis).
– Physical Design, wujudkan secara fisik.
– Implementation
– Maintenance

Dalam menghadapi Incident Response Plan, diperlukan adanya :
– Antisipasi
– Deteksi
– Pelatihan ketika ada serangan, lihat di incident handlers handbooks sans.org

Sebelum terjadi Incident, persiapkan Call Tree.

Tools yang dapat digunakan :
– sigverif on windows (how to know whats a trojan or spyware)
– url/robots.txt (how to know tree management for a website)
– jooscan
– centralops.com
– nmap.org (test a vulnerability)
– owasp.org
– do not use IPTables but PFSense.org
– fwbuilder, IPcops, Firewall builder GUI
– Network Miner (netresec.com)
– nlfreevpn.com (proxies)
– FreeGate. dit-inc.us (proxies just a click)
– Samair.ru (proxies all in the world)

Catatan Penting Materi Hari Pertama TOT Foresec Sertified in Networking Security (FCNS)

Foresec, Network Security, Keamanan jaringan, Praktisi IT, Konsultan IT, Multimatics Indonesia, Juni 2014.jpg 2

Senin, 11 Agustus 2014 adalah hari pertama Pelatihan The Trainers of Train Foresec Sertified in Networking Security (FCNS).

Walaupun masih agak lesu karena baru datang jam 3 dinihari setelah menempuh perjalanan dari Purwokerto ke Jakarta, namun tidak mengurangi semangat saya. Hal tersebut dikarenakan materinya memang sangat MANTAB, disajikan oleh pemrakarsa FORESEC itu sendiri, Dr. Desmond Alexander Devendran yang berasal dari negara Ipin Upin, Malaysia yang memiliki darah Wrekodara (Bima), India 🙂

Banyak materi yang disajikan beberapa diantaranya analisis tentang celah keamanan pada Bank, Pemerintahan dan ada fenomena yang menark tentang hal yang sensitif untuk dibahas pada waktu ini di Indonesia 🙂

Whatever, berikut ringkasan materi pada pertemuan hari pertama :
SECURITY MANAGEMENT (MANAJEMEN KEAMANAN JARINGAN)

Tujuan utama pelatihan ini yaitu menanamkan pengetahuan dan keterampilan yang diperlukan untuk memikul tanggung jawab secara keseluruhan pada administrasi dan pengelolaan keamanan dari sistem informasi perusahaan.

Setelah kursus, diharapkan peserta memiliki kemampuan untuk melaksanakan analisis keamanan perusahaan dengan melakukan berbagai jenis analisis seperti :

  1. analisis kerentanan, pengujian penetrasi,
  2. analisis audit trail,
  3. sistem dan monitoring jaringan, dan
  4. manajemen konfigurasi, dll Serta
  5. Melaksanakan tugas manajemen risiko keamanan menggunakan berbagai alat-alat praktis dan teoritis

Apa itu Keamanan pada Jaringan?
1. Kualitas atau keadaan yang aman-untuk bebas dari bahaya
2. Keamanan dicapai dengan menggunakan beberapa strategi secara bersamaan

Keamanan dapat dilihat dari 2 sisi yaitu sebagai :
1. Subject, yaitu dapat berupa data ataupun informasi
2. Object, dapat berupa server ataupun aplikasi dari sebuah sistem yang melingkupi manusianya, prosesnya dan teknologinya.

Framework untuk Lingkungan Keamanan : 50% Teknikal, 50 % operasional.

Contigency Planning
Untuk menjadikan sebuah perusahaan bagus dalam Keamanan, maka perlu disiapkan Business Continuity Management (BCM) + Service Level Agreement (SLA), dimana hal ini untuk mengurangi resiko :
1. Incident Response Time (IRP), untuk mengatasi Value Maximum Tolerance Down Time (MTD) seperti server email down yang seharusnya dapat ditangani dalam tempo 1 jam. Jika lebih dari itu, maka IRP dikatakan gagal. Walaupun gagal, harus diselesaikan. Sambil menunggu recovery selesai, dapat dlakukan proses DRP.
2. Disaster Recovery Planning (DRP), dilakukan ketika IRP gagal. DRP dapat berupa Hot Site (mahal, kloning 95% server asli), Warm Site(menengah 50% kloning) dan Cold Site (murah, 25% kloning). jika DRP gagal, berarti konsep sistem keamanan yang salah total.
3. Business Continuity Plan (BCP), dilakukan untuk merencanakan dan digunakan kroscek ketika DRP buntu. Namun jika DRP betul-betul gagal yang disebabkan oleh kesalahan vendor, perusahaan dapat memanfaatkan fasilitas SLA melalui jalur hukum.

Keamanan dapat dijamin hanya maksimal 95% secure, sisanya :
1. Human Factor, seperti salah coding karena memang tidak cukup pengetahuan ataupun karena terburu-buru
2. Evolution Technology, seperti perkembangan Cloud Computing yang mempengaruhi pergeseran celah keamanan
3. Disgruntled Employee, dimana karyawan yang kecewa terhadap perusahaan lalu tidak amanah
4. Zero day exploit, dimana ditemukan celah oleh hacker, namun belum diperbaiki
5. Management non Supportive, kurangnya dukungan dari manajemen perusahaan, karena bagian manajemen melihat terlalu boros untuk mengeluarkan anggaran untuk keamanan.

Threats :
– Hackers
– Masqueraders, karyawan
– Unauthorized users, bukan karyawan
– Unprotected download of files
– LANS
– Trojan horses : poison ivy, hydrogen trojan digunakan K*K ($5000), Fin Fisher digunakan DenS*s, dapat menggunakan Polymorphic evasion seperti UPX Compression, NoVirusThannksUPSEasyGUI di NoVirusTanks.org

CIA triangle is made of :
1. Confidentiality, kerahasiaan seperti pada pemerintahan yang mementingkan kerahasiaan data dan informasi
2. Integrity, kejujuran, ketangguhan seperti pada jasa perbankan, asuransi
3. Availability, ketersediaan seperti pada provider-provider

Confidentiality
– Standart : Bell-La Padula, NO WRITE DOWN, NO READ UP
– implementasi mengacu pada Rainbow Book Series Department of Defense (DoD), ORANGE BOOK, ORANGE BOOK DoD (TCSEC)
– methodology : DIACAP

Integrity
– Standart : Biba, NO WRITE UP, NO READ DOWN
– implementasi mengacu pada Rainbow Book Series, BLUE BOOK, BRIGHT BLUE BOOK (NCSCTG 002)
– untuk perbankan, menggunakan BASEL 2, Perbankan Amerika SARBANES OXLEY

Availability
– Standart : TIA 942, seperti untuk ISP
– Di Inggris UK menggunakan SAS 70, BS 7799

Privacy
– Standart : HIPAA (Rumah Sakit), Health Insurance Portability and Accountability Act.

Umum
Berawal dari teori yang dikemukaan oleh Clark Wilson, yakni Clark Wilson Model menggunakan ISO 27002, atau ISO 27001/2013 yang sudah mencakup ORANGE BOOK dan BLUE BOOK.

Identification
– What You Know? Password
– What You Have? Token
– What You Are? Fingerprint
—————
– What’s your Gesture?

Authentication and Authorizaton, dimana Root tidak sebagai Root, implementasi SELinux.

Accountability and Assurance, menggunakan AAA Protocol sebagai LOG management (Kiwi Syslog, Open Syslog, Splunk).

Pelatihan Foresec di Multimatics, Agustus 2014

Foresec, Network Security, Keamanan jaringan, Praktisi IT, Konsultan IT, Multimatics Indonesia, Juni 2014.jpg 2

Alhamdulillah, InsyaAllah akan menghadiri UNDANGAN UNTUK MENGHADIRI INTERNASIONAL SERTIFIKAT KEMITRAAN PROGRAM PELATIHAN PELATIH (Training of Trainers(TOT)) yang diadakan oleh Multimatics Indonesia.

Adapun pelatihan ini merupakan pelatihan yang berkesinambungan dan bagian dari Program Kemitraan Sertifikat Internasional kami International Certificate Partnership Program (ICPP) layanan dan untuk penyusunan masuk Semester Ganjil AY 2014-2015 yang akan dimulai pada September 2014.

Pelatih (TOT) yang akan diselenggarakan pada tempat yang ditentukan dan jadwal yang disebutkan di bawah pada
pelatihan berikut:

Foresec, Network Security, Keamanan jaringan, Praktisi IT, Konsultan IT, Multimatics Indonesia, Juni 2014