17e - Assets - Vulns - Translated-1
17e - Assets - Vulns - Translated-1
1|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Rangkuman &Tujuan
Aset Digital telah menjadi tulang punggung sistem keamanan, keselamatan dan operasional. Teknologi
digital telah meningkatkan efektivitas dan efisiensi sekaligus menurunkan biaya. Akan tetapi, aset digital
berpotensi memiliki kerentanan yang akan mengubah profil risiko fasilitas. Pemahaman akan
kerentanan ini menjadi penting untuk memahami risiko dan mengidentifikasi isu-isu yang memerlukan
investasi keamanan.
Sasaran latihan ini adalah untuk memahami hubungan antara aset dan kerentanandan bagaimana
kerentanan dapat mengubah profil risiko sebuah fasilitas. Dalam latihan ini, para peserta akan:
Meninjau daftar aset;
Menilai kerentanan; dan
Menyusun hipotesis bagaimana seorang penyerang (attacker)dapat memanfaatkan kerentanan
tersebut dalam sebuah penyerangan.
Instruksi
2|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
10.250.10.2
Printer
Saklar
WWW
10.250.10.3
10.250.10.22
10.250.10.50 10.250.10.20
10.250.10.21
Jaringan Teknik
(Engineering
Network)
3|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Persediaan Aset
Alamat IP Judul Aset Lokasi Tujuan Perangkat CVE CIA
Terpadu
(Firmware)
10.250.10.2 Database Server Kantor Penyimpanan semua data tercatat 6.1 CVE-2013-6189 Integritas
Administrasi secara terpusat di lingkungan
Rumah Sakit rumah sakit yang mencakup
perangkat radiologi dan informasi
tentang pasien.
10.250.10.3 Router Ruang Server Tautan antara titik akhir (end 690 CVE-2014-0984 Ketersediaan
points) dalam jaringan dan
internet.
10.250.10.20 Stasiun Kerja 1 Ruang 157 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.21 Stasiun Kerja 2 Ruang 201 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.22 Stasiun Kerja 3 Ruang 322 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.50 Titik Akses Nirkabel Ruang Server Memungkinkan perangkat nirkabel 1.0.4.4 CVE-2016-1334 Ketersediaan
(Wireless Access terhubung dengan jaringan kabel.
Point)
4|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem#1: Gambaran Umum tentang Kerentanan
Dampak CIA:
- Kerahasiaan = Tinggi
- Integritas =Tinggi
- Ketersediaan = Tinggi
CVE-2014-0984 Mengizinkan serangan keras terhadap kata sandi. Setelah akses diberikan,
akses ke internet dapat terputus ke perangkat lain.
- Kerahasiaan = Tinggi
- Integritas = Tidak Ada
- Ketersediaan = Tidak Ada
CVE-2016-1334 Para pengguna dengan akses kredensial (credentialed access) dapat
mengubah tanggal dan waktu jaringansehingga akan menyebabkan
dikeluarkannya akses untuk perangkat yang mencari akses nirkabel untuk
bagian lain dari jaringan tersebut.
5|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #1: Pertanyaan-Pertanyaan
1. Menurut Anda, aset mana yang paling penting dalam sistem ini? Pilihlah dua komponen dan
uraikan apa yang akan terjadi jika sistem tersebut mengalami kegagalan? Apakah ada
komponen yang akan mematikan seluruh sistem akuntansi jika komponen tersebut gagal
berfungsi?
2. Apakah Anda setuju atau tidak setuju dengan penilaian Daftar Aset dari aset yang ditentukan
untuk tujuan keamanan (CIA Triad)? Mengapa?Jelaskan jawaban Anda?
6|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
3. Dari kerentananyang dinilai, apakah terdapat kerentanan yang lebih penting dan secara
potensial lebih berisiko terhadap sistem di atas dibandingkan yang lain? Mengapa? Apakah
terdapat ketidaksempurnaan desain yang mengkhawatirkan dalam diagram jaringan ini?
4. Misalkan Anda adalah karyawan yang tidak puas. Anda berniat menimbulkan ketakutan dan
kekhawatiran di antara staf administrasi rumah sakit. Target Anda adalah untuk mengubah
dosis radiologi yang diresepkan dokter dalam catatan pasien. Jika Anda seorang penyerang
(attacker), manakah dari kelima tujuan ini (Mendistorsi/Distort, Mengganggu/Disrupt,
Merusak/Destruct, Mengungkapkan/Disclosedan Menemukan/Discover) yang akan Anda pilih
untuk mencapai tujuan Anda tersebut? Kerentananmanakah yang akan Anda pilih untuk
dieksploitasi?
7|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Sistem Manajemen Video (Video Management
System/VMS)
Kamera Analog – IP No
IP: 192.168.1.1
IP: 192.168.1.2
IP: 192.168.1.3
IP: 192.168.1.4
IP: 192.168.1.70
IP: 192.168.1.10 TCP/IP
IP: 192.168.1.55
IP: 192.168.1.11
IP: 192.168.1.57
IP: 192.168.1.5
IP: 192.168.1.21
IP: 192.168.1.22
System
Guard Guard CAS Admin
8|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Persediaan Aset
Alamat IP NamaAset Lokasi Tujuan Perangkat CVE CIA
Terpadu
(Firmware)
192.168.1.1 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 5
192.168.1.2 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 5
192.168.1.3 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 6
192.168.1.4 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 7
192.168.1.5 HP Server SAS Server Membaurkan Data Analog & Digital 7.1.0 CVE-2018-7090 Ketersediaan
192.168.1.10 Perekam Video Net CAS Server Mengendalikan Kamera IP di 7.5.21 CVE-2016-4520 Ketersediaan
(Net VideoRecorder) Sektor 1 & 2
192.168.1.11 Sistem Manajemen CAS Server Keseluruhan Pengendalian Sistem 7.5.21 CVE-2016-4520 Kerahasiaan
Data
192.168.1.12 Perekam Video CAS Server Mengkonversikan Sinyal Analog Ketersediaan
Digital (Digital
Video Recorder)
192.168.1.20 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.21 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.22 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.50 Kamera IP Sektor 1 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.51 Kamera IP Sektor 1 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.52 Kamera IP Sektor 2 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.53 Kamera IP Sektor 2 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.54 Kamera IP Sektor 3 Penilaian 3.04.22 CVE-2018-7782 Integritas
9|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
192.168.1.70 Video Encoder Sektor 1 Konversi Analog ke Digital 1.1.17 Ketersediaan
192.168.1.100 Stasiun Alarm Lokal ECP #1 Penilaian Alarm 4.16.32 Ketersediaan
192.168.1.102 Stasiun Alarm Pusat CAS Server Penilaian Alarm 4.16.32 Ketersediaan
10 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Gambaran Umum tentang Kerentanan
11 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Pertanyaan-Pertanyaan
1. Menurut Anda, aset mana yang paling penting dalam sistem ini? Apakah ada komponen yang
akan menurunkan kinerja keseluruhan sistem proteksi fisik jika komponen tersebut mengalami
kegagalan fungsi?Apakah ada komponen yang akan mematikan seluruh sistem manajemen
video jika komponen tersebut mengalami kegagalan fungsi?
2. Apakah Anda setuju bahwa kamera-kamera harus memiliki nilai CIA “Integritas”? Mengapa?
Apakah Anda tidak setuju dengan penyebutan CIA yang diberikan untuk perangkat dalam
registry ini? Jelaskan jawaban Anda?
12 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
3. Dari kerentananyang dinilai, apakah terdapat kerentanan yang lebih penting dan lebih berisiko
kepada sistem manajemen video? Mengapa? Apakah terdapat ketidaksempurnaan desain yang
menimbulkan kekhawatiran dalam diagram jaringan?
4. Misalkan Anda adalah seorang pelaku kejahatan. Anda bermaksud mencuri bahan nuklir dari
sebuah ruang penyimpanan (vault). Untuk menyelesaikan skenario pencurian Anda, Anda perlu
menonaktifkan sistem manajemen video selama jangka waktu tertentu. Sebagai seorang
penyerang (attacker), manakah dari kelima tujuan ini (Mendistorsi/Distort,
Mengganggu/Disrupt, Merusak/Destruct, Mengungkapkan/Disclose dan Menemukan/Discover)
yang akan Anda pilih untuk mencapai tujuan Anda tersebut? Kerentananmanakah yang akan
Anda eksploitasi?
13 | P a g e