1.

Sebutkan dan jelaskan tiga komponen pada arcsight serta gambarkan

topologi-topologi komponen arcsight yang biasa digunakan organisasi atau
perusahaan.
2. Dalam penanganan Security Information Incident, peranan first responder
antara lain adalah melakukan containment, pada kasus ini diketahui 4 buah
laptop pada segment yang sama menjalankan perintah yang mencurigakan
dan kegiatan-kegiatan mencurigakan tersebut sesuai dengan zero day
malware yang baru saja diumumkan tadi malam.
Pertanyaannya adalah jelaskan Containment pada Security Information
Incident Handling dan langkah apa yang harus dilakukan seorang first
responder saat melakukan containment dengan case zero day malware
spreading.
3. Sebutkan dan jelaskan lima element information security.
4. Attack = Motive (Goal) + …. + …..
Dalam suatu serangan, penyerang mempunyai beberapa factor selain motif,
dua factor apalagi yang menyebabkan terjadinya serangan?
Sebutkan juga 10 motif yang biasa digunakan oleh attacker
5. Information Security Incident merupakan aktifitas host atau jaringan yang
berpotensi mengancam information yang tersimpan di perangkat jaringan
atau sistem berkenaan dengan confidentiality, Integrity dan Availability.
Dibawah ini merupakan beberapa macam insiden dalam Information security
Malcious Code or Insider Threat Attacks
Unauthorized Access
Unauthorized usage of service
Email-based abuse
Espionage
Fraud and theft
Employe sabotage and abuse
Network & Resource Abuses

Jelaskan, berikan contoh dan cara penanganannya dari 8 kejadian tersebut.

Jawaban :

1. Komponen pada ArchSight :

- Connector Appliance (ArchSight SmartConnector)

Disini bisa dikatakan sebagai penghubung antara perangkat
Jaringan dan beberapa aplikasi aset yang ada yang nantinya
pesan (log) yang dikirim akan diteruskan ke ArchSight Logger.
- ArchSight Logger
Ialah log yang diterima dalam jumlah besar yang didapatkan
dan dikirim melalui ArchSight SmartConnector dan dikumpulkan
segala event yang masuk ke ArchSight Logger.
- ArchSight ESM
Ialah pusat event dan data yang didapatkan melalui ArchSight
SmartConnector yang dapat dilakukan normalisasi event yang
masuk agar event dapat dipastikan event serangan yang
sebenarnya. Hal tersebut akan mempermudah pekerjaan seorang
security analyst dalam melakukan analisa event yang benar -
benar berbahaya.
- ArchSight Console
Ialah event yang tampil lebih bagus untuk dilihat dan event
yang masuk berdasarkan rule yang sudah dibuat di ArchSigth ESM.
Tetapi untuk menganalisa lebih jauh terkait event yang masuk melalui
ArchSight Console dapat melihat di ArchSight Logger.
Topologi Komponen ArchSight:
 Proses alur kerja :
Event dan data dikirimkan dan didaptakan dari perangkat jaringan dan
aplikasi. Diterima dan ditangkap oleh SmartConnector untuk diteruskan ke
ArchSight Logger. Semua event mentah (yang belum di normalisasi) masuk
ke ArchSight Logger. Lalu diteruskan ke Archsight ESM untuk dilakukan
normalisasi agar Event yang betul - betul akan dianalisa dan untuk di lakukan
pemblokan lebih lanjut. Maka disinilah tempat pembuatan rule - rule yang
akan buat di analisa lebih lanjut. Lalu diteruskan ke ArchSight Console untuk
dibuat rule untuk bisa di pantau di active channel.

2. Yang dimaksud dengan Containment pada Security Information

Incident
ialah tahapan dimana kita sebagai seorang incident handling (penanganan
masalah) terhadap intrusi, pencurian sebuah data, denial of service, rootkit,
serangan website dan permasalahan informasi lainnya dalam memberikan
first aid atau pertolongan pertama terhadap sebuah system, host ataupun
network yang terkena dampak dari incident dan mencegah adanya penyebar
luasan incident sehingga proses lainnya dapat berjalan dengan normal
kembali.
Langkah yang harus dilakukan seorang first responder saat melakukan
containment dengan case zero day malware spreading yaitu seorang incident
handling harus memikirkan sebelum hal tersebut terjadi yaitu melakukan
install AntiVirus yang Up - to - Date di masing - masing computer client agar
jika ada malware yang lolos dari pemantauan masih bisa di blok atau di
karantina oleh antivirus dan juga selalu membuat server backup atau
cadangan bila suatu saat jika server utama down atau dimasuki malware
server cadangan masih ada backup dan tetap active. Selama selang
beberapa waktu seorang incident handling bisa memanfaatkan waktu untuk
menganlisa malware yang telah masuk ke server tersebut. Tambahan untuk
memasang beberapa perangkat seperti FireEye NX (Network security) untuk
memantau aktivitas seperti mallware callback yang terjadi sehingga bisa
dilihat alamat IP yang ditujukan malware tersebut sehingga bisa dilakukan
pemblokan alamat IP pada firewall dan juga bisa memantau PC dari masing -
masing user yang menggunakan software tidak illegal seperti crack/patch.
Memasang WAF untuk melindungi beberapa serangan malware terhadap
sebuah website agar website terlindungi. Memasang beberapa perangkat
antiSpam Email seperti FireEye EX dan baracuda untuk dianalisa jika adanya
aktivitas yang mencurigakan seperti email spam sehingga jika terjadi hal
tersebut seorang incident handler dapat melakukan pemblokan alamat email
dan IP source dari attacker tersebut
3. lima element information security
- Confidentiality (Kerahasiaan)
Kerahasiaan maksud disini ialah informasiyang kita milkiki pada
sistem/database kita adalah suatu hal yang sangat rahasia dan pengguna
atau orang yang tidak berkepentingan tidak dapat melihat aksesnya. Atau
dengan kata lain hanya pihak berwenang yang dapat mengakses informasi
 tersebut. Ancaman yang akan muncul terhadap aspek ini ialah password
strengh, malware dan social engineering.
- Integrity
Data tidak dirubah dari aslinya oleh orang yang tidak berhak, sehingga
konsistensi,akurasi dan validitas data masih tetap terjaga. Dengan kata lain
integrity mencoba memastikan data yang disimpan benar adanya. Integrity
dapat dicapai dengan menerapkan enkripsi yang tinggi pada media
penyimpanan dan transmisi data dan juga menerapkan access control yang
ketat ke sistem maksudnya akun yang ada harus dibatasi hak akses nya.
- Availability
Memastikan sumber daya yang ada siap dipakai diakses kapanpun
oleh user yang membutuhkannya. Untuk memastikan tercapainya aspek
avaibility bisa menerapkan redundant hardware,data backup,disaster
recovery plan dan RAID.
- Autenticity
Tindakan membuktikan pernyataan, seperti identitas pengguna sistem
komputer. Proses yang terjadi berguna untuk memastikan bahwa yang
mengaku sebagai pelaku benar - benar sebagai pelkaku sebenarnya.
- Non - Repudiation
Merupakan sebuah identifikasi yang bersifat individual atau devais
yang diakses oleh user yang dikirim melalui jalur komunikasi melalui sebuah
rekaman system log dan rekaman tersebut sebagai bukti aksesibelitas user
sehingga user tidak bisa menyangkal.

4. Attack = Motive (Goal) + …. + …..

5.
- Malcious Code or Insider Threat Attacks

Yaitu ancaman yang memungkinkan penyerangan berasal dari dalam. Serangan

dalam mungkin serangan yang terjadi sengaja maupun tidak sengaja. Insider Threat
Attacks berkisar dari administrator yang kurang terlatih dalam melakukan kesalahan,
hingga individu jahat yang dengan sengaja membahayakan keamanan sistem. Contoh
serangan nya ialah :

- Insider jahat menyabotase sistem dan mengirim data kepemilikan ke pihak ketiga.

- Seorang security engineer menyalahgunakan hak akses untuk mendapatkan informasi

mengenai wanita yang ada disana.
- Orang jahat dalam mencuri hard drive yang penuh dengan data personel.

- Orang yang jahat mencuri data pribadi beserta informasi akun untuk di perjual belikan di
media cocial.

Cara mengtasi nya yaitu :

- Pantau semua file, email dan aktivitas pada sumber data inti.

- Identifikasi dan temukan dimana file senditive tertinggal

- Tentukan siapa yang mempunyai hak akses ke data tersebut dan siapa yang tidak.

- Terapkan analytic keamanan untuk memberitahu perilaku abnormal.

- Unauthorized Access

Yaitu serangan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan
komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem
jaringan komputer tersebut. Biasanya seorang penyerang bermaksud untuk mencuri
informasi penting yang ada di jaringan maupun di database yang di jadikan target tersebut.
Contoh serangan nya ialah :

- Kasus pembobolan sistus KPU untuk mengubah informasi yang ada di situs website
tersebut.
- Kasus pencurian akses remote server Telnet dengan memanfaatkan kelemahan protokol
Telnet yaitu tidak terenkripsi sehingga password yang dimasukkan plain text dan bisa
diambil dengan menggunakan metode MITMA.
- Pencurian informasi database perusahaan dengan memanfaatkan celah SQLi pada sebuah
website.

Cara mengatasinya ialah:

- Membatasi domain atau alamat IP yang mengakses ke sebuah server tersebut sehingga
tidak sembarangan orang yang dapat akses ke server tersebut.
- Selalu menggunakan komunikasi yang terenkripsi atau pengiriman data yang terenkripsi
sehingga untuk membuka nya hanya bisa dibuka oleh orang yang mempunyai akses ke data
tersebut.

- Unauthorized usage of service

Yaitu serangan yang dilakukan dengan menggunakan layanan aplikasi tanpa sepengetahuan
si pemilik ataupun si pengguna layanan tersebut.
Contoh serangan nya ialah:

- Membeli barang online dengan memanfaatkan kartu kredit (CC) orang lain.
- Menggunakan hak akses SSH dan FTP server tanpa sepengetahuan sysadmin server.

Cara mengatasi nya ialah:

- Membatasi hak akses ke server dengan tidak memberikan informasi akses ke server
kepada orang lain.
- Menyimpan informasi berkaitan dengan Internet Banking, Mobile Banking, Kartu kredit dan
lain - lain dengan tidak memberikan informasi tersebut kepada orang lain.

- Email-based abuse
Ialah serangan berbasis Email dengan cara mengirim email dengan banyak tanpa
memikirkan penerima nya. Teknik serangan ini biasa dikenal dengan Email spam. Seorang
penyerang biasanya menyisipkan sebuah walware atau link yang berisi sebuah jebakan jika
seorang penerima email tersebut mengunjungi atau meng-klik link tersebut maka malware
tersebut aktif dan terkena dampak lainnya.
Contoh serangan nya ialah :
- Serangan dengan mengirimkan email ke banyak penerima dengan isi email yang sudah
tertanam backdoor sehingga penyerang dapat mendapatkan akses ke PC yang terkena
dampak tersebut.
Cara mengatasinya :
- Bagi yang penerima email untuk selalu memastikan dan melihat pengirim dari email
tersebut. Jika tidak mengenal dari penerima tersebut abaikan atau hapus email tersebut.
- Gunakan perlindungan tambahan perangkat antiSpam seperti Baracuda dan Fireeye EX
untuk melakukan pemblokiran dan karantina email yang dianggap berisi link atau file yang
berbahaya dari email tersebut.
- Espionage
Ialah tindakan atau praktek untuk memperoleh rahasia tanpa izin dari pemegang informasi
pribadi dari inddividu dan kelompok untuk keuntungan politik atau militer dengan
menggunakan metode pada jaringan internet atau komputer pribadi dengan mengirimkan
perangkat lunak berbahaya seperti trojan horse dan spyware.
Contoh serangan nya ialah :
- Pencurian dan penggunaan account internet orang lain.
- Membajak situs web orang lain.
- Port scanning.
Cara mengatasinya:
- Menggunakan Firewall baik dari sisi PC client maupun server agar terlindungi dan
meminimalisir ancaman.
- Menggunakan Kriptografi agar data yang dikirimkan disandikan terlebih dahulu agar lebih
aman.
- Menutup service yang tidak digunakan dari sisi server agar tidak ditemukan celah masuk
dan mengurangi celah masuk seorang hacker.
- Fraud and theft
Penipuan dan pencurian memiliki banyak kesamaan. Keduanya ialah tindakan kriminal dan
keduanya secara paksa mengambil sesuatu dari orang lain tanpa meminta izin terlebih
dahulu. Kerusakan yang dapat mereka berikan mungkin besar atau kecil dan itu mengambil
dari seseorang. Ringkasan nya seperti ini penipuan memiliki niat untuk menyembunyikan
tindak pidana pencurian, sedangkan pencurian tidak. Pencuri tahu mereka tidak bisa
menyembunyikan tindakan itu sehingga mereka tidak berusaha untuk menyembunyikannya ,
sementara penipu melakukan upaya ektra untuk menyembunyikan tindakan itu.
Contoh serangan nya ialah :
- Mendapatkan informasi identitas Bank seseorang dengan cara menelfon nya dan mengaku
berasal dari Bank pemilik tersebut, teknik ini dikenal sebagai dengan teknik social
engineering.
- Kasus pencurian kartu kredit dengan memanfaatkan kelemahan sebuah website dan
mencuri informasi CC yang ada di dalamnya.
Cara mengatasinya :
- Pastikan setiap menerima telfon dan sms berasal dari no yang terverifikasi untuk
menghindari kasus pencurian data.
- Selalu pastikan untuk menggunakan komunikasi yang terenkripsi.
- Membangun sebuah website pastikan untuk mengurangi dan menghikangkan BUG yang
ada. Untuk mengetahui tersebut bisa menggunakan jasa PENTEST untuk mencari
kelemahan tersebut.
- Employe sabotage and abuse
Ada banyak bentuk sabotase dan pelecehan antar karyawan di tempat kerja. Alasan nya
ialah karena mereka tidak senang dengan tempat kerja tersebut, apakah itu penyelia,
promosi yang tidak dapat diterima, atau tindakan disipliner yang diambil oleh karyawan
tersebut. Dan penyebab nya juga bisa dikarenakan kondisi pemutusan hubungan kerja dan
itu bisa menjadikan pemicu menyabotase tempat kerja mereka.
Contoh serangan nya:
- Pelecehan seksual kepada kaum wanita antar karyawan secara terang terangan.
- Melakukan pencurian sumber daya digital seperti kamera, pemutar MP3 dll.
Cara mengatasinya ialah:
- Dengan mengetahui perasaan karyawan dan langkah - langkah keamanan yang baik.
- Memperbaiki sabotase dengan memiliki protokol keamanan yang baik termasuk program
anti-virus, firewall, alat logging dan membutuhkan praktik keamanan yang baik seperti
mengunci pekerjaan (Laptop Screnn)
- Network & Resource Abuses
Banyak nya kasus penyalahgunaan dalam penggunaan jaringan dan sumberdaya yang ada
membuat banyak nya kasus penyerangan pada jaringan. Penyalahgunaan ini memiliki
dampak diantara nya seperti informasi yang dikirim melalui jaringan tersebut dapat
ditangkap dan dicuri oleh peretas. Dan juga memanfaatkan bandwith jaringan yang tinggi
memungkinkan untuk serangan DDoS.
Contoh serangannya ialah :
- Seorang penyerang melakukan aksi Hacking wifi untuk masuk ke jaringan internal.
- Penyerang memanfaatkan BotNet yang sudah tertanam di PC user dan memanfaatkan
bandwith dan resource yang ada di PC tersebut untuk dilakukan penyerangan DDoS.
Cara menfgatasinya ialah:
- Untuk selalu menggunakan antivirus yang up - to - date untuk mengatasi dan mendeteksi
malware yang aktiv di masing - masing PC.
- Menggunakan firewall untuk memantau trafik jaringan jika ada aktifitas yang
mencurigakan pada jaringan internet.