Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

Bab 8:
Mengelola Risiko

Keamanan CompTIA+: Dapatkan

Bersertifikat Maju:
SY0-401 Panduan Belajar
Darril Gibson
Mengidentifikasi Risiko
Risiko, Kerentanan, dan Ancaman

Mempertaruhkan

– Kemungkinan ancaman akan mengeksploitasi

kerentanan

Kerentanan
– Sebuah kelemahan

Ancaman

– Potensi bahaya
Dampak
– Besarnya kerugian yang dapat ditimbulkan
 Ancaman dan Ancaman Vektor

Ancaman

– Potensi bahaya
Vektor Benang
– Juga disebut Vektor Serangan
– Metode yang digunakan untuk mengaktifkan ancaman

– Tiga sumber utama

Eksternal (orang luar)
Internal (orang dalam)

Rantai pasokan (pemasok)

 Ancaman

Jenis ancaman
– Ancaman alam
Badai, banjir, dll.
– Ancaman manusia yang berbahaya

– Ancaman manusia yang tidak disengaja

– Ancaman lingkungan
Listrik mati, panas berlebih, dll.
 Ancaman Orang Dalam yang Berbahaya

Penyalahgunaan akses yang sah untuk merugikan

perusahaan

Motivasi termasuk keserakahan & balas

dendam Penanggulangan
– Hak istimewa terkecil

– Rotasi pekerjaan

– Pemisahan tugas
– Liburan wajib
 Penilaian Ancaman
Mengidentifikasi dan mengkategorikan ancaman

Identifikasi kontrol untuk melindungi dari

ancaman paling serius
Hindari pemborosan sumber daya untuk ancaman

berprioritas rendah
 Kerentanan
Cacat atau kelemahan yang dapat dieksploitasi,
mengakibatkan pelanggaran keamanan
– Kurangnya pembaruan

– Konfigurasi default
– Kurangnya perlindungan malware

– Tidak ada firewall

– Kurangnya kebijakan organisasi

 Manajemen risiko
Risiko tidak dapat dikurangi menjadi
nol Manajemen risiko
– Mengidentifikasi, memantau, dan membatasi risiko ke tingkat
yang dapat diterima

Risiko sisa
– Risiko yang tersisa setelah manajemen risiko
 Metode Manajemen Risiko
Penghindaran risiko
– Melarang aktivitas berisiko

Pemindahan risiko
- Pertanggungan

Penerimaan risiko
Mitigasi risiko
– Menerapkan kontrol
Pencegahan risiko
– Menakut-nakuti beberapa penyerang
 Tugas beresiko
Identifikasi aset dan nilai aset
Identifikasi ancaman dan kerentanan
Prioritaskan mereka
Merekomendasikan kontrol
Penilaian Risiko Kuantitatif
Perkirakan uang yang hilang per tahun untuk
risiko Single Loss Expectancy (SLE)
– Biaya kerugian tunggal

Tingkat Kejadian Tahunan (ARO)

– Berapa kali dalam setahun kerugian akan terjadi?
Harapan Rugi Tahunan (ALE)
– ALE = SLE x ARO
 Contoh
Risiko: Karyawan kehilangan laptop, yang
kemudian harus diganti
Sebuah laptop berharga $1000

– Ini adalah SLE

Karyawan kehilangan laptop setiap bulan
– Ini adalah ARO
Kerugian yang diharapkan adalah $12.000 per tahun

CATATAN: Ini tidak mempertimbangkan

risiko data pada laptop terekspos
 Penilaian Risiko Kualitatif
Beri peringkat risiko sebagai "Tinggi", "Sedang", atau

"Rendah" Atau gunakan skala numerik, 1 hingga 10

Bandingkan risiko serangan ke server Web v.

workstation perpustakaan tanpa akses Internet

Server web: Kemungkinan besar, dampak tinggi

Workstation: Kemungkinan rendah, dampak rendah

Mendokumentasikan Penilaian

Laporan mengidentifikasi risiko yang ditemukan dan

pengendalian yang direkomendasikan

Laporan ini harus dirahasiakan Ini akan

membantu penyerang
 Metrik Risiko

Waktu Rata-Rata Antara Kegagalan (MTBF)

– Sering digunakan untuk menilai disk drive

Mean Time To Failure (MTTF)

– Seperti MTBF tetapi untuk perangkat yang tidak dapat
diperbaiki

Waktu Rata-Rata Untuk Pulih (MTTR)

Memeriksa Kerentanan
 Metode
Penilaian kerentanan
Pemindaian kerentanan
Tes penetrasi
 Anatomi Serangan
Identifikasi alamat IP target Temukan port terbuka
dengan pemindai port Sistem sidik jari untuk
mengidentifikasi OS Meraih spanduk menemukan
versi perangkat lunak Identifikasi kerentanan

Menyerang

– Exfiltrate data, pivot ke sistem lain, hapus

log
 Penilaian Kerentanan
Temukan kelemahan dalam

– Sistem
– Jaringan
- Organisasi
Sumber informasi
– Kebijakan keamanan

– Log
– Wawancara dengan personel
– Pengujian sistem
Langkah-langkah Penilaian Kerentanan

Identifikasi aset dan kapabilitas

Prioritaskan aset berdasarkan nilai
Identifikasi kerentanan dan prioritaskan berdasarkan
tingkat keparahannya

Merekomendasikan kontrol untuk mengurangi

kerentanan serius
 Metode Penilaian Lainnya
Pelaporan dasar
Tinjauan kode
Ulasan arsitektur
ulasan desain
 Pemindaian Kerentanan

Identifikasi kerentanan
Identifikasi kesalahan konfigurasi Uji

kontrol keamanan secara pasif

Identifikasi kurangnya kontrol keamanan

Hasil Pemindaian Kerentanan
Buka port
Kata sandi yang lemah

Akun dan kata sandi default Data

sensitif
– Kesalahan Keamanan dan Konfigurasi

Pencegahan Kehilangan Data

Tambalan yang hilang dan kontrol keamanan lainnya yang
kurang
 Positif Palsu
Pemindai kerentanan sering melaporkan masalah
yang bukan masalah nyata
Tinjauan manual laporan sangat penting
Teknik Penilaian Lainnya
Mencoba tailgating dan rekayasa sosial
Pelaporan baseline
– Bandingkan konfigurasi saat ini dengan baseline

Tinjauan kode
– Mendeteksi kerentanan dalam kode sumber

Tinjauan permukaan serangan

– Hapus eksposur yang tidak perlu

Teknik Penilaian Lainnya
Ulasan arsitektur
– Periksa segmen jaringan dan DMZ
ulasan desain
– Tata letak fisik bangunan
– Bagaimana aplikasi berinteraksi dengan
aplikasi atau sistem lain
– Saat bisnis tumbuh, desain yang buruk sering
dibuat
Bersertifikat v. Tidak Bersertifikat

Pemindai kerentanan dapat berjalan

– Terpercaya: masuk sebagai administrator
– Tingkat yang lebih dalam

- Lebih tepat
atau
– Tanpa kredensial: tidak masuk
– Akan melihat lebih sedikit jaringan
 Pengujian Penetrasi
Temukan kerentanan dan eksploitasi
Mungkin juga menunjukkan bagaimana karyawan
menanggapi insiden keamanan

Elemen umum
– Pastikan ada ancaman
– Lewati kontrol keamanan
– Secara aktif menguji kontrol keamanan

– Eksploitasi kerentanan
Pertimbangan Uji Penetrasi
Lingkup tes harus ditentukan terlebih
dahulu
Dapatkan otorisasi tertulis Hasil yang

tidak diharapkan dapat terjadi Fuzzing

sistem dapat menyebabkan crash

Terkadang sistem uji digunakan alih-alih sistem

langsung yang digunakan
 Kotak Putih, Abu-abu, dan Hitam
Pengujian

Pengujian kotak hitam

– Penguji tidak diberi pengetahuan tentang sistem
internal
– Sering menggunakan fuzzing

Pengujian kotak putih

– Penguji memiliki pengetahuan penuh tentang
lingkungan

Pengujian kotak abu-abu

– Penguji memiliki pengetahuan tentang sistem

 Topi Hitam v. Topi Putih

Peretas topi hitam

– Penjahat
Peretas topi putih
– Profesional keamanan yang sah
Peretas topi abu-abu
– Melanggar hukum tetapi memiliki beberapa pembenaran
untuk itu, seperti protes politik ("Hacktivists")
– “Setiap jalan orang lurus menurut
pandangannya sendiri…” –Amsal 21:2
 Hacker dan Cracker
Peretas
– Awalnya hanya seseorang yang sangat mahir
dengan teknologi
– Didefinisikan sebagai kriminal menurut Hukum AS dan
di media

Biskuit
– Seorang peretas yang melakukan tindakan jahat
 Mendapatkan Persetujuan:
Aturan Keterlibatan

Dokumen tertulis yang menjelaskan

batas-batas uji penetrasi
Pengujian Intrusif v. Nonintrusif
pemindaian intrusif

– Upaya untuk mengeksploitasi kerentanan

Pemindaian tidak mengganggu

– Upaya untuk mendeteksi kerentanan

– Tidak mencoba mengeksploitasinya
 Pasif v. Alat Aktif
Alat pasif
– Tes dengan cara yang tidak mengganggu

– Sedikit kemungkinan untuk mengkompromikan sistem

Alat aktif
– Menggunakan metode yang mengganggu

– Dapat berpotensi mempengaruhi operasi

sistem
 Pemantauan terus menerus

Memantau semua kontrol keamanan yang relevan

Berkala
– Penilaian ancaman
– Penilaian kerentanan
– Penilaian risiko
– Audit dan tinjauan rutin, seperti
Ulasan hak dan izin pengguna
Mengidentifikasi Alat Keamanan
 Penganalisis Protokol (Sniffer)

Contoh
– Wireshark
– tcpdump
– Monitor Jaringan Microsoft
– Banyak lainnya

Kata sandi yang tidak terenkripsi mudah dilihat

dengan sniffer
 Audit Rutin
Identifikasi risiko

Verifikasi bahwa kebijakan sedang diikuti

– Apakah akun untuk karyawan yang keluar
segera dinonaktifkan?
– Apakah administrator memiliki dua akun, satu hak
istimewa rendah dan satu hak istimewa tinggi?

– Apakah semua sistem ditambal?

- Banyak lagi pertanyaan…

Hak dan Izin Pengguna
Tinjauan
Jenis audit
Mengidentifikasi hak istimewa (hak dan
izin) yang diberikan kepada pengguna

Memeriksa untuk melihat apakah mereka

sesuai "Izin mengasapi"
– Pengguna mendapatkan lebih banyak hak istimewa saat pekerjaan
berubah
 Memantau Log
Log Sistem Operasi
- Rekam acara dasar
– Penampil Acara Windows
Keamanan – masuk dan keluar, dll.
– Juga acara yang diaudit

Aplikasi – peristiwa yang direkam oleh aplikasi

Sistem – startup, shutdown, memuat driver, dll.
 Log lainnya
Log firewall
Log antivirus
Log aplikasi
– SQL server, Oracle, dll.
Log kinerja
 Meninjau Log
Proses yang membosankan dan menyakitkan

Pemindai log otomatis membantu

– NetIQ
– AlienVault