ch08 en Id
ch08 en Id
com
Bab 8:
Mengelola Risiko
Mempertaruhkan
Kerentanan
– Sebuah kelemahan
Ancaman
– Potensi bahaya
Dampak
– Besarnya kerugian yang dapat ditimbulkan
Ancaman dan Ancaman Vektor
Ancaman
– Potensi bahaya
Vektor Benang
– Juga disebut Vektor Serangan
– Metode yang digunakan untuk mengaktifkan ancaman
Jenis ancaman
– Ancaman alam
Badai, banjir, dll.
– Ancaman manusia yang berbahaya
– Ancaman lingkungan
Listrik mati, panas berlebih, dll.
Ancaman Orang Dalam yang Berbahaya
– Rotasi pekerjaan
– Pemisahan tugas
– Liburan wajib
Penilaian Ancaman
Mengidentifikasi dan mengkategorikan ancaman
berprioritas rendah
Kerentanan
Cacat atau kelemahan yang dapat dieksploitasi,
mengakibatkan pelanggaran keamanan
– Kurangnya pembaruan
– Konfigurasi default
– Kurangnya perlindungan malware
Risiko sisa
– Risiko yang tersisa setelah manajemen risiko
Metode Manajemen Risiko
Penghindaran risiko
– Melarang aktivitas berisiko
Pemindahan risiko
- Pertanggungan
Penerimaan risiko
Mitigasi risiko
– Menerapkan kontrol
Pencegahan risiko
– Menakut-nakuti beberapa penyerang
Tugas beresiko
Identifikasi aset dan nilai aset
Identifikasi ancaman dan kerentanan
Prioritaskan mereka
Merekomendasikan kontrol
Penilaian Risiko Kuantitatif
Perkirakan uang yang hilang per tahun untuk
risiko Single Loss Expectancy (SLE)
– Biaya kerugian tunggal
Menyerang
– Sistem
– Jaringan
- Organisasi
Sumber informasi
– Kebijakan keamanan
– Log
– Wawancara dengan personel
– Pengujian sistem
Langkah-langkah Penilaian Kerentanan
Identifikasi kerentanan
Identifikasi kesalahan konfigurasi Uji
Tinjauan kode
– Mendeteksi kerentanan dalam kode sumber
- Lebih tepat
atau
– Tanpa kredensial: tidak masuk
– Akan melihat lebih sedikit jaringan
Pengujian Penetrasi
Temukan kerentanan dan eksploitasi
Mungkin juga menunjukkan bagaimana karyawan
menanggapi insiden keamanan
Elemen umum
– Pastikan ada ancaman
– Lewati kontrol keamanan
– Secara aktif menguji kontrol keamanan
– Eksploitasi kerentanan
Pertimbangan Uji Penetrasi
Lingkup tes harus ditentukan terlebih
dahulu
Dapatkan otorisasi tertulis Hasil yang
Biskuit
– Seorang peretas yang melakukan tindakan jahat
Mendapatkan Persetujuan:
Aturan Keterlibatan
Alat aktif
– Menggunakan metode yang mengganggu
Berkala
– Penilaian ancaman
– Penilaian kerentanan
– Penilaian risiko
– Audit dan tinjauan rutin, seperti
Ulasan hak dan izin pengguna
Mengidentifikasi Alat Keamanan
Penganalisis Protokol (Sniffer)
Contoh
– Wireshark
– tcpdump
– Monitor Jaringan Microsoft
– Banyak lainnya
– NetIQ
– AlienVault