Kerentanan

Sebuah kerentanan didefinisikan sebagai “cacat dalam suatu sistem, aplikasi atau layanan yang
memungkinkan seorang penyerang untuk menghindari kontrol keamanan dan memanipulasi
sistem dengan cara pengembang tidak pernah dimaksudkan” [10]. penilaian kerentanan bertujuan
untuk menguji sistem komputer, jaringan, atau aplikasi untuk mengidentifikasi, mengukur, dan
peringkat kerentanan dalam sistem untuk mitigasi sistematis [11]. Hari ini, ada puluhan alat
(misalnya, Nessus, Qualys, Burp Suite) yang secara otomatis menilai kerentanan dalam berbagai
sistem. Di antaranya, Nessus diakui sebagai standar emas antara komunitas keamanan informasi
[12]. Nessus adalah perangkat lunak tingkat perusahaan scalable dengan lebih dari 80.000
pengguna plugin dikonfigurasi dirancang untuk menguji kerentanan untuk berbagai perangkat dan
aplikasi. Misalnya, Nessus dapat memindai port, mengidentifikasi masalah aplikasi web,
menemukan identitasnya OS / software, dan upaya bawaan unpatched. Nessus mengkategorikan
setiap kerentanan dalam batas risiko yang berbeda ( 'Kritis', 'High', 'Sedang', 'rendah', dan 'Tidak')
berdasarkan standar terbuka industri umum Vulnerability Scoring System (CVSS) [13]

kerentanan adalah kelemahan dalam keamanan sistem komputer, misalnya, dalam prosedur,
desain, atau pelaksanaan, yang mungkin dimanfaatkan untuk menimbulkan kerugian atau
kerusakan. Pikirkan bank, dengan penjaga bersenjata di pintu depan, kaca antipeluru melindungi
teller, dan kubah logam berat yang memerlukan beberapa kunci untuk masuk. Merampok bank,
Anda harus berpikir bagaimana untuk mengeksploitasi kelemahan yang tidak tercakup oleh
pertahanan ini. Sebagai contoh, Anda mungkin menyuap teller atau mengaku sebagai seorang
pekerja pemeliharaan.

Sistem komputer memiliki kerentanan, juga. Dalam buku ini kita mempertimbangkan banyak,
seperti otentikasi yang lemah, kurangnya kontrol akses, kesalahan dalam program, sumber daya
yang terbatas atau tidak cukup, dan perlindungan fisik yang tidak memadai. Dipasangkan dengan
serangan yang kredibel, masing-masing kerentanan ini dapat memungkinkan membahayakan
kerahasiaan, integritas, atau ketersediaan. Setiap vektor serangan berusaha untuk mengeksploitasi
kerentanan tertentu.

Otorisasi
Otorisasi adalah proses perijinan atau menolak akses ke sumber daya tertentu. Setelah identitas
dikonfirmasi melalui otentikasi, tindakan tertentu dapat disahkan atau ditolak. Banyak jenis skema
otorisasi yang digunakan, tetapi tujuannya adalah sama: menentukan apakah pengguna tertentu
yang telah diidentifikasi memiliki izin untuk objek tertentu atau sumber daya yang diminta. Fungsi
ini sering merupakan bagian dari sistem operasi dan transparan kepada pengguna.

Pemisahan tugas, dari identifikasi untuk otentikasi untuk otorisasi, memiliki beberapa keunggulan.
Banyak metode yang dapat digunakan untuk melakukan setiap tugas, dan pada banyak sistem
beberapa metode yang secara bersamaan hadir untuk setiap tugas. Pemisahan tugas-tugas ini
menjadi elemen-elemen individual memungkinkan kombinasi dari implementasi untuk bekerja
sama. Setiap sistem atau sumber daya, baik itu hardware (router atau workstation) atau komponen
perangkat lunak (sistem database), yang membutuhkan otorisasi dapat menggunakan metode
otorisasi sendiri setelah otentikasi telah terjadi. Hal ini membuat untuk aplikasi yang efisien dan
konsisten dari prinsip-prinsip ini.

Otorisasi

Otorisasi adalah pencocokan entitas dikonfirmasi untuk daftar aset informasi dan tingkat akses
yang sesuai. Daftar ini biasanya merupakan matriks ACL atau akses kontrol. Secara umum,
otorisasi dapat ditangani di salah satu dari tiga cara: Otorisasi untuk setiap pengguna dikonfirmasi,
di mana sistem melakukan proses otentikasi untuk memverifikasi setiap entitas dan kemudian
memberikan akses ke sumber daya untuk hanya entitas itu. Ini dengan cepat menjadi proses yang
kompleks dan sumber daya intensif dalam sistem komputer.

Otorisasi untuk anggota kelompok, di mana sistem cocok entitas dikonfirmasi ke daftar
keanggotaan kelompok, dan kemudian memberikan akses ke sumber daya berdasarkan hak akses
kelompok. Ini adalah metode otorisasi yang paling umum. Otorisasi di beberapa sistem, di mana
otentikasi pusat dan sistem otorisasi memverifikasi entitas identitas dan hibah itu set kredensial.
kredensial Otorisasi (kadang-kadang disebut tiket otorisasi) yang dikeluarkan oleh authenticator
dan dihormati oleh banyak atau semua sistem dalam domain otentikasi. Kadang-kadang disebut
single sign-on (SSO) atau dikurangi sign-on, kredensial otorisasi menjadi lebih umum dan sering
diaktifkan menggunakan struktur direktori bersama seperti Lightweight Directory Access Protocol
(LDAP).
Akuntabilitas

Akuntabilitas, Juga dikenal sebagai auditability, memastikan bahwa semua tindakan pada sistem-
resmi atau tidak sah-dapat dikaitkan dengan identitas dikonfirmasi. Akuntabilitas yang paling
sering dilakukan dengan cara sistem log dan jurnal database, dan audit catatan ini.

Sistem log catatan tertentu informasi, seperti upaya akses gagal dan modifikasi sistem. Log
memiliki banyak kegunaan, seperti deteksi intrusi, menentukan akar penyebab kegagalan sistem,
atau hanya pelacakan penggunaan sumber daya tertentu.