1st Edition Release - GQ

First Edition
CDEF Magazine
Cyber Defense Community TURUT SERTA MENCERDASKAN KEHIDUPAN BANGSA
RUBRIK TANYA JAWAB

“LEBIH DEKAT DENGAN SALAH SATU PENGGAGAS
KOMUNITAS CYBER DEFENSE ”
INTERVIEW KHUSUS
DENGAN RUSDI RACHIM
“MEMULAI (PERJALANAN)
KARIR DI BIDANG CYBER
(DEFENSE) SECURITY ”
TUTORIAL
Monitoring Windows Event Logs dengan Graylog, Membangun
Log Management dengan ELK Stack
EVENTS REPORT
CDEF Meeetup Agenda 
Liputan Sharing Session di SMK Negeri 2 Depok Sleman
Event Report: Cyber Defense NetWars 2017
Cyber Defense Community | Q1 2018

Event Sekapur Sirih
Cyber Defense Community
Tim Redaksi 
Digit Oktavianto  Halo Pecinta Cyber Defense Indonesia !!!
Adi Nugroho 
Sida Nala Rukma J
Puji syukur kami haturkan kepada Tuhan Yang Maha Esa,
karena berkat karunia-Nya dan kehendak-Nya akhirnya Ma-
Tim Desain Grafis  jalah Elektronik Cyber Defense (CDEF) Community dapat
Sida Nala Rukma J  terselesaikan juga untuk edisi yang pertama ini.
M. Iqbal Muhardianto
Terima kasih tak lupa juga kami sampaikan kepada para
Tim Editor & Proof Reading  kontributor, proof-reader dan reviewer dari majalah ini yang
Paulus Tamba  telah meluangkan waktu, pikiran dan tenaganya untuk mem-
Rusdi Rachim  berikan sumbangsih yang sangat berharga guna berbagi
Fransiskus Indromojo pengetahuan, pengalaman kepada generasi penerus dari
Harun Al Rasyid pegiat dan pecinta cyber defense di Indonesia.
Bambang Susilo
Semoga cita-cita dari komunitas CDEF untuk turut berkontri-
Penasihat  busi guna mencerdaskan anak bangsa melalui berbagi pen-
Rusdi Rachim getahuan dan pengalaman di bidang cyber defense dapat
Harun Al Rasyid terus berlanjut, sehingga generasi penerus di bidang cyber
defense dapat terus tumbuh di negeri ini. Amin.
Kontak
Kritik dan saran dapat dikirim-
kan ke alamat e-mail redaksi
- Tim Redaksi CDEF Magazine -
redaksi@cdef.id  
1
CYBER HORIZON
1
LOG DATA & LOG MANAGEMENT
- SIDA NALA RUKMA J.
6
THREAT HUNTING 101 - PART 1

10
- DIGIT OKTAVIANTO
TUTORIAL
2
MONITORING WINDOWS EVENT LOGS  
19 DENGAN GRAYLOG
- WAHYU NURYANTO
MEMBANGUN LOG MANAGEMENT 

30 DENGAN ELK STACK
- ROKHMAT FAJAR SODIK
TOKOH
DAFTAR ISI
3
MEMULAI (PERJALANAN) KARIR DI BIDANG 
CYBER (DEFENSE) SECURITY” BERSAMA  43
RUSDI RACHIM
LEBIH DEKAT DENGAN [DIGIT

48 OKTAVIANTO] PENGGAGAS KOMUNITAS
CYBER DEFENSE
HOT TOPICS
4
TRISIS / TRITON THE ICS MALWARE
55 - IQBAL MUHARDIANTO
SPECTRE & MELTDOWN

60 - FEBRIANTO WIDYA BAGUS FITRANTO & RIYAN SURYA PRATAMA
EVENTS REPORT
5
2ND MEETUP - CYBER DEFENSE COMMUNITY
DI MENARA BTPN
65
SHARING SESSION : SECURITY AWARENESS

DI SMKN 2 DEPOK SLEMAN, YOGYAKARTA
71
EVENT REPORT: CYBER DEFENSE

NETWARS 2017 73
DAFTAR ISI
BOTCONF 2017 76
SANS CYBER DEFENSE

79
SUMMIT 2017
3
ULASAN BUKU
6
LOGGING AND LOG MANAGEMENT 86
THE PRACTICE OF NETWORK

87
SECURITY MONITORING
BLUE TEAM FIELD MANUAL

88
VERSION 1
CHALLENGE
7
TEKA TEKI SILANG
91 - KONTRIBUTOR
POJOK HUMOR
93 - TIM REDAKSI
DAFTAR ISI
1
“The more you know, the
CYBER HORIZON more you don’t know”
– Anonymous
Log Data & Log Management
Ditulis oleh Sida Nala
Apa itu Log Data? Idealnya, untuk sebuah log data harus bisa
kurang lebih menjelaskan 5W1H. Namun
“Log data is the intrinsic meaning that a untuk secara rinci mengenai bagaimana,
log message has. Or put another way, dan mengapa sangat jarang ditulis dan di-
masukan ke dalam log. Hal ini mungkin
log data is the information pulled out of
akan kita temui untuk jenis log debug atau
a log message to tell you why the log
jenis log yang lain dengan level verbose
message generated”
yang tinggi dan itu akan memberikan ban-
yak informasi.
Sebuah contoh, pada sebuah web server
yang dikunjungi oleh user, user akan oto- Untuk isi dasar log itu sendiri biasanya
matis mengakses resources di dalamnya mengandung :
(halaman web, gambar, file, dan lain-lain.).
Jika user mengakses halaman tersebut, Waktu.
web server akan menulis log kedalam Sumber.
sistem. Salah satunya adalah alamat IP
Data.
dari user yang telah mengunjungi halaman
tersebut.
Cyber Defense Community | Q1 2018 6

Penggunaan Log engineer memang memerlukan log
yang berada pada penyimpanan lokal.
Log dapat memberi tahu anda banyak hal Log analysis (in real-time and in bulk af-
tentang apa yang terjadi pada jaringan dan ter storage). Analisis log (secara real-
sistem operasi anda. Mulai dari informasi time dan dalam jumlah massal setelah
kinerja sistem/perangkat, sampai deteksi penyimpanan)
kesalahan dan deteksi adanya intrusi. Log
bisa juga menjadi sumber informasi "foren- Log search and reporting. Pencarian
sik" yang bagus untuk menentukan "apa dan pelaporan log. Hal ini digunakan un-
yang terjadi" setelah sebuah kejadian tuk first level sampai ke level manaje-
maupun insiden. Selain itu log dapat digu- men dalam bentuk pelaporan.
nakan sebagai bahan audit trail untuk tu-
juan audit.
Log Management Mengapa menggunakan Log

Management?
Manajemen Log merupakan sebuah
tempat/tools yang bertugas untuk menan- Pendapat saya menggunakan log manage-
gani sejumlah besar pesan log yang dihasil- ment sangatlah memudahkan dalam mela-
kukan pencarian log. Sebagai contoh, jika
kan komputer (juga dikenal sebagai audit
engineer diminta untuk mencari access log
records, audit trails, event-log, access log,
di sebuah sistem yang terdiri dari 100
system log). Log management umumnya server. Apakah engineer akan masuk dan
meliputi: mengecek satu per satu server untuk da-
pat menemukan log yang dimaksud ? Hal
Log collection. Himpunan berbagai ma- ini akan sangat merepotkan dan memakan
cam pesan log. waktu yang lama. Selebihnya bisa digu-
Centralized log aggregation. Pengumpu- nakan untuk kebutuhan yang lainnya.
lan log secara terpusat dari beberapa
sumber. Arsitektur Log Management
Long-term log storage and retention. Pada umumnya log management terdiri
Penyimpanan dan retensi log jangka dari 3 bagian, yaitu :
panjang.
Log rotation. Dengan mengunakan log 1. Collector / Forwarder. Bagian ini ber-
fungsi sebagai sumber data input. Ada
management, engineer tidak perlu ber-
2 macam input disini, yaitu active dan
susah payah untuk merotasi log nya passive. Untuk passive itu sendiri
perhari. Walaupun untuk keperluan ter- biasanya digunakan untuk data input
tentu (misal pengecekan integritas file) dari layanan TCP / UDP. Listen port

dan menerima data dari berbagai sum- keamanan. Tentunya use case ini akan meli-
ber. Input data secara Active bisa batkan banyak sumber data dalam imple-
dilakukan dengan cara penggunaan mentasinya. Untuk itu lebih banyak data
agent untuk melakukan pengiriman yang terhimpun (tentunya log yang telah
data ke dalam penyimpanan server dinormalisasi) akan menghasilkan use case
manajemen log. yang lebih baik serta akan meminimalisir
adanya false positive dalam sebuah sistem
2. Storage. Bagian ini berfungsi sebagai peringatan/notifikasi.
tempat dimana log tersebut diidentifi-
kasi sebagai log apa, dilakukan proses Sebagai contoh beberapa kategori use
pengindeksan dengan tujuan agar case yang umum digunakan untuk melaku-
proses pencarian sebuah data dapat kan peringatan keamanan antara lain :
berlangsung dengan cepat.
3. Search Engine. Bagian ini merupakan- 1. Aktifitas Otentikasi Pengguna (Authenti-
tempat dimana para pengguna dari cation Activities)
manajemen log mencari data atau infor- 2. Berbagi Akun Pengguna (Shared
masi yang dimaksud dan memilah Accounts)
sesuai dengan kebutuhannya. 3. Aktifitas Sesi (Session Activities)
4. Rincian Koneksi (Connections Details)
5. Perilaku Abnormal dari Proses Adminis-
Analisa Lanjutan (Security) trasi Sistem (Abnormal Administrative
Behavior)
Jika seorang Security Analyst sudah men-
getahui sebuah pattern atau statistik be- 6. Pencurian Informasi (Information Theft)
berapa event dalam waktu tertentu. 7. Vulnerability Scanning and Correlation
Tentunya hal itu akan menjadikan sebuah
informasi yang lebih jauh dalam analisa. 8. Analisis Statistik (Statistical Analysis)
Sebagai contoh ketika sebuah web server 9. Deteksi Intrusi dan Infeksi (Intrusion
diserang dengan menggunakan teknik Detection and Infections)
pemindaian atau scanning, pengujian
10. Aktifitas Perubahan Sistem (System
keamanan sql injection dan lain-lain, maka
Change Activities)
access log dalam web server tersebut
akan bisa digunakan sebagai informasi
peringatan kepada pengguna jika terdapat
kemungkinan penyerang berhasil masuk Terimakasih, semoga bermanfaat.
ke dalam sistem.
Tautan Bacaan
Use Case Development
1. Log Management
Cukup banyak use case yang secara : https://en.wikipedia.org/wiki/Log_ma
umum digunakan untuk keperluan nagement

2. Best Log Management Tools: 51 Useful
Tools for Log Management, Monitoring,
Analytics, and More
: https://stackify.com/best-log-manage
ment-tools/
3. Effective Use Case Modeling for Secu-
rity Information & Event Management
: https://www.sans.org/reading-room/w
hitepapers/detection/effective-case-m
odeling-security-information-event-ma
nagement-33319
4. Top 10 Use Cases SIEM
: https://www.logpoint.com/da/about-u
s/blog/302-top-10-use-cases-for-siem
Sida Nala Rukma J

OSCP, SCU, C|EH
mail : rudukmada@gmail.com
Sida Nala Rukma, atau yang

hangat disapa Sida merupakan salah satu
engineer cybersecurity (Blue Team) di PT
Telkom Sigma dan juga independent secu-
rity researcher serta splunkers. Sida Nala
juga aktif melakukan riset di bidang
reverse engineering android mobile applica-
tion. Beliau juga memiliki pengalaman di
Cybersecurity Operation Center dan Appli-
cation Development.

Threat Hunting 101 - Part 1
ditulis oleh Digit Oktavianto
Pengenalan Threat Hunting buka keumngkinannya untuk terjadi com-

promised
Dalam paradigma keamanan teknologi in-
3. 100% aman merupakan hal yang sangat
formasi, terutama dalam hal ini di area
tidak mungkin (100% secure is impossi-
cyber defense, ada 3 (tiga) hal yang perlu
ble)
kita ingat dan kita perlu ketahui bersama,
bahwa : Dari ketiga hal di atas, kita dapat mema-
hami bahwasanya kita tidak dapat mence-
1. Anda tidak dapat mencegah semua gah para “bad guys” untuk melakukan tin-
serangan cyber attack yang ada dak kejahatan cyber attack terhadap infra-
2. Jaringan dan infrastruktur anda, bagai- struktur kita. Satu hal yang dapat kita
manapun, dan kapanpun, akan selalu ter- upayakan secara maksimal adalah dengan

melakukan upaya semaksimal mungkin un- Pada artikel pertama ini saya juga akan
tuk meminimalisir dampak dari cyber at- memberikan beberapa sumber daya untuk
tack, dan bagaimana kita secara proaktif menggali lebih dalam perihal threat
melakukan upaya pencegahan, serta ber- hunting itu sendiri. Bahkan saat ini ada be-
siap diri untuk melakukan response jika berapa penyedia jasa pelatihan yang su-
suatu saat terjadi breach pada infrastruktur dah membuka layanan pelatihan training
kita. yang fokus utamanya membahas threat
hunting. Hal tersebut nanti akan kita ulas
Dalam artikel “Threat Hunting 101” ini,
satu per satu.
saya mencoba membuka wawasan anda
semua mengenai seberapa penting
Apakah Threat Hunting itu ?
proactive threat hunting perlu dilakukan,
seperti apakah Threat hunting merupakan
kegiatan threat hunt- “Threat hunting merupakan proses yang memfokuskan
ing, dan keuntungan aktivitas pada kegiatan
proses yang memfokuskan ak-
apa yang dapat kita yang sifatnya berulang kali,
tivitas, dengan melakukan pen-
peroleh dengan kita dengan melakukan pen-
dekatan tertentu untuk
melakukan proses dekatan untuk melngidenti-
threat hunting ini. melngidentifikasi, dan mema-
fikasi, dan memahami
Artikel ini akan terdiri hami threat actor yang mung-
threat actor yang mungkin
dari beberapa seri, kin sudah masuk dan berada sudah masuk dan berada
dimana di seri per- di dalam infrastruktur anda” di dalam infrastruktur
tama ini saya akan anda. Threat hunting lebih
mencoba membuka merupakan pendekatan dari luar. Asumsi-
wawasan dan ide perihal threat hunting itu nya adalah bahwa threat actor sudah
sendiri, proses yang dilakukan pada threat berada di lingkungan anda, terlepas dari
hunting, dataset apa yang diperlukan se- usaha terbaik anda untuk mencegah
orang threat hunter untuk melakukan “per- mereka.
buruannya”, dan di dalam artikel berikut-
nya akan ada beberapa pembahasan hal Aktivitas threat hunting melihat indikator,
yang bersifat teknis seputar threat hunting mencari perilaku anomali yang ada pada
itu sendiri. sistem anda, dan mencoba membuat hipo-
tesa mengenai bagaimana seorang threat

actor mampu memasuki environment sys- peringatan intrusi dalam sebuah
tem anda. Dengan demikian, anda dapat organisasi. Seperti kita ketahui bersama
memprediksi, atau melihat kemungkinan- bahwa saat ini cyber security attack se-
kemungkinan celah yang dapat dilakukan makin rumit dan advance, oleh karena itu
oleh threat actor. tidak cukup bagi seorang security analyst
hanya mengandalkan passive security
Threat hunting sering kali disalah artikan monitoring, perlu adanya proaktif response
dengan Threat Intelligence, walaupun ke- untuk mengetahui apakah adanya suatu ke-
dua hal tersebut merupakan hal yang janggalan yang disebabkan oleh para
berkaitan satu sama lainnya. Threat threat actor yang berada di dalam environ-
intelligence dalam hal ini merupakan se- ment system mereka.
buah platform yang dapat digunakan seba-
gai evidence-based research yang bertu- Mengapa kita perlu Threat
juan untuk mencari indikator dari sebuah
Hunting ?
threat actor berdasarkan informasi dari
berbagai macam threat intelligence feed.
Ada berbagai macam alasan dan tujuan
Oleh karena itu dalam aktivitasnya, threat
mengenai pentingnya poses threat hunting
hunting biasanya saja justru memberikan
ini :
suatu feed kepada threat intelligence plat-
form mengenai suatu indikasi serangan Aktifitas Tersembunyi dari Pelaku
yang belum dikenal sama sekali, atau bah- Serangan (Stealth Activity dari
kan sebaliknya, dalam aktivitas threat hunt- Threat Actor)
ing, para threat hunters memanfaatkan
Passive security monitoring tidak dapat
threat intelligence sebagai senjatanya
mendeteksi sebagian besar stealth activity
untuk proses hunting.
yang dilakukan oleh threat actor. Banyak
Threat hunting bukanlah sesuatu hal yang sekali metode yang digunakan oleh threat
baru dalam ranah cyber defense, namun, actor salah satunya untuk melakukan per-
pada kenyataannya banyak sekali para sistence activity ketika sudah berhasil mela-
cyber defender yang hanya mengandalkan kukan penyusupan ke dalam sebuh sistem
alert based investigation, sehingga menge- tertentu. Indikasi-indikasi dan perilaku
sampingkan indikator dan anomali yang anomali yang mencurigakan (malicious
mungkin belum dideteksi sebagai sebuah

anomaly behavior) ini dapat diidentifikasi hunting yang dilakukan secara rutin, di-
melalui proses threat hunting. harapkan hal ini dapat mengurangi dwell
time dalam merespon adanya security
Sophisticated dan Advanced Attack incident dan breach yang ada dalam se-
Vector buah organisasi.
Saat ini banyak sekali metode yang digu-

Threat Hunting - People
nakan para threat actor yang sifatnya ad-
vanced dan banyak security perimeter Sebagai sebuah proses yang sifatnya ber-
tidak dapat mencegah advance attack vec- kelanjutan, tentunya threat hunting akan se-
tor seperti ini. Setiap harinya berkembang
metode-metode baru
untuk mengelabui
pemilik dan penge-
lola sistem, sehingga
proteksi yang telah di
implementasikan ti-
dak dapat mende-
teksi jenis serangan
seperti ini.
Gambar 1 : Alert Based Investigation vs Threat Hunting
Mereduksi Waktu Proses Tanggap lalu berpedoman pada konsep triad

Insiden (Reducing Incident people, process, dan juga technology yang
Response Time) akan saling berkaitan satu sama lain.
Ketiga elemen ini adalah sebuah kesatuan
Berdasarkan hasil riset dan survei, waktu yang harus dapat terintegrasi bersamaan.
yang diperlukan oleh sebuah organisasi un-
tuk mendeteksi dan merespon ketika ter- Manusia (People)
jadi breach rata-rata secara global adalah
Salah satu mitos umum mengenai threat
selama 146 hari, dan rata-rata yang diperlu-
hunter adalah bahwasanya threat hunting
kan oleh organisasi di EMEA area untuk
hanya dapat dilakukan oleh security ana-
mendetksi adanya breach adalah 496 hari
lyst di level elite. Hal ini tidak sepenuhnya
(FireEye). Dengan adanya proaktif threat
benar mengingat saat ini security analyst

Level 1 (L1) sudah harus memiliki skill dan potongan puzzle yang ditemukan berarti
pengetahuan dasar mengenai threat hunt- one step untuk menangkan para “bad
ing. Pekerjaan yang sifatnya umum, seperti guys” tersebut. Bekerja dengan tidak men-
responding and reducing false positive genal lelah dan tidak pantang menyerah
alert, seharusnya sudah dapat ditangani dalam merangkai potongan puzzle serta
secara otomatis, sehingga mengurangi be- pemikiran analitik, akan sangat membantu
ban pekerjaan Security Analyst L1. Mereka security analyst dalam mengungkap se-
dapat mengeksplorasi lebih dalam dan buah kasus.
mempraktekkan hunting bad adversaries
dimulai dari L1. Namun untuk bisa memu- Analisis Log (Log Analysis)
lai proses hunting, tentunya security ana-
Kemampuan security analyst dalam hal
lyst harus dibekali dengan beberapa penge-
membaca log, dan teliti dalam mempelajari
tahun dasar di area keamanan. Beberapa
setiap log dari tiap sumber data, sangat
hal yang perlu diperhatikan untuk memulai
penting dimiliki. Selain itu kemampuan un-
proses hunting adalah sebagai berikut :
tuk melakukan basic scripting dalam hal
Pola Pikir Analitik (Analytical Mind- mengolah dan memparsing log juga san-
gat berperan dalam mempermudah peker-
set)
jaan security analyst dalam proses hunting.
Security analyst harus dapat mempunyai Kemampuan untuk memahami anomali
daya nalar dan berpikir secara analitik. dari log dapat dalam setiap sumber data,
Dan ini merupakan kemampuan dasar dan juga mengkorelasikan log dari be-
yang paling fundamental dan harus di berapa log sumber data, juga penting un-
miliki oleh setiap threat hunter. Di setiap in- tuk dimiliki oleh security analyst.
vestigasi dan proses hunting yang dilaku-
kan, security analyst akan banyak menemu- Forensik Jaringan (Network Foren-
kan potongan-potongan puzzle yang perlu sic)

dirangkai menjadi satu dan membentuk se-
Kemampuan dasar untuk memahami
buah hipotesa sehingga mempunya tujuan
packet capture, basic networking skill, juga
akhir untuk mencari adversaries dan sum-
menjadikan salah satu poin kunci yang ha-
ber permasalahan yang terjadi. Passion
rus dimiliki oleh threat hunter. Hal ini teru-
dan rasa ingin tahu dari security analyst
tama kerika threat hunter sedang melaku-
memegang peranan penting, karena setiap
Cyber Defence Community | Q1 2018 14

kan proses hunting pada data source net- juga bisa menjadi rujukan adalah MITRE
work traffic. ATT&CK Framework yang memberikan
big picture mengenai model–model serta
Daur Hidup Penyerang (Attacker teknik yang umum digunakan oleh “bad
Lifecycle) guys” dalam proses infiltrasi pada sebuah
infrastruktur.
Salah satu contoh mengenai daur hidup
penyerang (attacker lifecyle) dapat dipa- Arsitektur Sistem Operasi
hami dalam Kill Chain Process yang dice- (Operating System Architecture)
tuskan pertama kali oleh Lockheed Martin.
Ada kalanya dalam proses
hunting, threat hunter
perlu melakukan analisa
terhadap log dari end-
point. Log dari sistem op-
erasi ini yang perlu diterje-
mahkan oleh threat hunter
untuk menjadi sebuah po-
tongan puzzle yang bisa
jadi bermanfaat dalam
membangun sebuah hipo-
tesa dan melakukan
proses korelasi dengan
sumber data log lainnya.
Gambar 2 : Kill Chain Phase (sumber : https://en.wikipedia.org/wiki/Kill_chain)
Dengan memahami konteks daur hidup ter- Pengetahuan yang cukup mendalam dari
sebut, threat hunter dapat menyusun hipo- sisi internal sistem operasi, dapat mem-
tesa serta memprediksi kemungkinan- bantu pekerjaan threat hunter dalam
kemungkinan teknik serta metode yang mengolah data yang diperoleh dari sisi end-
digunakan oleh para adversaries dalam point. Sebagai rujukan, anda dapat mem-
proses eksploitasi pada suatu environ- baca beberapa buku seperti Sysinternal
ment. Selain Kill Chain Framework, yang Windows, atau Kernel Linux Book sebagai

pedoman dan rujukan fundamental dalam phishing, exploit kits. Custom malware,
mempelajari arsitektur sistem operasi. atau juga basic exploitation pada aplikasi
Gambar 3 : Salah satu sample MITRE ATT&CK Matrix

sumber :https://pbs.twimg.com/media/CtxoSGmUEAAUWaU.jpg
Metode Serangan (Attack Method) atau infrastruktur yang ada pada environ-
ment kita. Pentingnya melakukan update
Pada poin sebelumnya, jika anda mem- knowledge secara berkala untuk terus
baca mengenai attacker lifecyle, hal ini mengetahui latest attack method, juga da-
akan sangat berkaitan dengan poin ini. pat membantu para threat hunter dalam
Berbagai macam delivery attack method melakukan proses hunting.
dilakukan dengan beberapa metode.
Seperti misalnya delivery melalui social
engineering dengan menggunakan metode

DIGIT OKTAVIANTO
GCIH, GICSP, CEH, ECSA,
Bersambung …..
ECIH, CHFI, CAST 612. CEI,
IBM Qradar Security Associate
Seri artikel Threat Hunting 101 akan dilan-
jutkan pada Part 2 di Edisi CDEF Bulletin
Q2 2018. Nantikan kelanjutan dari artikel
Digit Oktavianto, atau yang sering disapa
ini.
Digit, adalah seorang pegiat cybersecurity,
independent security researcher dan secu-
Tautan Bacaan
rity architect di perusahaan PT. Mitra Inte-
grasi Informatika. Beberapa pengalaman
1. Threat Hunting For Dummies,
https://www.carbonblack.com/resource/ dan topik yang merupakan passion dari
threat-hunting-dummies/ Digit Oktavianto antara lain :
2. Huntpedia – Your Threat Hunting Knowl- Cyber Security Operation Center, Threat
edge Compendium,
https://resources.cio.com/ccd/assets/1 Hunting, DFIR (Digital Forensic and Inci-
45609/detail dent Response), Malware Analysis, Cyber
Defense Operation, Threat Intelligence, OS-
3. Hunt Evil - Your Practical Guide to
Threat Hunting INT, Incident Handling and Incident Re-
sponse, Active Defense and Continuous
4. The Who, What, Where, When, Why and Monitoring, ICS/Scada Security.
How of Effective Threat Hunting,
https://www.sans.org/reading-room/whi
tepapers/analyst/who-what-where-whe
n-effective-threat-hunting-36785
5. Threat Hunting 101,

https://www.cybereason.com/blog/blog
-threat-hunting-101-you-asked-we-ans
wered
6. Demystifying Threat Hunting Concepts,

https://medium.com/@jshlbrd/demystify
ing-threat-hunting-concepts-9de5bad2
d818

2
“Security is not a product,
TUTORIAL but a process”

– Bruce schneier
Monitoring Windows Event Logs
Menggunakan GRAYLOG
ditulis oleh Wahyu Nuryanto
Ketika berbicara tentang monitoring atau pemantauan maka salah satu hal penting yang
sering menjadi topik hangat adalah tentang visibilitas. Visibilitas ini akan mempengaruhi
kualitas dari aktifitas monitoring itu sendiri dan keluaran yang akan dihasilkannya.
Monitoring keamanan pada sistem informasi tidak berbeda jauh dengan kegiatan
monitoring keamanan pada suatu benda fisik misal seperti gedung atau rumah.
Ketika sensor atau katakanlah CCTV hanya diletakkan pada gerbang atau pagar gedung
saja maka kita tidak akan dapat melihat sepenuhnya apa yang terjadi didalam gedung ter-
sebut, sehingga diperlukan adanya sensor tambahan yang diletakkan didalam gedung
untuk memudahkan para penjaga keamanan untuk mendapatkan visibilitas yang lebih baik
terhadap kondisi keamanan keseluruhan gedung.

Hal yang sama berlaku juga terhadap kegiatan monitoring keamanan pada sistem infor-
masi, untuk mendapatkan visibilitas yang baik maka kita juga harus dapat mengetahui
event apa saja yang terjadi sampai pada level sistem operasi atau bahkan aplikasi yang
sedang kita monitor
Tutorial kali ini akan sedikit membahas bagaimana kita dapat melakukan monitoring
Windows Event Logs dengan mudah menggunakan Graylog, dan event apa saja yang se-
baiknya dimonitor.
Pengenalan Graylog
Sebelum masuk ke bagian tutorial ada baiknya kita berkenalan lebih dahulu dengan
Graylog. Graylog adalah sebuah perangkat Open Source Log Management. Graylog
memiliki kemampuan untuk melakukan parsing terhadap berbagai jenis log yang dikirim-
kan kepadanya dan menyimpannya sampai batas waktu yang ditentukan. Salah satu ke-
unggulan Graylog adalah kemudahannya dalam hal konfigurasi melalui tampilan GUI
(Graphical User Interface) dan sistem peringatan (alerting) yang sudah terintegrasi
Tutorial berikut dilakukan dengan asumsi bahwa server Graylog sudah terinstall dengan
baik dan benar. Graylog sudah menyediakan dokumentasi yang cukup baik terkait bagai-
mana caranya melakukan installasi dan konfigurasi awal, jika ada yang salah dengan hasil
installasinya mungkin ada proses atau command yang terlewat, cek lagi.
Langkah pengiriman windows event logs ke Graylog
1. Untuk kebutuhan monitoring windows event logs kali ini digunakan winlogbeat yang
secara default sudah ada pada graylog collector sidecar
2. Sejatinya, sidecar dapat diintegrasikan dengan NXLog dan filebeat dimana NXLog
dibutuhkan adanya installer tambahan sementara untuk filebeat sama seperti
winlogbeat sudah terintegrasi secara default dengan sidecar jadi tidak diperlukan insta-
lasi aplikasi lain lagi
3. Unduh installer sidecar pada halaman githubnya berikut
https://github.com/Graylog2/collector-sidecar

4. Double klik pada file installer sidecar untuk melakukan proses instalasi
5. Masukkan alamat IP server graylog dan tagnya (defaultnya akan terisi Windows dan
IIS, IIS bisa dihapus jika memang pada server tersebut tidak terdapat layanan IIS).
Pastikan juga bahwa IP server Graylog dapat diakses dari perangkat Windows yang
akan melemparkan lognya. (lihat Gambar 1)
Gambar 1. Proses Instalasi Graylog
6. Lalu klik Install dan tunggu proses instalasi sampai selesai kemudian klik Finish
7. Edit file konfigurasi sidecar untuk memilih aplikasi apa yang kita mau pakai untuk men-
girimkan lognya
8. Edit filenya di C:\Program Files\graylog\collector-sidecar\collector_sidecar.yml (lokasi
bisa berbeda tergantung lokasi instalasi sidecar sebelumnya)

9. Pastikan bagian winlogbeat sudah di-enabled dengan variabel “true” dan yang lain
false seperti gambar berikut.
Gambar 2. Proses Konfigurasi Graylog
10. Simpan file konfigurasi setelah diedit
11. Selanjutnya buka command prompt dan jalankan perintah atau command berikut un-
tuk mengaktifkan service dari sidecar tersebut (Pastikan untuk menjalankan command
prompt sebagai Administrator) (lihat Gambar 3)
$ "C:\Program Files\graylog\collector-sidecar\graylog-collector-sidecar.exe"
-service install
 
$ "C:\Program Files\graylog\collector-sidecar\graylog-collector-sidecar.exe"
-service start

Gambar 3. Perintah Mengaktifkan Sidecar
12. Masuk ke halaman web GUI dari server Graylog dan buka Menu Collector
13. Akan muncul semua collector yang sudah terpasang pada perangkat Windows, yang
paling baru diinstall akan berada paling bawah
14. Pilih graylog-collector-sidecar paling bawah untuk melihat detailnya (nama collector
dapat diganti sesuai keinginan pada langkah nomor 9 diatas ganti variable “node_id”
dengan nama yang lebih mudah dikenal untuk mempermudah manajemennya melalui
web GUI dan membedakannya dengan collector lain)
15. Dari sini konfigurasi pada sisi perangkat Windows yang akan melemparkan lognya su-
dah selesai.
Selanjutnya akan dilakukan konfigurasi dari sisi server Graylog untuk menerima dan mem-
proses windows event logs
1. Jika muncul error pada tampilan Web GUI ketika mengakses menu Collector, maka
dapat diabaikan dan lanjut menuju ke langkah selanjutnya untuk melakukan konfigu-
rasi. Error tersebut muncul karena belum ada konfigurasi untuk menerima logs dari
collector.

2. Langkah pertama adalah menyiapkan Inputs pada server Graylog untuk menerima
logs dari perangkat windows.
3. Masuk ke menu Inputs kemudian pilih Beats lalu Launch New Input
Gambar 4. Settings Data Beats
4. Bind address adalah alamat IP untuk server graylog, port default adalah 5044

5. Kembali ke menu Collectors kemudian pilih Manage Configurations lalu Create Con-
figuration, beri nama untuk konfigurasi tersebut kemudian klik Save
6. Pilih konfigurasi yang baru dibuat pada langkah sebelumnya untuk melakukan peruba-
han konfigurasi lebih lanjut
7. Masukkan tags “windows” kemudian klik Update Tags
8. Pilih Create Output, beri nama pada Output tersebut kemudian untuk type pilih [Win-
LogBeat] Beats Output, kemudian ganti alamat IPnya dengan alamat IP server gray-
log, klik Save. (lihat Gambar 5)
Gambar 5. Setting Nama Output Beats

9. Pilih Create Input, beri nama, pilih Forward to pilih Output yang dibuat pada langkah
sebelumnya, kemudian pilih type-nya [WinLogBeat] Windows Event Log, untuk
Event name biarkan default saja kecuali kita hanya ingin memonitor event security saja
maka dapat dihapus event name yang lain .
10. Dari sini konfigurasi di sisi server graylog sudah selesai. Untuk melihat hasilnya yakni
log yang sudah masuk bisa menuju menu Input, pilih Beats Input kemudian pilih
Show received messages
Gambar 6. Verifikasi Hasil Pengiriman Log
11. Berikut adalah salah satu tampilan windows event logs yang sudah diparsing secara
otomatis oleh Graylog (lihat Gambar 7)

Gambar 7. Hasil Parsing Windows Even Log di Graylog
Pada Gambar 8 berikut adalah beberapa Event ID penting pada Windows yang sebaiknya
di-monitor, rincian lebih lanjut akan dibahas pada artikel selanjutnya :)

Gambar 8. Daftar Event ID Windows yang Penting untuk Dimonitor melalui Graylog
Tautan Bacaan
1. Audit Logon Events,

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2
008-R2-and-2008/cc787567(v=ws.10), Microsoft, 2012
2. Graylog Collector Sidecar,
http://docs.graylog.org/en/2.4/pages/collector_sidecar.html, Graylog, Inc. 2015
3. Installing Graylog, http://docs.graylog.org/en/2.4/pages/installation.html, Graylog, Inc.
2015

WAHYU NURYANTO
GSEC, GCIH, GMON, GCFA,
CHFI
Pemerhati dan analis keamanan informasi

yang punya cita-cita menjadi pilot gundam
suatu hari nanti. :)

Membangun Log Management
dengan ELK Stack
ditulis oleh Rokhmat Fajar Sodik
Melanjutkan dari artikel Log Data & Log management oleh Sida Nala yang menjelaskan
fungsi dan penggunaan Log Management, kali ini saya akan membahas tutorial dasar
membangun log management menggunakan ELK Stack. ELK Stack atau Elastic Stack
dapat difungsikan sebagai Log Management yang dapat memberikan insight kepada
administrator mengenai tren, statistik serta anomali yang terjadi. Elastic Stack terdiri dari
tiga produk open-source yaitu Elasticsearch, Logstash dan Kibana. Elasticsearch meru-
pakan NoSQL database yang menggunakan Lucene sebagai basis teknologinya yang
berfungsi untuk menyimpan, mencari dan menganalisa data dalam jumlah besar,
Logstash berfungsi sebagai log pipeline yang menerima input dari bermacam-macam
sumber contohnya File, HTTP, Beats, Syslog, snmptrap, TCP/UDP, jdbc, dan lain-lain (1),
selanjutnya melakukan filter dan transformasi data, kemudian meng-export data ke
berbagai tujuan (misal csv, elasticsearch, solr, IRC, Nagios, S3, TCP/UDP) (2). Sedangkan

Kibana bertugas sebagai visualization layer yang sangat fleksibel menampilkan data yang
sudah diolah untuk kemudian di lakukan near real-time analisis atau analisis historis.
Sekedar informasi, Elastic Stack sudah banyak digunakan oleh perusahaan multi-
nasional maupun prusahaan lokal, jadi Elastic Stack ini sangat bisa diandalkan untuk
mengakomodir kebutuhan pengolahan log data bagi kalian yang mencari solusi open-
source. Untuk tingkat advance Elastic Stack dapat digunakan menjadi security analytic.
Gambar 1. Elastic Stack
Instalasi & Konfigurasi Elastic Stack
Pada bagian ini akan di jelaskan tahapan instalasi dan konfigurasi untuk masing-masing
komponen. Elastic Stack bisa di-install dengan berbagai macam cara, antara lain:
๏ zip/tar.gz. Cara ini digunakan untuk melakukan instalasi offline (packages) untuk
sistem operasi Windows dan Linux
๏ deb. Cara ini diperuntukan untuk sistem operasi Ubuntu maupun sistem operasi yang
berbasis Debian
๏ rpm. Cara ini diperuntukan untuk sistem operasi Red Hat, Centos, SLES, OpenSUSE
๏ docker. Cara ini digunakan bagi yang menginginkan Elastic Stack berjalan sebagai
Docker Container.

Tutorial ini akan menggunakan rpm repository sebagai cara untuk menginstall Elastic
Stack. Untuk server yang tidak bisa mengakses internet secara langsung maupun melalui
proxy, kalian bisa mengunduh packages (Elasticsearch, Logstash, Kibana) pada komputer
yang memiliki akses internet terlebih dahulu di halaman situs elastic kemudian upload
packages yang telah di download ke server Log Management dan lakukan instalasi secara
manual untuk setiap packages.
Instalasi
Unduh and install the public signing key:
[user@hostname ~]$ rpm -‐-‐import https://artifacts.elastic.co/GPG-‐KEY-‐elasticsearch
Buat file baru dengan nama elasticsearch.repo pada direktori /etc/yum.repos.d/ yang
berisi:
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
Setelah repo sudah siap, kalian bisa melakukan instalasi ELK dengan perintah berikut:
[user@hostname ~]$ sudo yum install elasticsearch

[user@hostname ~]$ sudo yum install logstash
[user@hostname ~]$ sudo yum install kibana
Agar ELK berjalan secara otomatis ketika sistem restart, gunakan perintah berikut:
[user@hostname ~]$ sudo chkconfig --add elasticsearch

[user@hostname ~]$ sudo chkconfig --add logstash
[user@hostname ~]$ sudo chkconfig --add kibana

Untuk menjalankan dan memberhentikan ELK, gunakan perintah berikut:
[user@hostname ~]$ sudo -i service elasticsearch start

[user@hostname ~]$ sudo -i service elasticsearch stop
[user@hostname ~]$ sudo -i service logstash start
[user@hostname ~]$ sudo -i service logstash stop
[user@hostname ~]$ sudo -i service kibana start
[user@hostname ~]$ sudo -i service kibana stop
Konfigurasi
Pada tahap awal, biarkan konfigurasi elasticsearch tetap dalam kondisi default. Tujuan
dari tutorial ini adalah membuat dashboard sederhana untuk login activity dan akan lebih
banyak membahas bagaimana cara melakukan parsing pada logstash dan memvisualisa-
sikannya melalui kibana. Secara konsep logstash akan mengolah log/data apapun men-
jadi tiga tahap, yaitu Input, Filter dan Ouput. Pada contoh kasus yang akan dibahas adalah
menerima auth log dari mesin linux, kemudian melakukan parse dan transformasi kemu-
dian mengirim hasilnya ke server elasticsearch.
Gambar 2. Mekanisme Pengolahan Log/Data pada Logstash

Buat file auth-log.conf pada direktori “/etc/logstash/conf.d/”. Kemudian edit file
auth-log.conf menjadi seperti berikut :
1) Bagian ini merupakan bagian untuk menentukan tipe input yang di inginkan, con-
tohnya logstash akan listen port UDP-514.
# Listen UDP 514 for receive log

input {
udp {
port => 514
type => syslog
} 
}
2) Kemudian pada bagian ini, kalian bisa melakukan parsing & transform, contohnya log-
stash akan memfilter authlog yang masuk dan hanya memberikan 5 tanda (Invalid
user, Invalid password, Accepted publickey, Accepted password, dan syslog_event)
# Filter authlog
if [type] == "syslog" {
# Melakukan parse & tag untuk aktivitas failed login karena invalid user
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} Message forwarded
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Failed password for inva-
lid user %{USERNAME:username} from %{IP:src_ip} port %{BASE10NUM:port} ssh2"
}
add_tag => "ssh_failed_login"
add_tag => "invalid_user"
add_tag => "ssh_login_event"
}}
# Melakukan parse & tag untuk aktivitas failed login karena invalid password
if ("ssh_failed_login" not in [tags]) {
grok {
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Failed password for
%{USERNAME:username} from %{IP:src_ip} port %{BASE10NUM:port} ssh2" }
add_tag => "ssh_failed_login"
add_tag => "invalid_password"
}}

# Melakukan parse & tag untuk aktivitas Accepted login menggunakan publickey
if ("ssh_failed_login" not in [tags]) {
grok {
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Accepted publickey for
add_tag => "ssh_successful_login"
}}
# Melakukan parse & tag untuk aktivitas Accepted login menggunakan password
if ("ssh_successful_login" not in [tags]) {
grok {
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Accepted password for
add_tag => "ssh_successful_login"
}}
# Melakukan parse & memberikan tag (syslog_event) jika ada raw log lainnya
yang diterima oleh logstash yang tidak tercangkup dalam pada 4 rule diatas.
if ("ssh_successful_login" not in [tags]) {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp}
%{SYSLOGHOST:syslog_hostname}
%{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?:
%{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
add_tag => "syslog_event"
}
}}

3) Yang terakhir, definisikan outputnya, contohnya auth log yang sudah di olah menjadi 5
tipe diatas akan di kirimkan ke server elasticsearch.
# Jika ELK di install pada server yang sama

output {
elasticsearch {
" hosts => ["localhost:9200"]"
index => "syslog-%{+YYYY.MM.dd}"}
stdout { codec => rubydebug }
}
Simpan file auth-log.conf tadi, kemudian jalankan service logstash. Setelah itu kirim auth
log pada masing-masing server yang ingin di monitor aktivitasnya ke alamat ip logstash.
Selanjutnya, kita akan mengubah konfigurasi dari kibana, file konfigurasi ada di
/etc/kibana/kibana.yml, hal yang perlu di perhatikan adalah URL Elasticsearch instance
untuk digunakan pada semua query. Jika Elastic Stack di install pada server yang sama
isi http://localhost:9200, Jika elasticsearch di install pada server berbeda, silahkan isi
alamat IP-nya.
elasticsearch.url: "http://localhost:9200"
Kalian bisa melakukan konfigurasi lainnya seperti mengubah default port dan menambah-
kan certificate untuk kibana dan lain-lain pada konfigurasi file yang sama. Akses terhadap
antarmuka kibana dapat diakses melalui halaman http://localhost:5601.

Gambar 3. Halaman Muka Kibana
Buat index pattern untuk “syslog” (lihat Gambar 4) (ini di definisikan pada bagian output di
logstash) dan set timestamp (lihat Gambar 54).
Gambar 4. Membuat Index Pattern “syslog”
Gambar 5. Melakukan Setting Timestamp

Jika sudah di buat index pattern-nya, kalian bisa melihat log yang sudah di terima oleh
Elastic Stack. Dalam contoh Gambar 6 dibawah ada 2 event, yaitu event 1 dengan tanda
“syslog_event” dan event 2 adalah aktifitas login menggunakan public key yang di berikan
tanda “ssh_successfull_login” dan “ssh_login event”.
Gambar 6. Event yang Terekam oleh Elastic Search
Kemudian buat dashboard sederhana untuk memantau aktivitas login. Caranya masuk ke
menu visualize, klik icon , dari sini kita bisa memilih berbagai macam visualisasi se-
suai kebutuhan.

Gambar 7. Pilihan Visualisasi pada Kibana
Contoh, visualisasi untuk menampilkan auth log yang diberikan tanda “ssh_success-
full_login” yaitu menggambarkan informasi successful login yang terjadi pada 24 jam tera-
khir berisikan informasi server tujuan, alamat IP yang mengakses dan username yang digu-
nakan.
Gambar 8. Visualisasi SSH Success Full Login

Jika sudah membuat beberapa visualisasi sesuai kebutuhan, Kalian bisa menggabungkan
beberapa visualisasi yang sudah dibuat untuk di jadikan sebuah dashboard yang bisa me-
nampilkan informasi tren dan statistik dalam kurun waktu tertentu seperti pada gambar
berikut.
Gambar 9. Gabungan Visualisasi di dalam Dashboard
Kesimpulan, dari percobaan diatas Elastic Stack sangat memudahkan untuk

me-monitoring aktivitas login dari banyak server. Terima kasih, semoga bermanfaat.

Tautan Bacaan
1. Input Plugins,
https://www.elastic.co/guide/en/logstas
h/current/input-plugins.html, Elastic
2. Output Plugins,
https://www.elastic.co/guide/en/logstas
h/current/output-plugins.html, Elastic
ROKHMAT FAJAR SODIK

OSSA, CHFI, CCSA

3 “Ingatlah kechilafan satu
orang sahaja tjukup sudah
TOKOH menjebabkan keruntuhan

negara”
– Dr. Roebiono Kertopati
“Memulai (Perjalanan) Karir di Bidang Cyber
(Defense) Security” bersama Rusdi Rachim
Kali kita berkesempatan untuk mendapat- kung adalah organisasi/perusahaan yang

kan informasi dari salah satu praktisi cyber memberikan du-
defense di Indonesia, yakni Rusdi Rachim kungan terhadap
“ If you only do
yang merupakan vice president ISC2 Indo- karir dunia kea- what you can do,
nesia. Untuk lebih lengkapnya mari kita si- manan. you'll never be bet-
mak wawancara berikut ini ter than what you
are “ – Master Shifu
– Kung Fu Panda 3 -
Q : Bisa cerita sedikit ngga, kenapa
2016
memilih menggeluti dunia keamanan
siber ? Awal mulanya gimana sih om ?
Q : Menurut anda
A: Selama kuliah saya banyak interaksi pada awal mena-
dengan Unix dan variannya. Selanjutnya paki karir, mana
pekerjaan pertama melakukan implemen- sih yang lebih
tasi sistem (kebanyakan Unix) dan infrastra- efektif apakah be-
struktur termasuk jaringan komputer. Lan- lajar sendiri, atau
jut mendalami bidang jaringan kom- mengikuti edu-
puter, kemudian keamanan jarin- k a s i f o r-
gan komputer, keamanan in- m a l
formasi dan sekarang kea-
manan siber.
Q : Pada awal mena-

paki karir dunia kea-
manan apa sih yang ha-
rus dipersiapkan ?
A : Minat dan rasa ingin

tahu, itu yang pertama.
Selanjutnya untuk mendu-

ataupun non-formal? Q : Seberapa besar peran keterlibatan
kita dalam komunitas tertentu untuk me-
A : Kombinasi. Beberapa hal bisa dipelajari
napaki karir di dunia keamanan siber ?
sendiri, namun begitu mendapatkan kon-
sep atau pondasinya, tidak ada yang da- A : Keterlibatan kita dalam komunitas ter-
pat mengalahkan sharing knowledge yang tentu akan memberikan kontribusi di berba-
lebih banyak kemungkinan didapatkan di gai aspek. Bagi yang memiliki pengalaman
edukasi formal maupun non-formal dan jam terbang yang tinggi bisa memberi-
kan guidance serta visibility yang lebih
Q : Kenapa pada akhirnya saat ini
luas. Bagi yang memulai akan dapat
memilih menjadi praktisi di bidang cy- menghemat waktu untuk menapaki karir,
ber defence ? Kan yang lebih terkenal sedangkan bagi
biasanya offen- yang sedang men-
sive team ketim- jalani bisa lebih fo-
“Softskill, communication,
bang defensive cus dan tetap up-
teamwork, open minded (ber-
team date. Sharing is
pikiran terbuka) dan kemajuan
caring.
A : Offensive team untuk belajar merupakan
secara teknis san- kunci untuk menapaki kesuk- Q : Skill apa sih
gat menarik, na- sesan di dunia keamanan om yang paling
mun saya siber“ - Rusdi Rachim penting bagi
akhirnya memu- praktisi dunia
tuskan menjadi keamanan siber
praktisi di bidang
?
cyber defense karena tindak lanjut dari
hasil offensive team membutuhkan imple- A : Menurut saya untuk softskill, communi-
mentasi secara keseluruhan end-to-end cation serta teamwork
yang mencakup aspek people, process
dan technology. Akibatnya visibility men- Q : Dari pengalaman anda apakah sertifi-
jadi lebih luas, solusi menjadi lebih baik kasi merupakan hal yang sangat
serta pembelajaran yang didapatkan lebih penting dalam karir sebagai praktisi
lengkap keamanan siber ? Jika Ya, maka sertifi-

kasi mana yang menjadi mandatory Q : Lalu bagaimana kita merencanakan
bagi praktisi keamanan siber? kari atau membuat jalur karir sendiri se-
bagai praktisi keamanan siber ?
A : Ya, Pengalaman saya, sertifikasi bisa
memberikan indikasi minimum knowledge A : Pengalaman saya, dunia keamanan si-
& skillset yang dibutuhkan praktisi kea- ber di Indonesia akan melihat profil dari in-
manan siber, dalam arti knowledge, scope dividu, dari pengalaman, dari skillset baik
definisi, serta hal yang bersifat mendasar teknis maupun teknis dan referensi baik
memiliki pemahaman yang sama. Pemaha- dari teman, klien, atasan dan sebagainya.
man yang sama akan mendukung segala
aktifitas menuju tujuan akhir yaitu pening- Technical skillset dapat kita explore habis
katan keamanan siber secara menyeluruh sewaktu awal karir, silahkan dipakai
melalui peningkatan secara bertahap. sepuas-puasnya. Kemampuan manajemen
kemudian bisa didapatkan dengan manaje-
Beberapa sertifikasi yang saya anjurkan un- men tim dan anggota tim seiring dengan
tuk praktisi keamanan siber adalah CISSP bertambahnya pengalaman serta jam ter-
oleh ISC2, rangkain sertifikasi CSX oleh bang. Silahkan coba area strategic/
ISACA. Sedangkan terkait teknis yang ber- planning, operasional atau bahkan konsul-
sifat detil bisa diberikan oleh SANS tasi, selanjutnya sharing baik formal mau-
misalnya. pun non formal
Q : Menurut anda hal apakah yang pal- Koneksi akan bertambah selama perjala-
ing penting untuk dipertimbangkan nan tersebut, ingat anda selalu dalam
ketika berencana menapaki karir di proses belajar, jadi ilmu apapun yang ber-
dunia keamanan siber ? manfaat hantam saja.
A : Pikiran terbuka dan kemauan untuk Q : Boleh share sedikit ngga pengala-
terus belajar. Dunia keamanan siber akan man yang paling pahit di dunia kea-
terus berubah, siapkan diri anda untuk se- manan siber yang digeluti ?
lalu menanggap diri anda bodoh dan terus
A : Secara generik ? mungkin pengalaman
belajar. Stay Hungry, Stay Foolish seperti
dimana sedang semangat mengembang-
yang dikutip oleh Steve Jobs pas banget
kan dan mengimplementasikan program

keamanan, namun stakeholdernya adem bagi pemula untuk menemukan berita
aja. Sedih rasanya terbaru dan terpercaya ?
Q : Nah, boleh share juga ngga pengala- A : Informasi dari Group Whatsapp Komuni-
man yang paling manis di dunia kea- tas sangat beragam. Dari OWASP, SANS,
manan siber yang digeluti ? FIRST, ISACA banyak deh
A : Dimana-mana semua ketemu teman, Q : Bisakah berbagi tips dan nasihat

hampir semua proses berjalan lebih lancar. dengan yang lain bagaimana harus me-
mulai untuk menjadi praktisi di dunia
Q : Menurut anda apakah rintangan ter-
keamanan siber ? Seperti pengetahuan
besar yang pernah anda alamai atau
apa saja yang harus diperdalam, train-
mungkin akan dialami oleh sebagian be-
ing path yang harus diikuti, forum dan
sar praktisi keamanan siber ? Bagai-
lainnya ?
mana cara menghadapi rintangan terse-
but ? A : A d a b e-
berapa referensi
A : Mung- “Rintangan terbesar dalam karir di yang baik
kin rintan- dunia keamanan siber adalah jika semisal
gan terbe- anda menjadi pejuang keamanan
s a r a d a-
siber sendirian“ - Rusdi Rachim
lah kalau
anda jadi
pejuang
keamanan siber sendirian, tanpa/sedikit https://www.sans.org/media/security-traini
support manajemen dan sedikit resource ng/roadmap.pdf
yang diberikan
Idenya adalah path dan content-nya, bu-
Q : Bekerja di dunia keamanan siber, kan berarti harus mengikuti semua training
tentunya wajib mengikuti perkemban- dan ambil sertifikasinya
gan terakhir dunia keamanan siber, bi-
Ingat yah, liat isinya bukan sertifikasinya
sakah anda merekomendasikan situs
hehehe
apa saja yang anda rekomendasikan

Q : Menurut anda, bagaimana perkem- RUSDI RACHIM
bangan cyber security di tahun 2018 CISSP-ISSAP, ISSMP,CI-
ini? SA,CISM,CRISC,CGEIT
A : Menantang. Menantang karena banyak

digital transformation yang sedang dan Rusdi Rachim,merupakan salah satu pe-
mulai dilakukan oleh organisasi, artinya giat cybersecurity di Indonesia yang kini
more exposure ke Internet. Selain itu juga menjadi Vice President ISC2 Indone-
kurangnya pasokan resource terutama sia. Pria yang ramah dan murah senyum ini
sumber daya manusia sebagai praktisi memiliki hobi yang cukup unik yakni me-
dunia keamanan siber nonton dan kuliner untuk mengisi waktu
disela kesibukannya menjadi praktisi IT
Q : Kira-kira apa yang bisa dilakukan
Security di Indonesia.
dengan mudah dan simple untuk
security awareness ke masyarakat
awam?
A : Mungkin bisa menggunakan social me-

dia yang ada sekarang, semisal Sharing
session seperti meetup kemudian direkam
atau live di youtube. Yang penting adalah
berlangsung secara periodik, konsisten
dan menarik.
Q : Terakhir, Quotes anda terkait den-

gan dunia keamanan siber ?
A : If you only do what you can do, you'll

never be better than what you are – Master
Shifu – Kung Fu Panda 3 - 2016.

Lebih Dekat dengan [Digit Oktavianto]
Penggagas Komunitas Cyber Defense
Digit Oktavianto (baju merah) [Dok. Pribadi]
Pada kesempatan kali ini Tim Redaksi men- yang mencetuskan ide terbentuknya
dapat kesempatan yang berharga untuk komunitas ini ? Kapan atau tepatnya
tanya jawab dengan salah satu penggagas tanggal ide pembentukan komunitas ini
komunitas Cyber Defense (CDEF), yakni digagas?
mas Digit Oktavianto. Baik untuk lebih leng-
kap kita simak aja hasil wawancara den- A : Grup ini berdiri tanggal 20 Januari
gan mas Digit. 2017. Awalnya bermula dari iseng-iseng
belaka dan bermula dari Group Whatsapp.
Q : Bisa cerita sedikit ngga, gimana sih Awal Group ini di bentuk oleh saya sendiri,
awal mulanya sampe mas digit tercetus Mas Temon (Firza Ramadhan), dan Mas
ide untuk membentuk komunitas CDEF Reza Wahyu S. Awalnya kami bertiga je-
(Cyber Defense) ? Siapa aja sih mas nuh dan tidak punya rekan-rekan peering

discussion untuk area Blue Team. Pada cyber defense area. Seperti Security Opera-
awalnya Grup ini di bentuk pun diberi tion Center Analyst, IT Security Officer, Digi-
nama “Blue team Discussion”, dan kemu- tal Forensic and Incident Response
dian berubah menjadi Cyber Defense Dis- Analyst, dan mostly memiliki background
cussion. di area cyber defense.
Di awal terbentuknya Grup ini, kami mem- Sebagaimana kita ketahui saat ini, security
punya passion yang sama (mungkin juga threats sudah semakin sophisticated, se-
profesi yang sama. Ha. Ha. Ha), dimana makin advanced, dan banyak sekali
kami bisa saling bertukar pikiran dan juga metode-metode serangan, pattern, motif,
update knowledge seputar Cyber Defense. yang terus berkembang setiap harinya.
Saat itu, tidak banyak grup atau komunitas Dengan adanya community ini kita ber-
yang berfokus pada cyber defense, se- harap dapat saling bertukar informasi,
hingga sangat sulit mencari teman diskusi sharing experience, dan juga bertukar
di passion yang sama (Cyber Defense). pikiran demi menghadapi security threats
yang berkembang sangat cepat setiap hari-
Q : Kenapa sih mas namanya Cyber De- nya. Community ini diharapkan menjadi
fense Community ? Ngga Hacker Com- jembatan antar berbagai macam back-
munity atau nama lainnya ? ground profile dari masing-masing mem-
bernya.
A : Awalnya di namakan Cyber Defense
Community karena memang kita ingin Q : Bisa diceritakan mas, apa sih alasan
membentuk komunitas di mana orang- utama mas digit dan kawan-kawan
orang yang bergabung di dalamnya punya membentuk komunitas CDEF (Cyber De-
passion di bidang Cyber Defense. Kalau fense)? Apa sih yang membedakan
Hacker Community mungkin sifatnya
CDEF dengan komunitas keamanan lain-
general dimana tidak spesifik ke satu
nya yang ada di Indonesia?
bidang area peminatan.
A : Alasan utama awalnya di bentuk sebe-
Lalu mengapa cyber defense community?
narnya simple sekali, seperti yang saya
Beberapa awal member community kita ter-
mention di awal wawancara ini, beberapa
diri dari berbagai macam background pro-
starting member seperti saya, mas Temon,
file, sebagian besar punya profesi dan
mas Reza, dan mas Wahyu sama-sama
pekerjaan yang sangat relate terhadap

memiliki keluhan yang sama, dimana san- tor, Incident Response, Threat Hunter, san-
gat sedikit sekali orang yang berdiskusi gat sulit sekali mencari kandidat-
atau membentuk suatu community yang kandidatnya. Dari ide simple inilah kita
fokusnya ke area cyber defense. akhirnya membentuk komunitas ini.
Mostly community IT Security yang ada di Yang membedakan sebenarnya hanya le-
Indonesia saat ini fokus pada offensive bih kepada fokus diskusi nya saja. Tentu
security, red teaming, pentesting, dan ke- saja sebagai seorang Cyber Defender kita
banyakan orang masih menganggap juga harus mengetahui dan update knowl-
bahwa field di bidang information security edge di bagian Offesive Security, sehingga
hanya sebatas offensive security area. Pa-
dahal kita sama-sama mengetahui, san-
gat sekali mencari bibit muda, yang “Cybersecurity itu
punya passion dan skill set yang mum-
puni di area cyber de- bukan hanya offensive
fense. Banyak kebutu- security area”
han juga di bidang
pekerjaan cyber de-
fense area seperti
sebagai seorang cyber defender kita dapat
SOC (Security Op-
mengamati pergerakan para intruder, me-
eration Center) Ana-
tode, serta motif-motif yang dilakukan.
lyst, Digi- tal
Forensic Namun, fokus utama diskusi kita
Investi- adalah bagaimana kita dapat
g a- membendung serangan-
serangan dari para “bad
guys” di luar sana yang
coba “menjajah” infra-
struktur kita.
Tentunya dengan hasil

berdiskusi dengan
rekan-rekan yang sudah
Foto Digit Oktavianto [Tim Redaksi]

berpengalaman, akan membantu kita berada di Jabotabek saja yang bisa
misalnya untuk membuat sebuah use case mengaksesnya, namun juga member lain
bagaimana menangani sebuah serangan di bagian lain di semua Provinsi di Indone-
atau bagaimana melakukan antisipasi yang sia. Melalui bulletin ini kita dapat berbagi
mungkin terjadi dan menyerang infrastruk- pengetahuan, berbagi pengalaman, se-
tur milik kita. hingga harapannya pengetahuan, dan pen-
galaman yang di miliki oleh member kami,
Q : Apa sih mas fokus yang bakal diga- dapat disebarkan secara luas.
rap oleh komunitas ini ? Apakah bakal
ada lab gratis dari komunitas untuk ngo- Selain dari bulletin itu juga, ke depan kami
prek masalah cyber defense technology sudah mempunyai beberapa agenda yaitu
atau pertemuan rutin bulanan atau lain- akan mengadakan workshop dan training
nya? session yang materi course nya seputar
Cyber Defense area. Workshop dan
A : Fokus Utama kami di awal berdirinya Training hands-on ini harapannya dapat
Grup ini adalah membangun awareness ter- meng-upscale skill dan knowledge mem-
lebih dahulu kepada komunitas IT Security, ber komunitas ini sehingga kita dapat ber-
bahwasanya area IT Security itu sangat manfaat bagi satu sama lain demi mem-
luas cakupannya, dan tidak hanya berkisar bangun komunitas ini.
di area offensive security saja. Awareness
ini kita bangun dari mulai mengadakan Rencana yang tidak kalah pentingnya juga
meetup rutin setiap bulan sehingga kita da- adalah cita-cita dan mimpi kami membuat
pat saling bertemu dengan member komu- sebuah Big Event serupa CTF (Capture
nitas lainnya, dan juga membangun komu- The Flag) Game, namun CTF nya lebih
nitas ini agar lebih besar lagi. fokus pada Blue Team. Harapannya ke de-
pan kita juga bisa bekerja sama dengan
Rencana berikutnya adalah bagaimana se- offensive security community yang ada di
cara rutin kami bisa membangun aware- Indonesia untuk saling kolaborasi dan ber-
ness melalui media lainnya. Oleh karena itu sinergi untuk membentuk sebuah Big
kami coba membuat sebuat bulletin CDEF Event Red Team vs Blue Team Game yang
ini secara quarterly, dimana harapannya, mensimulasikan real scenario. Semoga
komunitas ini bias berkembang dengan harapan dan cita-cita kami ke depan dapat
luas, dan tidak hanya member yang

terwujud dengan dukungan bersama dari A : Harapannya ke depan, banyak orang
seluruh tim member komunitas ini. yang akan semakin aware, bahwasanya
cyber defense skill set dan knowledge juga
Q : Gimana sih mas sebenarnya perkem- sangat di butuhkan oleh satu organisasi.
bangan komunitas keamanan siber di Dengan demikian, komunitas IT Security di
Indonesia khususnya Cyber Defense? Indonesia akan semakin berkembang dan
Apakah mati suri atau lumaya bergeliat juga akan semakin banyak organisasi dan
? perusahaan, serta dari pemerintah yang pe-
duli terhadap komunitas IT Security secara
A : Sejauh ini kami lihat, kami cukup opti-
general.
mis dengan adanya komunitas Cyber De-
fense. Sudah banyak sekarang member Q : Dalam visi mas digit bagaimana sih
yang mulai aware mengenai komunitas ke depannya komunitas ini akan berkon-
kami ini. Dan jika kita lihat ke depan, den- tribusi bagi dunia keamanan siber di In-
gan semakin banyaknya demand di area donesia ?
profesi cyber defense, geliat komunitas ini
akan semakin dibutuhkan ke depan untuk A : Visi dan Misi komunitas CDEF ini ada-
menyaring dan mencari bibit-bibit muda lah membangun awareness terhadap
yang memiliki passion dan skill di bidang cyber defense area, serta membangun su-
cyber defense. atu komunitas yang memiliki prinsip untuk
dapat saling berbagi satu sama lain demi
Memang sejujurnya belum banyak komuni- membangun komunitas IT Security di Indo-
tas yang bergerak di bidang cyber defense nesia.
saat ini di Indonesia, namun kami yakin
jika kami bisa membangun komunitas ini Kami berharap dari kontribusi kecil kami,
perlahan-lahan, ke depan tentu akan se- berawal dari diskusi di Whatsapp Grup,
makin banyak orang yang akan tertarik yang mana biasanya dari hasil diskusi
dan antusias untuk bergabung bersama kami tuangkan rekaman percakapannya di
kami di komunitas ini. Github CDEF, lalu beranjak ke meetup rutin
untuk saling bertukar pikiran serta pengala-
Q : Apa sih mas harapan apa yang akan man, dan juga membagi pengetahuan
diwujudkan melalui terbentuknya komu- antar member melalui hands on workshop
nitas ini ?

dan training, ke depannya kami dapat DIGIT OKTAVIANTO
memberikan manfaat bagi orang banyak. GCIH, GICSP, CEH, ECSA,
ECIH, CHFI, CAST 612. CEI,
Q : Terakhir, Quotes anda terkait den- IBM Qradar Security Associate
gan dunia keamanan siber ?

Digit Oktavianto, atau yang sering disapa
A : Saya selalu menyukai dan selalu
Digit, adalah seorang pegiat cybersecurity,
mengingat quotes dari Dr. Eric Cole, salah independent security researcher dan secu-
satu fellow instructor SANS Institute, maka rity architect di perusahaan PT. Mitra Inte-
izinkan kali ini saya juga mengutip quotes grasi Informatika. Beberapa pengalaman
beliau di quotes yang saya berikan : dan topik yang merupakan passion dari
Digit Oktavianto antara lain :
“There are 3 certainties in this life: Death,
Cyber Security Operation Center, Threat
Taxes, and Breach. That’s why Prevention
Hunting, DFIR (Digital Forensic and Inci-
Is Ideal, but Detection is a Must” dent Response), Malware Analysis, Cyber
Defense Operation, Threat Intelligence, OS-
INT, Incident Handling and Incident Re-
sponse, Active Defense and Continuous
Monitoring, ICS/Scada Security.

4 “As the world is increasingly
interconnected, everyone
shares the responsibility of
HOT TOPICS securing cyberspace”

– Newton Lee
Trisis / Triton The ICS Malware
ditulis oleh Iqbal Muhardianto
sumber : https://pbs.twimg.com/media/DUU4-vLUQAARKMj.jpg
Sejak bulan Agustus tahun 2017 kemarin, otomatis atau Safety Instrumented Sys-
para peneliti malware dan penggiat kea- tems (SIS) yang bernama Triconex Tricon
manan dunia sedang heboh dengan ditemukan memiliki kerentanan 0-day
adanya malware yang menginfeksi perang- (Zero day). Perangkat tersebut biasanya
kat kontrol industri ICS (Industrial Control digunakan untuk memonitor sistem utilitas
System). Malware yang menginfeksi di perminyakan atau saluran air.
perangkat ICS memang masih sedikit. Kali
ini yang jadi korban adalah Schneider Elec- Para peneliti di Schneider pada saat
tric, raksasa ICS asal benua biru. mengisi acara di S4 security conference
Ironisnya, perangkat kontrol pengamanan juga mengatakan bahwa mereka menemu-

kan Remote Access Trojan (RAT) di mal- Cara kerja malware Trisis menurut laporan
ware Trisis. Schneider sendiri akan merilis dari Dragos Inc. dapat dilihat pada Gam-
pembaruan pada firmware versi 10X bar 1.
mereka.
Menurut Dragos Inc., indicator of compro-
Menurut analisis Schneider, malware terse- mise (IOC) malware Trisis telah ada di Yara
but tidak sampai rules, akan
menjadi insiden si- tetapi IOC
ber pada fasilitas pada perang-
fisik. Walaupun ti- kat ICS meru-
dak disebutkan se- pakan hal yang
cara spesifik tapi tidak lazim. Sa-
targetnya adalah peran mereka
rusahaan di daerah adalah untuk
Timur Tengah, ke- fokus terhadap
mungkinan besar re k o m e n d a s i
Saudi Arabia dan pertahanan
dari hasil analisis dari manufak-
malware tersebut tur dan adver-
hanya diarahkan un- sary tradecraft
tuk menyerang a n d t e c h-
hanya satu target. niques.
Malware Trisis sen- Gambar 1. Cara Kerja Malware Trisis
diri menjadi terkenal setelah peneliti di

Schneider mengunggah file malware ke Laporan analisis malware dari US-CERT
Virustotal dan kemudian diketahui oleh Dra- menunjukkan bahwa dari beberapa file
gos Inc. dan FireEye. Bahkan sampai ada yang ditemukan, terdapat skrip python den-
yang mengunggah di Github (tautan ada di gan modul TsBase, TsLow, TsHi dan
bawah/sumber) untuk melakukan rekon- TS_cnames yang digunakan malware un-
struksi malware karena masih ada bagian tuk melakukan komunikasi melalui jaringan
yang hilang dari malware yang diunggah dengan protokol Tristation (TS, via UDP
ke Virustotal. 1502). Skrip tersebut berada pada file

library.zip dengan skrip utama pada file ini merupakan nation state’s dalam upaya
trilog.exe. Alur eksekusi skrip python terse- melakukan sabotase. Tapi karena bukti
but dapat dilihat pada Gambar 2. yang ada sangat sedikit untuk mendukung
Gambar 2 - Diagram alur eksekusi

skrip python pada file trilog.exe  
(sumber : US-CERT)
Sedangkan payload malware terdiri dari 2 asumsi tersebut maka jawabannya masih
(dua) buah file inject.bin dan imain.bin. File merupakan sebuah misteri.
inject.bin berisi kode yang melakukan in-
jeksi payload ke dalam firmware sedang- Saat ini Schneider menyarankan untuk me-
kan file imain.bin berisi kode yang melaku- lakukan hal-hal berikut:
kan fungsi berbahaya. Kedua payload ter-

1. Pastikan fitur cybersecurity di solusi
sebut membuat si penyerang dapat me-
Triconex selalu aktif
monitor status dan debug problems terha-
2. Sistem pengamanan harus selalu dipas-
dap perangkat ICS. Dengan siklus ter-
ang pada jaringan yang terisolasi/luring
tentu, malware Trisis melakukan pemerik-
saan terhadap lokasi memori dan jika me- 3. Penempatan kontrol fisik harus di tem-
nemukan Syscall yang tepat maka payload pat yang hanya dapat diakses oleh
akan diunggah ke dalam memori. Untuk le- orang tertentu saja.
bih jelasnya dapat dilihat pada Gambar 3. 4. Semua kontroler harus dikunci di dalam
kabinetnya dan jangan biarkan dalam
Sampai sekarang karena belum ada dam-
mode “PROGRAM”
pak finansial dari malware Trisis yang dik-
5. Semua komputer yang terhubung
etahui, maka FireEye berasumsi serangan
dengan Tristation harus diamankan dan

tidak terkoneksi dengan jaringan yang Untuk sementara mari berharap semoga
tidak aman. malware ICS dengan dampak mengerikan
6. Semua pertukaran data melalui perang- seperti Trisis atau Stuxnet tidak terjadi
kat seperti CD, Flashdisk, DVD dsb, ha- pada fasilitas publik yang kritikal.
rus diperiksa terlebih dahulu sebelum di-
pasang.
7. Komputer dan laptop harus selalu dipas-
tikan tidak terinfeksi malware
Gambar 3 - Diagram
alur siklus pemeriksaan
Syscall untuk unggah
payload ke memori
(sumber: US-CERT)
8. Stasiun operator harus dipasang moni- Tautan Bacaan

tor untuk memastikan Tricon tidak dalam
mode “PROGRAM” 1. https://www.darkreading.com/vulner
abilities---threats/schneider-electric-
triton-trisis-attack-used-0-day-flaw-i
n-its-safety-controller-system-and-a
Pelajaran yang dapat diambil dari malware -rat/d/d-id/1330845
ICS Triton/Trisis ini adalah perlunya dilaku-
kan review keamanan terhadap semua kon- 2. https://github.com/ICSrepo/TRISIS-T
RITON-HATMAN
trol industri dan embedded device systems
terutama pada instalasi penting.

3. https://www.cyberscoop.com/trisis-v
irus-total-schneider-electric/
4. https://www.wired.com/story/triton-
malware-dangers-industrial-system-
sabotage/
5. https://www.cyberscoop.com/trisis-i
cs-malware-saudi-arabia/
6. https://dragos.com/blog/trisis/TRISI
S-01.pdf
7. https://www.fireeye.com/blog/threat
-research/2017/12/attackers-deploy-
new-ics-attack-framework-triton.ht
ml
8. https://ics-cert.us-cert.gov/sites/def
ault/files/documents/MAR-17-352-01
%20HatMan%E2%80%94Safety%20
System%20Targeted%20Malware_S5
08C.pdf
IQBAL MUHARDIANTO
Koordinator Tim Analis CSIRT
Kementerian Luar Negeri
Iqbal Muhardianto merupakan koordinator

Tim Analisis CSIRT Kementerian Luar Ne-
geri. Iqbal memiliki hobi sebagai tukang
oprek dengan memegang prinsip “selama
bisa dibongkar pasti ga bisa balek lagi”.
Pengalaman profesional di bidang kea-
manan siber yang pernah dijalaninya
antara lain Network Administrator pada Ke-
menterian Luar Negari.

SPECTRE & MELTDOWN
KERENTANAN FENOMENAL YANG MENGHANTUI DAN
MELUMERKAN KEAMANAN KOMPUTER
oleh Febrianto Widya Bagus Fitranto & Riyan Surya Pratama
Pada awal tahun 2018 dunia IT dikejutkan

Spectre ? dengan pemaparan kerentanan keamanan
serius pada prosesor, yaitu Spectre dan
Pemberian nama Spectre karena akar permasa-
lahannya berdasar proses speculative execu- Meltdown.
tion dan karena perbaikan yang diperlukan ti-
dak mudah sehingga akan menghantui dunia Prosesor yang terkena dampak adalah
IT untuk sementara waktu. yang menggunakan arsitektur caching,
Spectre secara independen dilaporkan oleh 2 side-channel dan/atau speculative decision
tim: process, dengan kata lain hampir semua
Jann Horn (Google Project Zero) perangkat yang menggunakan prosesor
Paul Kocher, Daniel Genkin (University of
yang diproduksi sejak tahun 1995 (server,
Pennsylvania dan University of Maryland),
Mike Hamburg (Rambus), Moritz Lipp desktop, mobile, grafis bahkan virtual sys-
(Graz University of Technology), and Yuval tem) rentan terhadap Spectre dan
Yarom (University of Adelaide dan Data61) Meltdown.
Meltdown? AKAR PERMASALAHAN

Pemberian nama Meltdown karena kerenta- Untuk mengakomodasi kebutuhan proces-
nan terkait mengakibatkan luluh lantaknya (lu- sor dengan kemampuan proses yang se-
mernya) batasan keamanan yang sebelumnya makin cepat, pabrikan prosesor menggu-
dipercaya telah dilakukan di sisi perangkat.
nakan beberapa terobosan arsitektur dian-
Meltdown secara independen dilaporkan oleh 3
taranya percabangan proses parallel (indi-
tim:
Jann Horn (Google Project Zero)
rect branch), proses prediksi urutan ek-
Werner Haas, Thomas Prescher (Cyberus sekusi (speculative execution) dan proses
Technology), penyimpanan sementara (caching).
Daniel Gruss, Moritz Lipp, Stefan Mangard,
Michael Schwarz (Graz University of Tech-
nology)

Terobosan arsitektur yang disebutkan tadi sil dari program dan sistem operasi
membuat kecepatan proses meningkat yang mereka gunakan, library penggu-
karena proses dilakukan secara parallel, na- naan program akan melakukan shared
mun ternyata memungkinkan potensi pro- pada program yang digunakan se-
gram tertentu dapat membaca data hingga share library ini yang akan di-
apapun yang sedang diproses manfaatkan oleh penyerang untuk men-
cari data informasi penting milik user
SPECTRE yang diserang.
Untuk mengoptimalisasi prosesnya, prose- Attack using javascript. dengan

sor terkadang menjalankan sejumlah aktivi- menggunakan javascript oleh si
tas yang sebenarnya tidak dibutuhkan, penyerang yaitu dengan melakukan ex-
atau disebut eksekusi spekulatif dalam ploit pada browser yang kita gunakan,
sistem komputer. dan exploit yang dibuat berjalan pada
browser pengguna.
Spectre dalam perkembangannya seperti
yang sudah dijelaskan oleh Paul Kocher MELTDOWN
dan kawan-kawan, dapat dimanfaatkan un-
tuk mencari data-data yang bersifat Meltdown mengeksploitasi dengan konsep
pribadi pada suatu server atau dapat juga eksekusi side-channel out-of-order pada
digunakan untuk melakukan take over prosesor modern dengan tujuan membaca
pada sebuah server ataupun desktop alamat memori kernel secara paksa se-
biasa. hingga memungkinkan penyerang untuk
mendapatkan informasi personal misalnya
Metode penyerangan yang digunakan un- password (1).
tuk memanfaatkan celah spectre dapat
menggunakan 2 jenis code yaitu: Eksekusi out-of-order bekerja sebagai tek-
nik optimasi yang memungkinkan untuk
Attack using native code. mereka memaksimalkan utilisasi prosesor.
akan membuat sebuah program seder-
hana yang dapat mengakses space Serta memungkinkan CPU untuk bekerja
pada memory, lalu setelah program tidak berurutan dan dapat melakukan
berhasil dieksekusi oleh korban, instruksi-instruksi pemrosesan secara
mereka mengumpulkan data binari ha-

pararalel dan lebih awal, sehingga mening- kernel untuk memperoleh akses ke ruang
katkan pengalaman pengguna. pengguna yang mungkin berisi data
pribadi dan kata kunci tanpa memerlukan
Untuk mengisolasi proses tersebut satu informasi privileged.
Tabel 1. Deskripsi Kerentanan Spectre & Meltdown
sama lain, CPU mendukung ruang alamat SOLUSI

virtual dimana alamat virtual tersebut diter-
jemahkan ke alamat fisik. Setiap ruang ala- UPDATE…UPDATE…UPDATE…
mat virtual itu sendiri terbagi menjadi peng-
guna dan bagian kernel. Sementara ruang Untuk antisipasi eksploitasi Spectre dan
alamat pengguna dapat diakses oleh Meltdown, banyak vendor telah
aplikasi yang sedang berjalan, ruang ala- menyediakan patch keamanan namun hal
mat kernel hanya dapat diakses jika CPU ini hanya bersifat sementara, mengingat
bekerja pada mode privileged. perangkat keras lah yang perlu dilakukan
perbaikan arsitektur. Daftar vendor beserta
updatenya bisa dilihat di website CVE.(2)
TAUTAN BACAAN
(1) https://spectreattack.com
Gambar 1. Ilustrasi Ruang Memori yang dapat https://meltdownattack.com
  Dieksploitasi
(2) https://www.cve.mitre.org/cgi-bin/cven
Dengan deskripsi di atas dapat dipahamai ame.cgi?name=2017-5715
jika meltdown dapat memanfaatkan ruang

ame.cgi?name=2017-5753
ame.cgi?name=2017-5754
(5) https://plus.google.com/+jwildeboer/p
osts/jj6a9JUaovP
FEBRIYANTO WIDYA
BAGUS FITRANTO
Associate Information Security
Engineer, KORELASI PERSADA
INDONESIA
RIYAN SURYA PRATAMA

Associate Information Security
Engineer, KORELASI PERSADA
INDONESIA

5 “You can’t improve what
EVENTS REPORT you don’t measure”
– Anonymous
Liputan Kegiatan
2nd Meetup - Cyber Defense Community  

di Menara BTPN
ditulis oleh Tim Redaksi
Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
Kegiatan ini merupakan kali kedua meetup oleh grup ini untuk kemajuan dalam hal
diselenggarakan oleh Community Cyber Cyber Defense. Acara ini dibuka oleh Mas
Defense (CCDEF) Indonesia. Pada kegi- Digit Oktavianto yang menyampaikan mak-
atan kali ini komunitas CCDEF mendapat sud dan tujuan dari kegiatan meetup kali
kehormatan untuk dapat menyelengga- ini. Kemudian acara dilanjutkan oleh Om
rakan kegiatan pertemuan internal grup di Rusdi Rachim, selaku host penyelenggara
Gedung Menara BTPN, Lantai 27, Ruang kegiatan yang menyampaikan apresiasi
Beranda. dan dukungannya terhadap keberadaan
komunitas ini.
Kali ini pertemuan memang didedikasikan
bagi anggota internal grup untuk memba-
has hal apa yang dapat dikontribusikan

Ahmad Zam Zami - Cyber Batal- Sehingga persepsi yang terbentuk di
masyarakat bahwa keamanan siber selalu
lion Competition
identik dengan "Red Team" dengan ma-
Pada sesi acara materi inti, pembicara per- raknya kompetisi hacking / Capture The
tama pada kegiatan ini adalah Ahmad Zam Flag untuk menerobos sistem keamanan.
Zami (former ID-SIRTII). Pada pemaparan-
Dalam gagasanya ini, Ahmad Zam Zami
nya pembicara menyampaikan konsepnya
menyampaikan 3 hal pokok dari ide ini,
mengenai gagasan untuk mengadakan ke-
yakni :
giatan Cyber Batallion Competition. Ga-
gasan ini muncul karena kurang begitu • Pengukuran Kemampuan (Skill)
dikenalnya atau maraknya kompetisi di
• Skema Penilaian
bidang keamanan siber untuk Blue Team.
Ahmad Zam Zami - Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]

• Teaming a) Tujuan / goals diselenggarakannya
  kegiatan ini. Apakah sebagai media un-
Pada skenario kompetisi ini, Red Team tuk melakukan regenerasi dari Blue
akan berhadap-hadapan dengan Blue Team, sehingga muncul kesadaran
Team untuk menembus perimeter kea- mengenai arti pentingnya Blue Team se-
manan yang dibangun oleh Blue Team. Na- bagai tim benteng pertahanan.
mun berdasarkan hasil diskusi terdapat be- b) Berapa lama waktu yang disediakan
berapa hal yang perlu menjadi diskusi lan- bagi Blue Team untuk melakukan
jutan untuk merealisasikan gagasan ini, konfigurasi
berikut beberapa isu tersebut :
Reza WS - Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]

c) Standard teknologi yang diperuntukkan ✓ Level 4: Controlled
bagi Blue Team sebagai bagian dari ✓ Level 5: Avoiding
"competition fairness"
Pada sesi ini juga dibahas mengenai ke-
d) Infrastruktur Detail mungkinan integrasi konsep ini untuk men-
e) Target Audiens dari kegiatan ini apakah jadi bagian dari skenario Cyber Batallion,
kalangan profesional, pelajar, maha- namun tetap perlu dipertimbangkan
siswa atau lainnya. banyak hal terutam mengenai tingkat kom-
f) Kriteria Penilaian / Scoring System pleksitas dari kompetisi yang akan se-
makin rumit.
Adi Nugroho - CDEF Bulletion

Reza WS - Malware Protection
Scenario Pada sesi kali ini, pemapar menyampaikan
konsep mengenai CDEF Bulletin yang diter-
Pada sesi paparan ini dibawakan oleh bitkan oleh komunitas CDEF, sebagai ben-
Reza WS mengangkat tema mengenai ske- tuk kontribusi nyata dari komunitas ini ke-
nario proteksi terhadap malware. Seperti pada perkembangan Cyber Defense Indo-
diketahui bahwa perlindungan terhadap nesia. Beberapa rubrik yang coba diangkat
malware memerlukan keseimbangan dalam gagasan buletin ini diantaranya ada-
antara berbagai teknologi yang berbeda lah
baik di level network hingga endpoint.
Praktisi keamanan dapat menggunakan 1. Hot Topics, yang memuat topik terhan-
skenario serangan dan model tingkat ke- gat atau terkini seputar cyber defense
matangan untuk mengukur bagaimana ting-
kat kematangan arsitektur pelindungan 2. Rubrik Pojok Figur, yang mencoba
malware dan bagaimana rencana untuk mengangkat mengenai tokoh-tokoh
meningkatkannya. Pada paparan ini diba- cyber defense maupun wawancara
has mengenai 5 tingkatan kematangan ekslusif dengan praktisi keamanan
dari arsitektur pelindungan malware, yakni siber Indonesia yang telah lama berke-
cimpung atau menggeluti dunia cyber
✓ Level 1: Ad Hoc
defense di Indonesia. Hal ini bertujuan
✓ Level 2: Basic sebagai wahana sharing experience ke-
✓ Level 3: Managed

pada pembaca yang ingin menjejaki baca untuk terus mengikuti bulletin
dunia cyber defence. CDEF
3. Tips & Trik, pada rubrik ini diangkat Dalam sesi ini dibahas mengenai kese-
mengenai tips dan trik terkait dengan diaan anggota grup untuk menjadi peer re-
masalah cyber defense, mulai dari hal view ataupun proof reading terhadap ma-
yang bersifat teknik hingga hal yang teri yang akan diterbitkan dalam buletin ini,
bersifat manajerial.
Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
4. Challenges. Rubrik ini berisi mengenai periode penerbitan buletin selama 4 bulan
tantangan yang dapat berupa Teka Teki sekali diterbitkan. Sebagai langkah awal di-
Silang CDEF, Forensic Challenges, Ske- harapkan anggota komunitas dapat
nario Challenges dan lainnya. Hal ini berkontribusi aktif untuk mengisi konten
bertujuan untuk menarik minat pem- dalam buletin yang pertama.

pada akhir paparan ini juga disampaikan
peluang bagi rekan's yang ingin berkontri-
busi untuk terwujudnya ide ini, baik dalam
pengembangan sistem penilaian (scoring
system), skenario kompetisi, konfigurasi
detail dan teknologi standard untuk kompe-
tisi. Selain itu untuk merealisasikan ide
Buletin CCDEF, komunitas ini membuka ru-
ang yang sebesar-besarnya untuk anggota
grup maupun khalayak pegiat keamanan
siber untuk berkontribusi dalam buletin ini.
Terima kasih kepada @Rusdi Rachim,

Bank BTPN yang telah mengupayakan
terselenggara dan terwujudnya acara ini,
terima kasih pula dihaturkan kepada
anggota grup komunitas yang telah
menyediakan waktu, tenaga dan pikiran-
nya untuk turut hadir dan berkontribusi
bagi eksistensi grup ini. [Redaksi- AN]

Liputan Kegiatan
Sharing Session : Security Awareness

di SMKN 2 Depok Sleman, Yogyakarta
ditulis oleh Sida Nala
Foto Kegiatan Sharing Security Awareness di SMK 2 Depok, Yogyakarta [Redaksi]
Pada tanggal 2 Desember 2017, telah ber- mereka. Meskipun acara ini berlangsung
langsung acara sharing session seputar cukup singkat, hanya sekitar 2 jam, namun
“Security Awareness” di SMK Negeri 2 De- para peserta kegiatan sangat antusias da-
pok, Sleman, Yogyakarta. Kegiatan ini ber- lam menyimak maupun berdiskusi dalam
tujuan untuk mensosialisakan bahaya serta kegiatan ini.
dampak dari ancaman terhadap generasi
muda yang kini dapat dengan mudah men- Acara di buka dengan sambutan dari Ba-
gakses dan menggunakan berbagai pak Sugiarto, ST. selaku Kepala Jurusan
teknologi canggih namun belum mengeta- Teknik Komputer & Jaringan di SMK Ne-
hui dan memahami ancaman apa saja geri 2 Depok, Sleman, Yogyakarta. Kemu-
yang mungkin dapat mengancam privasi dian dilanjutkan dengan penyampaian ma-

teri. Pada kegiatan kali ini yang bertugas Keamanan Teknolgi Informasi lainnya un-
membagikan pengalaman dan pengeta- tuk sekedar bercerita atau membagikan
huannya adalah Sida Nala Rukma J (salah ilmu kepada orang lain, terlebih kepada
satu member dan kontributor aktif di komu- generasi muda penerus bangsa. (Sida Nala
nitas CDEF - Cyber Defense Community) & Shulkhan)
dan Muhamad Shulkhan Efendi. Acara ini
cukup mendapatkan sambutan hangat dan Sida Nala Rukma J
antusiasme positif dari peserta kegiatan OSCP, SCU, C|EH
baik siswa/i maupun para guru pengajar di
mail : rudukmada@gmail.com
SMK Negeri 2 Depok yang hadir pada saat
itu. Hal ini ditunjukkan dengan banyaknya
pertanyaan yang diajukan oleh siswa/i mau-
Sida Nala Rukma, atau yang hangat
pun pengajar pada saat materi diberikan.
disapa Sida merupakan salah satu
Melalui diskusi dua arah ini, pemateri se-
engineer cybersecurity (Blue Team) di PT
lalu menekankan untuk menggunakan dan
Telkom Sigma dan juga independent secu-
memanfaatkan teknologi ini secara bijak
rity researcher serta splunkers. Sida Nala
,bertanggung jawab dan penuh dengan
juga aktif melakukan riset di bidang re-
kehati-hatian terlebih dalam hal penggu-
verse engineering android mobile applica-
naan media sosial untuk melakukan pub-
tion. Sida Nala juga memiliki pengalaman
likasi terhadap informasi maupun kegiatan
di Cybersecurity Operation Center dan
pribadi yang mereka lakukan.
Application Development.
Tentu kita berharap bahwa kegiatan sema-
cam ini tidak hanya berlangsung kali ini
saja namun dapat berkesinambungan di
kemudian hari. Sehingga pemahaman gen-
erasi muda terhadap keamanan informasi
akan jauh lebih baik, sehingga teknologi in-
formasi yang berkembang saat ini dapat
dimanfaatkan secara bijak dan bertang-
gung jawab demi kehidupan yang lebih
baik. Semoga acara ini dapat memotivasi
teman – teman komunitas dan pegiat

Liputan Kegiatan
Event Report: Cyber Defense NetWars

2017
ditulis oleh Wahyu Nuryanto
Foto Kegiatan SAN Netwars - Dok. Pribadi Wahyu Nuryanto
Lokasi : oleh SANS Institute. Bagi yang belum

Grand Copthorne Waterfront Hotel, Singa- tahu, NetWars adalah sebuah platform
pore Capture The Flag (CTF) milik SANS Insti-
tute yang dibuat untuk menguji kemam-
Hari / Tanggal : puan teknis para peserta di berbagai
Kamis - Jumat, 26 - 27 Oktober 2017 bidang. Event yang saya hadiri kali ini ber-
fokus pada Cyber Defense dan merupakan
Waktu :
yang pertama kali diadakan di Singapura,
19:00 s.d. 22:00 (Singapore Time)
beberapa topik yang diuji pada kompetisi
kali ini antara lain System Administration,
Di Bulan Oktober tahun kemarin saya be-
Threat Hunting, Log Analysis, Packet Analy-
runtung bisa mengikuti kompetisi Cyber
sis, Cryptography, dan lain-lain.
Defense NetWars yang diselenggarakan

Kompetisi dimulai tepat pukul 19:00 waktu Level 1 lebih banyak berkutat pada soal-
Singapura. Para peserta dikumpulkan da- soal yang menguji kemampuan peserta da-
lam satu ruang meeting yang cukup besar lam menyelesaikan masalah dalam
untuk mengerjakan soalnya. Jumlah pe- administrasi sistem operasi Linux dan Win-
serta kurang lebih sekitar 70 orang jika dows. Beberapa soal di Linux membahas
saya tidak salah ingat dimana sebagian be- tentang file permission, user and group
sar peserta merupakan para peserta train- management, linux security, dan sedikit
ing SANS keesokan harinya meskipun ada enkripsi. Sementara pada bagian Windows
juga beberapa orang yang memang murni membahas tentang disk encryption, antivi-
hanya menjadi peserta saja. Selama kom- rus, networking, domain controller, powe-
petisi berlangsung peserta disajikan berba- shell, dan sedikit windows event logs.
gai makanan, kopi dan teh yang dise-
diakan di ruangan berbeda. Untuk menam- Level 2 membahas tentang cryptography,
bah semangat para peserta, panitia me- packet analysis, dan log analysis. Di bagian
mainkan lagu-lagu metal selama kompetisi crypto kita diberikan tantangan untuk da-
berlangsung. pat memecahkan teks yang sudah di-

enkripsi menjadi plain text kembali. Salah
Secara keseluruhan, terdapat 4 level yang satu soal yang cukup menarik adalah mela-
harus diselesaikan oleh para peserta. kukan cracking terhadap password ter-
Server kompetisi berada di jaringan lokal enkripsi pada file konfigurasi Cisco IOS.
dan hanya benar-benar diaktifkan saat Paket analysis menguji kemampuan pe-
waktu kompetisi saja. Meskipun begitu, di serta dalam memahami konsep dasar dari
awal sebelum masuk ke ruangan, kita dib- protokol TCP/IP. Beberapa file pcap pendu-
erikan 1 buah USB Flashdrive berisi file kung sudah disediakan didalam file VM Se-
image virtualisasi Security Onion yang su- curity Onion, dimana salah satu soalnya
dah di-custom dan berisi file pendukung meminta para peserta untuk mencari tahu
untuk mengerjakan soalnya. Soal-soal kom- pesan terenkripsi yang disisipkan dalam
petisi hanya dapat diakses ketika trafik komunikasi DNS. Pada bagian Log
servernya diaktifkan. Analysis, kita diminta untuk melakukan in-
vestigasi terhadap file access log dari se-
buah server web.

Level 3 merupakan yang paling menarik harus menggunakan file yang mana, tidak
menurut saya, karena level 4 terlalu sulit ada petunjuk sama sekali. Beberapa soal
dan saya gagal menyelesaikan satupun meminta peserta untuk mencari beberapa
soal di level 4 :D . Ada 2 topik di level 3 pesan terenkripsi yang dikirimkan pada
yakni ransomware dan phishing, dikerjakan protokol yang tidak semestinya, mencari
juga menggunakan 2 pendekatan berbeda tahu port dan protokol yang dipakai untuk
yakni Network Security Monitoring (NSM) command & control, dan host yang dikon-
dan Continuous Security Monitoring tak. Saya menyerah di level ini :D #cupu
(CSM). Beberapa tools pada Security On-
ion dapat dipakai untuk menyelesaikan Di setiap soal sebenarnya ada hint yang
bisa digunakan ketika dirasa sudah men-
soal NSM yakni Sguil, wireshark,
tok dan butuh pencerahan dalam mengerja-
tcpdump, sed, grep dan strings. Semen-
kan soalnya, akan tetapi ada konsekuensi
tara untuk CSM karena yang diinvestigasi
berupa pengurangan poin jika menggu-
a d a l a h fil e w i n d o w s e v e n t m a k a
nakan hint. Setidaknya dalam 1 soal terse-
pengerjaan soal dilakukan pada host Win-
dia 2 sampai 3 hint yang bisa digunakan.
dows menggunakan Event Viewer dan
Hint hanya ada pada level 1 sampai 3, se-
Powershell, Autoruns dari Sysinternals
mentara pada level 4 tidak terdapat hint
juga beberapa kali sempat saya pakai.
sama sekali. Pemenang dari kompetisi ini
Beberapa soal yang menarik seperti men- mendapatkan koin DFIR keren dari SANS
cari tahu ada berapa banyak server yang dan direkomendasikan untuk mengikuti
merespon SYN request yang dikirimkan CTF Defcon di USA, cuma direkomendasi-
oleh ransomware, judul email yang berisi kan ya, biaya akomodasi masih harus di-
file trojan yang kemudian mengunduh file tanggung sendiri :D
ransomwarenya, file script yang sudah dia-
cak untuk mendownload ransomware, file Tautan Bacaan
DLL yang dihapus oleh ransomware, regis-
1. https://www.sans.org/netwars/cyber-def
try yang coba dibuat oleh ransomware,
ense
dan perintah Powershell yang dijalankan
oleh ransomware. 2. https://www.sans.org/media/netwars/br
ochure-netwars.pdf
Level 4 adalah threat hunting, kita harus
mencari tahu sendiri untuk soal tersebut

Events Reviews
Botconf 2017 Review

Botconf merupakan salah satu konferensi presentation Botconf 2017, anda dapat
tahunan yang rutin di adakan setiap tahun. mengunjungi link di atas. Beberapa materi
Seperti tagline-nya “The Botnet Fighting yang menjadi highlight serta menarik bagi
Conference”, konferensi ini fokus memba- penulis adalah sebagai berikut :
has track-track seputar Botnet, Malware,
serta advance persistent threat. Botconf Hunting Attacker Activities —
2017 di adakan di Montpellier, Perancis, Methods for Discovering,
dimana untuk track Botconf Talks Detecting Lateral Movements
kebanyakan di isi seputar materi : Botnet
Tracking, Threat Intelligence, Threat Hunt- https://www.botconf.eu/wp-content/uploa
ing, Honeypot, Ransomware, Phishing. ds/2017/12/2017_tomonaga-muda-Huntin
g-Attacker-Activities.pdf
Sebagian besar materi konferensi memberi-
kan akses ke slide presentation mereka. Materi ini merupakan materi yang sempat
Bagi anda yang ingin men-download slide menjadi trending di kalangan cyber de-

fense community. Dimana Tim dari movement, lalu membahas mengenai me-
JP CERT sempat menulis beberapa ulasan tode lateral movement tersebut, dan jenis
di blog mereka mengenai detecting lateral tools yang sering digunakan oleh threat ac-
movement. Jika anda ingin melihat secara tor saat melakukan aksinya tersebut.
detil mengenai report dan result mereka da-
lam hal Detecting Lateral Movement, anda Advanced Threat Hunting
dapat merujuk pada link berikut ini :
https://www.botconf.eu/wp-content/uploa
https://www.jpcert.or.jp/english/pub/sr/ir ds/2018/01/2017-Simmons-Advanced-Thr
_research.html eat-Hunting.pdf
http://blog.jpcert.or.jp/2017/06/1-ae0d.ht
ml Materi Advanced Threat Hunting pada Bot-
http://blog.jpcert.or.jp/2017/12/research- conf 2017 ini di bawakan oleh Tim dari
report-released-detecting-lateral-movem ThreatConnect. ThreatConnect adalah sa-
ent-through-tracking-event-logs-version- lah satu penyedia Threat Intelligence Pro-
2.html vider dan juga Threat Intelligence Feed
JP CERT dalam hal ini cukup sering yang cukup terkemuka. Pada pembahasan
mengulas dan membahas mengenai Pro- materi kali ini, Tim dari ThreatConnect men-
active Threat hunting untuk mendeteksi gawali materi presentasi dengan memba-
lateral movement dari threat actor. Sebagai- has apakah Threat Intelligence itu, dan ba-
mana anda ketahui, lazimnya seorang gaimana peran Threat Intelligence dalam
threat actor ketika sudah berhasil melaku- proses Threat Hunting.
kan compromise terhadap satu server,
Dalam pembahasan materi di Botconf
biasanya menggunakan metode lateral
2017 ini, Tim dari ThreatConnect memapar-
movement ini untuk kemudian mengambil
kan bagaimana melakukan advanced
alih akses ke server-server lainnya. Dalam
threat hunting dengan mengimplementasi-
hal ini ada berbagai macam teknik dan me-
kan beberapa platform dan metode, salah
tode yang digunakan oleh threat actor ter-
satunya adalah mengeksplorasi dan me-
sebut.
leverage kemampuan dari Yara dan
Presentasi dari Tim JP CERT di Botconf ini mengintegrasikannya dengan beberapa
fokus untuk membahas mengenai use platform seperti Jupyter Notebook
case sample mengenai aktivitas lateral ( h t t p : / / j u p y t e r. o r g / ) , p l y a r a

(https://github.com/8u1a/plyara), Threat In- Yang menarik adalah dugaan awal dari tar-
telligence Platform, dan juga Malware get victim, yaitu Saudi Aramco, serangan
Analysis Sandbox. ini merupakan serang yang bersifat Ad-
vance Persistent Threat. Namun setelah
Ide yang dipaparkan cukup menarik, dan proses investigasi, ternyata threat actor ini
sepertinya sangat mungkin untuk di bukan masuk dalam kategori APT. Threat
replikasi di environment anda sebagai plat- Actor yang di duga berasal dari Nigeria ini
form Threat Hunting. Sejatinya memang un- berusaha melakukan compromise terha-
tuk melakukan proses proactive threat dap internal office dan infrastructure dari
hunting, akan ada terus proses yang Saudi Aramco menggunakan beberapa
berkembang, karena sebagaimana anda tools hacking yang common digunakan
ketahui juga, threat actor akan sellau da- oleh script kiddies seperti RAT, Keylogger,
tang dengan ide baru mereka, metode ISR Stealer. Bukan merupakan tipe attack
baru, sehingga anda harus tetap awas, yang advance, namun cukup berhasil. If it
dan keep up to date terhadap segala jenis is works, it ain’t stupid. Mungkin begitu
threat yang mungkin terjadi pada infrastruk- quotes dari Nigerian Prince Scammer
tur anda
Get Rich or Die Trying
https://www.botconf.eu/wp-content/uploa
ds/2017/12/2017-OrEshed-MarkLechtik-g
et_rich_or_die_trying.pdf
Materi ini merupakan materi yang unik da-

lam Botconf 2017 kali ini. Materi ini di ba-
wakan dengan pembahasan teknis, namun
disisipi juga dengan jokes yang menarik.
Pembahasan kali ini merupakan kombinasi
antara metode social engineering yang me-
libatkan RAT (Remote Access Trojan), serta
Keylogger dan ISR Stealer (Password
Stealer).

Events Reviews
SANS Cyber Defense Summit 2017

SANS Cyber Defense Summit merupakan gara. Pada tahun 2017 lalu, SANS Cyber
salah satu event yang diselenggarakan se- Defense Summit di selenggarakan pada :
cara tahunan oleh SANS Institute sebagai
salah satu organisasi yang paling terdepan Cloud Security Summit (January 2017)
dalam mengembangkan kurikulum dalam Security Operations Center Summit &
bidang Security, Audit, Network, dan Sys- Training (June 2017)
tem Administration (SANS). Cyber Defense Data Breach Summit & Training
(September 2017)
Summit ini biasanya diadakan beberapa
kali dalam satu tahun. Biasanya event sum- Secure DevOps Summit & Training
(October 2017)
mit ini diselenggarakan bersamaan dengan
jadwal training regular SANS di suatu ne- SIEM & Tactical Analytics Summit &
Training (November 2017)

Sejujurnya agak sulit memilih bebeapa ma- mana melakukan roll-out shipping logs dari
teri yang bagus untuk di ulas pada setiap satu endpoint server ke dalam SIEM. Con-
Cyber Defense Summit yang diadakan toh script yang dibuat oleh Justin adalah
oleh SANS, karena hampir semua materi NXLog Auto Configuration, dimana disebut-
yang dibawakan dalam setiap summit adakan dalam slide tersebut, script ini digu-
lah materi yang menarik dan sangat perlu nakan untuk melakukan auto configuration
untuk di ulas. Namun, tidak lengkap dari 12.000 endpoint server untuk di inte-
rasanya kalau saya tidak memberikan ula- grasikan ke dalam sebuah SIEM Platform.
san ataupun intro dari beberapa materi
Teknik lainnya yang dijelaskan oleh Justin
yang paling menarik untuk review SANS
yaitu melalui enrichment information dari
Cyber Defense Summit 2017. Berikut ini
DNS Logs yang berisi informasi dari se-
adalah materi pilihan yang paling menarik
buah domain / URL. Dengan menambah-
versi penulis :
kan entropy dan rank dari sebuah domain,
Stuck in the Box: A SIEM's Tale akan memudahkan SOC Analyst untuk mer-
eduksi domain-domain yang sifatnya non-
https://www.sans.org/summit-archives/file/ malicious dan focus kepada domain yang
summit-archive-1496676584.pdf sifatnya malicious.
Pada materi kali ini, Justin Henderson, Selain itu Justin juga memaparkan be-
yang merupakan salah satu Author dari berapa enhancement yang dapat di imple-
SANS Course SEC 555 : SIEM Tactical mentasikan oleh SOC Analyst untuk merin-
Analysis, memaparkan bagaimana chal- gankan tugasnya dalam keseharian yaitu
lenge dalam mengimplementasikan SIEM melalui Endpoint Analysis. Disana Justin
dalam satu organisasi. Justin memaparkan memberikan clue dan ideas, log dan jenis
beberapa metode yang dapat digunakan threat seperti apa yang perlu diperhatikan
untuk me-leverage dari traditional SIEM oleh SOC Analyst. Terutama dalam hal ini
models, menjadi Modern SIEM models. event log yang berasal dari sisi endpoint.
Justin memberikan beberapa contoh use

case study untuk meningkatkan kemam-
puan dari SIEM. Pada slidenya, salah satu
studi kasus yang di jelaskan adalah bagai-

The Need for Investigation juga bersifat actionable (checklist), yang
Playbooks in the SOC dpat digunakan oleh seluruh anggota tim.

Pembahasannya lebih kepada idea untuk
https://www.sans.org/summit-archives/file/ menerapkan sebuah SOC Investigation
summit-archive-1496695240.pdf Playbook dalam sebuah Open Source plat-
form yang dapat dikelola secara fleksibel.
Pada materi kali ini Ismael Valenzuela dari
Mcafee memaparkan pentingnya playbook The Most Dangerous Game:
dalam sebuah organisasi Security Opera-
Hunting for Post-Exploitation
tion Center (SOC). Sebagaimana kita keta-
Stage Attacks with the Elastic
hui salah satu peran penting dalam SOC
adalah bagaimana menangani insiden dan
Stack and the MITRE ATT&CK
juga bagaimana para analis bereaksi dan Framework
mengatasi security incident yang terjadi.
https://www.sans.org/summit-archives/file/
Playbook ini memegang peranan cukup
summit-archive-1511995081.pdf
penting untuk beberapa case security inci-
dent yang terjadi. Pada umumnya se- AT T & C K Framework
bagian dari security incident yang terjadi (https://attack.mitre.org/wiki/Main_Page)
merupakan security incident yang umum (Adversarial Tactics, Techniques & Com-
dan kerap kali berulang dan terjadi dalam mon Knowledge), merupakan sebuah
environment sebuah organisasi. Dengan framework yang di buat oleh MITRE Corp,
adanya playbook ini, akan membantu tu- yang berisi knowledge based dari adver-
gasi para Incident Responder dan juga sary threat actor, serta menggambarkan ba-
Digital Forensic investigator untuk berkola- gaimana metode, behavior, tools, teknik,
borasi dan bekerja sama dengan SOC Ana- yang digunakan oleh Threat Actor dalam
lyst dalam menghadapi insiden yang ter- melakukan aksinya terhadap korban. Da-
jadi. lam presentasi kali ini, Johin Hubbard men-
coba memberikan ide bagaimana melaku-
Dalam paparan presentasinya, Ismael men-
kan deteksi dan proactive threat hunting
coba memberikan gambaran bagaimana
untuk aktivitas post exploitation menggu-
membangun sebuah SOC Investigation
nakan platfoirm ELK (ELasticsearch, Log-
Playbook yang sifatnya dinamik, tidak ter-
stash, dan Kibana). Sebagaimana kita
paku pada suatu produk, versi, namun
ketahui dalam phase tahapan hacking di

fase maintaining access, aktivitas inilah yang dilakukan adalah bagaimana mende-
yang biasanya digunakan pada fase post teksi adanya persistence activity yang dila-
exploitation. kukan oleh threat actor, dan seperti apa
Persistence method yang digunakan oleh
ELK Platform di presentasi kali ini bisa threat actor. Selain itu, John juga memberi-
digunakan sebagai enrichment model un- kan contoh use case bagaimana threat ac-
tuk di-feed kepada existing SIEM, atau bah- tor melakukan execution dan cara apa
kan ELK as a SIEM Platform. Pada pa- yang digunakan oleh attacker untuk mela-
paran kali ini John mengawali dengan log kukan execution ini. Tools dan metode
data apa yang perlu dihimpun untuk kemu- yang sering digunakan oleh threat actor
dian diolah sehingga dapat digunakan un- adalah salah satunya menggunakan
tuk hunting. John fokus kepada endpoint rundll32, winrm, dan powershell. Di use
logs, dimana memang jika kita ingin mela- case lainnya John memaparkan bagai-
kukan deteksi yang akurat untuk aktivitas mana aseorang threat actor melancarkan
post exploitation, maka pentingnya lateral movement dan tools serta metode
visibility terhadap endpoint logs. Pada ba- apa yang sering digunakan oleh attacker
hasan endpoint visibility John mencontoh- didalamnya. Dan pada bagian terakhir
kan bagaimana penggunaan Sysmon John memberikan use case sample menge-
sangat membantu untuk proses threat nai Data Exfiltration serta metode dan tools
hunting. Tidak hanya endpoint log, apa yang sering digunakan threat actor da-
visibility terhadap network logs juga cukup lam melakukan exfiltrasi data keluar dari
memegang peranan penting saat melaku- environment victim.
kan proses hunting. John memberikan con-
toh salah satunya adalah dengan Detecting Modern PowerShell
menggunakan Bro yang dikombinasikan Attacks with SIEM
dengan ELK untuk melakukan proses
hunting pada network logs. https://www.sans.org/summit-archives/file/
Pada bagian akhir dari paparan slidenya,
John memberikan beberapa contoh use Presentasi ini di bawakan oleh Justin
case bagaimana mendeteksi post exploita- Henderson yang juga merupakan salah
tion activity menggunakan ATT&CK Frame- satu SANS Instructor. Presentasi ini menje-
work. Beberapa contohnya proses hunting laskan bagaimana seorang SOC Analyst

dapat memanfaatlan serta memaksimalkan Ten Holiday Gift Ideas for the
kemampuan SIEM yang dioperasikan
SOC Who Has Everything
sehari-hari untuk mendeteksi Modern
Powershell attack. Sebagaimana kita keta-
https://www.sans.org/summit-archives/file/
hui bersama, Powershell merupakan se-
buah tools umum yang ada di Sistem
Operasi Windows saat ini. Powershell Presentasi kali ini dipaparkan oleh Dave
merupakan salah satu tools yang disebut herald dan Ryan Kovar dari Splunk.
sebagai Swiss Army Knife, karena dapat Mereka mencoba memberikan beberapa
digunakan untuk membantu pekerjaan ide dan gagasan bagiaman memaksimal-
anda sebagai seorang system administra- kan penggunaan SIEM sehingga memudah-
tor misalnya untuk kebutuhan scripting kan SOC Analyst dalam melakukan
dan melakukan automasi proses di dalam pekerjaan sehari-hari. Pada bagian per-
pekerjaan anda, namun Powershell juga tama Dave dan Ryan memaparkan perihal
bias dimanfaatkan oleh threat actor untuk BOTS v1
melakukan malicious activity. (https://github.com/daveherrald/botsv1) di-
mana BOTS (Boss of The SOC) v1 ini meru-
Pada presentasi kali ini, Justin mencoba
pakan tools yang dapat digunakan untuk
membeberkan beberapa teknik umum
memaksimalkan Splunk untuk menginte-
yang biasa digunakan oleh malicious threat
grasikan beberapa dataset yag cukup
actor untuk melancarkan serangan meng-
krusial dan kritikal informasinya. Crucial
gunakan powershell. Selain itu Justin juga
dan Critical Dataset ini maksudnya adalah
tentunya memberikan contoh bagaimana
dataset informasi yang lazimnya penting
menangani penggunaan malicious power-
untuk di analisa sehingga memudahkan
shell ini serta bagaimana SIEM dapat men-
SOC Analyst untuk melakukan investigasi
deteksi misbehaving powershell activity.
dalam menghadapi sebuah insiden.
Pada bagian berikutnya Dave dan Ryan

juga memaparkan mengenai Yara dan ba-
gaimana Yara dapat bermanfaat untuk me-
lakukan investigasi dari sisi endpoint. Dave
dan Ryan memaparkan bagimana mengin-
tegrasikan Yara ke dalam Splunk untuk me-

mudahkan SOC analyst mendapatkan info Tautan Bacaan
lebih rinci. Selain itu Dave dan Ryan juga
menceritakan mengenai Supertimeline 1. Youtube Playslist SANS DFIR Summit
(Tools yang digunakan untuk melakukan 2017,
Timeline Analysis saat proses Digital Foren- https://www.youtube.com/playlist?list=
sic). PLfouvuAjspTogxIwg4EtH8xrydTajsZn
b
Pada bagian akhir juga merupakan salah
satu bagian yang menarik karena Dave 2. SANS Cyber Defense Summit 2017 Ar-
dan Ryan membahas mengenai integrasi chive (Paper and Presentation Down-
Splunk dengan OSquery. Perlu diketahui load),
bagi pembaca sekalian, OSquery meru- https://cyber-defense.sans.org/resourc
pakan salah satu tools open source yang es/summit-archives
dapat memperlihatkan endpoint visibility
serta endpoint performance. OSquery
merupakan tools yang digunakan dengan
menggunakan command line query seperti
layaknya melakukan query terhadap suatu
database. Dengan menggunakan OSquery
command ini, seorang analis dapat melaku-
kan query terhadap segala sesuatu (yang
didukung oleh OSquery), yang ada pada
sisi endpoint. Dengan demikian anda da-
pat melihat visibility endpoint secara real
time, dan dapat melakukan pencarian dan
korelasi terhadap log data threat yang ada
terhadap kondisi di dalam endpoint itu sen-
diri. Mungkin nanti pada bahasan edisi bul-
letin berikutnya, kita bias membahas lebih
dalam mengenai OSquery ini.

6
“Don’t Judge The Book by
ULASAN BUKU Its Cover”
– Anonymous
Judul Buku : Logging and Log Management
Penulis : Dr. Anton Chuvakin, Kevin J. Schmidt,
Christopher Phillips
Penerbit : Syngress
Tahun Terbit : 2013
Rating : 4.5 dari 5 Bintang
Ulasan
Berbicara mengenai SIEM (Security Information and Event Management), tentunya akan
berbicara mengenai Log. Setiap perangkat memiliki karakteristik log dan tipe yang
berbeda-beda. Seorang security analyst wajib memiliki pengetahuan yang mendasar men-
genai karakteristik log untuk setiap perangkat sebagai suatu fundamental sebelum berbi-
cara lebih jauh terhadap SIEM itu sendiri.
Buku ini di tulis oleh beberapa orang yang memang memiliki latar belakang di area ini, dan
salah satu penulis yang cukup sering terdengar namanya adalah Anton Chuvakin. Anton
Chuvakin adalah seorang researcher di Gartner yang memiliki spesialisasi di bidang ini.
Tulisannya pada blog dan analisa paper-nya di Gartner seringkali membahas mengenai
teknologi di area Cyber Defense, seperti SIEM, Log Management, Advance Endpoint Pro-
tection, dan lain sebagainya.
Buku ini membahas segala hal mendetail mengenai Log dari pembahasan yang paling fun-
damental, sampai kepada pembahasan yang advanced. Beberapa contoh use case sce-
nario penggunaan log management, dan pemanfaatan log itu sendiri di bahas dalam buku
ini. Topik-topik yang dicakup di antaranya adalah : pengenalan dasar log, log source type,
tools log management, log storage architecture, log data retrieval and archiving, covert log-
ging, how to design and implement log management, visualizing logs, filtering, normaliza-
tion, and correlation, Log data mining, Log and Compliance.

Buku ini sangat cocok untuk anda sebagai pemula ataupun sebagai seseorang yang su-
dah berpengalaman di bidang IT Security. Dengan cakupannya yang luas, menjadikan
buku ini sebagai salah satu buku pegangan yang wajib di jadikan sebagai buku referensi
bagi anda yang berprofesi sebagai seorang Security Analyst atau SOC Analyst. Dengan
background penulis yang sangat kaya di area cyber defense, saya sangat merekomendasi-
kan buku ini untuk anda miliki. (Diulas oleh Digit Oktavianto)
Judul Buku : The Practice of Network Security Monitoring

Penulis : Richard Bejtlich
Penerbit : No Starch PRess
Tahun Terbit : 2013
Ulasan
Jika pada review sebelumnya anda akan menemukan dasar dan fundamental mengenai
log, dalam buku ini membahas bagaimana anda mengaplikasikan log dan packet dalam se-
buah orkestrasi teknologi yang dapat membantu anda dalam melakukan security monitor-
ing. Buku ini merupakan buku yang bersifat teknis dan hands-on, dimana anda dapat mela-
kukan hands-on secara langsung dari beberapa studi kasus dan aktifitas lab yang di se-
diakan dalam buku ini.
Buku ini di tulis oleh seorang yang cukup terkenal di dunia cyber defense, Richard Bejtlich,
dimana beliau adalah seorang praktisi yang pernah mengemban tugas di Foundstone, GE,
Mandiant, FireEye, dan memegang beberapa posisi penting lainnya. Buku lainnya yang
pernah di tulis Richard Bejtlich adalah “The Tao of Security Monitoring” yang merupakan
buku yang menjadi pegangan wajib para security analyst pada saat itu. Pada buku terse-
but Richard menuliskan prinsip dasar mengenai security monitoring, dan apa saja yang ha-
rus dilakukan oleh security analyst dan incident handler untuk mengidentifikasi adanya se-
buah intrusi.

Buku ini cocok di baca bagi anda yang sudah memiliki dasar di IT Security khususnya di
area cyber defense, dimana pada buku ini anda dapat melakukan eksplorasi terhadap
tools-tools yang di bahas serta mengetahui secara langsung konsep security monitoring
seperti apa melalui tools-tools yang di sajikan dalam buku ini. Salah satu tools yang digu-
nakan untuk aktivitas NSM pada buku ini adalah Security Onion. Security Onion meru-
pakan “All In One” Linux Distro yang sudah dilengkap dengan berbagai macam tools un-
tuk melakukan NSM (Network Security Monitoring). Buku ini juga membahas bagaimana
deployment Security Onion, lalu juga membahas bagaimana anda dapat melakukan
pengembangan dari Security Onion tersebut. Selain itu, anda juga akan mempelajari berba-
gai macam skenario dan use case yang sering terjadi saat melakukan Security Monitoring,
dan bagaimana anda dapat menanganinya.
Kesimpulan saya pada review terhadap buku ini, baca buku ini, dan langsung praktekkan
pada lab anda untuk merasakan feel secara langsung proses Network Security Monitoring,
dan implementasikan NSM tersebut pada organisasi anda untuk dapat memperoleh visibili-
tas yang jelas terhadap security posture di dalam organisasi anda mengenai ancaman kea-
manan yang ada. (Diulas oleh Digit Oktavianto)
Judul Buku : Blue Team Field Manual Version 1

Penulis : Alan J White with Ben Clark
Penerbit : Createspace Independent Publishing Platform
Tahun Terbit : 2017
Ulasan
Aktifitas seorang security analyst tentunya akan selalu terlibat dengan sebuah insiden kea-
manan dunia maya. Hal ini dikarenakan security analyst berperan sebagai salah satu aktor
yang pertama kali mengidentifikasi sebuah insiden, sehingga seorang security analyst wa-
jib memiliki pengetahuan mendasar mengenai cara penanganan sebuah insiden sesuai
standard yang diberikan oleh NIST.

Buku ini di tulis oleh Alan J White dengan bantuan Ben Clark. Alan J White adalah seorang
Vice President of Cyber Advisory Services, sedangkan Ben Clark adalah seorang Chief In-
formation Security Officer yang sebelumnya juga pernah sukses saat meliris buku Red
Team Field Manual.
Buku ini membahas mengenai panduan dalam menangani sebuah insiden keamanan
dunia maya yang selaras dengan standard NIST. Buku ini terdiri dari 8 bagian utama yaitu
Identify (Scope), Protect (Defend), Respond (Analysis), Recover (Remediate), Tactics (Tips
& Tricks), Incident Management (Checklist), dan Security Incident Identification (Schema).
Standard penanganan insiden keamanan tersebut dikemas dalam bentuk yang lebih prakti-
kal dengan disertai syntax command line menggunakan sistem operasi Linux maupun
Windows.
Buku ini sangat cocok sebagai salah satu buku pegangan yang wajib di jadikan sebagai
buku referensi bagi seseorang yang baru saja terjun sebagai Blue Team ke dalam bidang
IT Security seperti Security Analyst. Hal ini dikarenakan isinya yang lebih bersifat ke arah
cheatsheet sehingga sangat membantu dalam memberikan panduan dasar mengenai cara
mengidentifikasi dan menganalisis sebuah insiden. (Diulas oleh Normis Sisilya)

7 “If you think technology can
solve your security
problems, then you don’t
understand the problems
CHALLENGE and you don’t understand

the technology”
– Bruce Schneier
# TEKA TEKI SILANG
 
Mendatar
2. Kegiatan yang dimaksudkan untuk mela- 6. Output atau catatan dari sistem operasi 
kukan sesuatu yang merugikan  8. Open source IDS 
5. Kegiatan hacking dengan menyusup ke 9. Penggunaan kerentanan untuk kepentin-
dalam organisasi untuk mengintai, mencuri gan penyerang 
data pada organisasi target  11. Peraturan atau perintah (dalam ba-

hasa) 
12. DImensi penting dalam cybersecurity 
13. Melindungi dari bahaya 
Menurun
1. Proses memeriksa kebenaran identitas 6. Tindakan agresif terhadap obyek

3. Serangan siber dengan cara men- 10. Protokol untuk mengamankan pertu-
genkripsi atau mengunci dan meminta karan data
tebusan 16. Ketidaknormalan (dalam bahasa)
4. Perintah di dalam sistem operasi unix
7. Peraturan uni eropa untuk melindungi
data individu
Bagi yang berhasil mengisi semua jawaban pada Teka-Teki ini dan mengirimkan
jawaban paling pertama akan mendapatkan hadiah yang menarik dari Tim Redaksi.
Jawaban dapat dikirimkan kepada Tim Redaksi melalui alamat e-mail :
redaksi@cdef.id, paling lambat 14 Maret 2018

POJOK HUMOR

POJOK HUMOR
Cyber Defense Community | Q1 2018

Kamus Kata  
Cyber Defense. adalah sebuah istilah men-
genai mekanisme pertahanan terhadap
suatu infrastruktur siber yang di miliki oleh
sebuah organisasi.
A 
Access log. Log yang biasa diidentikkan Cybersecurity Operation Center. Pusat
dengan log dari web server dari suatu kendali monitoring keamanan, dimana
aplkasi web. pada pusat kendali tersebut security
analyst menjalankan perannya sebagai se-
Alert intrusion. Peringatan terhadap se-
seorang yang melakukan aktifitas mulai
buah percobaan atau ancaman keamanan
dari monitoring, analisa intrusi, remediasi
siber.
terhadap satu insiden keamanan, dan juga
aktivitas terkait lainnya.
Audit records. Jumlah catatan data log
terkait dengan audit trail.
Audit trails. Pencatatan detail transaksi

E 
terhadap sebuah log.
EMEA. Europe, Middle East, Asia 
Auth log (Authentication Log). Biasanya Event-log. Log dalam satuan waktu
Log yang menginformasikan setiap proses
otentikasi yang dilakukan oleh user.
Misalnya saat user mencoba login dan ga-
F 
gal, maka rekam jejaknya akan di simpan
dalam sebuah authentication log. False positive. diterjemahkan bebas seba-
gai "positif palsu", biasanya disebabkan al-
  goritma suatu program yang menyatakan
C  adanya suatu gejala/sinyal/objek yang se-
betulnya tidak ada. Disebut juga dengan
Cyber defender. Personil yang mempun-
false alarm. 
yai tugas untuk mengamankan suatu infra-
struktur siber milik sebuah organisasi

P SQL injection. Sebuah kategori atau tipe
web application attack yang memanfaat-
Passive security monitoring. Aktivitas kan celah keamanan sebuah aplikasi untuk
monitoring keamanan yang bersifat pasif mengeksploitasi sebuah database server.
atau hanya bergantung pada alert intru-
sion. System log. Log yang biasa diidentikkan
dengan log dari sebuah sistem operasi
R (misal windows log)
Reverse engineering android. Adalah

proses untuk membongkar bahan dan
T
teknologi yang ada pada suatu benda atau
sebuah aplikasi. Dalam hal ini adalah mem-
Threat hunter. Personil yang melakukan
bongkar sebuah aplikasi android untuk me-
proses threat hunting.
lihat komponen dari aplikasi android terse-
but. Threat Hunting. Threat hunting meru-
pakan proses yang memfokuskan aktivitas
S  pada kegiatan yang sifatnya berulang kali,
Scanning. aktifitas probing atau perco- dengan melakukan pendekatan untuk
baan untuk mengidentifikasi sebuah melngidentifikasi, dan memahami threat
sistem target actor
Security Analyst. Seseorang yang bekerja

di bidang keamanan TI yang bertugas un-
tuk melakukan identifikasi, analisa, serta U 
mencari informasi terkait sebuah ancaman. Use case. Sebuah teknik untuk menang-
kap kebutuhan fungsional dalam suatu
Security Analyst L1. Security analyst yang
sistem. Dalam hal area IT Security, use
berada pada level paling fundamental. Se-
case adalah sebuah teknik yang digunakan
bagian besar tugasnya adalah memilah
untuk menjawab kebutuhan fungsional da-
dan memberikan informasi apakah setiap
lam mendeteksi sebuah threat. 
intrusion merupakan aktivitas yang sifat-
nya false positive atau false negative

© Hak Cipta Dilindungi oleh Teman-Teman Komunitas CDEF
Silahkan menyebarkan materi ini, mengutip artikel dalam majalah ini namun mohon tetap
menuliskan nama asli penulis untuk menghargai kerja keras, waktu, tenaga dan pikiran
yang telah dikeluarkan oleh penulis untuk merangkai kata menjadi informasi yang ber-
harga.
Cyber Defense Community | Q1 2018 xcvii

1st Edition Release - GQ

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

1st Edition Release - GQ

Diunggah oleh

Hak Cipta:

Format Tersedia

First Edition

RUBRIK TANYA JAWAB

Cyber Defense Community | Q1 2018

THREAT HUNTING 101 - PART 1

MEMBANGUN LOG MANAGEMENT

LEBIH DEKAT DENGAN [DIGIT

SPECTRE & MELTDOWN

SHARING SESSION : SECURITY AWARENESS

EVENT REPORT: CYBER DEFENSE

SANS CYBER DEFENSE

THE PRACTICE OF NETWORK

BLUE TEAM FIELD MANUAL

Cyber Defense Community | Q1 2018 6

Log Management Mengapa menggunakan Log

Cyber Defense Community | Q1 2018 7

Cyber Defense Community | Q1 2018 8

Sida Nala Rukma J

Sida Nala Rukma, atau yang

Cyber Defense Community | Q1 2018 9

Pengenalan Threat Hunting buka keumngkinannya untuk terjadi com-

Cyber Defense Community | Q1 2018 10

Cyber Defense Community | Q1 2018 11

Cyber Defense Community | Q1 2018 12

Saat ini banyak sekali metode yang digu-

Mereduksi Waktu Proses Tanggap lalu berpedoman pada konsep triad

Cyber Defense Community | Q1 2018 13

kan potongan-potongan puzzle yang perlu sic)

Cyber Defence Community | Q1 2018 14

Cyber Defence Community | Q1 2018 15

Gambar 3 : Salah satu sample MITRE ATT&CK Matrix

Cyber Defence Community | Q1 2018 16

5. Threat Hunting 101,

6. Demystifying Threat Hunting Concepts,

Cyber Defence Community | Q1 2018 17

TUTORIAL but a process”

Cyber Defense Community | Q1 2018 19

Langkah pengiriman windows event logs ke Graylog

Cyber Defense Community | Q1 2018 20

Gambar 1. Proses Instalasi Graylog

Cyber Defense Community | Q1 2018 21

Gambar 2. Proses Konfigurasi Graylog

10. Simpan file konfigurasi setelah diedit

Cyber Defense Community | Q1 2018 22

Cyber Defense Community | Q1 2018 23

Gambar 4. Settings Data Beats

Cyber Defense Community | Q1 2018 24

Gambar 5. Setting Nama Output Beats

Cyber Defense Community | Q1 2018 25

Gambar 6. Verifikasi Hasil Pengiriman Log

Cyber Defense Community | Q1 2018 26

Cyber Defense Community | Q1 2018 27

1. Audit Logon Events,

Cyber Defense Community | Q1 2018 28

Pemerhati dan analis keamanan informasi

Cyber Defense Community | Q1 2018 29

Cyber Defense Community | Q1 2018 30

Gambar 1. Elastic Stack

Instalasi & Konfigurasi Elastic Stack

Cyber Defense Community | Q1 2018 31

Unduh and install the public signing key:

[user@hostname ~]$ rpm -­‐-­‐import https://artifacts.elastic.co/GPG-­‐KEY-­‐elasticsearch

[user@hostname ~]$ sudo yum install elasticsearch

[user@hostname ~]$ sudo chkconfig --add elasticsearch

Cyber Defense Community | Q1 2018 32

MEMBANGUN LOG MANAGEMENT 

[user@hostname ~]$ rpm -‐-‐import https://artifacts.elastic.co/GPG-‐KEY-‐elasticsearch

2nd Meetup - Cyber Defense Community  