Protecting Data and Information From Theft PDF
Protecting Data and Information From Theft PDF
Protecting Data and Information From Theft PDF
Eng
CEH, CHFI, ECSA|LPT, ACE, CCNP, CCNA, CompTIA Security+
Who am I
Professional IT Security Trainer & Consultant
Professional Lecturer
Penetration/Security Tester
Computer/Digital Forensic Investigator
CEO at RootBrain.Com
Data & Information
Tujuan akhir dari setiap langkah pengamanan
Teknologi Informasi adalah melindungi Data dan
Informasi.
Beberapa informasi memerlukan penanganan yang
khusus sehingga terhindar dari resiko
hukuman/penalties, identity theft, financial loss,
invasion of privacy, atau unauthorized access .
Beberapa informasi diatur oleh undang undang dan
peraturan peraturan resmi yang berlaku.
Arti “Keamanan Informasi”
Proses terus-menerus melindungi aset-aset
informasi digital
Keamanan Informasi merupakan bagian dari
Sistem, bukan sekedar fitur
Tidak ada yang aman 100%
Topik yang termasuk dalam Keamanan
Informasi:
Kebijakan & Prosedur, Otentikasi, Cyber Attacks,
Remote Access, E-mail, Website, Wireless, Devices,
Media/Medium, Secure Architectures, IPSec,
Sistem Operasi, Secure Code, Cryptography,
Physical Security, Digital Media Analysis
(Forensics), Audit, Integritas data dst
Information Security LiveCycle
Prevention Protection
►Patch immediately (manage centrally)
►Deploy “Defense-in-Depth”
►Keep passwords secret &
►Segregate networks
change them regularly
►Tighten down firewalls
►“Rule of least privilege”:
►Be vigilant & stay alert
Control access to all
your assets
►Apply proper coding &
configuration practices
Response Detection
►Monitor traffic
►Do incident forensics
►Leave “ON”, ►Deploy intrusion detection
disconnect & don’t touch (host-, network-based)
►Recover… ►Maintain up-to-date anti-virus
►Analyze causes & software
apply lessons learned ►Enable & monitor system logging
►Be vigilant & stay alert
Tujuan “Keamanan Informasi”
Mencegah Pencurian Data
Menghindari konsekuensi legal dari tanpa
melindungi informasi
Menjaga produktivitas
Mencegah dan mengantisipasi terjadinya
cyberterrorism
Menghindari penyalahgunaan identitas
Tantangan “Keamanan Informasi” Cross site scripting
Tools
“stealth” / advanced
High scanning techniques
Staged
packet spoofing denial of service attack
sniffers distributed
attack tools
Intruder sweepers www attacks
Knowledge
automated probes/scans
GUI
back doors
disabling audits network mgmt. diagnostics
hijacking
burglariessessions
Attack exploiting known vulnerabilities
Sophistication
password cracking
self-replicating code
Attackers
password guessing
Low
1980 1985 1990 1995 2000+
- Kevin Mitnick-
disebut “God of Social Engineering”
Ancaman Cyber saat ini
Pencurian dan Penyalahgunaan Identitas
Malware
Patch Management (Software
Update/Patching)
Denial of Services (DoS & DDoS)
Pencurian dan Penyalahgunaan Identitas
Penyalahgunaan Kartu Kredit orang lain
oleh para Carder
Takeover Account IM (Yahoo!, MSN,
Google dll)
Takeover Facebook, Twitter (Social
Network)
Teknik phising digunakan untuk menjebak
account tertentu dengan tujuan
mendapatkan informasi
financial pengguna
Contoh Mail Phising
Alamat email pengirim
dengan mudah dipalsukan!